Egy biztonságos WordPress honlap 7 hozzávalója

Egy weboldalra manapság számtalan veszély leselkedik, ami károsíthatja a pénztárcádat, a SEO eredményeidet vagy éppen a látogatóid számítógépeit, de olyat is hallottam már, hogy valakinek a domain nevét lopták el, ezzel teljesen műkésképtelenné téve egy 100 000 dollár értékű weboldalt.

Az elmúlt években én is megtapasztaltam sok mindent (kártékony kód került a weboldalunkra, betörtek a szerverünkre, vagy éppen egyszerre égett le egy szerverben az éles és a biztonsági merevlemez, stb.)
Annak érdekében, hogy te sose legyél részese ilyesminek, összeszedtem a tapasztalataimat a webes biztonság témában és összeírtam neked.

Szóval itt egy biztonságos WordPress honlap 7 hozzávalója:

1. Használj összetett felhasználónév és jelszó párost

E témában a leggyakoribb hiba ha a jelszavadat beállítod 12345 -nek vagy valami hasonlóan egyértelmű dolognak, de az biztonsági rést jelenthet, ha meghagyod a WordPress felhasználó nevedet az alapértelmezett admin -nak.  Legyen inkább összetett és nem kitalálható mindkettő.
Az alábbi belépési adataidra kell fokozottan figyelned:

• WordPress vezérlőpult
• Webtárhely belépés (admin, cPanel, Parallels Plesk) vagy saját szerver
• Domain szolgáltatód vezérlőpultja
• Ha a fenti adatokat egy jelszó managerben tárolod (pl: Roboform, Lastpass) akkor annak a jelszava is.

Milyen bonyolult legyen a jelszavam? 

• Alapszabály, hogy legyen bennne kis és nagybetű, szám és szimbólum is és mindez min. 12 karakteres legyen. Praktikussági szempontból érdemes kerülni az összekeverhető karaktereket, mint például o 0 (rövid ó betű és nulla) vagy a l I (kis L és nagy i betű) de ezeket egy jó jelszó generátor magától tudja. Lásd jobb oldal kép(A fent említett jelszó managereknek van ilyen generátora.)
• Ugyanazt a jelszót ne használd több helyen
• Ha te magad állíthatod be a felhasználó nevedet is (pl.: WP admin) akkor azt is megbonyolíthatod, de ez már csak haladó üldözési mániásoknak ajánlott.

[feature_box style=”1″ only_advanced=”There%20are%20no%20title%20options%20for%20the%20choosen%20style” alignment=”center”]

Példa WordPress vezérlőpult belépésre:

– Felhasználónév: kissbela

– Jelszó:   28qCMkZ48!eL

Haladóbb:

– Felhasználónév: d@mDW3N4U7&$

– Jelszó:   28qCMkZ48!eL[/feature_box]

Ha nem boldogulsz a WordPress admin felhasználónév megváltoztatásával, akkor itt egy rövid kis útmutató:

1. Lépj be adminként és hozz létre egy másik felhasználót adminisztrátori jogosultsággal de ezúttal már nem „admin” névvel.
2. Lépj ki, majd lépj be az újonnan létrehozott felhasználóval.
3. Töröld ki az eredeti „admin” nevű felhasználót, ezzel megszabadulva a biztonsági réstől.
4. A továbbiakban mindent az új felhasználóval tudsz majd intézni.
   TIPP: Ha eddig a törölt felhasználó nevén publikáltál, akkor nézd meg a cikkek szerzőit és állítsd át igény szerint.

Kritikus fontosságú jelszavak esetén (saját szerver rendszergazda jelszó) akár 30 karakter hosszúságig is elmehetsz, példa lásd a szürke keretben.

[feature_box style=”1″ only_advanced=”There%20are%20no%20title%20options%20for%20the%20choosen%20style” alignment=”center”]Példa kritikus fontosságú szerver root belépőre:

felhasználó: root

jelszó: $crB4J!A6ds&qr2%5m@UYrgASqFDY2[/feature_box]

Nem mondom, hogy ezeket lehetetlen feltörni, mert semmi sem lehetetlen, de sok sikert annak, aki megpróbálja.
Ezeknek a jelszavaknak a hátránya, hogy nem fogod tudni megjegyezni őket, hacsak nem te vagy John Nash a Csodálatos Elméből.
Ezért jelszó manager használata ajánlott, ami elmenti és titkosítva tárolja a jelszavaidat, pl: Roboform, Lastpass.

2. Ne add ki a jelszavaidat senkinek

Előszeretettel kérik el a jelszavaidat fejlesztők, alvállalkozók vagy veled kapcsolatban álló ügyfélszolgálatosok például azért, hogy utánanézzenek, hogy miért nem működik valami vagy elvégezzenek bizonyos beállításokat. Ezek többségének nem feltétlenül kell kiadnod a jelszavadat. Persze néha szükséges lehet, de akkor is csak olyanoknak, akikben megbízol. Egyéb esetekben vannak más lehetőségeid, pl.:

• Sok ügyfélfiók lehetőséget ad alfelhasználó hozzáadására, ami egy limitált funkciójú belépési lehetőséget ad külön jelszóval. Jól jöhet ha a rendszergazdádnak akarsz hozzáférést adni.
• Létre hozhatsz az éles weboldaladról egy másolatot egy teszt tárhelyre, amelynek megváltoztatod a jelszavát és azt adod oda fejlesztőknek, ügyfélszolgálatosoknak, stb.

3. Használj minden számítógépeden vírusirtót

Minden számítógép, amiről dolgozol legyen frissített vírusirtóval felszerelve. Ugyanis az is igen gyakori forgatókönyv, hogy a számítógépedről kap valamilyen kártékony kódot az oldalad vagy esetleg  egy ravasz kis bilentyűzet figyelő ellesi a jelszavadat. Sőt én már olyan rafinált programmal is találkoztam, ami a böngésződben egy álweboldalt nyit meg, ami a megtévesztésig hasonlít az igazira, majd bekéri egy jelszavadat. Ha nem vagy résen, akkor máris önként megadtad a belépési lehetőséget illetékteleneknek.

4. Rendszeres frissítsd az oldaladat és a vírusírtódat

A biztonsági rések eltüntetése miatt vagy az új fenyegetések elleni védekezés végett érdemes rendszeresen frissítened az alábbi dolgokat:

• WordPress keretrendszer
• WordPress bővítmények (még az inaktívakat is)
• Vírusírtód adatbázisa
• Ha saját szervered van, akkor annak a rendszereit is (Linux, Windows, cPanel, stb.)

Léteznek olyan WP kiegészítők, amelyek lehetővé teszik, hogy automatikusan frissítsd az oldalad de ezek használatát nem javaslom mert sok problémát okozhatnak. Lehet például, hogy nem mindent és nem azonnal akarsz frissíteni, esetleg szeretnél a frissítések előtt biztonsági mentést végezni vagy azok befejeztével ellenőrizni az oldalad. E miatt inkább a manuális frissítést javaslom.

5. Telepíts biztonsági WordPress bővítményeket

A WordPress bővítmények közül sokat írtak azzal a céllal, hogy fokozzák az oldalak biztonságát. Ezek közül neked is érdemes feltelepíteni párat, pl:

• Login Lockdown
  Ez a WordPress bővítmény figyeli a sikertelen bejelentkezéseket a WP vezérlőpultba és ha egy IP címről több sikertelen próbálkozást tapasztal, akkor kitiltja. Alapból úgy van beállítva, hogy ha valaki 5 percen belül 3-szor rossz felhasználó névvel és/vagy jelszóval próbálkozik, akkor 1 órára kitiltja. Ez bizony nagyban rontja az illetéktelen próbálkozók esélyeit.
  A bővítmény honlapja

• Better WP security
  Ez egy olyan plugin, ami számtalan biztonsági funkcióval ruházza fel a weboldalad, annak érdekében, hogy ellenállóbb legyen a külső támadásokkal szemben.
  A bővebb leírást lásd a bővítmény honlapján.

• WordPress File Monitor Plus
  Figyeli a WordPress fájlokat és email értesítést küldd azok változásairól. Így rögtön tudod, ha illetéktelen kezek nyomán változik valami.
  A bővítmény honlapja

6. Készíts rendszeresen biztonsági mentéseket

Attól függően, hogy az oldalad milyen gyakran frissül, szükséged lehet órás, napi, heti vagy havi ütemezésű mentésekre és ezek kombinációjára is. Sőt léteznek valós idejű szolgáltatások, ahol bármely állapotot vissza lehet állítani percre pontosan, pl.:

• www.vaultpress.com
• Backup Buddy

Vannak olyan kiegészítők is, amik cloud tárhelyekre is tudnak menteni, pl:

• Google Drive for WordPress 
• WordPress Backup to Dropbox

7. Regisztrálj weboldal figyelő szolgáltatásokra

A weboldal figyelő szolgáltatások lényege, hogy bizonyos szempontok szerint monitoringozzák a weboldaladat és értesítést küldenek vagy akár be is avatkoznak ha szükségét érzik.

A monitoring állhat egyszerűen abból, hogy megnézik, hogy él-e a weboldal de lehet olyan összetett szolgáltatás is, mint a kártékony kódok figyelése (pl: vírusok, adathalászat, stb.) vagy különböző tiltó listákra történő felkerülés figyelése (spam, káros tartalom, stb.).

Pár példa az általam legjobban kedveltek közül:

• Google Webmaster tools (ingyenes, mindenkinek javaslom)
• Manage WP  (több weboldal egyszerű kezelésére és figyelésére hasznos, biztonsági másolatokat is készít)
• Sucuri

Ha a fenti tanácsokat megfogadod, akkor jócskán csökkentheted a weboldalad veszélyeztetettséget!