WordPress biztonság: így óvhatjuk weboldalunkat a támadóktól

A WordPress oldalakkal kapcsolatban több területet is érintettünk mostanság, így például megmutattuk, miként lehet gyorsabb WordPress weboldalunk, hogyan érdemes nekifogni az SSL átállásnak, vagy éppen milyen módszerekkel lehet csökkenteni a képek fájlméretét utólag a szerveren. A WordPress biztonság szempontjából sem lebecsülendő weboldal motor, azonban ahhoz, hogy honlapunk tényleg biztonságosan üzemelhessen, szükség lesz egy erre a célra készített plug-inre is. Íme az egyik legjobb – ingyenes – WordPress tűzfal.

 

WordPress biztonság: ingyen, de hatékonyan

Ha WordPress oldalak biztonságossá tételéről van szó, akkor a kedvenc ingyenes kiegészítőnk kétség kívül az All In One WP Security & Firewall, amely a maga nemében zseniálisan kivitelezett biztonsági megoldás WP site-okhoz. Kezdjük ott, hogy – minimális angol tudás birtokában – a beüzemelése rendkívül egyszerű. A modul pontrendszerrel segíti oldalunk biztonságának átláthatóságát. A rengeteg opció közül a bekapcsoltak a fontosságuknak megfelelő mennyiségű ponttal járulnak hozzá az összpontszámhoz.

Ha legalább az összesen elérhető pontok (500) fele megvan, akkor már jó esélyünk van, hogy oldalunk védett lesz a spamek, brute force támadások és egyéb hacker próbálkozások ellen. Tökéletes védelem persze nem létezik, de az All In One WP Security & Firewall mindent tartalmaz, amit ezen a téren megpróbálhatunk:

  • admin nevek ellenőrzése
  • jelszóellenőrző
  • tűzfal funkciók
  • brute force támadások megakadályozása
  • spam üzenetek megakadályozása
  • bejelentkezési és regisztrációs űrlapok védelme
  • Cross Site Scripting (XSS) védelem

Természetesen a teljes pontszámot kevesen tudják majd elérni, aminek egyszerűen az az oka, hogy vannak védelmi megoldások, amelyek az adott oldalon nem szükségesek (pl. WooCommerce védelem, ha nincs is telepítve az adott kiegészítő), vagy a szerver, az aktív sablon, esetleg a posztok feltöltéséhez használt külső alkalmazások (pl. az Ulysses vagy a WordPress iOS appja is alkalmas erre) nem támogatják az adott megoldások egy részét.

Ilyenkor az adott funkciót értelemszerűen nem kapcsoljuk be, de 200 pont fölött a lényeg már szinte biztosan bekapcsolt állapotban lesz az oldalon, például:

  • admin nevek nem egyeznek a látható becenévvel és a jelszavuk is erős
  • nincs egyszerű admin felhasználónévvel regisztrált felhasználó (az admin felhasználó nevének utólagos módosítása is megoldható a plug-in segítségével)
  • login oldal átirányítva egyedi linkre
  • alap tűzfal funkciók bekapcsolva
  • megadott számú sikertelen bejelentkezés esetén az adott IP cím átmeneti blokkolása
  • captcha a belépési és regisztrációs űrlapoknál
  • adatbázis prefix értékének megváltoztatása az alapértelmezett wp_ értékről
  • fájlváltozások nyomonkövetése

Ezeknél jóval többre képes a plug-in, de a fentieket mindenképpen érdemes bekapcsolni, ha mást esetleg nem is akarunk megtenni a biztonságunkért.

 

WordPress tűzfal: körültekintően alkalmazzuk

Az All In One WP Security & Firewall ugyan sokszor megoldja más módon a biztonsági beállításokat, azonban számtalan esetben kell hozzányúlni a szerveren tárolt .htaccess fájlhoz (IP kitiltások, login átirányítás stb.). Márpedig a .htaccess kényes pont, ha ott valamit sikerül elszúrni, akkor simán kitilthatjuk saját magunkat is az oldalról, vagy teljesen működésképtelenné tehetjük azt. Szerencsére a készítők gondoltak erre is, így közvetlenül az admin felületről készíthetünk biztonsági másolatot a .htaccess és a wp-config.php állományokról, amelyeket azután egy FTP programmal könnyen visszaállíthatunk, ha valami balul sülne el. A plug-in minden funkciójához igen részletes leírásokat kapunk, kezdve azzal, hogy pontosan milyen támadás ellen véd az adott opció, egészen addig, hogy elmagyarázzák milyen következményekkel járhat a funkció bekapcsolása (pl. ha a szerver “rosszul reagál” egy adott funkcióra). Szóval ezeket mindig olvassuk el (angolul) és bármilyen nagyobb változás előtt mentsük a .htaccess és wp-config.php fájlok aktuális változatát. Csak ezután kapcsoljuk be a kívánt opciókat.

A WordPress másik kényes pontja a MySQL adatbázis, amelyet legjobb a phpMyAdmin felületről exportálni a módosítások előtt, de a plug-in ezzel kapcsolatban is lehetővé teszi a gyors és egyszerű backupot a WP admin felületéről. Mondjuk az adatbázisról amúgy sem árt folyamatos mentéseket készíteni, ha más nem, a korábban bemutatott backup plug-in segítségével. Ezt már csak azért is érdemes bizonyos időközönként megtenni, mert bármikor történhet technikai baki egy szerverrel, weboldallal, nem beszélve arról, hogy bár ezzel sokan nincsenek tisztában, a weboldalak szinte állandó támadásnak vannak kitéve. Különösen igaz ez a Drupal, Joomla, vagy éppen a WordPress alapú honlapokra, hiszen ezeket sokszor házilag barkácsolják össze lelkes amatőrök, olykor triviális biztonsági réseket hagyva rajtuk (alap példa a gyenge jelszó az admin felhasználónak és a frissítések kihagyása) a felépítésük pedig kellően ismert már ahhoz, hogy egy kezdő hacker is próbálkozhasson mondjuk brute force támadásokkal. Szóval ne adjuk olcsón nekik weboldalunk adatait és erőforrásaikat. Aki attól fél, hogy például egy rendes, biztonságos jelszót nem képes megjegyezni, annak javasoljuk valamelyik jelszómenedzser alkalmazás használatát.

Belépések és esetleges támadások esetén a plug-in egyébként részletes naplózást készít, amelyet végignézhetünk az admin felületen is, de több funkció esetében kérhetünk azonnali e-mail értesítést (például ha a rendszer blokkolt egy adott IP címet, mert többszöri sikertelen belépési kísérlet érkezett onnan). Ilyenkor a blokkolt címek sorsáról automatikusan is dönthet a rendszer (pl. adott idő után feloldja a blokkolást), de mi is megtehetjük ugyanezt manuálisan, ha csak valamelyik kolléga volt szerencsétlen a reggeli kávézás közbeni belépés során. Ugyanígy készíthetünk “fehér” vagy “fekete” listákat is, a minden körülmények között engedélyezendő, vagy folyamatosan letiltandó IP címekről, felhasználókról.

 

Amit még meg kell tennünk

A fenti plug-in tényleg zseniális maga nemében, de nem feltétlenül mindenható. Bár a tökéletes védelem szinte csak álom lehet, de ha elkezdjük használni az oldalon az All In One WP Security & Firewall, s emellett folyamatosan frissítjük a WordPress-t, illetve a plug-ineket és sablonokat, azzal kellően megnehezíthetjük a kiberbűnözők dolgát. Ha bármilyen fontos adatbázist őrzünk az oldalon (webshop vásárlók, regisztrációhoz kötött szolgáltatások előfizetőinek adatai stb.), akkor pedig kutya kötelességünk, hogy ezt a minimumot (és egy SSL tanúsítvány beüzemelését) mielőbb meglépjük.

Ez is érdekelheti