Barion Pixel
Ez itt a lifelong learning

Sosem tudhatsz eleget!

Blog

Segédlet

Védd magad! Hackerek a WordPressben

2021. április 11. | Bognár Péter

# # # #

Az internet veszedelmes hely- ezt elméletben mindenki tudja, de az emberi természet már csak olyan, hogy amíg valaki nem égeti meg magát valójában, hajlamosabb kevésbé komolyan venni a veszélyt, hiába tud róla elméletben. Ennek ellenére a veszélyek persze valósak, és még ha úgy is érzed, hogy kicsi az esélye, hogy pont veled történik meg a baj és töri fel valaki az oldaladat, jobb néhány alapvető biztonsági előírást betartani – ha úgy tetszik inkább, babonából, hátha akkor elkerül a baj :-)

A WordPress, mint célpont

Miért van egy WordPress oldal nagyobb veszélyben? A válasz nem bonyolult, egyszerűen jobban megéri a hackereknek olyan rendszerekre összpontosítani, ahol a a lehető legtöbb esélyük van az esetleges biztonsági réseket kihasználni, azaz ahol a legtöbb oldalt találhatják. A WordPressről pedig tudjuk, hogy magasan a legelterjedtebb CMS rendszer az egész interneten. 

Kép: Pixabay

Az, hogy a kalózok mit akarnak, ha feltörnek egy oldalt, változó: van, aki csak gyakorlásból teszi, de a leggyakoribb cél manapság a malware, azaz rosszindulatú programok terjesztése (azaz mások gépének megfertőzése) vagy a spam szórása, de az is lehet, hogy egyszerűen kizárnak az oldaladról – semmiképp nem kellemes a dolog.

Az alábbiakban néhány alapvető biztonsági szabályt fogok összeszedni, amiket érdemes fontolóra venni. Természetesen a biztonság kérdésköre is egy feneketlen gödör, ha az ember minden lehetséges támadási irányt be akar védeni, soha nem fog a felsorolás végére érni. Nem kizárt, hogy valamikor egy nagyobb terjedelmű cikkben is kivesézem majd a komplikáltabb védekezési módszereket, de az itt összeszedett módszerek azok, amiket elsődlegesen mindenképpen észben kell tartani.

Jelszavak

Persze, hogy a jelszavam a kutyám neve! A kutyámat hgYD[lhpz67&gzir-nak hívják és havonta újranevezem.

-régi rendszergazda vicc

Alapvető, hogy a felhasználónév és jelszó-kombinációd erős, biztonságos legyen – de nem csak a wp-admin jelszónál kell észnél lenned, érdemes odafigyelni minden lényeges hozzáférési pontra is, legyen biztonságos és különböző tehát: 

  • A WordPress admin belépő
  • A web hosting szolgáltatód belépési jelszava
  • az FTP belépők
  • a MySQL adatbázis admin jelszava
  • az email fiókod jelszava, amit a WP oldaladhoz használsz

Sajnos ezek közül soknál be lehet egyszerű brute force módszerrel próbálkozni, valamint a social media korában a születésnapok, gyerek, feleség, kedvenc Marvel-hős neve sem számít kideríthetetlen információnak.  

Érdemes lehet megfontolni a WPS Hide Login plugin használatát (bár a pluginokról mindjárt külön lesz szó, és persze a túl sok plugin a sebesség szempontjából sem tesz jót az oldalaknak), ez ugyanis segít elmozdítani az adminisztrátori belépő címet a jól ismert URL/wp-login.php címről, ahol a hackerek és szaglászó robotkáik alapból keresik. 

Friss anyagból dolgozz!

Általában elmondható, hogy a biztonsági réseket a védelmi szakemberek nem sokkal a hackerek után felfedezik – néhanapján akár még előttük is. A jó hír, hogy ilyenkor az érintett rendszerelem fejlesztői jobbára összekapják magukat és gyorsan kijavítják a hibát. A rossz hír, hogy mivel ennek mindig jelentős sajtója akad, egy ilyen kör után már az a lusta hacker is ismeri a felfedezett biztonsági lyukat, aki amúgy nem is gondolt volna rá, úgyhogy fel is veszi a repertoárjába. 

Mi következik ebből? lehetőség szerint mindenből friss, naprakész változatot kell használni. A WordPress motor maga is viszonylag gyakran frissül: bár nem teljesen kockázatmentes, érdemes megfelelő körültekintéssel nekiveselkedni az update-eknek. A lehetőség szerint tartsd a legfrissebb verzión a szerveren futó php verziót is – a php két évig kap frissítéseket, azután már nagyon rizikós a használata.

Ugyanez a szabály vonatkozik a WP pluginokra is. Ezek adják a WordPress savát-borsát, de lényegében minden egyes plugin egyfajta újabb biztonsági kockázat. Alapvető szabály, hogy próbálj friss, karban tartott pluginokat használni, és persze a legfrissebb verzión tartani őket. Ha a használt pluginjaid támogatása megszűnt, a legbiztosabb, ha keresel egy újat a helyére, ami ugyanazt vagy valami hasonlót tud.

Még egy fontos szabály: “okosba” sose szerezz plugint (meg szoftvert sem általában)! Bármilyen csábító ingyen megszerezni a drága fizetős prémium plugint, bizony csak akkor tudod meg, hogy volt-e még valami “szeretetcsomag” mellé csomagolva, ha már túl késő. 

Nagy vonalakban ezek a legfőbb alapszabályok, a lényeg, hogy az internetes életben a legfontosabb szabály a paranoia, egy kis aggodalom soha nem tud megártani, legfőképp pedig, ha már az alapvető tervezésnél nem tartod be ezeket az alapelveket (pl. elavult pluginokra alapozod a designt), később komoly kutyaszorítóba kerülhetsz.

Iratkozz fel YouTube csatornákra!

blog

Tanulás Designer Karrier Kérdezz-Felelek

Designer Karrier Kérdezz-Felelek

2022. január 25.

A múlt hét végén megtartott Kreatív Karriernavigátor nap után nagyon sok kérdés jött hozzánk, ezekre tegnap egy rögtönzött FB Live-ban válaszoltam, illetve fel tudtatok tenni egyéb kapcsolódó kérdéseket is. Kiből lehet designer? Én azt gondolom, hogy nem kell hozzá extra képesség. Nyilván aki tudja magáról, hogy általában nincs szépérzéke, nehezebben fog boldogulni, de már sok […]

Tovább a cikkre
Secured By miniOrange