Szeretnénk a lehető legjobban nyomatékosítani a WordPress és a WordPress admin-felület biztonságának fontosságát! Összehoztunk egy olyan részletes cikket, amiben kitérünk minden olyan szükséges – elengedhetetlen – intézkedésre, ami növeli a WordPress adminfelületének biztonságát.
Korábban már írtunk egy cikket a WordPress admin felületének védelméről. Ezt a cikket kiegészíti a Login LockDown bővítmény bemutatása című bejegyzés.
Mindig frissíts a legújabb WordPress verzióra!
A legfontosabb dolog, hogy mindig frissítsd a WordPresst és a hozzá tartozó bővítményeket! Az újabb verziók mindig tartalmaznak javító csomagokat. Persze előfordul olyan is, hogy az újabb verzióban biztonsági réssel találkozhatunk, de ezzel együtt is érdemes frissíteni. Minden újabb verzió tartalmazza ugyanis a korábbi verzióknál “kibukott” bugok és sebezhető pontok javítását – ezzel együtt magukat a hibákat is -, vagyis komoly veszélynek teszed ki az oldalad, ha nem frissítesz!
Távolítsd el a WordPress verzióbejegyzést a header-ből
Ezzel is növelve az oldalad biztonságát. A sablonod header.php fájljában találsz egy ilyen sort:
[codesyntax lang=”php”]
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />[/codesyntax]
Ez az ami megmondja, hogy éppen mely WordPress verziót használod és jó, ha ez az információ nem publikus…
Ha kezdő vagy, akkor használhatod a WordPress Remove Version bővítményt is a fenti sorok elrejtésére, de ha a következő sort beszúrod a sablonod functions.php fájljába, már az is elegendő:
[codesyntax lang=”php”]
remove_action('wp_head', 'wp_generator');[/codesyntax]
Jelszóval védett WP-Admin könyvtár
Korábban már írtunk az admin felület védelme .htaccess-szel című cikkünkben erről a védekezési módról. Nincs azzal semmi baj, ha két jelszavunk is van! Ez csak eggyel magasabbra emeli a biztonsági szintent a WordPress admin-felületén.
Korábban nem említettük, de ezt megtehetjük WordPress bővítmény használatával is. Ez a plugin az AskApache Password Protect. Ez kódolja a jelszót, és létrehozza a .htpasswd fájlt is, és beállítja a megfelelő biztonsági szintű engedélyeket is mindkettőn.
Hibaüzenetek eltávolítása a bejelentkező oldalról
Ha rossz jelszót vagy érvénytelen felhasználónevet írunk be, akkor kapunk egy hibaüzenetet a bejelentkező oldalon. Vagyis, ha a betörő már valamit kitalált, a hibaüzenet segíthet neki a pontosításban, azonosításban. Éppen ezért javasoljuk, hogy ezt a hibaüzenetet teljes egészében távolítsd el. Nyisd meg a a theme mappában találhatór functions.php -t, és másold be a következő kódot:
[codesyntax lang=”php”]
add_filter('login_errors',create_function('$a', "return null;"));[/codesyntax]
Ugyanezt megteszi nekünk egy plugin is: Secure WordPress , sőt, ez tud még valami mást is! Nézd csak meg, ha érdekel! Mi javasoljuk a használatát!
Használj kódolt jelszót a belépéshez
Ha az SSL nincs nálad engedélyezve, ez a módszer különösen jól jöhet. Erre is van egy bővítmény, ami elvégzi helyettünk a munkát: Semisecure Login Reimagined. Ez az alkalmazás növeli a belépés biztonságát azzal, hogy belépéskor kódolja a jelszót felhasználói oldalon (nyilvános kulccsal), majd a szerver kikódolja egy privát kulccsal. A kódolás engedélyezéséhez JavaScript szükséges.
Egyszerhasználatos jelszavak
One Time Password plugin lehetővé teszi, hogy kevésbé biztonságos helyeken (mint például egy internet-kávézó) egyetlen alkalomra szóló jelszóval léphetünk be az adminfelületre, megakadályozva ezzel, hogy ellopják a fő wp-jelszavunkat.
WordPress AntiVirus védelem
AntiVirus bővítmény okos és hatékony megoldás a blogunk megvédésére. Választhatjuk a kézi (Manual) tesztelést, ami azonnali eredményeket közöl a fertőzött, módosított fájlokról, vagy beállíthatjuk a napi automatikus ellenőrzést (Daily), aminek eredményéről pedig e-mailben kapunk értesítést.
WordPress tűzfal bővítmény
A WordPress Firewall Plugin felderíti és loggolja a gyanús paramétereket, így megóvja a WordPresst a támadásoktól. A legtöbb bővítményt is védi ugyanattól a támadástól. A biztonság növelése érdekében beállíthatod azt is, hogy ez legyen az első plugin, ami betöltődik. Lehetőséged lesz kérni egy e-mailt is, amelyben egy csomó hasznos információt kaphatunk a lehetséges támadásokról, a lehetséges kivédésükről, és még egy sor más dologról is.
Mivel sehol más módon nem találtam módját, hogy írjak nektek, így itt teszem. Kérdésem az lenne, hogy a wordpress a cikkek, vagy bejegyzések tartalmát (oldalak tartalma) az adatbázisban, vagy fájlokban tárolja e?
Szia. Adatbázisban tárolódnak a cikkek. Azon belül a _post táblában.
Sziasztok! Feltelepítettem az Antivirus plugint és egy csomó fájlra azt jelzi, hogy fertőzött. Mit csináljak?
Szia. Ahhoz, hogy pontos választ tudjunk adni, ismerni kellene, hogy pontosan miket jelez az antivirus bővítmény. Pl. ha timthumb.php-t használ a sablonod, akkor biztos, hogy gyanúsnak fogja találni. Mivel a progiban vannak olyan sorok, melyek gyanúsak számára. Ilyen pl. a base64_decode. Ha máshol talál ilyeneket, akkor azt alaposan meg kell nézni, mert nagyon gyanús, hogy valami hackelt sablonod van.
Szia. Köszönöm a választ. Valóban a timthumb-ra jöttek a hibaüzenetek. Szuper a timthumbos plugin is. Köszönjük a cikket róla! 🙂