Miért kell WordPress biztonsági tippekben gondolkodnod? Azért, mert ha WordPress honlapod védelem híján marad, akkor könnyen feltörhető. Ráadásul ezt nem biztos, hogy észreveszed. Rosszabb esetben a Google kizárhatja a keresőből, így nemcsak a honlapot, hanem a SEO eredményeket is elveszítheted. Emellett, ha ügyfeleid adataihoz is hozzáfértek, akkor a hatóságoknak is jelentened kell a dolgot és akár bírságra is számíthatsz.
De miért van potenciális veszélyben a WordPress honlapom?
Mert nyílt forráskódú, ingyenes a motor, hogy bárki végre tudjon hajtani rajta WordPress fejlesztést. Továbbfejlesztve, bővítve a rendszert. Ezáltal teljesn transzparens. Emellett a legnépszerűbb megoldás, így óriási igény van rá. Emiatt szeretik feltörni és vírussal megfertőzni. Lásd, WordPress vírusellenőrzés és vírusirtás. Több ezren fejlesztik egyes részeit folyamatosan, így biztonsági rést is könnyen lehet időszakosan találni rajta.
Kiszemelve, az én honlapomat törik fel?
Nem, ha nem milliárdos üzlettel rendelkezel, akkor ez nem valószínű. Bár kerestek már meg olyan ügyfelek, akik speciális területen dolgoztak KKV szektorban és mégis kaptak személyes támadást. De ez általában a speciális szektorra igaz. A lényeg, hogy a WordPress biztonság kijátszása érdekében úgynevezett fekete kalapos hackerek programot írnak, hogy feltörjék a honlapokat.
És ez a nagy számok törvényére bazíroz. Ez azt jelenti, hogy amíg ezt a cikket olvasod, addig is próbálja feltörni a honlapodat a program. Ez nemcsak a jelszavak próbálgatását jelenti egyfolytában. Egy számítógépes programot írva, úgynevezett bot-ok kísérelhetik meg feltörni az oldaladat. De van ennél összetettebb és kártékonyabb megoldás is. Több megfertőzött eszközt (mobil, desktop, tablet stb.) és különféle szervereket is felhasználhatnak a támadásra vagy akár kriptovaluta bányászatra.
Ezt botnet-nek hívjuk.
Ez tulajdonképpen nagyon sok, akár milliós nagyságrendű, megfertőzött eszközökből álló csoportot is jelenthet, amelyek különféle programokat futtatnak a háttérben úgy, hogy arról a honlap, illetve egyéb eszközök tulajdonosa mit sem sejt. Ezek rendelkeznek egy központi vezérlővel, kiszolgálóval (C & C szerver), mely képes egyszerre párhuzamosan akár több weboldalt megtámadni. A botnet szó a robot és network szó ötvözéséből jött létre.
A jelszó megszerzése nélkül is feltörhetik az oldalamat?
Igen, a gyenge jelszó mellett számtalan más lehetőség is van rá. Elavult pluginokon (bővítményeken) keresztül is be tudnak törni. Minél több bővítményed van, annál nagyobb ennek az esélye. Amik az oldaladat is belassíthatják. Emellett az űrlapokon keresztül is be lehet törni, egy parancsot begépelve a formok helyén és így tovább. Ha egy php parancsot lefuttatunk például adatok miatt a szerverről és azt rajtafelejtjük az oldalon, vagy nem férünk az admin felülethez és pótkulcsot használunk, amit szintén fent felejtünk az oldalon, azon keresztül szintén be lehet törni az oldalra.
Miért jó nekik, ha feltörik a honlapomat?
Többféle oka lehet. Például tanulás, gyakorlatozás fekete kalapos hacker növendéket illetően. Tömeges spam küldés, reklám linkek vagy kompromittáló, tizennyolcas karikás tartalmak elhelyezése az oldalon. De találkoztunk olyan vírussal is, ami egy másik nyelven kezdett el publikálni, és linkelni más oldalakat, amivel erősítette azokat. Az is előfordulhat, hogy adatokat próbálnak ellopni.
Ezekkel kereskedni is szoktak illegális oldalakon seftelve velük. Kiterjeszthetik a hálózatukat a mi weblapunkkal folytatva más honlapok feltörését. Arra is lehet példa, hogy a konkurencia ténykedése áll a háttérben, ezzel jutva piaci előnyhöz.
A Google-nak hamarabb feltűnhet, ha WordPress védelem hiánya miatt feltörték az oldalamat?
Igen, és ilyenkor valószínűleg nem szívesen enged fel rá érdeklődőket. Ha van Search Console regisztrációd, akkor közvetlenül a Google-tól tudsz sok hasznos, működésbeli probléma kapcsán tájékozódni, amiről e-mailt is küldenek neked.
Mik a legfontosabb WordPress biztonsági tippek?
100%-os megoldás nincsen a WordPress védelem kapcsán. Ahogyan bármelyik házat fel lehet törni, ha valaki profi és nem kíméli az időt, energiát és rendelkezik alapos ismeretekkel. Ez a honlapokra is igaz. Ráadásul nem mindig lehet a megtalálni azt, hogy hogyan és mikor lépett be az illető. Lehet több kapu is az oldalon. Ha az egyiket nem vesszük észre a vírusmentesítés során, akkor ott később újra be tud törni az illető.
A legfontosabb, hogy legyen WordPress védelem kialakítva a honlapodon tűzfallal, ha nincs szerveroldali védelem. Erre vannak security pluginok, mint például a WordFence vagy All-In-One Security plugin.
A WordFence-szel lehet scannelni is a honlapot. De! Ezek mintát keresnek és nem biztos, hogy megtalálják az egyéb elemeket. Emellett arra is láttuk példát, nem egy vírust (csak bonyolultan megírt) plugint is vírusosnak jelzett. Ehhez már kell WordPress programozói tudás.
A másik fontos dolog, hogy mindig legyen minden update a honlapodon. Nemcsak a WordPress magot, hanem a pluginokat és grafikai sablont is le kell frissíteni. Ha pedig elavult egy plugin, mert nem frissült 1-2 éve, illetve lekerült a wordpress.org listáról, akkor érdemes lecserélni frissebb verzióra.
Az sem mellékes, hogy hol hosztolsz. Vannak olyan, például felhő alapú Google által működtetett hatékony tárhelyek, amik eleve magas biztonsági szinttel rendelkeznek. És lehet balszerencséd olyan tárhelyszolgáltatóval, ahol osztott szerveren, más honlapokkal osztozva, egy szerveren van a honlapod és ha azt feltörik, akkor át tudnak jutni a te honlapodra is. Ez esetben elég, ha a szomszédod nem elég körültekintő.
Sőt, arra is lehet példa, hogy spam-elésbe kezd és emiatt letiltásra kerül a teljes szerver. Emiatt erre is figyelni kell és megfelelő tárhelyet érdemes választani. Ráadásul más szempontok is bejátszhatnak, ha túl olcsó tárhelyszolgáltatót választunk, aki a minőség rovására tudja fenntartani az alacsony árat. Például lassú lehet az oldalunk betöltődési ideje.
És akkor még nem beszéltünk a szerver php verziójáról, ami sokszor nem kerül frissítésre. De honnan tudja ezt egy laikus weblaptulajdonos? Emiatt azonban a különféle pluginok idővel nem fognak megfelelően működni, ami természetesen a WordPress rendszerre és a grafikai sablonunkra is igaz lesz. Vannak olyan tárhely szolgáltatók, akik ránk bízzák ezeknek a beállítását, például úgynevezett cPanel programon keresztül, ami egy webkiszolgáló vezérlő felület a tárhelyünkön.
Nagyon fontos, hogy csak jogtiszta dolgokat használj. Példának okáért, ha egy pluginra van szükséged, ami fizetős, vagy grafikai sablont szeretnél használni, akkor csak ebben gondolkodj. Bár manapság már nem is nagyon lehet ezeket kikerülni, mert korlátozva vannak és például nem fog működni a frissítés, ha nem veszed meg őket. Ezeknek lehet egyszeri vagy rendszeres ára.
A weblap elemeinek felhasználása előtt azok forrását is ellenőrizni kell. Fontos, hogy kompatibilis legyen a te általad használt WordPress verzióval és rendszeres legyen a frissítés. Sajnos ez sem feltétlen garancia, mert bármikor abbahagyhatja az illető vagy cég a WordPress plugin fejlesztését és a supporttal is lehet probléma.
A WordPress védelem része az is, hogy folyamatosan készíts teljes WordPress biztonsági mentést a honlapodról, főleg nagyobb átalakítás után. Ezt bármikor vissza tudod tölteni, akár vírusfertőzés alkalmával. Persze elképzelhető, hogy az is meg lett már fertőzve, de ha szerencséd van, akkor nem biztos.
Sokszor egy-egy kaput helyeznek el a honlapon és később fertőzik azt meg. Emellett nagyon fontos az is, hogy nem elég a tiszta, vírusmentes honlap tartalmat visszatöltened. Azonnal ki kell alakítani a biztonságot, különben hónapokon belül ugyanúgy meg lesz fertőzve, ahogyan korábban is megfertőzték.
A back up-nak nem csak inkrementális mentésnek kell lennie (csak a változtatásokat menti el), hanem a teljes honlapod tartalmát le kell fednie.
Ezt megfelelően kell elvégezni, mert találkoztunk már olyan esettel, hogy visszatöltésnél derült ki, hogy egy fontos file sérült, így nem sikerült az ügyfélnek visszatöltenie a weblapja teljes tartalmát. Ez természetesen ilyenkor derül ki és nem feltétlen akkor, mikor az ügyfél lementi magának a honlapot, abban a tudatban, hogy minden rendben van rajta.
A WordPress biztonsági tippek közé tartozik az is, hogy a jelszavakat ne add ki akárkinek, illetve rendszeresen változtasd meg. Használhatsz egy teszt felhasználót erre a célra, amit a munka elvégzése után meg tudsz változtatni, miután a WordPress fejlesztés végetért. Mindenkinek adj ki külön felhasználónévvel jelszót, így az függetleníthető.
Ha akarod azt is beállíthatod, hogy konkrétan mikor, mit csinált az oldaladon. Bár WordPress fejlesztők nem szoktak visszaélni az adatokkal, de nem árt az óvatosság. Ügyelj arra is, hogy megfelelő szerepkört adj ki, például nem mindegy, hogy csak betekintési vagy admin jogosultsága van az illetőnek. Ha webshopod van, akkor hívd fel az ügyfelek figyelmét arra, hogy csak erős jelszavakat használjanak. De beállíthatsz olyan funkciót is, ami nem is enged gyenge jelszóval regisztrálni a webshopodban.
És az nem kérdés, hogy sohasem szabad gyenge jelszavakat használnod és az alapértelmezett admin felhasználó névnek is ints búcsút. Érdemes két faktoros hitelesítést alkalmazni belépéskor. Például sms-ben kérni egy további jelszót az admin belépéskor.
Lehet, hogy kicsit kényelmetlenebb a dolog, de megéri ebben gondolkodni, mint megvárni, amíg feltörik a honlapunkat. Jelszó generátorral is kreaálhatsz jelszót magadnak.
A biztonsági plugin számtalan lehetőséget felajánl a biztonság érdekében. Elrejti például a bejelentkezési URL-t. Emellett időhöz és konkrét számhoz kötheted a belépési próbálkozás számát. Így például óránként csak 3 lehetőség áll rendelkezésre a jelszó megadására. Azt sem árt beállítani, a teljesség igénye nélkül, hogy egy bizonyos idő után automatikusan kiléptessen a rendszer.
Ugyanis, ha sikerült belépnie a fekete kalapos hackernek, akkor folyamatosan bejelentkezve maradhat, függetlenül attól, hogy valamit módosítunk a honlapon.
A titkos kulcsokat is érdemes megadni, cserélni, mely szintén újabb lehetőséget ad arra, hogy nehezebben lehessen feltörni a WordPress honlapodat. Számtalan más beállítási praktika van, mely fontos lehet még a security plugin beállítása kapcsán, de mindegyik más lehetőséget, opciót rejt magában. A fizetős biztonsági pluginok pedig általában drágák, akár a többszöröse is lehet a tárhelyszolgáltatás árának. Ettől függetlenül szükség lehet rájuk.
Ha nyilvános gépen lépsz be, ami meg lett fertőzve, akkor máris ellopták az adatidat. Ha pedig nincs megfertőzve a számítógép, de elmented a böngészőbe az adatokat, akkor szintén kinyerhetőek. Éppen ezért jobb, csak a saját eszközökön lépsz be, gyanús eszközöket elkerülöd és nem mented el a jelszavakat sem a böngészőben.
Természetesen a WordPress védelem része, hogy nyilvános fórumokon nem adod ki ezeket az adatokat. Emellett a te géped is legyen jogtiszta szoftvereket használó, megfelelő vírusírtóval ellátott masina.
Felesleges tartalmakat ne őrizzünk a tárhelyen, amik nincsenek használatban. Ide tartozik a grafikai sablon is, ami WordPress telepítésnél automatikusan felkerül.
Ha ezt az ingyenes verziót nem használjuk, akkor töröljük le minél hamarabb. Tetézi a problémát, ha ennek a frissítése kimarad amiatt, hogy nincs is használatban. Egy megírt bot folyamatosan a biztonsági réseket keresi és így előbb utóbb meg is találhatja azokat.
A wp-config file-ba különféle kódokat sem árt elhelyezni, hogy levédjük a honlapunkat. A biztonsági pluginok automatikusan is beleteszik a különféle kódokat ebbe vagy más file-okba, levédik a mappákat stb., hogy nehezebben lehessen hozzáférni és átírni benne a tartalmakat. Emellett a WordPress verzió számát is el szokták rejteni.
De óvatosan állítsunk be különféle dolgokat a WordPress védelem jegyében, mert ezzel például a grafikai sablon vagy bővítmények működését is szabotálhatjuk. Arra is volt példa, hogy emiatt nem tudtak belépni a supporton keresztül, hogy segítsenek a honlap tulajdonosának.
Mi a legjobb megoldás, ha nem értek hozzá és nem akarok kísérletezni?
Mindenkinek mást jelent a legjobb megoldás. Ha azonban komolyak a szándékaid és például pénzt is keresel weblapoddal, webshopoddal, akkor érdemes WordPress szakemberre bíznod a honlapodat.
Egy szintig ugyanis egyszerű lehet a WordPress biztonsági tippek alapján a védelmet kialakítani, de azért nem árt a programozói tudás hozzá, főleg komplikáltabb esetekben, ami egy külön szakma.
Ha ezt nem akarod megtanulni, akkor fókuszálj inkább arra, amihez értesz és ne engedd, hogy elvigye az idődet, energiádat és pénzedet az, hogy nem működik megfelelően a WordPress honlapod és szép lassan lelépnek az ügyfelek. Nem érdemes stresszelni. Ahogyan hozzáértés nélkül az autónkat sem kezdjük el bütykölgetni…
Honnan tudom, hogy feltörték a WordPress weblapomat?
Nem feltétlen könnyű ezt megállapítani. De vannak gyanús jelek. Ha például URL-ek maguktól átirányítódnak az nem jó jel. Az is megeshet, hogy nem tudsz belépni az admin felületre. Megjelenhet rajta nem általad publikált tartalom, akár idegen nyelvű változatban. Ez természetesen linkekre is vonatkozik.
Emellett az oldal jelentős belassulása is utalhat arra, hogy feltörték a honlapot. Sőt, az sem jó, ha a leveleink, amiket másoknak küldünk spam mappába kerül. Nézd a meg a weblapodat inkognitó módban, mert más bejelentkezve fürkészni a különféle tartalmat rajta.
Emellett a Search Console-ban is látható, ha gond van és vannak külső, online scannelő honlapok, bár azok nem minden esetben jelzik ki, ha vírusos lett a honlapod. Arra is lehet példa, hogy a Google konkrétan kiírja, hogy a honlapod nem biztonságos és nem ajánlja, hogy bárki meglátogassa vagy a találatoknál eltérő nyelvű indexelt oldalakat jelenít meg.
Megmenthető a feltört, vírusos WordPress oldal?
Ha a WordPress biztonság nem volt megfelelően kialakítva, akkor vírus telepedhet meg a honlapunkon. Minden eset más, de gyakorlatilag a honlap nagy részét újra kell telepíteni vírusfertőzés esetén és ilyenkor sincs 100%-os garancia, mert ahogy fent írtuk, maradhat egy kapu a honlapon, amit nem vettünk észre és így később újra be tud lépni a fekete kalapos hacker az oldalunkra.
Ha régóta fennáll a probléma, akkor SEO szempontból is presztízsveszteséget szenvedhetünk el. Ugyanis a Google nem szereti a megbízhatatlan oldalakra felengedni a user-eket, így egyes esetekben az új honlap elkészítése is indokolt lehet. Függetlenül attól, hogy vírusmentesíthető a weblap. Emiatt sok év munkáját teheti tönkre az, ha nem követjük a WordPress biztonsági tippeket.
Összefoglalás
Ha biztosra akarsz menni, akkor bízd WordPress fejlesztőre a dolgot. Főleg akkor érdemes ebben gondolkodnod, ha weboldalad pénzt termel és nincs időd megtanulni, folyamatosan képben lenni a WordPress védelem kapcsán, mely programozási ismereteket is igényelhet egyes esetekben.
Ettől függetlenül fontos, hogy az alapokkal, amiket fent leírtunk tisztában légy. Ugyanis hiába van erős védelemmel ellátott szerver, ha könnyen kitalálható, egyszerű jelszavakat használsz, vagy biztonsági kockázatokat jelentő eszközökön jelentkezel be. Emellett a rendszeres karbantartás nélkül is előbb utóbb feltörik a honlapodat.