Így legyen biztonságos a weboldalad!

2016. október 27. 06:54 - Chasetherabbit

Hogyan tehetem biztonságosabbá a Wordpress weboldalamat?

 

Cikkünkben olyan módszerekkel ismerkedhettek meg, amelyek segítségével meg tudjátok védeni Wordpress oldalatokat a támadásoktól. Miért fontos ez? Melyek azok a tippek, trükkök, amelyeket átlag felhasználóként is tudtok hasznosítani? Hamarosan mindenre választ kaptok!

how-to-secure-wordpress-sites-from-brute-force-attacks.jpg

Wordpress.

A Wordpress egy nyílt forráskódú CMS rendszer. Ebből adódóan különösen oda kell figyelnünk rá, hogy megfelelően védett legyen. Sajnos a pluginek nem nyújtanak minden esetben tökéletes megoldást, hiszen számos biztonsági rést ( exploit ) hagynak maguk után. Később ezeket a biztonsági réseket kihasználva bejuthatnak a kártékony programok a rendszerbe. Annak ellenére, hogy a nyílt forráskódú rendszerekre sokan panaszkodnak biztonságtechnikai szempontból, van lehetőség rá, hogy védetté tegyük őket.

1. Használj egyedi felhasználónevet és jelszót a bejelentkezési felületre.

Sajnos a mai napig nagyon sokan követik el azt a hibát, hogy túl egyszerű és könnyen kitalálható felhasználónevet és jelszót használnak. Szinte ömlik az online médiából a rengeteg hír, különböző weboldal feltörésekről és több helyről figyelmeztetnek is minket, hogy törekedjünk a bonyolult jelszavakra. Ennek ellenére a mai napig találkozhatunk „admin” „admin” felhasználónévvel és jelszóval... Miért veszélyes ez? A kémprogramok és botok könnyedén kitalálják és bejutnak az oldalunk mögött lévő admin felületre. Céljuk, hogy megkaparintsák az ügyféllistánkat és különböző reklámokat helyezzenek el az oldalon. Törekedjünk rá, hogy minél nehezebb bejelentkezési adatokat használjunk.

wp_admin.jpg2. Használjunk két lépcsős azonosítást!

A két lépcsős azonosítás ( Two-factor authentication ) lényege, hogy a jelszó mellet, egy másik jelszót is be kell ütnie a felhasználónak a bejelentkezéshez. Ezzel is megnehezítve a botok számára a bejutást wordpress weboldalunkra. Az alábbi linken található útmutatónk segítségével könnyedén meg tudjátok csinálni magatoknak is.

two-factor-authentication.png3. Azonosítsuk, hogy a felhasználónk valós személy!

Az interneten vadászó botokkal kapcsolatos szintén ez az intézkedés. A bot, nem tesz különbséget a wordpress admin felület és a többi beviteli mező között. ( némely fejlettebb példány igen, de alapvetően minden beviteli mezőn keresztül megpróbálhatnak bejutni a weboldalunkra. ) Miről is van szó? Például egy kapcsolati form-ról, amelyre még nem helyeztünk ún. Captchát. Alapvetően, a captcha lényege, hogy azonosítsa, hogy valós személy próbál-e egy adott információt elküldeni a kapcsolati formunk-on keresztül. Olyan kérdéseket tesz fel, amelyekre egy közönséges bot nem tudná a választ. Biztosan több helyen is találkoztatok vele és nem minden esetben volt szimpatikus. Most elmondjuk miért is hasznos jószág, még akkor is, ha néha átlagos felhasználóként felesleges időpocsékolásnak tűnik.   A botok megpróbálják a betiveli mezőt használni, de nem tudnak válaszolni a captcha kérdéseire, tehát nem fogja leterhelni a weboldalatokat. Képzeljétek el, milyen terhelést okoz, amikor 100 vagy 1000 bot próbál egyszerre kapcsolódni egy űrlapon keresztül. Az alábbi linken le tudjátok tölteni a Google captchát és útmutatást is találhattok a használatához.

google-recaptcha.jpg4. A Wordpress admin felület védelme.

A Wordpress weboldalad backend részéhez tartozó bejelentkezési felületre akarnak elsősorban bejutni a kártékony botok. Ebből kifolyólag érdemes egy többszörös védelmi vonallal megerősítenünk. Természetesen, ezzel kapcsolatosan is nyújtunk egy átfogó útmutatást nektek, hogy meg tudjátok egyedül is csinálni.

how-to-secure-wordpress-sites-from-brute-force-attacks.jpg5. Mindig a Wordpress legfrisebb verzióját használd!

Tekints úgy a Wordpress keretrendszerre, mint egy vírus írtó-ra.Rendszeres frissítést igényel, hiszen újabbnál újabb fenyegetések tűnnek fel a piacon! Folyamatosan fejlődik és népszerűsége miatt rendszeres támadásoknak van kitéve, ezáltal konstans frissítést is igényel a felület. Pontosan a népszerűségéből adódóan rendszeresen újabb és újabb megoldásokkal próbálják meg feltörni. Ezekre a biztonsági „lyukakra” nyilvánvalóan a frissítéssel együtt jön ki a javítás, ezért fokozottan ügyelj rá, hogy a weboldalad up-to-date legyen!

update-tae40116.jpeg6. Válaszd ki bölcsen a különböző plugineket!

A pluginek, azaz a különböző bővítmények a weboldaladhoz. Néhány esetben sok biztonsági rést tudnak generálni a védelmi rendszereden, ezért néhány szempontot mindenképpen tarts szem előtt a kiválasztásuknál. Nagyon fontos, hogy mikor adtak ki biztonsági frissítést utoljára, az adott pluginhez. Azoknál a bővítményeknél, amelyekhez nincs rendszeres frissítés nagyobb valószínűséggel keletkezhet biztonsági „lyuk”, amelyet később a botok ki is használnak.

wordpress-plugins1.jpg7. Szerver oldali védelem

 

Amennyiben a tárhely szolgáltatód nem teszi lehetővé, illetve nem alapértelmezettek az alábbi tételek, nem árt odafigyelni az alábbiakra:

  • Használj weboldal ellenőrző szolgáltatást, hogy tudatában legyél a hibának, már a keletkezése pillanatában is!
  • Mindig használj erős felhasználónevet és jelszót az adatbázishoz!
  • Ne engedélyezd a szerver oldali fájlszerkesztést a  Wordpress oldaladban úgy, hogy hozzáadod az alábbi sort a „wp-config.php” fájlhoz: define('DISALLOW_FILE_EDIT', true);

web-server.jpg

 

Láthatjátok, hogy igenis kell energiát fektetni a weboldalatok védelmére, mindenképpen javasoljuk. Gondoljatok bele mennyi kellemetlenséget okozhat egy túlterhelt vagy leállt weboldal, különösen, ha megelőzhettétek volna a bajt. Érdemes elgondolkodni továbbá a  Wordfence és a Bulletproofsecurity plugineken, hasznos segítségként szolgálhatnak a botok elleni küzdelemben.

 

Köszönjük, hogy elolvastad!

Tetszett a cikk? Lájkolj minket Facebookon!

Rólunk

Ízelítő korábbi bejegyzéseinkből:

7 IOS applikáció, amely gazdaggá tette feltalálóját.

Mi fán terem a kulcsszó?

A tökéletes főoldal titka

8 kiváló tipp, amivel felturbózhatod a weboldaladat!

Seo és minden, ami mögötte van...

Miért kell egy vagyont fizetnem a weboldalamért?

 

Szólj hozzá!

A bejegyzés trackback címe:

https://crazyit.blog.hu/api/trackback/id/tr7711717107

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.