A WordPress alapvetően biztonságos, azonban van néhány olyan lépés, amellyel a biztonságot tovább fokozhatod. A következőkben adunk néhány tanácsot, tippet – nem csak kezdőknek – ahhoz, hogy honlapod adminisztrációs felületét megvédhesd az illetéktelenektől. Szeretnénk erősen nyomatékosítani a WordPress admin-felület biztonságának fontosságát! Összehoztunk egy olyan részletes cikket, amiben kitérünk minden olyan szükséges – elengedhetetlen – intézkedésre, ami növeli a WordPress adminfelületének biztonságát.
Azt nem mondjuk, hogy az összes itt leírt tippet, tanácsot fogadd meg, de néhányat mindenképp érdemes alkalmazni a nagyobb biztonság kedvéért a te honlapodnál is. Tegyük minél nehezebbé a heckerek dolgát…
1. Soha ne használd felhasználónévnek az “admin”-t.
A WordPress telepítése után az admin az első felhasználó, ami automatikusan elkészül. Soha nem szabad megtartani, főleg nem használni ezt a felhasználónevet! Nagyon könnyű támadási felületet biztosít, hiszen a két bejelentkezési adat közül az egyik már adott lesz. Tehát elég a másikat megtörni. Ezért mindenképp találj ki egy másik nevet és ruházd fel admin-jogokkal. Próbáljuk meg a nevet úgy megválasztani, hogy ezzel is megnehezítsd a heckerek dolgát. Ha ezzel magvagy, akkor egyszerűen töröld az admin felhasználót a listából!
2. Válassz erős jelszót!
Nagyon kézenfekvő javaslatnak tűnik, de mégis meg kell említenünk, mert nem lehet elégszer nyomatékosítani! Ne használd ugyanazt a jelszót több helyen! Legyen mind teljesen különböző, és nehezen kitalálható. És egy másik fontos dolog jelszóval kapcsolatban: időről időre változtatnunk is kell, így ha valakinek mégis sikerült rájönni az egyikre, azonnal hasznavehetetlen lesz számára, mihelyst lecseréltük…
3. Hozz létre saját bejelentkező linket
Teljesen nyilvánvaló, hogy az adminfelületre mindenki úgy tud bejutni, hogy beírja az oldal url-jét a /wp-login.php-val. Ha ugyanazt a jelszót több helyen is használtad, ráadásul kockázatos is volt, akkor a hekkereknek könnyű dolga van az oldaladdal. Egy plugin – a Stealth Login – lehetővé teszi számunkra, hogy a be- és kijelentkezésre (valamint az adminisztrációhoz és regisztrációhoz is) egyedi url-eket hozzunk létre a WordPress honlapunkon. Engedélyezhetjük a “Stealth Mode”-t is, ami megóvja a felhasználókat attól, hogy közvetlenül a ‘wp-login.php’ kereszül jelentkezzenek be. Aztán beállíthatod a bejelentkező url-t valami sokkal „titkosabbra”… Ez nem fogja tökéletesen megvédeni a weboldaladat, de ha valakinek mégis sikerül megtörni a jelszót, még mindig meggyűlik a baja a bejelentkezés helyének megtalálásával… Ez azoktól a robotoktól is véd, amelyeket ártó kódok elhelyezésére használnak.
4. Korlátozd a belépési kísérleteket
Néha a hekkerek azt gondolják, tudják a jelszavunkat, vagy fejleszthetnek olyan eszközt (szkript), amivel kitalálhatják. Ebben az esetben azt kell tennünk, hogy korlátozzuk a belépési kísérletek számát. Ezt könnyedén meg is tehetjük a Login Lockdown nevű bővítmény segítségével: azokat a felhasználókat, akik a megadott lehetőségnél többször elrontják a jelszót, meghatározott időre kizárja a rendszer. A beállításokat a WordPress adminfelületén tudjuk kezelni.
5. Használd a biztonságos SSL belépési oldalakat
Titkosított csatornákon keresztül be tudsz lépni a WordPress Admin-felületére SSL-lel, ami azt jelenti, hogy az URL így kezdődik: https://. Ezt mindenképp pontosítani kell a tárhelyszolgáltatóddal, hogy tudd, megosztott-, vagy saját SSL-kapcsolattal rendelkezel-e. Ha ezt tisztáztad, akkor az alábbi kódot kell bemásolnod a wp-config.php fájlodba:
[codesyntax lang=”php”]
define(’FORCE_SSL_ADMIN’, true);
[/codesyntax]
Van egy WordPress bővítmény is – az Admin SSL – , ami minden oldalon kényszeríti az SSL használatát. A plugin futtatása a könnyebb megoldás, de ez csak a 2.7-es és az annál újabb verziókkal kompatibilis.