Barion Pixel
Segédletek

Védd magad! Hackerek a WordPressben

2021. április 11. | Bognár Péter

# # # #

Az internet veszedelmes hely- ezt elméletben mindenki tudja, de az emberi természet már csak olyan, hogy amíg valaki nem égeti meg magát valójában, hajlamosabb kevésbé komolyan venni a veszélyt, hiába tud róla elméletben. Ennek ellenére a veszélyek persze valósak, és még ha úgy is érzed, hogy kicsi az esélye, hogy pont veled történik meg a baj és töri fel valaki az oldaladat, jobb néhány alapvető biztonsági előírást betartani – ha úgy tetszik inkább, babonából, hátha akkor elkerül a baj :-)

A WordPress, mint célpont

Miért van egy WordPress oldal nagyobb veszélyben? A válasz nem bonyolult, egyszerűen jobban megéri a hackereknek olyan rendszerekre összpontosítani, ahol a a lehető legtöbb esélyük van az esetleges biztonsági réseket kihasználni, azaz ahol a legtöbb oldalt találhatják. A WordPressről pedig tudjuk, hogy magasan a legelterjedtebb CMS rendszer az egész interneten. 

Kép: Pixabay

Az, hogy a kalózok mit akarnak, ha feltörnek egy oldalt, változó: van, aki csak gyakorlásból teszi, de a leggyakoribb cél manapság a malware, azaz rosszindulatú programok terjesztése (azaz mások gépének megfertőzése) vagy a spam szórása, de az is lehet, hogy egyszerűen kizárnak az oldaladról – semmiképp nem kellemes a dolog.

Az alábbiakban néhány alapvető biztonsági szabályt fogok összeszedni, amiket érdemes fontolóra venni. Természetesen a biztonság kérdésköre is egy feneketlen gödör, ha az ember minden lehetséges támadási irányt be akar védeni, soha nem fog a felsorolás végére érni. Nem kizárt, hogy valamikor egy nagyobb terjedelmű cikkben is kivesézem majd a komplikáltabb védekezési módszereket, de az itt összeszedett módszerek azok, amiket elsődlegesen mindenképpen észben kell tartani.

Jelszavak

Persze, hogy a jelszavam a kutyám neve! A kutyámat hgYD[lhpz67&gzir-nak hívják és havonta újranevezem.

-régi rendszergazda vicc

Alapvető, hogy a felhasználónév és jelszó-kombinációd erős, biztonságos legyen – de nem csak a wp-admin jelszónál kell észnél lenned, érdemes odafigyelni minden lényeges hozzáférési pontra is, legyen biztonságos és különböző tehát: 

  • A WordPress admin belépő
  • A web hosting szolgáltatód belépési jelszava
  • az FTP belépők
  • a MySQL adatbázis admin jelszava
  • az email fiókod jelszava, amit a WP oldaladhoz használsz

Sajnos ezek közül soknál be lehet egyszerű brute force módszerrel próbálkozni, valamint a social media korában a születésnapok, gyerek, feleség, kedvenc Marvel-hős neve sem számít kideríthetetlen információnak.  

Érdemes lehet megfontolni a WPS Hide Login plugin használatát (bár a pluginokról mindjárt külön lesz szó, és persze a túl sok plugin a sebesség szempontjából sem tesz jót az oldalaknak), ez ugyanis segít elmozdítani az adminisztrátori belépő címet a jól ismert URL/wp-login.php címről, ahol a hackerek és szaglászó robotkáik alapból keresik. 

Friss anyagból dolgozz!

Általában elmondható, hogy a biztonsági réseket a védelmi szakemberek nem sokkal a hackerek után felfedezik – néhanapján akár még előttük is. A jó hír, hogy ilyenkor az érintett rendszerelem fejlesztői jobbára összekapják magukat és gyorsan kijavítják a hibát. A rossz hír, hogy mivel ennek mindig jelentős sajtója akad, egy ilyen kör után már az a lusta hacker is ismeri a felfedezett biztonsági lyukat, aki amúgy nem is gondolt volna rá, úgyhogy fel is veszi a repertoárjába. 

Mi következik ebből? lehetőség szerint mindenből friss, naprakész változatot kell használni. A WordPress motor maga is viszonylag gyakran frissül: bár nem teljesen kockázatmentes, érdemes megfelelő körültekintéssel nekiveselkedni az update-eknek. A lehetőség szerint tartsd a legfrissebb verzión a szerveren futó php verziót is – a php két évig kap frissítéseket, azután már nagyon rizikós a használata.

Ugyanez a szabály vonatkozik a WP pluginokra is. Ezek adják a WordPress savát-borsát, de lényegében minden egyes plugin egyfajta újabb biztonsági kockázat. Alapvető szabály, hogy próbálj friss, karban tartott pluginokat használni, és persze a legfrissebb verzión tartani őket. Ha a használt pluginjaid támogatása megszűnt, a legbiztosabb, ha keresel egy újat a helyére, ami ugyanazt vagy valami hasonlót tud.

Még egy fontos szabály: “okosba” sose szerezz plugint (meg szoftvert sem általában)! Bármilyen csábító ingyen megszerezni a drága fizetős prémium plugint, bizony csak akkor tudod meg, hogy volt-e még valami “szeretetcsomag” mellé csomagolva, ha már túl késő. 

Nagy vonalakban ezek a legfőbb alapszabályok, a lényeg, hogy az internetes életben a legfontosabb szabály a paranoia, egy kis aggodalom soha nem tud megártani, legfőképp pedig, ha már az alapvető tervezésnél nem tartod be ezeket az alapelveket (pl. elavult pluginokra alapozod a designt), később komoly kutyaszorítóba kerülhetsz.

Iratkozz fel 7 napos ingyenes, alapozó webdesign kurzusunkra!

Kipróbálom

blog

Segédletek Google Update: Közeleg a Page Experience Index

Google Update: Közeleg a Page Experience Index

2021. május 05.

A Google, mindig csak a Google. Lássuk be, a Bing algoritmus mélyreható változtatásairól nem sok teteje lenne cikket írni, az ilyesmi csak szimpla érdekesség. Viszont ha a Google hozzányúl kicsit a mérőszámokhoz, azt túlzások nélkül az egész világgazdaság megérzi. A következő update pedig már az ajtón kopogtat (egy kis haladékkal): az eredetileg 2021 májusra bejelentett […]

Tovább a cikkre