Sokszor éri az a vád a WordPress oldalakat, hogy nem, vagy kevésbé biztonságosak. Persze ez viszonylagos, mert mondhatjuk, hogy mihez képest. A legtöbb esetben ugyanis az egyedileg fejlesztett oldalakat sem frissíti senki külön díjazás nélkül, s mint tudjuk, hibátlan kód nincs (Komoly rendszereknél természetesen. A nevünk képernyőre íratása nem komoly rendszer programozás szemszögéből.. :D)

A WordPress ilyen szempontból is résen van: folyamatosan rengeteg fejlesztő dolgozik a kód vizsgálatán és javításán, ami már eleve jóval több, mint egy átlagos weboldal esetében.

 

 

A fentiek ellenére jobb félni, mint megijedni, s legalább pár alapvető beállítást érdemes eszközölni.

Amennyiben valaki valóban ért a dolgokhoz, akkor a .htaccess file segítségével a saját igényeinek megfelelően beállíthatja amit szeretne. A .htaccess file használata és a magyarázatok túlmutatnak blogunkon, de természetesen az interneten sok segítség lelhető hozzá, vagy ha szeretnétek, akkor kérjetek tanácsot tőlünk!

 

Nem kell azonban született hekkernek lenni ahhoz, hogy az oldalunkat érő támadások nagy részét pár jól átgondolt beállítással ne tudnánk jelentősen csökkenteni.

 

Napjainkban ezen támadások és törési kísérletek nagy részét robotok, vagy más néven scriptek végzik. Módszerük többféle lehet:

  • Úgynevezett brute-force: azaz nyers erő módszer, próbálgatások sorozata.
  • Különböző jelszó- vagy szótárfájlok használata. Ezek legtöbbször nyelvspecifikusak, s akár töredékére is lecsökkenthetik a behatoló próbálkozásainak számát az előző módszerhez képest.

 

 

Kikerülni őket nem nagyon lehet, előbb vagy utóbb meg fogják találni az oldalunkat.

 

A következőket érdemes ellenük tenni:

 

Használhattok valamilyen kiegészítőt a WP-hez. Az általunk javasoltak a következők:

  • Wordfence: Egyszerűbb
  • All in One WP Security: Szigorúbb.

 

 

 

Alapbeállítások mellett is nagyon sokat segítenek (az ingyenes és a fizetős verzió is megfelelő), de a következőkkel még inkább elősegítheted a biztonságot:

  • Nevezd át, vagy még jobb, ha törlöd az “admin” felhasználót!
  • Használj erős, min. 12-16 karakteres jelszót! Figyelj oda, hogy ha lehet, ne legyen értelmes szó még magyarul sem, a fentebb említett szótár-fileos módszer miatt, illetve tartalmazzon minél több különleges karaktert, nagybetűt és számot. Ilyen karakterek lehetnek az alábbiak például:
    • !%/#&@{}đĐ[]Ä$\ és hasonlók
  • Helyezd át a szokásos /wp-admin/ címről a belépési linket valamilyen ékezet nélküli magyar szóra, például az alábbiakat használhatod:
    • /belepes/
    • /bejarat/
    • /engedjbe/
    • /kippkopp/
    • stb.
  • Mindenképpen korlátozd a belépési kísérletek számát és gyakoriságát! Az alábbi vezérelvek általában megfelelők:
    • Ha használsz valamilyen “jelszómentőt” a böngésződben, akkor lehetsz egészen szigorú is, s engedélyezhetsz mindössze 3 belépési kísérletet. Ha nem vagy ennyire biztos a dolgodban, akkor egy 5-ös érték megfelelő.
    • Ha elérted a beállított próbálkozások számát, akkor min. 30-60 percre tiltsd meg a további kísérletezési lehetőséget az adott IP-ről!
  • Ha teheted, akkor maximalizáld a jelszóemlékeztetők kérésének számát is egy IP-ről! Ez 10-nél semmiképpen ne legyen nagyobb!
  • Használj egy jó chapta-t a belépésekhez!
  • Ha rutinos vagy és tudod mit csinálsz, akkor az egyik legbiztosabb módszer a belépések IP alapú korlátozása. Figyelem: Ezzel kizárhatod magad a rendszerből, csak akkor használd, ha biztos vagy a dolgodban! Itt az alábbi tanácsokat érdemes követned:
    • Adj meg konkrét IP-ket! (Figyelem, csak a külső IP címek számítanak, a belső hálózatos 192.168.*.* címek nem jók!. Ha nem tudod a címedet, akkor pl. itt lehet ellenőrizni: Mutasd a címem!)
    • Ha konkrét IP-t nem tudsz, akkor adj meg minél szűkebb tartományokat!. Pl: 195.56.6.*
    • Ha ilyet sem tudsz, de a szoftver tudja kezelni, akkor csak magyar IP-ről engedélyezd a belépést! (Ha tanácstalan vagy, akkor kérd a tárhelyszolgáltatód segítségét. Mint ahogy mi is, a többi cég is ismeri a hazai IP tartományok szabályait, s már akkor is tudnak segíteni, ha megadod, melyik cégtől vásárolod az Internetet otthonra vagy az irodába.
      • Néhány tipp szolgáltatói tartományokra:
        • Telekom: *@84.0.*.*; *@84.1.*.*; *@84.2.*.*; *@84.3.*.*; *@84.4.*.*; *@188.6.*.*; *@78.131.*.*; *@78.132.*.*; 195.56.*.* (Vagy használhatsz *@*.telekom.hu hostot is!)
        • UPC: *@89.132.*.*; *@89.134.*.*; *@89.135.*.* (Vagy használhatsz *@*.upc.hu hostot is!)
        • DIGI: *@92.249.*.*; *@94.21.*.*; (Vagy használhatsz *@*.digikabel.hu hostot is!)
        • stb.

 

Ha a fentieket beállítottad és rendszeresen ellenőrzöd, akkor máris sokat tettél azért, hogy rendszered biztonságosabb legyen.

Ui:
Természetesen pontosan tudjuk, hogy feltörhetetlen rendszer nem létezik. Azonban a fenti javaslatokat megfogadva az automata törések nagyon nagy (90-95%-át) részét el is hárítottad.