A WordPress a világ első számú, ingyenes tartalomkezelő rendszere, azonban nem szabad megfeledkezni a magára hagyott, vagy nem megfelelően karbantartott oldalak sebezhetőségről. Ha nem foglalkozunk a weboldalunkkal, fokozottan ki lesz téve a hacker támadás veszélyeinek. A következő néhány lépéssel sokat tehetünk, hogy megelőzzük a bajt.
Mit tehetünk, hogy ne váljunk hacker támadás áldozatává?
1) Rendszeresen készíts biztonsági mentést!
Manuális biztonsági mentés
a) Mentés készítése cPanel segítségével
b) All-In-One WP Migration használata.
Előnye:
- 1 kattintással készíthetünk egy export fájlt.
- Kisebb weboldalak frissítése előtt, illetve költöztetés során érdemes használni.
- Ingyenes
Hátránya:
- az ingyenes változat kizárólag 500 MB alatti weboldalak esetében működik.
- Saját formátumba tömöríti az oldalt, így fájlszinten nem lehet visszaállítani.
Automatizált biztonsági mentés
A tárhely szolgáltató automatikus mentése nem mindig megbízható. Néhány éve Magyarország legnagyobb szolgáltatójától kértem egy visszaállítást, mire azt a választ kaptam, hogy sajnos technikai okok miatt csak a 2 hónappal korábbi változatot tudják visszaállítani. Azóta csak abban a mentésben bízok, amit én készítek. Erre több megoldás is létezik, jelenleg az Updraft Plus Premium-ot használom.
Előnye:
- Automatikus biztonsági mentést lehet vele készíteni – havonta / kéthetente / hetente / naponta
- Frissítéskor automatikusan menti külön az adatbázist, a bővítményeket, az uploads könyvtárat. Így ha probléma adódik, lehetőség van a fájlszintű visszaállításra.
2) Honlapod legyen mindig naprakész
A honlap biztonsága érdekében végrehajtott WordPress motor és valamennyi bővítmény folyamatos frissítése kritikus fontosságú. Frissítés előtt készíts biztonsági mentést az oldaladról, néha előfordul, hogy a frissítés hatására bizonyos funkciók, vagy akár a teljes weboldal működésképtelenné válnak. Ebben az esetben tudnod kell fájl szinten visszaállítani a korábbi változatot.
3) Ne használj „admin” felhasználónevet
Nem árt, ha már a felhasználónév is tartalmaz kis- és nagybetűt, számot. A jelszó pedig generált legyen. Erre a célra léteznek online jelszó generátorok.
4) Változtasd meg a WordPress admin elérési útját
WPS Hide Login segítségével könnyedén megváltoztathatjuk az admin felület elérési útját.
5) Használj biztonsági bővítményt
A Wordfence Security egy rendkívül hasznos plugin, hogy csak néhányat említsek a legfontosabb funkciói közül:
- Segítségével érdemes korlátozni a sikertelen bejelentkezési kísérleteinek számát. Alapértelmezett esetben 20-ra van állítva, én ez 2-re szoktam csökkenteni.
- Be lehet állítani, hogy kizárás esetén hány óráig / napig tartson a blokkolás
- Ha bárki bejelentkezik az admin felületre, automatikus értesítést kapunk
- A rendszer figyeli a bővítményeinket, ha valamelyiknek új verziója jelenik meg, értesítést kapunk.
- Prémium előfizetés esetén (25$ / év) olyan extra szolgáltatásokat vehetünk igénybe, mint akár az internet banknál használatos mobil bejelentkezés, vagy ország / IP cím szerinti kizárás. Sok esetben például Ázsiából jönnek támadások. A rendszer minden egyes kísérletet jelezi a támadó helyét és IP címét.
Legutóbb egyik honlapomnál úgy jártam, hogy éjjel 2 és délelőtt 10 óra között percenként kísérelték meg az oldal feltörését. A veszély akkor hárult el végleg, mikor átneveztem az admin felület elérési útját a Rename-WP-login plugin-nal.
5) xmlrpc.php törlése
A fájl a WordPress gyökér könyvtárában található, alapvető funkciója a blogok közötti visszajelzések kezelése. A rendszer használói azonnali értesítést kapnak arról, ha egy másik blog hivatkozott rájuk. A sebezhetőség miatt azonban nem ajánlott használni ezt a funkciót, sőt, a legjobb, ha töröljük az xmlrpc.php fájlt tárhelyünkről. WordPress motor frissítés után a fájl visszakerül, ezért a törlést minden update után manuálisan el kell végezni. A fájl eltávolítása nem fog fennakadást okozni a honlap működésében.
Amennyiben úgy gondolod, hogy nem szeretnél ezekkel a dolgokkal foglalkozni, engedd meg, hogy figyelmedbe ajánljam WordPress karbantartás szolgáltatásomat.