A WordPress weboldal biztonság 1. részében 8 tippet is olvashattál, amik beállításával biztonságossá teheted saját weboldaladat. Ebben a részben pedig további 9 hasznos tanácsot osztok meg Veled. Érdemes elolvasni és elvégezni a szükséges beállításokat!
Ha lemaradtál volna az 1. részről, akkor ide kattintva olvashatod el.
Nézzük is meg a további beállítási lehetőségeket!
Használj bővítményt a WordPress weboldal biztonsága érdekében
Ne csak a számítógépedet, laptopodat védd, hanem a weboldaladat is! Számos ingyenes és fizetős biztonsági bővítmény található, ezek könnyen telepíthetőek, beállíthatóak (legtöbbször a gyári beállítás is megfelelő védelmet nyújt). Használd az All in one WP Security, iThemes Security, Wordfence Security, vagy a Loginizer bővítmények egyikét.
Korlátozd a bejelentkezési kísérletek számát
A megfelelően biztonságos jelszó és felhasználónév használata ugyan már megnehezíti a hackerek dolgát, azonban sok esetben alkalmazzák az úgynevezett „brute force” típusú támadásokat. Ez azt jelenti, hogy a támadó botok számtalan felhasználónév és jelszó kombinációval próbálnak meg belépni a weboldaladra. Minél többször próbálkoznak újra és újra (napokon keresztül is) előbb-utóbb kideríthető a megfelelő felhasználónév-jelszó párosítás.
Ennek elkerülésére a legjobb megoldás, ha korlátozzuk, hogy egy adott IP címről maximum hány belépési kísérletet lehet végrehajtani. Beállíthatod a lehetséges belépési kísérletek számát, azt, hogy mennyi sikertelen kísérlet után legyen letiltva az IP cím (pl. 2-5 kísérlet után), illetve, hogy utána mennyi időre legyen letiltva (1 óra, 1 hét stb.).
Ezeket a beállításokat a már fentebb említett biztonsági bővítmények segítségével is betudod állítani.
Változtasd meg az admin bejelentkezési felület URL-jét
WordPress weboldal esetében az admin belépési felület URL-je a domain/wpadmin vagy a domain/wp-login.php részek kombinációjaként érhető el. Az automatizált, „brute force” típusú támadásokkal könnyedén támadhatják ezeket a „gyári” URL-eket. Ha megváltoztatod a felület elérhetőségét, akkor már ennyivel is megnehezíted a hackerek munkáját.
Erre alkalmas bővítmény lehet a WPS Hide login vagy az All in One WP Security. Fontos, hogy magadnak is feljegyezd az új URL-t és ne felejtsd el!
Állítsd be a kétlépcsős hitelesítést mikor belépsz
A kétlépcsős hitelesítés folyamatával bizonyára Te is találkoztál, mert már szinte mindenhol alkalmazzák (online fizetéskor, email fiókba belépéskor, banki ügyintézéshez stb.). Nem hiába hiszen ez egy plusz védelmet nyújt a felhasználóknak! Ezt WordPress weboldal esetében is alkalmazhatod!
Ez azt jelenti, hogy az admin felületre való belépéshez a jelszavadon kívül beállíthatsz egy hitelesítő kódot is, amit megkapsz (alkalmazáson belül, vagy sms-ben), így, ha azt a kódot is begépeled, betudsz lépni a felületre. Ezzel egy plusz lépést iktatsz be a bejelentkezési folyamatba. Ilyen WordPress bővítmény például a miniOrange Authenticator.
Telepítéskor változtasd meg a ’wp_’ előtagot
A WordPress telepítésekor alapértelmezetten jelenik meg a „wp_” adatbázis előtag, ezt ismerve bizonyos típusú támadások alkalmával könnyebben megtámadható az adatbázis. Azonban ezt át tudod írni bármire, amire akarod (mindenképpen jegyezd meg, írd fel valahova, hogy mire változtattad meg), ezzel is megnehezítve a támadók dolgát.
Módosítsd bizonyos időközönként jelszavaidat
Ez nemcsak a WordPress admin felületén lévő jelszavadra és felhasználónevedre érvényes, hanem minden olyan egyéb felületre, ami a weboldaladhoz kapcsolódik (céges email fiók, tárhely, stb.) Itt is ugyanaz érvényes: legyen több karakteres, kis-és nagybetűs, számokkal, speciális karakterekkel ellátott bonyolultabb, hosszabb jelszavad.
TIPP: Használj jelszó kezelő programot! A jelszó kezelő program automatikusan kitölti az adatainkat, így nem kell begépelnünk azokat. Időt spóról meg Neked, biztonságosabb és nem kell félned, hogy elfelejted a jelszavadat (mindenkivel előfordult már). Ezek többsége két lépcsős azonosítással van ellátva, nem WordPress bővítményként tudod alkalmazni, hanem külön szoftverek. Rengeteg jelszó tárolására alkalmasak ezek a programok.
Jelszó kezelő programok: LastPass, 1Password, NordPass.
WordPress weboldal hozzáférés
Gondold meg kinek adsz hozzáférést! Elképzelhető, hogy több személynek is van egy cégen belül hozzáférése a weboldal admin felületéhez azért, hogy könnyebb és gyorsabb legyen elvégezni 1-1 módosítást, azonban ilyenkor fontos azt is szem előtt tartani, hogy a belépési adatokkal könnyen vissza is lehet élni.
A belépést követően számos mód van arra, hogy valaki a weboldalt károsítsa, akadályozza annak működését vagy adatokat töröljön. Így, mielőtt bárkinek is megadod a belépési adatokat gondold át, hogy valóban szükséges-e és csak olyan személyeknek adj hozzáférést, akikben megbízol!
Legyen SSL tanúsítványod
Az SSL (Secure Sockets Layer) tanúsítvány célja, hogy egy titkosított és biztonságos csatornát hozzon létre az információk számára. Így védi például a bejelentkezési adatokat, hitelkártya adatokat, egyéb személyes adatokat.
Az SSL tanúsítvány megléte nemcsak biztonsági okokból lényeges, de a bizalom kiépítésben is fontos szerepet játszik (mindemellett a Google is jobban értékeli azokat a weboldalakat, ahol be van állítva).
TIPP: Az SSL tanúsítványt a legtöbb tárhelyszolgáltatónál lehet igényelni (ingyenesen), így, ha még Neked nincs, akkor mindenképpen vedd fel a kapcsolatot Velük!
Használj CAPTCHA-t a bejelentkezéshez és a regisztrációs űrlapoknál
A CAPTCHA egy olyan automatikus teszt, ami képes megkülönböztetni az emberi felhasználót a számítógéptől, botoktól. Ezekkel jellemzően akkor találkozhatsz, amikor egy űrlapot töltenél ki, bejelentkeznél egy adott felületre, vagy letöltenél egy képet, illusztrációt. A teszt során helyesen végre kell hajtanunk egy feladatot (például beírni egy kódot, kiválogatni bizonyos képeket stb.).
Ha a weboldalad már rendelkezik SSL tanúsítvánnyal és HTTPS kapcsolattal, erős felhasználónevet, jelszót használsz, akkor máris sokat tettél az oldalad védelmében. Azonban tovább nehezítheted a dolgot, ha a bejelentkezési felülethez, űrlapokhoz CAPTCHA-t használsz. Ez a módszer a ’brute force’ típusú támadások ellen megfelelő védelmet nyújt.
Használhatod ezeket a bővítményeket: Login No Captcha reCAPTCHA, Login Security reCAPTCHA vagy a Google reCAPTCHA szolgáltatását.
Alkalmazd a beállításokat (ne csak WordPress weboldal esetében)
A fenti listában (és a blogsorozat 1. részében) sok olyan biztonsági eljárást, tippet találsz, amelyek segítenek megvédeni a WordPress weboldaladat az illetéktelen behatolóktól.
Tartsd mindig szem előtt, hogy a biztonság az egyik legfontosabb egy weboldal esetében! Nemcsak a látogatók adatainak védelme érdekében, de a saját munkád érdekében is. Ne hagyd, hogy kárba vesszen az a sok munka, amit a weboldalad tökéletesítésére fordítottál!
Ha pedig mégis megtörténne a baj, biztonsági mentéseket használva visszaállíthatod a weboldaladat. Ebben az esetben mindenképpen változtasd meg a jelszavaidat a lehető leghamarabb!