Mennyire biztonságos a WordPress?
Olvasási idő: 5 perc
A WordPress-re épülő weboldalaknak kétségkívül rendkívül sok előnye van, de kár lenne tagadni a hátrányait: a biztonságra kiemelten figyelni kell, hogy ha WordPress oldalt választunk. Jöjjön néhány tipp, amivel növelheted a WordPress oldalad biztonságát.
WordPress és a biztonság
A WordPress biztonság szempontjából rejt magában némi kockázatot. Ám, mielőtt még rátérnék arra, hogy a WordPress mennyire biztonságos, nézzük meg, hogy egyáltalán miért kerültek ennyire célkeresztbe a WordPress-re épülő oldalak.
A W3Techs kimutatása szerint az adminisztrációs felülettel rendelkező oldalak több, mint 60%-a WordPress-re épül.
A WordPress nem véletlenül lett a legelterjedtebb tartalomkezelő rendszer: rugalmasan és jó minőségben lehet vele céges weboldalakat, landing oldalakat készíteni, ám a rendszer népszerűsége a hackerek, crackerek figyelmét is felkeltette.
Az internetes alvilág is felfedezte magának a WordPress-t: a nagy számok törvénye alapján megéri időt és erőforrást áldozniuk arra, hogy mások weboldalait feltörjék. Az utóbbi években rengeteg automatizált, robotok által működtetett támadást intéznek a WordPress-weboldalak ellen.
A rosszakarók is ismerik belülről
Mivel a WordPress egy nyílt forráskódú rendszer – tehát bárki, szabadon megismerheti a felépítését –, ezért a rendszert nem csak a honlapkészítők ismerik, hanem azok is, akiknek hátsó szándékaik vannak.
A rosszindulatú támadók folyamatosan tesztelik, keresik a WordPress és a beépülő bővítmények gyenge pontjait, hogy aztán nagy számban tudják átvenni az oldalak feletti irányítást.
Weboldal biztonság – néhány tipp a megelőzéshez
Ha weboldal indítása előtt állsz, akkor valószínűleg a Te fókuszod is inkább a grafikai megjelenésen, a szövegen, a landing oldalad ajánlatán van. A biztonsági szempontok ilyenkor egy kicsit elhalványulnak. Ez teljesen oké, hiszen ügyfélszerzésre fogod használni az oldalt.
De mit tennél, ha egyik napról a másikra kiderülne, hogy feltörték az oldaladat, és nem férsz hozzá? Vagy ami még rosszabb: be sem tölt?
Futnak a hirdetéseid, jönnek a látogatók a keresőből, és nem találnak ott semmit… Nem elég, hogy megáll a vevőszerző folyamatod, ez presztízsveszteséggel jár, és még a helyreállítás, vírusirtás díját is ki kell fizetned…
Összeszedtem néhány javaslatot, amelyet érdemes követni, hogy elkerüljük a fentiekhez hasonló incidenseket:
1. Biztonságos tárhely választás
A biztonság nem csak a WordPress-en múlik, hanem azon is, hogy a tárhelyszolgáltatónak, amelyen a weboldal elhelyezésre kerül, milyen a biztonsági védelme.
Ahogy egy számítógépnél javasolt vírusirtót és tűzfalat használni, ugyanúgy egy tárhelynél is szükséges tűzfalat üzemeltetni, amely a betolakodókat igyekszik kiszűrni.
Javasolt olyan szolgáltatót választani, amelyik erős védelmi rendszerrel rendelkezik, és biztosítja, hogy a honlap fájljaihoz csak az férjen hozzá, aki előzetesen aktiválta magát az ügyfélkapun.
Ez az első védőháló.
A tárhely kiválasztáskor érdemes azt is szem előtt tartani, hogy olyan szolgáltatót válasszunk, ahol minden nap készítenek biztonsági mentést az oldal aktuális állapotáról, és ez elérhető több hétre visszamenőleg is.
Ezt úgy képzeld el, mintha egy időkapszula lenne: ha bármi probléma adódna az oldallal, akkor is van egy pár nappal, héttel korábbi, működő változatunk az oldaladról.
Ezt a korábbi, működő változatot vissza lehet állítani.
Sajnos, vannak olyan olcsóbb szolgáltatók, ahol erre nincs lehetőség. A digitális világban általában azért olcsóbb valamilyen szolgáltatás, mert valami kimarad – a biztonsági mentés lehetőségének hiánya, vagy a tárhelyes védelem gyengeségei tipikusan ilyen tételek.
Az egyik irányelvem, hogy amit ésszerű keretek között meg lehet tenni egy oldal biztonsága érdekében, azt tegyük is meg. Még egy kisebb, most induló céges weboldal esetében is rengeteget javíthatunk az oldal biztonságán, ha tudatosan, megfelelő tárhelyet választunk.
2. Rendszeres karbantartás
A WordPress-hez, és a bővítményekhez is kiadnak időnként frissítéseket, amelyek a biztonsági réseket kijavítják.
Javasolt rendszeres időközönként frissíteni minden modult és magát a WordPress-motort is, hiszen így lesz naprakész oldalunk.
Ennek van egy másik előnye is: a frissítések után ismét vadonatújnak számít az oldalad. Olyan, mintha aznap készült volna el.
3. Biztonsági modul
Érdemes az oldalt felszerelni biztonsági modullal, amely a robot támadások nagy részét képes kiszűrni. A tömeges belépési kísérleteket így megakadályozhatjuk, és az ilyen próbálkozókat ki tudjuk tiltani az oldalról.
Ez is a tömeges támadások egyik hatékony, megelőzési formája.
4. Kétfaktoros azonosítás
Egy weboldalt biztonságosabbá tehetünk azzal is, ha kétfaktoros (2FA) azonosítást alkalmazunk. Ez azt jelenti, hogy az adminisztrációs felületre csak akkor tudnak belépni az adminisztrátorok, hogy ha a név és jelszó megadása után még egy e-mailben kiküldött, legenerált biztonsági kóddal is megerősítik a belépési szándékukat.
Ez némi kényelmetlenséggel jár, de ha valaki kitalálja, megszerzi a jelszavadat, akkor csak úgy tud majd belépni az oldaladra, ha az e-mailjeidet is látja.
5. Megfelelő tárhelybeállítások
Vannak olyan tárhelyes beállítások, amelyekkel növelhetjük a honlap biztonsági állapotát.
A weboldal futásához szükséges php-verziót javasolt frissen tartani, de ugyanígy érdemes tiltani a könyvtárak listázását is.
Tiltani kell azt is, hogy az oldalon kívülállók számára is megjelenjenek a hibaüzenetek, ezek ugyanis hasznos segítséget nyújthatnak a hackerek számára.
6. Admin belépés biztonságos helyről:
Gyakran nem is a WordPress gyengeségeit kihasználva jutnak be az oldalra a betolakodók.
Fontos, hogy nyilvános wifi-ről ne lépj be a weboldalad adminjába, e-mail fiókodba. Az ingyenes wifi-kre csatlakozva könnyen előfordulhat, hogy az érzékeny adatokhoz hozzáférhetnek olyanok, akik a wifi-hálózaton átmenő adatokhoz titkosítatlanul hozzáférnek, így pedig ellophatják a jelszavadat.
Ha teheted, a laptopod, számítógéped is legyen mindig naprakész vírusvédelemmel ellátva.
Így csökkenthető annak az esélye, hogy egy vírusos programon keresztül lopják el a hozzáféréseket.
7. Bonyolult jelszavak
Elővigyázatosságból javasolt bonyolult jelszavakat használni a weboldal belépésénél is.
A támadók egyik módszere, hogy a legegyszerűbb, legtöbbször használt jelszavakat próbálgatják végig. Pl. 12345, qwertz, asdfgh stb.
Ha esetleg ezek közül az egyik a Te jelszavad, akkor sürgősen változtasd meg. 🙂
8. Más fiók, más jelszó
Mindenképpen kerülni kell azt, hogy egy jelszót több helyen is használjunk (pl. e-mail fióknál, netbanknál, Facebookon stb.)
Előfordulhat ugyanis az, hogy egy másik rendszert feltörnek, illetéktelenek hozzáférnek a jelszavakhoz, és aztán azzal tömegesen megpróbálnak bejutni más weboldalakon is.
Van egy weboldal, amelyen ellenőrizheted, hogy a Te jelszavadat is ellopták-e már, valamelyik feltört rendszerből.
Ehhez írd be az e-mail címedet, ezután olvashatod, hogy érintett vagy-e.
Ha igen, azonnal változtasd meg a jelszavaidat!
A feltörhetetlenség mítosza
Feltörhetetlen, tökéletesen zárt webes rendszer nem létezik.
2018-ban pl. a NASA belső rendszerét is meghackelték, pedig a világ egyik legjobb biztonsági szakértői dolgoznak az informatikai biztonságukon.
A WordPress sem feltörhetetlen.
Ugyanakkor, a megelőzéssel, rendszeres karbantartással sokat tehetünk azért, hogy weboldalunk a tömeges támadások ellen jól állja a sarat.
Azért is érdemes inkább a megelőzésben gondolkodni, mert egy feltört, fertőző oldalt megtisztítani sokkal időigényesebb és drágább, mint a fenti, megelőző óvintézkedéseket megtenni.
Mészáros Barna
A szerzőről
2007 óta készítek weboldalakat, céges blogokat és landing oldalakat. Szabadúszóként segítem a magyar kis- és középvállalkozásokat.
Ügyfeleim között találsz egyszemélyes vállalkozót, néhány fős kis céget, milliárdos árbevételű magyar vállalatot, és több olyan szakértőt, akiket rendszeresen láthatsz a tévében.
Olyanokkal szeretek együtt dolgozni, akik korrektek, szeretik azt, amit csinálnak, és etikusan, másokat segítve dolgoznak.
Azért dolgozom, hogy gyors, könnyen kezelhető, ügyfélszerző weboldalad legyen.
