A biztonság mindig csak akkor lesz fontos, amikor már késő, és a baj megtörtént. Földrengés sújtotta területeken is mindig a földrengések után kötnek tömegesen lakásbiztosítást, a földrengést megelőző években pedig pang a biztosítási piac. Pedig ha egy kicsit előre gondolkodnánk, akkor meg lehetne előzni a bajt. Nincs ez másként a weben és az informatikában sem. Igen, ez a téma most a biztonságról fog szólni, egy kicsit száraz lesz, de azt ajánlom, hogy olvasd el.
Nem titkoltan a jelenleg is tapasztalható támadásokkal kapcsolatban születik e bejegyzés. Történt ugyanis, hogy egy jelentős méretű botnet hálózatból folyamatosan bombázták a WordPress és Joomla alapú oldalakat brute force módszerrel.
Léteznek szabadon hozzáférhető jelszó listák, melyek a leggyakrabban használt jelszavakat tartalmazzák. A brute force – vagy más néven “nyers erő” – támadások abból állnak, hogy ezeket a népszerű jelszavakat próbálják meg folyamatos próbálkozás mellett összepárosítani az ismert felhasználónévvel. Sajnos sokszor sikerrel.
Például ha a felhasználóneved admin, a jelszavad pedig abc123, akkor ezzel a módszerrel pillanatok alatt bejutnak a felhasználói fiókodba. De akkor sem érezheted magad biztonságban, ha a jelszavad qwerty, 123456, monkey, dragon, iloveyou, vagy ninja. Ezek a jelszavak a 20 legnépszerűbb jelszó listájáról származnak.
Bizonyára ebből már kiderült, hogy a betörések nagy része az emberi tényezőre vezethető vissza. Mert mit ér egy atombiztos rendszer, ha a lustaság miatt gyenge a jelszó? Lehetne mondani a már-már közhelynek számító mondatot: a jelszó legalább 8 karakterből álljon, tartalmazzon kis és nagybetűt, számot, és speciális karaktert. Ha egy ilyen jelszavad van, akkor hasonló támadások ellen biztonságban érezheted magad. A követelményeknek megfelelő jelszó így néz ki: N9tn&H+b
Egyetlen hátránya, hogy nehezen megjegyezhető.
Van egy módszer, amivel könnyen megjegyezhető jelszavat találhatsz ki magadnak. Keress egy közmondást, verset, vagy mondókát, amit könnyen meg tudsz jegyezni. Vegyük például a “Minden jó, ha a vége jó.” közmondást. Ebből készíthetünk magunknak egy jelszót néhány plusz szabály beiktatásával: távolítsuk el belőle a szóközöket, a vesszőt, a végéről a pontot, és cseréljük ki az ó betűket nullára.
Ezt fogjuk kapni: Mindenj0haavégej0!
Ez már egy elég erős jelszó, és könnyen megjegyezhető, a végére még rakhatunk egy felkiáltójelet is, és a speciális karaktert is “letudtuk”. (Nem, ez nem az én jelszavam :) )
WordPress esetében azt szokták javasolni, hogy már telepítésnél írd át az admin felhasználót egy egyedi névre, vagy a saját nicknevedre. A brute force támadások általában az admin felhasználót célozzák. Bár megfelelő eszközökkel nem tart semeddig megtudni a valós felhasználót, ennek ellenére egy átlagos támadás esetén ez már egy újabb gát a behatolók ellen.
Jogosultságok korlátozásával is lehet még operálni. Ha a bejegyzéseket egy csökkentett jogosultságú (pl. szerző vagy közreműködő) felhasználóval írod, akkor máris csökkentetted a feltörés kockázatát. Ha a fiókba be is jutnak, sok dolgot nem tudnak csinálni. Az adminisztrátor felhasználót pedig csak kivételes esetekben vedd elő.
Védelmi mechanizmus lehet még az IP tiltás is. Megadott mennyiségű sikertelen belépés utána a próbálkozó IP címét tiltólistára tehetjük. Erre WordPress esetében ott van például a Login LockDown bővítmény. Ez az egyedi esetekben megoldás nyújthat, de mint a jelenlegi támadások esetében is, egyszerűen túl sok IP címről érkeztek behatolási kísérletek, így ezzel akár a szervert is túlterhelhetjük.
Mentés! Mentés! Mentés! Mindig legyen biztonsági mentés az oldaladról! Válassz olyan tárhelyszolgáltatót, aki legalább napi szinten készít biztonsági mentést, így egy esetleges behatolás esetén lehetőség van visszaállni egy korábbi állapotra.
Ha már megtörtént a baj, akkor erősen ajánlott a forráskódot átnézni, WordPress esetében az alapokat újratelepíteni. Elképzelhető, hogy a behatolás során elhelyeztek egy backdoort, amit később bármikor felhasználhatnak, hogy újra bejussanak az oldal védett részeire.
Néhány egyszerű szabály betartásával tehát nagyban emelhetjük a biztonsági szintet, de tökéletes biztonság nincs. Viszont a cél az, hogy minél több akadályt gördítsük az esetleges behatolók elé. A biztonság fontos! Ne könnyítsd meg a behatolók dolgát!
(A bejegyzésben linkelt külső tartalmak kizárólag etikus célokra használhatók fel!)