WordPress biztonsági bővítmények
Mint mindennek, a WordPress security plugin ‘világának’ és használatának is két oldala van, amiről legtöbbször nem tájékoztatják a honlap vagy webáruház tulajdonosokat, ami jövőbeli problémákat szül. Ne feledjük, a legjobb ha elővigyázatosak vagyunk és van WordPress biztonsági mentés függetlenül a security pluginektől. Elsőként nézzük a biztonsági bővítmények előnyeit, amiért (és amikor jó ha) használjuk ezeket, majd utána vegyük sorra a hátrányaikat.
Biztonsági bővítmények típusai
Itt három csoportot tudnék megkülönböztetni. Itt sok szempont alapján lehetne csoportosítani, azonban az egyszerűség kedvéért most a szerintem 3 legfontosabb csoportra fogok kitérni.
1. WordPress „álcázó” bővítmények
Az első csoport, azon plugin-ok amik úgy segítik a védelmet, hogy megpróbálják álcázni a WordPress-t, elrejteni, hogy az adott oldal WordPress alapú vagy csak fontosabb url-eket tudunk megváltoztatni (belépés, admin oldal, content). Ezen bővítményeknek igazán sok értelme nincsen. Mára a különféle szkennelő robotok pár egyszerű trükkel ki tudják deríteni, hogy az adott oldal milyen CMS alapon fut.
Tipp: Az url megváltoztatós bővítmények akkor hatásosak (például belépő url-nél), ha azt az url-t rendszeresen cseréljük. Az, hogy egyszer megváltoztatjuk, csak ideiglenesen segít és igazából tüneti kezelés, nem megoldás.
2. Lokális security plugin-ek
A második csoportba azon bővítmények tartoznak, amik lokálisan vizsgálják / korlátozzák a forgalmat, elemzik az adatokat és biztosítják a funkciókat. Ezeknél általában a probléma ott jelentkezik, hogy nem mindig naprakész az adatbázisuk és nagyon kevés adatból (csak az adott honlapé) tud mintákat meglátni. Cserébe az ismert plugin sérülékenységeket védik vagy jelzik. Vannak vírus/kártékony kód kereső bővítmények is, azok is ide sorolhatóak.
3. Szolgáltatás alapú biztonsági bővítmények
A harmadik csoportba azok tartoznak, amik lokálisan csak végrehajtják a különféle funkciókat, a fő szűrés és adatfeldolgozás külsős félnél, szerveren történik. Itt általában egy előfizetéses szolgáltatáshoz kötődik a security plugin használata. Ezeknek már inkább van értelme.
WordPress biztonsági bővítmények
Néhány biztonsági bővítmény mindenképpen megemlítendő. A folytatásban lesz szó ezek előnyeikről, hátrányaikról, itt most röviden csak felsorolnám a fontosabbakat:
- All-In-One Security (AIOS)
- iThemes Security
- Security & Malware scan by CleanTalk
- Wordfence Security
- Jetpack és Jetpack Protect
- Limit Login Attempts Reloaded
- WP Hide & Security Enhancer
- Hide My WP Ghost
- és természetesen ezeken felül van még jó pár száz darab …
Hazai WordPress honlapokon leggyakrabban az iThemes Security és Wordfence pluginnel találkozok.
Biztonsági bővítmények előnyei
Ezen kész ‘megoldások’, pluginek, amik telepítés és bekapcsolás után már el is kezdik ‘jótékony’ hatásukat és nem épp hasznos hatásaikat. Az idézőjelek azért vannak, mert jó esetben van ez így, nem mindigy. Vannak előfizetéses, további védelmet nyújtó megoldásaik, opciói általában ezeknek. Például backup, email értesítések és hasonlók.
A nagyobb, népszerűbb pluginek készítői tapasztaltak (általában) és sokuk honlapján több hasznos tartalom, cikk olvasható a témában, illetve elég sokféle esettel találkoznak, amikből építkezhetnek és tanulhatnak. A beállítások egy részéhez rövid eszköztippekkel segítenek vagy tutorial videóval.
Biztonsági bővítmények hátrányai
Mindegyikhez szükséges számottevő szakmai ismeret, hogy a funkciók megfelelően legyenek beállítva és a valóban szükséges funkciók legyenek bekapcsolva. Az alapértelmezett beállítások a legtöbb esetben nem hatékonyak. Plusz egy plugin és gyakran találnak sebezhetőséget magában a biztonsági bővítményekben is. Milyen költői, igaz?
Eszik az erőforrást és jelentősen lassíthatják a honlapot. Szinte egyiknek sincs magyar fordítása, így a látogatók, vásárlók bármi gond esetén egy idegennyelvű üzenettel találkozhatnak. Van olyan ingyenes plugin, mely az ismert sebezhetőségeket csak több hétten a felfedezésük után kezdi „védeni”, ezzel ösztökélve a használót, hogy váltson előfizetéses csomagra. Nem túl kedves, de hát ez üzlet nekik. Így meg akár a több hét alatt konkrétan feltörhetik a honlapod. Aztán sok esetben téves biztonságérzetet adnak ezek. Nem egy olyan feltört WordPress honlapot javítottam, amin volt biztonsági plugin.
Egyéb mód a biztonság növelésére
A jobb tárhelyszolgáltatóknál már a honlap elérése előtt van egy komoly tűzfal, mely sok támadó botot megfog. Avagy még érdemesebb ezt a saját kezünkbe venni és például CloudFlare szolgáltatását bekötni, ott megfelelő tűzfalszabályokkal és TLS verzió emelésével növelni a biztonságot.
Van lehetőségünk Apache alapú host esetén .htaccess fájlba elhelyezett parancsokkal növelni a védelmünket, illetve WordPress-en belül is fokozhatjuk a biztonságot. Ezekről a WordPress biztonság fokozása cikkem fejti ki részletesebben.
Amire minden esetben ügyeljünk, hogy legyen saját, könnyen visszaállítható WordPress biztonsági mentés a kezünkben a saját honlapunkról, arra az esetre, ha valami félremenne a biztonsági plugin használatakor.
Mi a legbiztosabb megoldásá?
Attól függően, milyen a rendelkezésre álló keret és mennyire fontos az adott honlap, úgy döntsünk szakember általi WordPress üzemeltetés vagy WooCommerce webáruház üzemeltetés mellett. Esetleg vessünk egy pillantást a WordPress.com által kezelt lehetőségekre. Utóbbinál azonban vegyük figyelembe, hogy ott csak általános support / támogatás van, míg egy megbízott fejlesztő esetében olyan személlyel tarthatjuk a kapcsolatot, aki ismeri a honlapot.
Mikor érdemes biztonsági bővítményt használni?
Ahogy sok más témánál, itt is azt tudom mondani: vegyük számításba a lehetőségeinket. Ha egy projekt nagyon minimális költségvetésű és nem egy forgalmas honlapról, webáruházról van szó, akkor arra valószínűleg nem lesz nagy büdzsé. Ilyenkor használhatunk WordPress biztonsági bővítményeket, persze mindig legyen rendszeres backup. Ha komoly, fontos projektről beszélünk, akkor nem ajánlok ilyen plugineket, inkább megfelelő szakembert és felügyeletet ajánlanék. Nem egy olyan honlap javítását kérték, aminél hiába volt security plugin telepítve, ennek ellenére könnyen feltörték és megfertőzték. Ugyan ezen honlapot szakember kezében, ilyen bővítmény nélkül sem tudták feltörni.
Tanácsom: Alkalmazzunk jobb megoldásokat
Oké, de mi a jobb megoldász? Szakmai szemmel és tapasztalattal bátran tudom kijelenteni, hogy biztonságot növelő WordPress bővítmények nélkül hatékonyabban lehet a növelni a WP alapú honlapunk, webshopunk biztonságát. Igaz, hogy ezek egy részéhez szükséges szakmai ismeret, ám a fenti pluginek beállításához szintúgy szükség lenne.
Amivel hatékonyan védhetjük weboldalunk:
- Szerver előtti: Cloudflare, Sucuri
- Szerver tűzfal: Olyan tárhelyszolgáltató, mely megfelelően configolt/beállított
- WordPress frissítések elvégzése gyakorta.
A fenti három bőven elegendő és ennek annak tükrében mondom, hogy több mint 16 éve nem törtek fel általam üzemeltett weboldal, pedig egyiken sem használok biztonsági bővítményt. A Cloudflare-t erősen ajánlom mindenkinek, mivel alapértelmezetten nagyon sok rosszindulatú bot-ot, támadást megfog automatikusan. Ha pedig beállítunk néhány WAF szabályt, akkor nagyon hatékony védelmet kapunk, ráadásul ingyenesen.
Saját véleményem a Security plugin-ek használatáról
Mint szakember, azt tudom mondani, hogy a WordPress önmagában egy biztonságos CMS, egy jó alap. Ha megfelelően választjuk meg a hostingot, a sablont és a bővítményeket, továbbá rendszeresen karbantartjuk, elvégezzük a WordPress frissítést, akkor nagy eséllyel nem lesz szükség semmilyen biztonság növelő pluginre. Én óva intenék bárkit ezen pluginek használatától. Természetesen vannak olyan helyzetek, amikor előnyösek lehetnek, ám ezek telepítése inkább csak tünet kezelés, nem a probléma forrásának a feltárása és megszüntetése. Ahol fontos a biztonság, ott érdemes szakemberrel egyeztetni és nem WordPress-be tenni olyan funkciókat, amiket a szervernek – tűzfalnak kellene
