A WordPress weboldal feltörése, vírus fertőzése minden weboldal tulajdonos rémálma. Egyik pillanatról a másikra eltűnik a weboldalad vagy ami még rosszabb, az ügyfelek jelzik, hogy a Google nem biztonságos oldalként hivatkozik rád. A látogatottság bezuhan és minden energia, fáradozás, idő és pénz, amelyet az oldaladba öltél, teljesen semmibe vész.
A problémák megtalálása és kijavítása kemény munkát igényel, azonban ez mégsem annyira bonyolult, mint az ügyfelek bizalmának újbóli visszanyerése vagy éppen az oldalad levétele a spam feketelistáról. Míg hackelve lenni sosem kellemes, mégis gyakoribb, mint gondolnád.
Miért pont a WordPress-t támadják?
A WordPress felemelkedése ráirányította a figyelmet a CMS-ek vagyis a tartalomkezelő rendszerek sebezhetőségére és a hackerek legkedveltebb célpontjává vált. Egy 2018-as report szerint ( https://sucuri.net/reports/2018-hacked-website-report/ ) több, mint 50 millió olyan weboldal van, amelyek látogatása kockázatos, mert valamilyen veszélyes kódot tartalmaznak. Egy évvel korábban ez a szám még csak 17 millió volt. A fertőzött oldalak 78%-a WordPress-t használ, ezzel sebezhetőség szempontjából magasan ez a „legnépszerűbb” platform.
Hogy megóvd magad a feltörés kellemetlen élményétől, ebben a cikkben megvizsgáltam a hackelések motivációs okait, a támadások mikéntjét, a fertőzések ismérveit és azt, hogy milyen lépéseket tehetsz az oldalad védelme érdekében.
Tartalomjegyzék
- Miért pont a WordPress-t támadják?
- Mi motiválja a hackereket, hogy feltörjék a WordPress oldalakat?
- A WordPress támadások többsége automatizáltan történik
- Miért pont a WordPress-t támadják a hackerek?
- Hogyan törik fel a WordPress weboldalakat?
- Honnan jövök rá, hogy feltörték az oldalam?
- Hogyan állítom vissza az oldalam egy feltörés / fertőzés után?
- Hogyan előzd meg a feltörést vagy vírus fertőzést?
- Roppant kellemetlen, ha feltörték a weboldalad, de sajnos szinte bárkivel előfordulhat
- Röviden: légy proaktív!
Mi motiválja a hackereket, hogy feltörjék a WordPress oldalakat?
Az első dolog, amit meg kell értened, hogy a támadás nem személyesen ellened vagy a weboldalad ellen történik.
A legtöbb oldalt azért hackelik, mert lehetséges. Csak kevés esetben van oka annak, hogy a hackerek egy bizonyos oldalt szemelnek ki. Ez azonban jellemzően olyan nagy cégekre igaz, mint például a Sony. A kisebb vállalkozásokra nézve azonban a hackerek csak azért nyúlnak az oldalunkhoz, mert tudtunkon kívül hagytunk nekik kiskaput. Tehát ez nem a logikán alapszik, vagy azon, hogy van-e értelme meghekkelni az oldalad. Mindegy mekkora a forgalmad, mindig egy lehetséges célpont vagy.
Egy átlagember számára azonban nehezen érthető, hogy egy hacker egyáltalán miért is akarná feltörni a kis céges weboldalát, ahol kézműves szappanokat árul.
A leggyakoribb indítékok az alábbiak:
- Spam link elhelyezése a weboldal szövegében vagy a hozzászólások szövegében.
- Hozzá akarnak férni adataidhoz, levelezési listádhoz, hitelkártya adataidhoz, stb.
- A hackerek átirányítják az oldaladról a látogatókat más olyan oldalakra, amiből profitot szereznek.
- A hackerek átveszik az irányítást a szervered fölött és a hardware-t használják levélszemét spam küldésre
- A hackerek az oldaladat arra használják, hogy megfertőzze a látogatóid számítógépét kártékony programok segítségével, mint pl. back door hack, key tracker, ransomware, vírusok vagy más rosszindulatú szoftverek
Az utolsó indíték talán a legfélelmetesebb. Lehetőség van olyan kártékony szoftverek elhelyezésére, amelyek a látogatók tudta nélkül feltelepülnek a gépükre.
Ezen típusú támadások egyik célja a nagyobb szabású támadások lehetővé tétele. Rengeteg gép szükséges egy rendes Denial of Service (Dos) támadáshoz. A meghackelt oldalad lehet az egyikük. De az is lehet, hogy a hacker a te oldalad felhasználásával próbál magának biztonságot kiépíteni egy másik entitás támadásakor.
A WordPress támadások többsége automatizáltan történik
Az egyik oka, hogy a hackerek nem tesznek különbséget az oldalak között az az, hogy a támadások majdnem mindig automatikusan történnek.
Ha azt gondolod, hogy valaki beírja az oldalad címét a böngészőbe és addig keresgél, míg rábukkan valamilyen sebezhetőségre, akkor valószínűleg tévedsz. Ez a fajta módszer egyáltalán nem gazdaságos a hacker szempontjából.
Ehelyett, akárcsak a böngészők, a hackerek is botokat használnak az internet felderítésére. A tartalom indexelése helyett azonban általuk ismert gyenge pontokat próbálnak felderíteni. Ezt a folyamatot automatizálva a hackernek lehetősége van egyszerre több oldalt is megtámadni, ezáltal a hatékonyságot magas szintre emelni. Gazdaságosság felsőfokon.
Ha a site-odat meghekkelik vagy vírussal fertőzik, akkor annak az oka valószínűleg az, hogy a weboldalad az automatizált script-jük hálójába került, nem pedig valaki szándékosan téged célzott meg.
Miért pont a WordPress-t támadják a hackerek?
A válasz egyszerű: mert nagyon népszerű.
Próbáld meg egy pillanatra a hackerek helyzetébe képzelni magad. Ha minél több oldalt szeretnél feltörni a célod elérése érdekében, akkor melyik utat választanád? Egy olyan platformmal próbálkoznál, amelyet 500 weboldal használ vagy egy olyat, amelyet több százmillió?
Mivel a WordPress ennyire széles körben elterjedt, remek célpont a hackerek számára.
Habár a WordPress “magja” nagyon biztonságos, ennek ellenére mégiscsak egy moduláris platformról beszélünk – rengeteg módon lehet bővíteni témákkal és plugin-ekkel. Mivel bárki gyárthat eszközöket a WordPress-hez, elképzelhető, hogy nem mindegyik olyan kód alappal dolgozik, mint maga a WordPress „mag”. Bármelyik népszerű WordPress plugin tartalmazhat olyan biztonsági hibákat, amely hatással lehetnek WordPress oldalak tízezreire.
A népszerűségének köszönhetően a WordPress nagyon népszerű platform a hackerek és a biztonsági kutatók között egyaránt.
Igazság szerint a rendszer open-source vagyis nyílt forráskódú mivolta egyre erősebbé és ellenállóbbá is teszi. A fehér kalapos hekkerek könnyebben tudnak egy nyílt forráskódú rendszerben hibákat felfedezni, jelenteni őket és így ezek a biztonsági rések nem maradnak sokáig befoltozás, javítás nélkül.
A WordPress „magja” egyébként egy nagyon biztonságos szoftver. Sőt, még biztonságossá teheted pár apró trükk alkalmazásával. Javaslom ehhez elolvasni az alábbi hivatalos cikket: https://wordpress.org/support/article/hardening-wordpress/
Hogyan törik fel a WordPress weboldalakat?
Most, hogy tudod miért próbálják meg az emberek meghekkelni a weboldalakat, nézzük meg a leggyakoribb módokat, amelyek elvégzésével sikerrel járnak.
A WP Template grafikája szerint ezek a leggyakoribb pontjai az oldalak feltörésének:
- 41%-át a tárhelyen lévő gyenge pontokon keresztül támadják meg
- 29%-át a bizonytalan témákon (template) keresztül
- 22%-át gyenge plugin-eken keresztül
- 8%-át gyenge jelszavak miatt
Ahogy az első pontban látható, a leggyakoribb átjárás a tárhelyszolgáltatón keresztül történik. Ez nem feltétlenül jelenti azt, hogy közvetlenül a te oldalad tárhelye kapott támadást. Lehetséges az is, hogy egy másik oldal a megosztott tárhelykörnyezetben lett meghekkelve és a többiek weboldala együtt ment vele.
Ami riasztó, hogy a sikeres támadások több, mint fele WordPress témákon és plugineken keresztül történik. Ez a rész tehát különleges figyelmet igényel, és lejjebb részletesen fogok erről beszélni.
Az oldalak 8%-a pedig a nem megfelelő jelszóvédelemtől szenved. Míg a 8% nem tűnik soknak, de a WordPress népszerűségéből adódóan ez a szám több százezer oldalt jelent.
A bejelentkezési felületek sebezhetőségéről és védelméről korábban született egy cikkem, érdemes elolvasni.
Honnan jövök rá, hogy feltörték az oldalam?
Sokakban felmerül a kérdés, miből látom, hogy feltörték az oldalamat? Mik a hekkelés jelei? Íme néhány árulkodó jel:
- Biztonsági pluginek figyelmeztetést küldenek – Ha használsz egy biztonsági plugin-t a sok közül, nagy valószínűséggel kapni fogsz egy figyelmeztetést e-mail-ben abban a pillanatban, mikor az oldaladhoz hozzányúlnak. A károkozás ellenére ez a legoptimálisabb forgatókönyv, mert szinte azonnal értesülsz a rossz hírről.
- Nem tudsz bejelentkezni az admin felületre – Az egyik leggyakoribb visszaélés az, amikor valaki ellopja a belépési adataidat (vagy erős támadással veszi el). Ebben az esetben megváltoztathatják a fiókod adatait, így nem tudsz belépni az oldaladra és másfajta lépéseket kell tenned, hogy be tudj lépni.
- A WordPress oldal átirányít egy másik weboldalra – Az egyik gyakori módja a weboldalakkal való visszaéléseknek a látogatók átirányítása más, sokszor illegális termékeket forgalmazó oldalakra. Ha észreveszed vagy kapsz erről e-mailt egy látogatótól, biztosra veheted, hogy valaki illetéktelenül fért hozzá a szerveredhez.
- Furcsa linkek jelennek meg az oldalon – A felhasználók weboldalról történő eltérítésének egy másik módja a spam linkek kihelyezése a meghekkelt oldalra. Ezért is érdemes mindig átnézni az oldalad, hogy minden úgy néz ki, mint ahogy emlékeztél rá.
- A Google veszélyesnek jelzi az oldalad – A Google néha veszélyesként jelöli meg a hekkelt oldalakat a találatok között. Ezzel együtt a Google Search Console valószínűleg értesíteni fog a Security Issues részben.
- Figyelmeztetés a böngészőben – A Chrome és más böngészők értesítik a felhasználókat, ha adathalász támadásokat, malware-t, kereszthivatkozást vagy más veszélyes dolgot érzékel a weboldalon, amelyet megnyitni próbálsz. Ha te, vagy más figyelmeztetést kap a weboldalad megnyitása közben, az nem sok jót jelent.
- A webtárhely offline állapotba helyezi az oldalad - Néhány esetben maga a webtárhely is kap üzeneteket a felhasználóktól olyan hekkelt oldalakról, amelyeket tárolnak, vagy éppen van egy olyan rendszerük, amely kiszűri ezeket a weboldalakat. Sok ilyen esetben offline állapotba teszik az oldalad, amelyet nyilván hamar észreveszel. Egy jó webtárhely értesíteni is fog a problémáról.
- A vírusírtó problémát jelez – A támadások gyakran teljesen rejtettek és nem lehet könnyen kiszűrni őket. Ezért a cselekvőképes weboldaltulajdonosok néha víruskeresést futtatnak le. A Sucuri Site Check (https://sitecheck.sucuri.net) egy jó opció. Segítségével megismered a problémákat és tudsz is ellenük tenni.
- Váratlan forgalmi kiugrások – A hekkerek néha a feltört weboldalakat használják fel a saját vírusos és megjelölt oldalaik előnézeteként. Azért, hogy elkerüljék a spam riasztást, a domainod által átirányítják a látogatókat egy másik weboldalra. Ha megmagyarázhatatlan forgalmi problémákat tapasztalsz, futtass le egy víruskeresést.
Habár a lista nem teljes, de egy jó pár olyan módszert leír, amelynek segítségével kiszúrhatod, ha probléma van az oldaladdal. Ha kétségeid vannak, futtass le egy víruskeresést.
Hogyan állítom vissza az oldalam egy feltörés / fertőzés után?
Maradj nyugodt
Első körben a legtöbb, amit egy ilyen esetben megtehetsz az, hogy nyugodt maradsz. Természetes, hogy minél hamarabb meg akarod oldani a problémát, de az elhamarkodott cselekedetek további károkat okozhatnak.
Ezért, az első és legfontosabb dolog az, hogy veszel egy mély levegőt, megnyugszol, és felméred a terepet mielőtt bármihez is kezdenél. Lesz egy kis időd felépíteni egy életképes tervet, mielőtt még rosszabbá válnának a dolgok.
Íme egy lista, amelyen végighaladsz:
- Be tudsz jelentkezni a WordPress admin felületére?
- A WordPress weboldalad átirányít egy másik weboldalra?
- A WordPress weboldalad ismeretlen külső linkeket tartalmaz?
- A Google megbízhatatlannak jelzi az oldalad?
Írd le ezt a listát, mert a segítségedre lesz, miközben a tárhely szolgáltató cégeddel egyeztetsz vagy miközben végighaladsz az alábbi lépéseken a probléma megoldásának céljából.
A másik fontos dolog az, hogy megváltoztasd a jelszavaid, mielőtt belefognál a tisztogatásba. Akkor is meg kell változtatnod a jelszavaidat, miután befejezted a kártevő eltávolítását.
Csinálj egy biztonsági mentést arról, ami maradt
Habár értelmetlennek tűnhet biztonsági mentést készíteni egy feltört weboldalról, fontos észben tartani, hogy sokkal többet tartalmaz, mint a meghekkelt rendszerfájlok.
Mint már említettem, néhány tárhelyszolgáltató automatikusan törli az olyan weboldalakat a szerverükről, amelyek támadás alatt vannak. Mivel a képek és egyéb média tartalmak nehezen pótolhatók, ha elvesznek, jó ötlet másolatokat tartani róluk, mikor később újra fel kell építeni az oldalt.
Ezért első lépésként próbáld menteni a menthetőt. Jó pár biztonsági mentési mód áll rendelkezésre a WordPress-hez, de akár kézzel is készíthetsz egy biztonsági mentést. Tedd ezt, de egyértelműen jelöld meg, hogy ez egy vírust tartalmazó biztonsági mentés.
Legyen egy szakember
A weboldal biztonsága komoly dolog. Ha nincs kedved kódolással, szerverekkel és más technikai dolgokkal szenvedni, alkalmaznod kell valakit, hogy mindezt elvégezze.
A hekkerek előszeretettel nehezítik meg a webfejlesztők helyzetét azzal, hogy több helyre is elrejtik a kártékony kódokat ezzel megnehezítve a tisztítást vagy lehetővé téve, hogy újrafertőződjön az oldal. Ebből az okból a legjobb opció az, hogyha megkérsz egy profi webfejlesztőt ezen feladatok elvégzésére, amivel gyakran időt is spórolsz.
Ha mégis magad szeretnél a végére járni a problémának, az alábbi listában összegyűjtöttem pár ötletet.
Ellenőrizd a saját gépedet
Sok esetben a weboldalad elleni támadások a saját gépedről indulhatnak. Ha egy hekker belenyúlt a gépedbe, akkor könnyen lehetséges, hogy a weboldalad is elérhető lett számára. A gépeden lévő károkozó ugyanis figyeli a billentyű leütéseidet, miközben felhasználó neveddel és jelszavaddal belépsz a WordPress admin-ba. Innentől már egyenes az út a weboldal megfertőzéséhez.
Éppen ezért azt javaslom, hogy telepíts és futtass le egy teljes vírus/malware keresést a saját gépeden és bizonyosodj meg róla, hogy az operációs rendszered naprakész. Csak így tudhatod biztosan, hogy a probléma nem a gépeden kezdődött és lecsökkenti annak az esélyét, hogy újra megferőződsz, miután megszabadultál tőlük.
Egyeztess a tárhelyszolgáltatóddal
Az első, akivel ilyen esetben egyeztetned kell, az a tárhelyszolgáltatód. A jobb szolgáltatók készen állnak az ilyen vészhelyzetekre és segítőkészek. A rendszergazdákból álló csapat sok esetben önállóan is meg tudja oldani a problémákat.
Ezenkívül a tárhelyszolgáltatódat érdekelheti is egy olyan kártevő, amely több oldalt is megfertőzhet. Főképp megosztott tárhelykörnyezetben, ha valaki engedély nélkül szerzett hozzáférést a szerverhez, talán több weboldalhoz is hozzáférhettek ugyanazon a gépen.
Végső esetben, ha beszélsz a szolgáltatóddal, talán több infót szerezhetsz arról, hogyan oldd meg a dolgot.
Állítsd vissza biztonsági mentésből
Ha van biztonsági mentésed a WordPress oldalról, a legjobb opció az, ha egy olyan pontban készített biztonsági mentésből állítod vissza a weboldalt, amikor még nem volt feltörve. Ha ezt meg tudod tenni, nyert ügyed van.
Azonban ha egy naponta frissülő weboldalad van, akkor megkockáztatod azt, hogy elvesznek a blog bejegyzések, hozzászólások, stb. Ebben az esetben mérlegeld az előnyöket és a hátrányokat.
A legrosszabb esetben, ha nincs biztonsági mentésed, vagy régóta fel van törve az oldalad, és nem akarod elveszteni a tartalmad, manuálisan is elvávolíthatod a kártevőket.
Azonosítsd a kórokozót és tüntesd el
Vess egy pillantást a WordPress oldaladra és törölj minden inaktív WordPress témát és plugint. Leggyakrabban itt rejtőzik a rés a hackerek számára.
A backdoor, mint fogalom azt a normál biztonsági azonosítás kikerülését és a szerverhez való távoli hozzáférését jelenti, mikor az észrevétlen marad. A legtöbb okos hacker minden alkalommal első lépésben feltölti a backdoort. Ez ismét hozzáférést biztosít a számukra, hiába törölted ki a kártékony kódot.
Telepítsd a következő plugineket a weboldaladra: Sucuri WordPress Auditing, Theme Authencity Checker (TAC).
Ha ezekkel megvagy, a Sucuri értesíteni fog a WordPress fájlok magjában lévő integritásról. Más szóval megmutatja, hol rejtőzik a hack.
A leggyakoribb helyek a témák és a pluginkönyvtárak, a feltöltési könyvtár, wp-config.php, a wp-includes könyvtár és a .htaccess fájl.
Következő lépésként futtasd le a Theme Authencity Checker-t. Ha talál bármilyen gyanús vagy rosszindulatú kódot a témáid között, megjelenít egy „részletek” gombot a téma mellett a fertőzött téma fájlra hivatkozva. A rosszindulatú kódot is megmutatja.
Itt két módon távolíthatod el a hacket. Vagy kézzel távolítod el a kódot, vagy felülírod a fájlt az eredetivel. Például ha a WordPress fájlaid magját piszkálták meg, akkor töltsd fel újból a fájlokat egy új letöltésből, vagy töltsd fel újból az összes fájlt a biztonság kedvéért.
Ugyanez vonatkozik a témafájlokra is. Tölts le egy új másolatot és írd felül a megpiszkált fájlokat az újakra. Ezt azonban csak akkor tedd meg, ha eleve nem változtattál az eredeti WordPress téma kódokon, ugyanis más esetben elveszted azokat.
Ismételd meg ugyanezt a lépést az összes pluginnal is.
Arról is meg kell bizonyosodnod, hogy a téma és a plugin mappa azonos a régivel. Néha a hackerek újabb fájlokat töltenek fel, amelyek úgy néznek ki, mint a plugin fájl neve, és könnyen figyelmen kívűl hagyhatóak, pl hell0.php, Adm1n.php, stb.
Ismételgesd ezt a lépést, amíg a hack eltűnik.
Ellenőrizd a felhasználói engedélyeket, tedd biztonságossá a felhasználói fiókokat
Tekintsd bele a WordPress felhasználói szekciójába és bizonyosodj meg arról, hogy csak neked és az általad megbízhatónak ítélt tagoknak van adminisztrátori hozzáférése az oldalon.
Ha meglátsz egy gyanús felhasználót, töröld.
Változtasd meg a biztonsági kulcsokat (SALT-okat)
A WordPress 3.1 óta a WordPress egy adag biztonsági kulcsot generál, amely titkosítja a jelszavaidat. Ha egy fehasználó ellopta a jelszavad, és abban a pillanatban is be vannak jelentkezve az oldalon, bejelentkezve maradnak addig, amíg a sütik érvényesek. Hogy letilthasd a sütiket, új biztonsági kulcsokat kell csinálnod és hozzáadnod őket a wp-config.php fájlodhoz.
Változtass jelszót
Ha gyanítod, vagy tudomásod van arról, hogy meghekkelték az oldalad, az első dolog, amit meg kell csinálnod az a jelszavad megváltoztatása. Ezzel megakadályozhatod a bejelentkezésben azt, aki illegálisan jutott hozzá a bejelentkezési adataidhoz.
Miután ezzel megvagy, kényszerítsd az admin jogokkal rendelkező felhasználókat is jelszó változtatásra. Az Expire Passwords plugin elvégzi ezt a munkát helyetted. De akár saját magad is megváltoztathatod a jelszavaikat a Felhasználók menüben és elküldheted nekik az új jelszavakat.
Hogyan előzd meg a feltörést vagy vírus fertőzést?
A WordPress biztonság teljes mértékben a proaktívitásról szól. Tudod hogy szól a mondás, jobb félni, mint megijedni, főleg a weben.
Íme a legjobb módok a WordPress website feltörésének és vírusfertőzésének megelőzésére.
Válassz egy minőségi, megbízható tárhelyszolgáltatót
Egy dolog, ami a statisztikából egyértelműen kiderül az, hogy a tárhelyszolgáltató minősége nagy hatással van az oldalad biztonságára.
Ezért egy olyan jó hírű szolgáltató kiválasztása, aki nagy figyelmet fordít a biztonságra a fontossági sorrend első helyén kell álljon.
A legújabb PHP és MySQL verzió támogatása mellett kiemelten fontos, hogy legalább rendszeresen végezzenek mailware ellenőrzést és naponta készítenek biztonsági mentést.
Nekünk, WordPress felhasználóknak az jó ötlet, ha olyan tárhelyszolgáltatást választunk, amely arra specializálódott, hogy platform szerint futtassa a weboldalakat és egy WordPress-re optimalizált környezetet és hozzáértő csapatot biztosítson.
Ezen kívül, ha lehetséges, maradj távol a megosztott tárhelyes megoldástól, hogy elkerülhesd a rossz szomszédi problémákat, mint a korábban említett példában.
Készíts rendszeres biztonsági mentéseket
Habár az ezen a listán említett lépések komolyan megerősítik a weboldalad biztonságát, nincs rá 100 százalékos garancia, hogy elkerülöd az oldal feltörést.
Ez nem azért van, mert a WordPress alapból nem biztonságos, hanem mert bármilyen internethez kapcsolódó dolog valamilyen szinten veszélyben van attól függetlenül, hogy milyen szintű fenyegetettségről beszélünk.
Tehát, hiába jó remélni a legjobbakat, az is fontos, hogy legyél a legrosszabbra felkészülve, amely a weboldal tulajdonosok esetében annnyit jelent, hogy rendszeresen végezzenek biztonsági mentéseket.
Ha már van egy minőségi tárhelyszolgáltatód, erről nekik kellene gondoskodniuk, a te feladatod annyi, hogy egy biztonságos helyen tartsd az oldal másolatát.
Mindenki másnak illetve azoknak, akik még biztosabbra akarnak menni, az alábbi backup plugin-ek közül lehet válogatni:
- Duplicator
- UpdraftPlus
- WordPress Backup to Dropbox
- BackupBuddy (fizetős)
- VaultPress (fizetős)
- CodeGuard (fizetős)
- BlogVault (fizetős)
Tartsd naprakészen a WordPress-t
A frissítések nem csak új WordPress-es funkciókat és kód javításokat jelentenek, hanem a régebbi verziók biztonsági problémáit is orvosolják.
Ez főleg a biztonsági frissítésekre igaz, amelyek kizárólagos célja az efféle dolgok javítása. A WP WhiteSecurity szerint, a legnépszerűbb WordPress oldalak 70%-a mutatott különböző gyengeségeket a WordPress régi verzióinak futtatása miatt.
Ezen okokból nagyon fontos, hogy tartsd a lépést a WordPress frissítéseivel. Ez az utóbbi időben már nem annyira bonyolult, mivel a WordPress 3.7 óta a biztonsági frissítések automatikusan történnek.
Tartsd karban a WordPress témákat és plugineket
Ahogy feljebb már szó volt róla, a támadások több mint fele a gyenge WordPress plugin-eken és témákon keresztül történik.
Habár ez elég drámaian hangzik, nem érdemes kétségbe vonni a WordPress ökoszisztéma megbízhatóságát.
Még a legjobb, legtöbbet karbantartott pluginekkel is lehetnek biztonsági problémák. Történnek balesetek, de ezeket a legtöbb esetben kijavítják, mielőtt sokakat érintő problémává válnának.
Az oldalad kockázatainak csökkentése érdekében itt van egy pár javaslat, hogy hogyan kezeld a plugin-eket és a témákat:
- Távolíts el mindent, amit tudsz – Hogy csökkentsd a sebezhetőség lehetőségét, szabadulj meg minden plugintól és témától, amelyek nem feltétlenül szükségesek. Meglepődnél, mennyi van csak úgy mindenféle funkció nélkül. Egyébként is, nagy mértékben gyorsíthatja az oldalad sebességét.
- Frissíts rendszeresen – Mint maga a WordPress alapját, a részeit is naprakészen kell tartani. Ez azt is jelenti, hogy ha egy plugint több, mint 1 éve nem frissítette az írója, talán egy alternatív plugin után kell nézned, amelyet rendszeresen frissítenek.
- Ellenőrizd telepítés előtt – Ne telepíts plugineket és témákat megbízhatatlan forrásokból, főleg ingyeneseket ne. Amikor hozzáadsz komponenseket a weboldaladhoz, futtasd le rajtuk a Theme Check-et, Plugin Check-et és az adatbázist sebezhető pluginek után kutatva.
Van lehetőség a témák és pluginek automatikus frissítésére is, de akárcsak a WordPress magját, ezt is kézileg javaslom elvégezni, a tudtod nélküli feltörésének elkerülése érdekében.
Változtasd meg a belépési adataidat/jelszavadat
Az alap WordPress bejelentkezési név “admin”, és erről a legtöbb hacker tud. Ezt valami másra meg kell változtatnod, amelyet bonyolult kitalálni. Valami olyasmire, mint pl. “gipszjakab259” vagy “jakab28gipsz”, ezek jó példák. A legelőnyösebb törölni az alap admint és új egyéni felhasználó neveket létrehozni.
Azt ajánlom, hogy erős jelszavakat használj, amelyekben van nagy- és kisbetű, számok és szimbólumok. Pl. a “ gipszJakab28!@“ vagy az “JakabEStarsaKft6@!” megfelelően erős jelszó lesz.
A legtöbb hacker a jelszót próbálja megtámadni, szóval ha elég erős a jelszavad, nem lesz gond.
Adj WordPress kulcsokat a wp-config.php fájlhoz
A kulcsok hozzáadása is egy fontos biztonsági intézkedés. Ezek a kulcsok salt-ként működnek a WordPress sütikkel, ezzel jobb titkosítást biztosítva a felhasználói adatoknak.
Használd a WordPress Key Generator-t ezen kulcsok generálásához. Nyisd meg a wp-config.php fájlt, keresd meg az alábbi sorokat és cseréld ki a generált szövegekre:
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
Mentsd el, és készen is vagy!
Változtass tábla prefixet
Az alapértelmezett tábla prefix a wordpress-ben wp_. Tudom, hogy ezt te is tudod és biztos vagyok abban, hogy a hekkerek is. Az SQL Injections támadások könnyebbek, ha az alapértelmezett tábla előtag van jelen, mert egyszerűbb kitalálni. Egy jó előtag pl. “gipszkft59”.
Nagyon ajánlott megváltoztatni az adatbázis tábla előtagodat és ezt két módon teheted meg. A kézi módja igényel némi munkát és ez nem kezdőknek való; ebben az esetben a WP Security Scan könnyíti meg az életünket. Van neki egy “Database” nevű füle. Ha már ott vagy, ott van az egész táblás átnevezési lehetősége olyan névre, amelyet nehéz kitalálni. Tedd meg ezt és egy lépéssel közelebb leszel a weboldalad biztonságának erősítéséhez.
Előzd meg a WordPress feltörést azzal, hogy a keresőrobotoknak megtiltod az admin szekció indexelését
A kereső robotok végigpásztázzák az egész weboldaladat és minden tartalmat indexelnek, kivéve ha erről le vannak tiltva. Nem szeretnénk, hogy beindexeljék az admin panelt, mivel sok privát információt tartalmaz. A legkönnyebb módja a tiltásnak egy robot.txt fájl hozzáadása a gyökérkönyvtárhoz. Illeszd be a következő kódot a fájlba:
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*
htaccess törések
A .htaccess (hypertext access) a könyvtárszintű konfigurációs fájlok alapértelmezett neve, amely engedélyt ad a konfiguráció decentralizált kezelésére, ha a web mappastruktúra belsejébe tesszük. A .htaccess fájlok gyakran használatosak az adott könyvtár biztonsági korlátozásainak meghatározására. Ez a tipp nem feltétlen illik a listába, de ismerned kell a .htaccess-t, mivel ez segíthet megelőzni a hackelést.
Óvd a .htaccess fájlodat
Miután belepiszkáltál a .htaccess fájlodba, hogy megvédd a blogodat a hackerektől, nem hagyhatom csak úgy nyitottan a .htaccess fájlt támadásoknak kitéve. A lenti hack megtiltja a külső hozzáférést a .htaccess-hez. Egyszerűen helyezd a kódot a domain gyökerében lévő .htaccess fájlba.
Nincs könyvtárböngészés
Nem jó ötlet engedélyezni a látogatóknak az egész könyvtárban való böngészést. Ez egy egyszerű módja a könyvtár struktúrájának megismerésére és lehetőséget ad a hackereknek a biztonsági rések megtalálására.
Hogy megállítsd ezt, csak illeszd ezt a 2 sort a .htaccess fájlodba a WordPress oldalad gyökérkönyvtárán belül.
# disable directory browsing
Options All -Indexes
Tedd biztonságossá a wp-config.php fájlt
A wp-config.php fontos, mivel a blogod minden érzékeny adatát és konfigurációját ez tartalmazza, tehát a .htaccess fájlon keresztül kell levédenünk. Simán illeszd az alábbi kódot a .htaccess fájlba a gyökérkönyvtárban
A kód megtagadja mindenki számára a wp-config.php fájlhoz való hozzáférést.
Korlátozd le a hozzáférést a Wp-Content Directory-hoz
A Wp-content mindent tartalmaz. Fontos mappa, tehát védeni kell. Nem javasolt, hogy a felhasználók böngészés közben kéretlen/másfajta adatokhoz férjenek hozzá. A felhasználóknak csak bizonyos fájltípusokat szabad megtekinteniük, mint pl. képfájlok (jpg, gif, png), Javascript, css és XML.
Helyezd az alábbi kódot a .htaccess fájlba a wp-content mappán belül (ne a gyökérkönyvtárba).
Védd meg a WordPress admin fájlokat
A Wp-admin-t csak neked és szerző társaidnak szabad elérni. A .htaccess-t kell használnod a hozzáférés szigorítása érdekében és csak konkrét IP címeket kell engedélyezned erre a területre.
Ha statikus IP címmel rendelkezel és mindig a számítógépedről szerkeszted az oldalt, akkor ez számodra egy jó választás lehet. Ha azonban több felhasználó is szerkeszti az oldalt különböző gépekről, nem statikus IP címmel, akkor ez a megoldás nem biztos, hogy alkalmazható.
Roppant kellemetlen, ha feltörték a weboldalad, de sajnos szinte bárkivel előfordulhat
Ha feltörték a WordPress oldalad vagy vírus fertőzött lett, az nem egy kellemes élmény, senki nem vágyik rá. De azért megtörténik, még a legjobbakkal is.
Ha a legrosszabb eljön, remélem, hogy ez az útmutató segít megoldani a problémákat és visszaállni a normál kerékvágásba. Ha nem elég a fenti információ az oldalad visszaállítására, ne késlekedj, hívj egy profi webfejlesztőt! Ha a weboldalad az életed részét képzi (mint sokunknak), akkor ez egy ésszerű befektetés.
Röviden: légy proaktív!
A WordPress oldalad feltörése vagy veszélyeztetése egy olyan dolog, amit nem túl sok weboldal tulajdonos szeretne átélni, és nem is fogják egyhamar elfelejteni, ha volt már ilyen.
Egy teljesen sikeres hacker támadásból való felépüléshez sok energia, lelkierő és sok esetben pénz is szükséges.
Habár a biztonsági problémákkal való szembesülés a weboldal fejlesztés velejárója, de jobb félni, mint megijedni, és utána szenvedni a következményekkel.
Szerencsése maga a WordPress nagyon biztonságos. A legtöbb esetben a hackerek számára a betörési pont maga a tárhelykörnyezet, sebezhető pluginek és témák, vagy éppen a gyenge belépési adatok.
A fent említett lista segít felismerni a leggyakoribb problémákat és sokkal immunisabbá teszi az oldalad a támadások ellen.
Sok fent említett lépés részét képezi az alábbi plugin-eknek, éppen ezért érdemes egy pillantást vetni rájuk:
- BulletProof Security - https://hu.wordpress.org/plugins/bulletproof-security/
- Sucuri Security - https://kb.sucuri.net/plugins
- iThemes Security - https://ithemes.com/security/
- Wordfence - https://www.wordfence.com
Ne feledd, ha megtörténik a baj, akkor első körben a legjobb, ha nyugodt maradsz és összeállítasz egy mentési tervet a károk enyhítésére és a weboldal helyreállítására. Remélem, hogy ez a cikk segíteni fog benne!