Fontos biztonsági javaslatok a WordPress admin-felületének védelméhez

A WordPress alapvetően biztonságos, azonban van néhány olyan lépés, amellyel a biztonságot tovább fokozhatod. A következőkben adunk néhány tanácsot, tippet – nem csak kezdőknek – ahhoz, hogy honlapod adminisztrációs felületét megvédhesd az illetéktelenektől. Szeretnénk erősen nyomatékosítani a WordPress admin-felület biztonságának fontosságát! Összehoztunk egy olyan részletes cikket, amiben kitérünk minden olyan szükséges – elengedhetetlen – intézkedésre, ami növeli a WordPress adminfelületének biztonságát.

Azt nem mondjuk, hogy az összes itt leírt tippet, tanácsot fogadd meg, de néhányat mindenképp érdemes alkalmazni a nagyobb biztonság kedvéért a te honlapodnál is. Tegyük minél nehezebbé a heckerek dolgát…

1. Soha ne használd felhasználónévnek az “admin”-t.

A WordPress telepítése után az admin az első felhasználó, ami automatikusan elkészül. Soha nem szabad megtartani, főleg nem használni ezt a felhasználónevet! Nagyon könnyű támadási felületet biztosít, hiszen a két bejelentkezési adat közül az egyik már adott lesz. Tehát elég a másikat megtörni. Ezért mindenképp találj ki egy másik nevet és ruházd fel admin-jogokkal. Próbáljuk meg a nevet úgy megválasztani, hogy ezzel is megnehezítsd a heckerek dolgát. Ha ezzel magvagy, akkor egyszerűen töröld az admin felhasználót a listából!

2. Válassz erős jelszót!

Nagyon kézenfekvő javaslatnak tűnik, de mégis meg kell említenünk, mert nem lehet elégszer nyomatékosítani! Ne használd ugyanazt a jelszót több helyen! Legyen mind teljesen különböző, és nehezen kitalálható. És egy másik fontos dolog jelszóval kapcsolatban: időről időre változtatnunk is kell, így ha valakinek mégis sikerült rájönni az egyikre, azonnal hasznavehetetlen lesz számára, mihelyst lecseréltük…

WordPress biztonság - erős jelszó

3. Hozz létre saját bejelentkező linket

Teljesen nyilvánvaló, hogy az adminfelületre mindenki úgy tud bejutni, hogy beírja az oldal url-jét a /wp-login.php-val. Ha ugyanazt a jelszót több helyen is használtad, ráadásul kockázatos is volt, akkor a hekkereknek könnyű dolga van az oldaladdal. Egy plugin – a Stealth Login – lehetővé teszi számunkra, hogy a be- és kijelentkezésre (valamint az adminisztrációhoz és regisztrációhoz is) egyedi url-eket hozzunk létre a WordPress honlapunkon. Engedélyezhetjük a “Stealth Mode”-t is, ami megóvja a felhasználókat attól, hogy közvetlenül a ‘wp-login.php’ kereszül jelentkezzenek be. Aztán beállíthatod a bejelentkező url-t valami sokkal „titkosabbra”… Ez nem fogja tökéletesen megvédeni a weboldaladat, de ha valakinek mégis sikerül megtörni a jelszót, még mindig meggyűlik a baja a bejelentkezés helyének megtalálásával… Ez azoktól a robotoktól is véd, amelyeket ártó kódok elhelyezésére használnak.

WordPress biztonság

 

4. Korlátozd a belépési kísérleteket

WordPress biztonságNéha a hekkerek azt gondolják, tudják a jelszavunkat, vagy fejleszthetnek olyan eszközt (szkript), amivel kitalálhatják. Ebben az esetben azt kell tennünk, hogy korlátozzuk a belépési kísérletek számát. Ezt könnyedén meg is tehetjük a Login Lockdown nevű bővítmény segítségével: azokat a felhasználókat, akik a megadott lehetőségnél többször elrontják a jelszót, meghatározott időre kizárja a rendszer. A beállításokat a WordPress adminfelületén tudjuk kezelni.

5. Használd a biztonságos SSL belépési oldalakat

Titkosított csatornákon keresztül be tudsz lépni a WordPress Admin-felületére SSL-lel, ami azt jelenti, hogy az URL így kezdődik: https://. Ezt mindenképp pontosítani kell a tárhelyszolgáltatóddal, hogy tudd, megosztott-, vagy saját SSL-kapcsolattal rendelkezel-e. Ha ezt tisztáztad, akkor az alábbi kódot kell bemásolnod a wp-config.php fájlodba:

define(’FORCE_SSL_ADMIN’, true);

Van egy WordPress bővítmény is – az Admin SSL – , ami minden oldalon kényszeríti az SSL használatát. A plugin futtatása a könnyebb megoldás, de ez csak a 2.7-es és az annál újabb verziókkal kompatibilis.

Hozzászólás