WordPress oldal és a biztonság fokozása

WordPress oldal és a biztonság fokozása

WordPress oldal és a biztonság fokozása 900 600 Rottenbacher Tamás
A WordPress egy kiemelkedően biztonságos,  gyakran frissülő rendszer. Ha rendszeresen frissítjük, akkor 99,99999999% az esélyünk, hogy nem lesz problémánk weblapunkkal, nem fogják tudni feltörni. Azonban először is tisztáznunk kell, mi az a feltörés, hogyan is történhet. A honlapok többségén nem tárolnak bizalmas információkat, személyes adatokat. Így konkrét oka nincs a töréseknek, gyakran csak kedvtelésből, saját maguk próbára tétele okán teszik ezt a hackerek.

Milyen az általános hibás gondolkodásmód?

  • Egyszer elkészült, működik, ezután is fog, törődés nélkül is.
  • Az alaprendszer biztonságos volt anno, most is az.
  • Miért pont az én oldalam törnék fel?
  • Ha baj lesz, visszaállítom a mentést és ennyi.

Ezek súlyos hibás gondolatok! Egy weboldal miután elkészült, rendszeres törődést igényel. Frissíteni kell, ügyelni az aktuális veszélyekre. Noha nem naponta, hetente, de legritkábban félévente érdemes frissíteni rendszerünket. Az alap rendszer a stabil verziók megjelenésekor és ezt követő időszakban biztonságosak, de idővel mindig találnak a hackerek réseket, amit a következő verziókkal foltoznak, javítanak.

Gyakran jön a kérdés, hogy miért az ő oldalát törték fel, ráadásul külföldi nyelven „igét hirdető” internetes harcosok? Két szempont alapján választanak. Egyik, hogy milyen könnyen tudják feltörni. Ide a szerver és a weboldal is tartozik. Elég ha vagy a weboldal vagy a szerver könnyen törhető, már is jön a baj. Ráadásul nem is egyedül, ugyan is ha egy szerverhez hozzáférnek, az összes ott lévő oldalt feltörhetik. A másik, hogy mennyire forgalmas az oldal. Gyakran kevésbé jól védett, kis forgalmú weboldalakat támadnak meg, viszont ilyenkor több ezer (vagy akár tízezer) weblap esik áldozatul. A több ezerbe viszont könnyen bekerülhet a mi honlapunk is.

Azon gondolat szép és jó, hogy mentésből visszaállítjuk és ennyi. Azonban a támadások jelentős része kódot módosítja. A kereső ha meglátja, hogy weboldalunknak egy sima, pár soros (ráadásul külföldi nyelvű) kezdőlapja van, akkor gyorsan reagál rá és a találati listán bizony hátradob. Nem értékes egy oldal, amit feltörtek. Az újabb támadások, törések során nem cserélik le a kezdőlapot, csupán módosítják azt. Ezt nehezebb észrevenni, a látogatók forgalmának csökkenéséből láthatjuk leggyakrabban. Ilyenkor általában egy vírusos oldalra mutató linket helyeznek el a kódban elrejtve. Így oldalunk támadó weblapnak lesz nyilvánítva és a keresőkből kitiltják, törlik. Ez a legrosszabb eshetőség. A domain teljesen értéktelenné válik, a forgalom szinte nullázódik. Egyes böngészők külön figyelmeztető ablakba jelzik a weboldal meglátogatásának veszélyét és akár blokkolják is azt. Ha ilyen támadásnak esünk áldozatul, akkor csak nagyon nehezen, hosszú hónapok munkájával állíthatjuk helyre a keresők bizalmát.

Mik növelhetik a biztonsági kockázatot?

  • Bővítmények (A nem frissített, elöregedett pluginok)
  • Sablonok (Csak a WordPress.org-ról töltsünk le sablon vagy megbízható forrásból! Egyes ingyenes sablon letöltő oldalakon már fertőzött kóddal rendelkező sablonokat tölthetünk le.)
  • Alaprendszer (Mindig legyen az aktuális legújabb stabil kiadásra frissítve a WordPress rendszerünk.)
  • Egyedi php kódok (Sok oldalon vannak hasznos kódok, azonban ügyeljünk honnan másolunk be kódot az oldalunkba.)
  • Feltöltők (Bármi amiben van fájl –kép, dokumentum, bármi– feltöltési lehetőség, az potenciális veszélyforrás!)
  • Hosting, tárhely. (Nem is gyorsak, túlzsúfoltak, leterheltek. Nem lehet áron alul megfelelő szolgáltatást kapni, a szakértelem gyakori hiányáról ne is beszéljünk.)

Hogyan védekezhetek?

  • Frissítés
  • Apróbb tanácsok
  • Bővítményekkel
  • Frissítés
  • Biztonsági mentés rendszeresen
  • Megbízható tárhely szolgáltatás
  • Frissítés
  • Egyedi, bonyolult jelszó
  • Jelszót sose mentsük a böngészőbe
  • Megfelelő ftp program
  • Frissítés

A legfontosabb védekezés mindig a frissítés. Mind a megjelenésünk – sablonunk, a bővítményeink és az alaprendszer is legyen a legfrissebb stabil verzióra frissítve. Vannak bővítmények, melyekkel fokozható a biztonság, ezek listáját megtekintheted a WordPress.org oldalon. Továbbá érdemes pár tanácsot megfogadni, melyek a folytatásban olvashatóak. A jelszó választásakor vegyük figyelembe, hogy a WordPress rendszer külön karakternek veszi a kis- és nagybetűt. Továbbá számokkal is érdemes gazdagítani jelszavunk vagy felhasználónevünk. Az FTP feltöltő program esetében NE HASZNÁLJUK a Total Commender programot, mert nem biztonságos! A program maga biztonságos, de a benne tárolt ftp adatokat, jelszavakat könnyen kiszedhetik a trójai vírusok vagy kémprogramok. Ha ez megtörténik, akkor a tárhelyen tárolt fájlokhoz és az adatbázishoz is hozzáférhetnek.

Tipp: Olyan jelszót használjunk WordPress oldalunkon, amit máshol nem. Nehéz megjegyezni, de így nehezebben léphetnek be az oldalunkra.

A szolgáltató

Amikor kiválasztjuk honlapunk leendő szolgáltatóját, tárhelyét, nem szabad fogunkhoz verni a garast. Van egy bizonyos összeg (Megközelítőleg olyan ~800Ft/hó) ami alatt nem kaphatunk egyszerűen normális szolgáltatást. Ezen ár alatt a megbízható, minőségi szolgáltatás nem érné meg, veszteséges lenne. Azon szolgáltatók akik ezen ár alatt kínálnak tárhely csomagokat, azok feltehetően túlzsúfolt virtuális szervereket használnak. A buszokon sem szeretjük a tumultust, weboldalunk sem szereti ha túl sok az 1 szerverre jutó weboldalak száma.

A másik tényező a szakértelem. Egy tapasztalt, nagy tudásszinttel rendelkező rendszergazda igen is megkéri a munkájának az árát. A olcsó szolgáltatóknál gyakran jönnek problémák, mert nem bírják beállítani a saját kis szerverüket, virtuális gépüket. Többször találkoztam már (és szerintem sajnos fogok is..) olyan tárhelyesekkel találkozni, ahol a szerver nincs beállítva, minden alapértelmezetten van hagyva. Ez nagy problémát jelent. Arról nem is beszélve, hogy sokszor a kérdéseimre nem tudtak választ adni, netán nem is értették, pedig a saját szerverükről kérdeztem. Egy jó szolgáltató igen is tud válaszolni, tud akár segíteni is és jól van beállítva a szerverük.

A bővítmények

A WordPress veszélyforrások 99%-át a bővítmények sebezhetőségei adják. Ezért is ajánlott egyes funkciók sablonba építése, a bővítmények használata helyett. Csak akkor telepítsünk plugin-t ha feltétlen muszáj. Természetesen a bővítmények is legyenek mindig a legújabb verziójúak és fél vagy egy évnél régebbi (mikor utoljára frissítették) öregebb bővítményt ne is telepítsünk.

Biztonsági mentés

A tárhelyszolgáltatók 99%-ánál van ilyen automatikusan. Azonban ezek többségében csak 24 órásak. A szerveren beállított időben (általában hajnalban, amikor kicsi a forgalom és a szerverek belassulása nem okoz problémát) megtörténik a fájlok és adatbázisok mentése egy külön szerverre. Azonban ezek mindig törlődnek is, így általában csak egy nappal korábbi állapot állítható helyre. Ha a gond bekövetkezte után 3 nappal vesszük észre, már fújhatjuk emiatt.

Így érdemes időnként, fél- vagy negyedévenként saját kezűleg biztonsági mentést készítenünk. Ilyenkor FTP-n letöltjük a fájlokat és lementjük az adatbázist. Erről egy későbbi cikkünkben beszélünk részletesen.

Tanácsaink, ajánlott módosítások

  1. Telepítéskor ne használjuk a sima „Admin” vagy „admin” felhasználónevet. Találjunk ki valami egyedit és egy biztonságos, bonyolult jelszót hozzá.
  2. Töröljük a fölös fájlokat, melyek nem a látogatóknak szólnak! A readme.html és olvasdel.html a WordPress főkönyvtárában helyezkedik el. A telepítő fájlt is töröljük, melyet a /wp-admin/install.php formában és helyen találunk.
  3. Védjük a legfontosabb fájlunkat, a wp-config.php -t! Ez tárolja jelszavunk és hozzáférésünk. Adjuk (vagy hozzunk létre) a .htaccess fájlt az alábbi tartalommal:
    <Files wp-config.php>
    order allow,deny
    deny from all
    </Files>
  4. Tüntessük el a WordPress verziószámát! Erről az alábbi cikkünkben olvashatsz: WordPress fejléc tisztítása
  5. Korlátozzuk a vezérlőpult elérhetőségét az IP címünkre. Ez azoknak ajánlott, akik fix ip címmel rendelkeznek. Így csak mi tudunk belépni majd. A /wp-admin/ mappában hozzunk létre egy új .htaccess-t, melynek tartalma ennyi legyen:
    # Admin ip cim korlatozas
    order deny,allow
    allow from az.en.ip.cimem
    deny from all
  6. Tüntessük el a php és script fájlokat a mappa kilistázásnál. (Alapba ki lehet kapcsolni a mappák tartalmának kilistázását. Ezt htaccess-el vagy a szolgáltató megkérésével tehetjük meg.) A két fájltípus eltüntetéséhez főkönyvtárban lévő .htaccess fájlhoz adjuk hozzá ezt a két sort:
    Options -Indexes
    IndexIgnore *.php *.js

    Amennyiben mi magunk szeretnénk megoldani a saját .htaccess fájlunkkal, akkor az alábbi kódot adjuk hozzá a főkönyvtárban lévő .htaccess-hez:

    IndexIgnore *
  7. Hibaüzenetek eltüntetése a belépő felületről. Ilyenkor üresen fog megjelenni a hibaértesítő mező. Ez a módszer szerintem kissé túlzás, főleg azokon az oldalakon lehet inkább hátrány, ahol engedélyezett a regisztráció és több felhasználó van. A functions.php-hez adjuk a következő sort:
    add_filter('login_errors',create_function('$a', "return null;"));
  8. Védjük rendszerünk a kéretlen beszúrásoktól. A .htaccess fájl jön elő ismételten. Megakadályozza, hogyscript kódot mentsen az adatbázisba a rendszer. FIGYELEM! Ez egyes sablonoknál gondot okozhat, ha azok így szúrnak be scripteket!
    Options +FollowSymLinks
    RewriteEngine On
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]
  9. Azon bővítményeket amiket nem használjuk töröljük. Az inaktív plugin-ok is lehetnek veszélyforrások! Ha nincs aktiválva, akkor nem is kell, törölhető.
  10. Telepítéskor (vagy utólag) módosítsd a tábla előtagot. Alaphelyzetben ez wp_ ami elég jól felismerhető. Változtassuk meg, például így: wp_roti_ -ra vagy teljesen egyedire.
  11. Egy adatbázisba csak egy rendszer legyen! Minél kevesebb az ajtó, annál jobban tudunk védekezni. Ha csak egy rendszer van, akkor azt az 1 ajtót könnyebb védeni.
  12. Figyeljünk a fájl jogosultságokra. A wp-config.php számára és a .htaccess fájlnak elég a #644-es CHMOD, míg a többi fájlnak #755-ös kell. A ../wp-content/uploads/ mappának kell egyedül #777-es jogosultság.
  13. Ne lépjünk be oldalunkra különféle publikus helyekről, internetkávézókból. Továbbá vigyázzunk a Wifi hálózatokkal is, ezeken folyó adatokat idegenek megszerezhetik, így felhasználónevünk és jelszavunk.

Mi baj származhat abból ha feltörik az oldalam?

Forgalom (és ezzel együtt bevétel) csökkenés, visszaesés. Ezek persze a kisebb gondok. A fő problémát a keresők bizalom vesztése és maga a presztízs veszteség okozza, hogy honlapunk vagy blokkolva van, mert támadó webhely vagy pedig egy politikai felhívás gúnyos képe fogadja a látogatókat. Arról nem is beszélve, hogy ha tárolunk bizalmas adatokat, akkor azokat megszerezhetik.

A másik, igazából a szolgáltatónak gondot jelentő probléma, hogy ha egy szerveren feltörnek egy weboldalt, akkor az adott szerveren tárolt többi weblaphoz is hozzáférnek, így percek alatt lehet több tucat vagy akár több száz oldalt is.

Hogyan javítsam a feltört oldalam?

Ez a téma kicsit részletesebb kifejtést érdemel, így egy különálló, későbbi cikkünkben foglalkozunk vele. Az azonban mindenféleképpen megemlítendő, hogy cseréljük le az összes jelszavunkat az összes oldalunkon, gépünkön futtassunk vírus és adathalász kémprogram keresést, továbbá állítsuk vissza egy korábbi biztonsági mentésünk és jelezzük a problémát a tárhely szolgáltatónk felé mihamarabb.

 


WordPress frissítése

Védelmes segítő bővítmények:

  • WordPress Antivirus (angol) – Egy WordPress oldalt védő, ellenőrző bővítmény.
  • WordPress Lockdown (angol) – A belépési kísérletek számát korlátozza, majd az ip-t egy időre tiltja. A bruteforce (túl sok és gyors belépési kísérlet) támadások ellen hatékony védelem.
  • Better WP Security (angol) – Egy újabb bővítmény ami segíti a biztonságosabb oldalt.
  • WP Securty Scan (angol) – Elemzi oldalunkat és felhívja figyelmünket a hibákra.

Források, segédlet

Rottenbacher Tamás

2006 óta foglalkozok weboldal készítéssel és 2007 óta keresőoptimalizációval. WordPress honlapokat 2008 óta készítek. Ha kérdezne írjon hozzászólást vagy email-t a "Kapcsolat" menüpontban.

Közösségi profiljaim:

Honlapunk cookie fájlokat használ, hogy jobb böngészési élményt biztosíthasson és forgalom mérést végezzen.