Mindenre kiterjedő tűzfal WordPress oldalakhoz, malware védelemmel kiegészítve

Meglepően sokan gondolják úgy, hogy egy WordPress oldal készítése véget ér, miután a kiválasztott sablonnal felépítik az aloldalakat és beüzemelik a blogot vagy akár a webshopot. Valamilyen oknál fogva két fontos lépésről sokan elfeledkeznek: az egyik az oldal letöltési sebességének optimalizálása valamelyik cache plug-in és képoptimalizáló segítségével, a másik pedig a megfelelő WordPress tűzfal beüzemelése, hogy a felhasználók adatai és maga az oldal is biztonságban legyen. Az előbbivel kapcsolatban mutattunk már számtalan megoldást, s anno bemutattunk egy tűzfal kiegészítőt is WordPresshez. Ma is ez utóbbi témakörben szeretnénk hatékony megoldással szolgálni: íme egy mindenre kiterjedő tűzfal WordPress oldalakhoz, akár real-time malware védelemmel és számos extrával kiegészítve.

Ugyan, minek nekem WordPress tűzfal?

Sokan talán nem is gondolják, hogy egy, akár hobbiból összedobott blog, weboldal is szinte azonnali támadásoknak van kitéve az interneten (nem is kis mértékben, erről érdemes elolvasni az alábbi – angol nyelvű – jelentést). Elég, ha a domain címünk bejegyzésre kerül, máris a kiberbűnözők látóterébe kerülünk, mint lehetséges célpont. Ha pedig a domain alá bekerül valamilyen tartalom is, szinte esélytelen, hogy megússzuk a próbálkozásokat. A kiberbűnözők célja lehet a felhasználói adatok megszerzése (például egy webshop vagy egy tagsági alapon működő e-learning oldal esetében), lehet, hogy csak a meglévő oldalaink forráskódját szeretnék kiegészíteni a felhasználókra nézve kártékony kódokkal, netán integrálnának egy kriptobányász szkriptet. Vagy az is lehet, hogy abszolút nem érdekli őket maga az oldal, viszont a szerver erőforrásait szívesen a felhasználnák önös céljaikra. Pusztán ezért sem árt ha megvan a megfelelő tűzfal WordPress oldalakhoz.

Ráadásul a WordPress igen nagy százalékban adja a weben felelhető honlapok motorját, így kellően vonzó ahhoz, hogy megjelenjenek hozzá különféle hacker eszközök, vagy méretes tudásbázis épüljön a feltörési praktikákra. S bár konkurenseihez képest a WordPress alapból is egészen biztonságosnak mondható, ha nem üzemelünk be rajta semmiféle védelmi mechanizmust és nem figyelünk oda az alapvető biztonsági szabályok betartására (kellően összetett jelszavak használata, az admin felhasználónév mellőzése, a WordPress adatbázis alapértelmezett előtagjának módosítása stb.), akkor viszonylag gyorsan áldozatul eshetünk akár egy ma már hétköznapinak számító brute force próbálkozásnak is. Ha komolyan gondoljuk egy weblap, s pláne egy felhasználói adatokat tároló site, vagy webshop működtetését, akkor kötelező elem a tűzfal WordPress oldalakhoz is.

Mindenre kiterjedő tűzfal WordPress oldalakhoz, malware védelemmel kiegészítve

Ha olyan ingyenes, vagy költséghatékony megoldást keresünk, amely egyszerre lát el hagyományos tűzfal feladatokat, s ezt kiegészíti malware elleni védelemmel, illetve a biztonsági beállítások folyamatos ellenőrzését is magára vállalja, akkor a Wordfence nekünk van kitalálva. 

Wordfence egy végponti védelmet megvalósító tűzfal, amely két részből tevődik össze. Az úgynevezett Web Application Firewall (WAF) rész képes blokkolni a rosszindulatú támadásokat. Mélyen a WordPressbe épülve véd a kártékony kódokat tartalmazó kérelmektől, letiltja a brute force támadásokat stb. Utóbbit többek között a bejelentkezési procedúra szigorításával oldja meg, vagyis korlátozza a lehetséges belépési próbálkozások számát (sőt, arra is van lehetőség, hogy ha érvénytelen felhasználónévvel próbálkozik valaki, akár azonnal ki tudja tiltani adott időtartamra). Emellett van egy kifejezetten praktikus lehetősége: bekapcsolhatjuk a kétfaktoros (2FA) bejelentkezést az oldalon. Vagyis a felhasználó és jelszó pároson túl az oldal kérhet a bejelentkezéskor egy állandóan változó kódot is. Utóbbit bármely authentikációs appal (Microsoft vagy Google Authenticator stb.), illetve valamelyik modern jelszókezelővel menedzselhetjük, így akár a mobilon is ott lehet az aktuális kód, ha be akarunk lépni az oldalra. Ezt a beléptetési módot alapértelmezésben az admin felhasználóknak ajánlja fel a plug-in, de kiterjeszthető bármilyen jogosultsági körre. 

Így akár a regisztráló felhasználók is létrehozhatnak a saját fiókjukhoz 2FA védelmet. Ehhez az ilyenkor szokott módon kapnak QR kódot (vagy ha azt nem tudják leolvasni, akkor manuálisan beírható kódot), illetve egy visszaállítási kódsort is.

Cserébe viszont ennél a WP tűzfalnál le kell mondanunk a sokak által forszírozott login útvonal változtatásról. Vagyis a Wordfence jelenleg nem ad lehetőséget, hogy lecseréljük a /wp-admin linket alternatív URL-re, de ennek okát korrekt módon megindokolják ebben a videóban. Szerintük több problémát okozhat, mint amennyit biztonság szempontjából hozzátesz az oldalhoz. A 2FA bekapcsolása hatékonyabb védelem.

Önmagában a fentiek miatt is megérné feltenni a Wordfence-t egy WordPress oldalra, hiszen alapból véd a megszokott támadási formák ellen, s a kétlépcsős azonosítást is ingyen és bérmentve integrálhatjuk vele az oldalunkba. Emellett beállíthatunk tetszőleges tűzfal szabályokat is, így például manuálisan is eltilthatunk az oldal elérésétől komplett IP tartományokat, illetve a Wordfence rendelkezik folyamatosan frissülő adatbázissal az olyan IP címekről, amelyek egyértelműen támadóra utalnak, s ezeket képes alapból kitiltani az oldalról. Érdekes funkció és sok esetben hasznos lehet az országok szerinti tiltás használatának lehetősége, amely amúgy prémium funkció, vagyis az ingyenes változatban nem áll rendelkezésünkre.

Ám még ez sem minden! A Wordfence rendelkezik jelszóvédelemmel is. Ez két dolgot jelent: odafigyel, hogy a felhasználók ne használhassanak könnyen visszafejthető jelszavakat, illetve online adatbázisok alapján azonnal jelzi, ha az oldalon használt valamelyik jelszó kikerült egy nyilvános kiberbűnözői listába. Sőt, akár azt is beállíthatjuk, hogy az érintett fiókadatokkal addig ne lehessen belépni az oldalra, amíg nem cseréljük le a kompromittálódott jelszót.

Ugyancsak hasznos funkció, hogy a plug-in képes összevetni a WordPress alkotóelemek, plug-inek és sablonok kódját az eredeti változatokkal, így azonnal szól, ha ezek megváltoznak, sőt, az eredeti forrásból képes visszaállítani is a módosítatlan változatokat. Emellett ellenőrzi a sablonok, kiegészítők, illetve a WordPress verzióit, s azonnal szól ha azok elavultak, vagy újonnan napfényre került sérülékenységet tartalmaznak. Ugyanígy képes malware vizsgálatot is tartani az oldalon, így az sem kerüli el a figyelmét, ha kártékony kód került az oldalunkra. Sőt, azt is figyeli, hogy a blogbejegyzéseinkben nincs-e ismert csaló oldalakra, online kártevőkre stb. mutató link. Azt egyébként szabadon beállíthatjuk, hogy mit figyeljen a modul, illetve azt is, milyen eseményekről kérünk e-mailben értesítést. A teljes oldalellenőrzés időpontja a Premium előfizetőknek manuálisan is beállítható, így hozzáigazíthatjuk a szerver kevésbé zsúfolt időszakaihoz. Az ingyenes változatban ezen a téren nincs módosítási lehetőségünk, a plug-in maga határozza meg a vizsgálatok időpontját. Mindkét esetben bekapcsolhatjuk, hogy erőforrás-takarékosan végezze a vizsgálatokat, ami ugyan tovább tarthat, viszont cserébe jobban kíméli a szerver erőforrásait. Mellesleg nem csak a WordPress oldal saját mappáit, hanem a tárhelyen található többi mappa tartalmát is képes ellenőrizni, ha ezzel megbízzuk.

Extra real-time funkciók az előfizetőknek

Van még valami a Wordfence tarsolyában, amivel kevés konkurense dicsekedhet: ez a valósidejű ellenőrzések és frissítések használata. A Wordfence Premum előfizetők esetében az oldalon real-time frissül a malware adatbázis és a rosszindulatú IP címek listája, vagyis ezek ellen azonnali védelmet nyújt a Wordfence. Az ingyenes változat is rendelkezik ezen adatbázisokkal, ott viszont ezek körülbelül 30 naponta frissülnek csak. Ettől még persze az ingyenes változat is hatékony védelemnek minősül, de a friss fenyegetések – a kiberbűnözők folyamatosan fejlesztik technikáikat – felismerését és kivédését a real-time frissítések igen nagy mértékben segítik.

Ha már a valósidejű funkcióknál tartunk, érdemes megemlíteni, hogy Wordfence része a Live Traffic funkció is, amellyel adott esetben akár a teljes weboldal forgalmat naplózhatjuk. Mondjuk ennek sok értelme egy látogatottabb oldal esetében nincs, ott érdemesebb inkább a Security only opciót bekapcsolni és csak a biztonsági problémákat naplózni. Lesz azokból is elegendő, hiszen minél régebben aktív egy oldal, általában annál több támadás éri folyamatosan.

Automatikusan vagy manuálisan

A Wordfence szinte minden védelmi funkciót képes automatikusan beüzemelni az oldalon, beleértve a folyamatos szkennelések ütemezését, a tűzfal szabályokat és az értesítések küldését is. De ha valaki nem szereti automatizmusokra bízni a védelmet, az összes funkciót konfigurálhatja manuálisan is. A Dashboard felületen kapunk összefoglalót a védelem aktuális állapotáról, de az All Options részben egyenként végigmehetünk minden beállítási lehetőségen.

Ha valaki több oldalt is üzemeltet, annak jól jöhet Wordfence Central, amellyel egyetlen felületen elvégezhetjük ugyanazokat a tűzfal beállításokat az összes WordPress oldalunkon. Emellett az előfizetéseket is kényelmesen menedzselhetjük a Wordfence online Licences felületén.

Mint már említettük, a Wordfence beüzemelése nagyon egyszerű, akár a kezdők számára is gond nélkül megy majd, s egyszerűbb blogokhoz minden bizonnyal elegendő lesz az ingyenes változat is. Arra viszont érdemes odafigyelni, hogy az első konfigurálás után átmenetileg egy úgynevezett Learning Mode üzemmódban marad a plug-in pár napig, ami azt jelenti, hogy csak az alap tűzfal funkciók működnek, minden mást átmenetileg kikapcsol (pontosabban üzemelnek, de nem nyújtanak védelmet). Ebben az üzemmódban tesztelhetjük, hogy kapunk-e hibaüzeneteket (például ütközik-e a Wordfence más plug-inekkel stb.), viszont megúszhatjuk, hogy egy összeférhetetlenségi hiba miatt mondjuk kizárjuk magunkat az oldalról. A plug-in pár nap után automatikusan átáll éles védelemre, amikor már nem csak jelez ha gond van, hanem azonnal cselekszik is. Ha úgy gondoljuk, hogy minden rendben már az elején, manuálisan bármikor átállíthatjuk éles üzemmódba az Enabled and Protecting opció kiválasztásával. 

Ezen kívül érdemes tudni, hogy bizonyos cache plug-inek használata, vagy nem megfelelő beállítása meghiusíthatja a country blocking funkciót, vagyis előfordulhat, hogy ilyen esetben nem tudjuk letiltani a kiválasztott országok IP címeiről érkező forgalmat.

A Wordfence egyébként igen kommunikatív. Bármilyen rendellenesség, gyanús tevékenység kerül képbe, arról részletes információkat kapunk a naplóban. Sőt, ami igazán nagyra értékelhető egy ilyen összetett kiegészítő esetében: az összes opcióhoz kapunk részletes – angol nyelvű – leírást (az opció melletti ? ikonra kattintva), ha valamiről nem teljesen tiszta számunkra, hogy pontosan mire is szolgál. Így elkerülhetjük, hogy olyan funkciót kapcsoljunk be, amelyre nincs szükségünk, vagy épp ütközik valamelyik olyan WordPress funkcióval, amit amúgy használnánk.

Ingyen vagy pénzért

A Wordfence egy kifejezetten jól sikerült tűzfal WordPress oldalakhoz, amely alapvetően ingyen áll a rendelkezésünkre, s a country blocking funkció hiányán kívül működésbeli korlátozás nem igazán van az ingyenes verzióban. Fontos különbség viszont, hogy a Premium csomagra előfizetők számára nem csak a country blocking, hanem a real-time frissítések is elérhetővé válnak, vagyis a tűzfal azonnal képes lesz reagálni a legújabb fenyegetésekre (malware, rosszindulatú IP cím stb.).

A Premium változat egy oldalra 99 USD-s áron vásárolható meg egy évre. Minél több oldalra vesszük meg, annál kedvezőbb az oldalankénti ár, illetve azért is kaphatunk kedvezményt, ha nem egy, hanem rögtön kettő vagy három évre fizetünk elő.

Ne maradjon le erről sem!