WordPress Biztonsági Útmutató 2024: Hatékony Módszerek a Támadások Megállítására

0
Túl bonyolult a folyamat? Kérd nyugodtan a segítségünket a probléma megoldásában! Kapcsolat

A WordPress, mint az egyik legnépszerűbb tartalomkezelő rendszer, gyakran célpontja különböző támadásoknak. Ahogy egyre több weboldal épül erre a platformra, úgy nő a biztonsági kockázatok száma is. A megfelelő védelem kialakítása nemcsak a weboldal stabilitását és rendelkezésre állását biztosítja, hanem a felhasználói adatok védelmét is elősegíti. Ebben a cikkben bemutatjuk a legfontosabb biztonsági lépéseket és stratégiákat, amelyekkel megvédheted WordPress oldaladat a gyakori támadások ellen, így minimalizálhatod a veszélyeket és fenntarthatod a weboldalad megbízhatóságát.

Alkalmazástelepítő és Menedzser használata

Javasolt a nálunk elérhető Softaculous csomagtelepítővel történő alkalmazástelepítés. A WordPress alkalmazás telepítésének folyamatában beállítható, hogy a későbbiekben automatikusan frissítse a WordPress alkalmazást, a plugineket és a témákat is! Így jelentősen csökkenthető a biztonsági hibák által előforduló behatolások száma és a weboldala forráskódja is naprakész lesz.

Proaktív szűrők és biztonsági pluginek használata

A következő biztonsági pluginek telepítésével tovább növelhetjük az oldal védelmét:

1. Sucuri Security
    • Funkciók: A Sucuri egy teljes körű weboldal biztonsági megoldás, amely valós idejű monitoringot, tűzfalat, malware keresést, valamint a sebezhetőségek folyamatos figyelését biztosítja.
    • Előnyök: Képes a WordPress core fájlok, témák és bővítmények integritásának ellenőrzésére, és megakadályozza a káros fájlok elhelyezését.
    • Tűzfal védelem: A fizetős verzióban egy web application firewall (WAF) védi a webhelyedet az ismert támadási módszerektől.
2. Wordfence Security
    • Funkciók: A Wordfence az egyik legnépszerűbb WordPress biztonsági plugin, amely tartalmaz malware keresőt, végrehajtásvédelmet, és egy tűzfalat. Képes figyelmeztetni a sebezhetőségekről és megelőzi a káros fájlok elhelyezését.
    • Káros fájlok szűrése: A plugin rendszeresen ellenőrzi a fájlokat, és ha bármi gyanúsat talál, automatikusan értesítést küld.
    • Valós idejű védelem: A fizetős verzió valós idejű IP blokkolást és ország alapú tiltásokat is lehetővé tesz.
3. iThemes Security
    • Funkciók: Az iThemes Security egy másik népszerű választás, amely megakadályozza a webhely gyenge pontjainak kihasználását. Automatikusan zárolja az IP-címeket, és megakadályozza a rosszindulatú fájlok feltöltését.
    • Fájlintegritás ellenőrzés: Ez a funkció figyeli a webhely fájljait, és értesít, ha bármilyen változást észlel a fájlokban.
    • Kétlépcsős hitelesítés: Ezzel növeli az adminisztrációs felület biztonságát.
4. MalCare Security
    • Funkciók: Kiváló választás olyan webhelyek számára, amelyek napi malware ellenőrzést igényelnek. Automatikusan tisztítja a fertőzött fájlokat, és védi az oldaladat a hackelési kísérletek ellen.
    • Egy kattintásos tisztítás: Automatikus tisztítást biztosít a káros fájlok esetén.
    • Tűzfal: A tűzfal megakadályozza a támadások nagy részét még mielőtt elérnék a tárhelyet.
5. All In One WP Security & Firewall
    • Funkciók: Ez az ingyenes plugin többféle biztonsági funkciót kínál, beleértve a fájlok védelmét, malware ellenőrzést és a tűzfal beállításokat.
    • Fájlvédelem: Monitorozza a fájlokat és megakadályozza a káros fájlok módosítását vagy feltöltését.
    • Könnyen kezelhető: Ideális kezdőknek, mivel felhasználóbarát felületet biztosít.

Külső ellenőrző eszközök használata

Az interneten számtalan eszközt találhatunk, amely segít az ilyen típusú problémák felderítésében. Fontos tudni, hogy bár ezek hatékonysága jó, de előfordulhat, hogy nem minden kártékony módosítást és sérülékenységet jelez! Az egyik ilyen ingyenes ellenőrzőeszköz: Sucuri SitecheckVirusTotal

Egyedi bejelentkező link létrehozása

Hatékonyan rejthetjük el vagy maszkolhatjuk a különböző könyvtástruktúrákat, URL-ek elérését az alábbi alkalmazásokkal.

1. WPS Hide Login
    • Funkciók: Ez egy egyszerű, könnyen kezelhető plugin, amely lehetővé teszi az adminisztrációs belépési URL módosítását anélkül, hogy megváltoztatná a WordPress alapfájljait.
    • Előnyök: Nagyon könnyű beállítani, és nem terheli meg az oldalt. Kizárólag az URL-t változtatja meg, így a belépési oldalt csak az új URL-en keresztül lehet elérni.
    • Használata: Telepítés után az adminisztrációs felületen beállíthatsz egy új belépési URL-t, például yourwebsite.com/custom-login.
2. iThemes Security (korábban Better WP Security)
    • Funkciók: Az iThemes Security egy átfogó biztonsági plugin, amely számos funkciót kínál, beleértve a belépési URL megváltoztatását.
    • Előnyök: A plugin nem csak a belépési URL módosítását teszi lehetővé, hanem további biztonsági funkciókat is nyújt, például kétlépcsős hitelesítést, fájlvédelmet, IP-zárolást és még sok mást.
    • Használata: Az admin URL megváltoztatásához aktiváld a „Hide Backend” funkciót, és add meg az új belépési URL-t.
3. All In One WP Security & Firewall
    • Funkciók: Ez az ingyenes plugin nemcsak a belépési URL módosítását teszi lehetővé, hanem több biztonsági funkciót is kínál, mint például brute force támadások elleni védelem, fájlintegritás ellenőrzés, és egy tűzfal.
    • Előnyök: Egyszerű beállítás, átfogó biztonsági megoldás a WordPress számára. Képes értesítéseket küldeni a belépési kísérletekről és más biztonsági fenyegetésekről.
    • Használata: Az adminisztrációs panelen megadhatsz egyedi belépési URL-t, és blokkolhatod az alapértelmezett wp-admin hozzáférést.
4. LoginPress
    • Funkciók: Eredetileg a belépési oldal testreszabására tervezték, de tartalmaz egy funkciót a belépési URL megváltoztatására is.
    • Előnyök: Testreszabhatod az admin belépési oldal kinézetét (például logó, színek, betűtípus), miközben megváltoztatod az URL-t.
    • Használata: Telepítés után az adminisztrációs panelről könnyedén beállítható az új URL.
5. Hide My WP Ghost
    • Funkciók: Ez a plugin kifejezetten az oldal védelmére és a belépési URL elrejtésére fókuszál. Továbbá segít elrejteni a WordPress verziószámot, a bővítmények és sablonok nyilvános elérhetőségét is.
    • Előnyök: Komplexebb biztonsági funkciókat kínál, és elrejti a WordPress specifikus információkat, hogy megvédje az oldalt a hackerektől.
    • Használata: Telepítés után egyszerűen beállíthatod az új belépési URL-t, és számos egyéb biztonsági funkciót aktiválhatsz.

Erős jelszavak használata

Ne alkalmazzunk könnyen kitalálható vagy visszafejthető (admin, password, 123456, asd stb.) jelszavakat. Az ilyen jelszavak nagy kockázatot jelentenek, mivel könnyen megjegyezhetők, de éppen ezért a támadók is könnyen kitalálhatják őket. Ehelyett érdemes random, 16 karakteres vagy annál hosszabb jelszavakat használni. Egy erős jelszó tartalmaz kis- és nagybetűket, számokat és speciális karaktereket.

TARHELY.PRO Jelszó generátor:
Ez az eszköz segíthet neked olyan erős és biztonságos jelszavak létrehozásában, amelyek megfelelnek a fent említett kritériumoknak. A generátor véletlenszerűen állít elő jelszavakat, amelyek nehezen visszafejthetők és biztonságosan használhatók az online fiókjaid védelme érdekében. A következő módon használhatod:

  1. Nyisd meg a generátort: Látogass el a TARHELY.PRO Jelszó generátor oldalára.
  2. Válaszd ki a jelszó hosszát: Ajánlott minimum 16 karakter hosszúságú jelszavakat választani.
  3. Speciális karakterek használata: Győződj meg arról, hogy kis- és nagybetűket, számokat és speciális karaktereket is tartalmaz a jelszó.
  4. Generálás: Nyomd meg a generálás gombot, és a rendszer véletlenszerűen létrehozza az erős jelszót.

Miért fontos az erős jelszó?

Egy erős jelszó jelentősen megnehezíti a támadók dolgát, akik próbálják kitalálni vagy feltörni a jelszavadat. A jelszókezelő használata további biztonságot nyújt, mert segít megjegyezni és kezelni a különböző erős jelszavakat anélkül, hogy azok könnyen hozzáférhetőek lennének mások számára.

Bejelentkezési kísérletek korlátozása

Az alábbi plugin könyvtárba telepíthető alkalmazásokat javasoljuk kipróbálni:

1. Limit Login Attempts Reloaded
    • Funkciók: Ez az egyik legnépszerűbb és legegyszerűbb bővítmény a bejelentkezési kísérletek korlátozására. Automatikusan zárolja a felhasználót meghatározott számú sikertelen belépési kísérlet után.
    • Előnyök:
      • Könnyű beállítás.
      • IP-cím alapján korlátozza a belépési kísérleteket.
      • Értesítéseket küld a zárolásokról.
    • További funkciók: Támogatja az IP-címek fehér- és feketelistáját, és az adminisztrátor manuálisan feloldhatja a zárolt felhasználókat.
2. Login LockDown
    • Funkciók: Ez a plugin figyeli a belépési kísérleteket és ideiglenesen zárolja az IP-címeket, ha egy bizonyos számú sikertelen próbálkozás történt rövid időn belül.
    • Előnyök:
      • Könnyű és hatékony megoldás a brute force támadások ellen.
      • Beállíthatod, hogy hány próbálkozás után történjen zárolás, és hogy mennyi ideig tartson a zárolás.
    • Testreszabás: Lehetőséget biztosít arra, hogy meghatározd a kísérletek számát és a zárolás időtartamát.
3. WP Limit Login Attempts
    • Funkciók: Hasonlóan a fent említett pluginekhez, a WP Limit Login Attempts is a bejelentkezési próbálkozások számát korlátozza, és automatikusan zárolja az IP-címeket ismételt sikertelen kísérletek után.
    • Előnyök:
      • Könnyű és gyors telepítés.
      • IP-cím zárolás és egyedi beállítások a próbálkozások száma, valamint a zárolási idő hosszára.
    • Értesítések: Lehetőség van e-mail értesítések beállítására a zárolási eseményekről.
4. All In One WP Security & Firewall
    • Funkciók: Ez az ingyenes plugin egy átfogó biztonsági megoldás, amely tartalmaz bejelentkezési kísérletek korlátozását is. Számos biztonsági opciót kínál, köztük brute force támadások elleni védelmet.
    • Előnyök:
      • Korlátozhatod a belépési kísérletek számát IP-cím alapján.
      • Fehérlista és feketelista kezelés.
      • Komplett biztonsági megoldás tűzfallal, fájlfigyeléssel, és adatbázis biztonsági mentésekkel.
    • További funkciók: Az admin felhasználói felület intuitív, és tartalmaz bejelentkezési figyelmeztetéseket és IP blokkolási lehetőségeket.
5. iThemes Security
    • Funkciók: Az iThemes Security számos biztonsági funkciót kínál, beleértve a bejelentkezési kísérletek korlátozását is. Automatikusan zárolja a felhasználókat meghatározott számú sikertelen próbálkozás után.
    • Előnyök:
      • Korlátozza a belépési próbálkozásokat és értesítéseket küld a zárolásokról.
      • Képes IP-címeket zárolni, fehérlistára tenni.
      • Sok más biztonsági funkciót is tartalmaz, például fájlfigyelést és kétlépcsős hitelesítést.
6. Jetpack Protect
    • Funkciók: A Jetpack egy népszerű, többfunkciós plugin, amely tartalmaz beépített védelmet a brute force támadások ellen. A bejelentkezési kísérletek számát korlátozza és blokkolja a gyanús IP-címeket.
    • Előnyök:
      • Könnyű telepítés és használat.
      • Automatikus védelem és IP-blokkolás.
    • További funkciók: Jetpack más funkciókat is kínál, mint például webhelyteljesítmény-figyelés és biztonsági mentés.

SSL tanúsítvány telepítése és beállítása

Az SSL titkosítja az adatokat a felhasználók és a szerver között, megnehezítve a támadók számára az adatlopást vagy manipulációt.

A bejelentkezés ekkor a tanúsítvánnyal ellátott https:// titkosított csatornán keresztül fog megtörténni, így az illetéktelenek nem tudják megszerezni a jelszavainkat. Az SSL telepítése után nem kell mást tennie, mint a wp-config.php fájlba beszúrni az alábbi sort:

define('FORCE_SSL_ADMIN', true);

Garanciákkal bíró, megbízható tanúsítványokért látogasson el az SSL tanúsítvány oldalunkra!

További védekezés a támadások ellen

A legtöbb hacker az oldal által adott hibajelzések alapján folytatja le a támadási metódust. Ez ellen egyszerűen védekezhetünk, a theme könyvtárban adjuk hozzá a functions.php-hez alább sort:

add_filter('login_errors',create_function('$a',"return null;"));

WordPress és bővítmények naprakészen tartása

Fontos, hogy folyamatosan naprakész legyen a WordPress alkalmazás, így mindig frissítsük az alkalmazást és a bővítményeket, témákat egyaránt! A folyamatos frissítésekkel a különböző biztonsági réseket, hibákat orvosolják a készítők, így elengedhetetlen feltétele ez a biztonságnak! Törölje a felesleges, nem használt témákat és bővítményeket a WordPress alól rendszeresen.

Ne töltsön le ismeretlen forrásból származó bővítményeket, témákat a wordpress alkalmazáshoz! Ilyen ismeretlen forrás a torrentoldalak és egyéb warez oldalak.

Biztonsági jogosultságok beállítása

Figyeljen oda, hogy melyik mappának milyen attribútumot ad meg!

  • 755 könyvtárakra: Ez olvasási, írási és végrehajtási jogot ad a tulajdonosnak, és olvasási és végrehajtási jogot a csoportnak és másoknak.
  • 644 fájlokra: Olvasási és írási jogot ad a tulajdonosnak, és csak olvasási jogot a csoportnak és másoknak.

SSH-n futtatható parancsok a fájlok és könyvtárak helyes jogosultságok rekurzív beállításhoz:
  • Könyvtárakra:
    find /path/to/directory -type d -exec chmod 755 {} \;
    Ez a parancs az összes könyvtárra 755 jogosultságot állít be, ami azt jelenti, hogy:
    • 7 (rwx): Teljes jogosultság a tulajdonosnak (olvashat, írhat, végrehajthat).
    • 5 (r-x): Csak olvashat és végrehajthat a csoport és mások számára.
  • Fájlokra:
    find /path/to/directory -type f -exec chmod 644 {} \;
    Ez a parancs az összes fájlra 644 jogosultságot állít be, ami azt jelenti, hogy:
    • 6 (rw-): Olvasási és írási jog a tulajdonosnak.
    • 4 (r–): Csak olvasási jog a csoport és mások számára.

Korlátozott fájlfelöltési lehetőségek

Azokban a könyvtárakban, ahol várhatóan nem szükséges a .php fájlok futtatása, korlátozza bizonyok fájlok elérését.

A WordPress alapstruktúrájában vannak olyan specifikus könyvtárak, ahol a .htaccess fájl használata különösen hasznos lehet, hogy növelje a biztonságot anélkül, hogy az oldal működését zavarná. Az alábbiakban felsorolom azokat a könyvtárakat, amelyekben érdemes specifikus biztonsági szabályokat beállítani:

1. wp-content/uploads/

Ez a mappa az egyik legfontosabb, ahol érdemes letiltani a PHP fájlok futtatását. Mivel ide kerülnek a feltöltött fájlok (képek, dokumentumok stb.), ez egy potenciális célpont lehet rosszindulatú PHP fájlok feltöltésére.

Ajánlott .htaccess szabály:

<FilesMatch ‘.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$’>
Order allow,deny
Deny from all
</FilesMatch>

Ez a szabály megakadályozza a PHP fájlok futtatását ebben a mappában, ami biztonságosabbá teszi a webhelyet.

2. wp-includes/

wp-includes mappa tartalmazza a WordPress core fájljait, melyeknek a front-end látogatók által történő hozzáférése nem szükséges. Ezt a mappát is védeni kell a közvetlen hozzáféréstől.

Ajánlott .htaccess szabály:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-includes/ – [F,L]
</IfModule>

Ez a szabály letiltja a közvetlen hozzáférést a wp-includes könyvtárhoz.

3. wp-admin/

A WordPress adminisztrációs felülete (admin panel) biztonságos hozzáférést igényel, és érdemes védeni azt a külső támadásokkal szemben. A .htaccess fájl használható ezen a területen például IP-korlátozásra, vagy további hitelesítésre.

Ajánlott IP-korlátozó szabály (példa):

<FilesMatch ".*">
Order Deny,Allow
Deny from all
Allow from 123.456.789.000 # Csak ez az IP férhet hozzá az adminhoz
</FilesMatch>
4. wp-content/themes/ és wp-content/plugins/

Bár ezek a mappák tartalmaznak PHP fájlokat, ezeket a fájlokat a WordPress maga futtatja. Ezért nem érdemes teljesen blokkolni a PHP fájlokat ebben a könyvtárban, de hasznos lehet további biztonsági szabályokat létrehozni.

Biztonsági szabály ajánlás:

    • Ha a felhasználók vagy harmadik felek nem férhetnek hozzá ezekhez a mappákhoz (pl. ha nem engedélyezel fájlfeltöltést bővítményekbe), érdemes itt is korlátozni a PHP fájlok futtatását, például egyes bővítmény vagy téma könyvtárakban.
5. wp-config.php védelme (a gyökérkönyvtárban)

wp-config.php az egyik legfontosabb fájl, mivel tartalmazza az adatbázis hitelesítési adatait és más kritikus beállításokat. A közvetlen hozzáférés tiltása itt különösen fontos.

Ajánlott .htaccess szabály:
<Files wp-config.php>
Order allow,deny
Deny from all
</Files>

Adatbázis és fájlmentések rendszeres készítése

Automatikusan készíts mentéseket a weboldalról, és tárold azokat biztonságos, távoli helyeken. Így, ha egy támadás sikerrel jár, gyorsan helyreállíthatod az oldalt.

Nálunk számtalan lehetőség közül választhatsz:
Biztonsági mentés műveletek

Fájlmódosítások letiltása

Kapcsold ki a fájlszerkesztési lehetőségeket a WordPress admin felületén belül a wp-config.php fájlba az alábbi sort hozzáadva:

define('DISALLOW_FILE_EDIT', true);

Használj kétfaktoros hitelesítést

A kétfaktoros hitelesítés (2FA) egy olyan biztonsági intézkedés, amely két különálló azonosítási módszert követel meg a felhasználóktól a hozzáférés engedélyezéséhez. Ez jelentősen megnöveli a biztonságot a hagyományos jelszavas védelemmel szemben, mivel a támadónak nemcsak a jelszót kell megszereznie, hanem a második tényezőt (általában egy időkorlátos kódot vagy eszközt) is.

Hogyan működik a kétfaktoros hitelesítés?

  1. Első lépés: jelszó megadása
    A felhasználó a szokásos módon belép a WordPress admin felületére a felhasználónév és jelszó megadásával.

  2. Második lépés: második hitelesítési faktor
    A rendszer egy további hitelesítési módszert kér, például egy kódot, amit egy mobilalkalmazás (pl. Google Authenticator), SMS-ben küldött kód, vagy hardveres token állít elő. A belépés csak akkor sikeres, ha ez a második lépés is teljesül.

A kétfaktoros hitelesítés előnyei
  • Növeli a biztonságot: Még ha valaki megszerezné is a jelszavadat (pl. egy adatlopás során), a második hitelesítési tényező nélkül nem tud belépni.
  • Csökkenti a brute force támadások hatékonyságát: Mivel a támadónak nem csak a jelszót kell kitalálnia, hanem a dinamikusan generált kódot is, amely általában néhány percig érvényes.
  • Többféle hitelesítési módszer közül lehet választani: Alkalmazások, SMS, hardveres tokenek, vagy akár biometrikus azonosítók.
Kétfaktoros hitelesítéshez ajánlott WordPress bővítmények
  1. Google Authenticator – Two Factor Authentication (2FA)

    Ez az egyik legnépszerűbb bővítmény, amely egyszerű és hatékony módon integrálja a 2FA-t a WordPress webhelyekre.

    Jellemzők:

    • Kompatibilis a Google Authenticator és más hitelesítési alkalmazásokkal.
    • Különböző felhasználókra különféle hitelesítési szabályok alkalmazhatók.
    • Képes csak bizonyos felhasználói csoportok (például adminisztrátorok) számára 2FA-t bekapcsolni.
    • SMS vagy e-mail alapú hitelesítés is választható.

    Használata:

      • A felhasználó egy mobilalkalmazással szkenneli be a QR kódot, és onnantól kezdve az alkalmazás generál kódokat minden belépéshez.


  2. Wordfence Security

    A Wordfence egy átfogó biztonsági bővítmény, amelynek része a kétfaktoros hitelesítés is.

    Jellemzők:

    • Integrálja a Google Authenticator-t és más hitelesítési appokat.
    • E-mail alapú 2FA támogatás.
    • Korlátozza a belépési kísérleteket, tűzfal funkcióval, IP-szűréssel, malware kereséssel.

    Előnyök:

    • Komplett biztonsági megoldás része, nem csak 2FA.
    • Rendszeres jelentések és naplózás a biztonsági eseményekről.


  3. iThemes Security

    Az iThemes Security szintén egy átfogó biztonsági bővítmény, amely kétfaktoros hitelesítést kínál a WordPress weboldalakhoz.

    Jellemzők:

    • Google Authenticator kompatibilis.
    • E-mail alapú másodlagos hitelesítés.
    • IP alapú tiltás, brute force támadások elleni védelem.

    Előnyök:

    • Kiválóan skálázható kis- és nagyobb weboldalakhoz.
    • Kombinálható más biztonsági funkciókkal (pl. fájlmódosítás figyelés, adatbázis mentések).


  4. Two Factor Authentication by WP White Security

    Egy egyszerű, mégis hatékony kétfaktoros hitelesítési megoldás, amely könnyen integrálható különféle hitelesítési módokkal.

    Jellemzők:

    • Kompatibilis Google Authenticator, Authy és más TOTP (Time-based One-Time Password) alkalmazásokkal.
    • Felhasználók kiválaszthatják, hogy melyik másodlagos hitelesítési módszert szeretnék használni.
    • Adminisztrátori fiókok számára kötelezővé tehető.

    Előnyök:

    • Könnyen beállítható és használható.
    • Támogatja a többfelhasználós oldalakat is, így minden felhasználónak saját 2FA lehetősége van.


  5. MiniOrange Two Factor Authentication

    Ez a bővítmény többféle hitelesítési módszert kínál, beleértve az SMS-t, e-mailt és a Google Authenticator alapú megoldásokat.

    Jellemzők:

    • Támogat több hitelesítési opciót, beleértve az OTP kódokat SMS-ben vagy e-mailben.
    • Különböző módszereket biztosít az egyes felhasználói szintekhez (pl. adminisztrátorok, szerkesztők, előfizetők).
    • Támogatja az automatikus belépési figyelmeztetéseket, ha ismeretlen eszközről próbálnak hozzáférni.

    Előnyök:

    • Sokféle hitelesítési módszert kínál, így mindenki kiválaszthatja a számára legmegfelelőbbet.
    • Egyedi beállítási lehetőségek, akár felhasználói szintenként.

      1. Javasolt a nálunk elérhető Softaculous csomagtelepítővel történő alkalmazástelepítés. A WordPress alkalmazás telepítésének folyamatában beállítható, hogy a későbbiekben automatikusan frissítse a WordPress alkalmazást, a plugineket és a témákat is! Így jelentősen csökkenthető a biztonsági hibák által előforduló behatolások száma és a weboldala forráskódja is naprakész lesz.

      1. Javasolt a proaktív szűrők használata!
        Sucuri Security
        • Funkciók: A Sucuri egy teljes körű weboldal biztonsági megoldás, amely valós idejű monitoringot, tűzfalat, malware keresést, valamint a sebezhetőségek folyamatos figyelését biztosítja.
        • Előnyök: Képes a WordPress core fájlok, témák és bővítmények integritásának ellenőrzésére, és megakadályozza a káros fájlok elhelyezését.
        • Tűzfal védelem: A fizetős verzióban egy web application firewall (WAF) védi a webhelyedet az ismert támadási módszerektől.
        2. Wordfence Security
        • Funkciók: A Wordfence az egyik legnépszerűbb WordPress biztonsági plugin, amely tartalmaz malware keresőt, végrehajtásvédelmet, és egy tűzfalat. Képes figyelmeztetni a sebezhetőségekről és megelőzi a káros fájlok elhelyezését.
        • Káros fájlok szűrése: A plugin rendszeresen ellenőrzi a fájlokat, és ha bármi gyanúsat talál, automatikusan értesítést küld.
        • Valós idejű védelem: A fizetős verzió valós idejű IP blokkolást és ország alapú tiltásokat is lehetővé tesz.
        3. iThemes Security
        • Funkciók: Az iThemes Security egy másik népszerű választás, amely megakadályozza a webhely gyenge pontjainak kihasználását. Automatikusan zárolja az IP-címeket, és megakadályozza a rosszindulatú fájlok feltöltését.
        • Fájlintegritás ellenőrzés: Ez a funkció figyeli a webhely fájljait, és értesít, ha bármilyen változást észlel a fájlokban.
        • Kétlépcsős hitelesítés: Ezzel növeli az adminisztrációs felület biztonságát.
        4. MalCare Security
        • Funkciók: Kiváló választás olyan webhelyek számára, amelyek napi malware ellenőrzést igényelnek. Automatikusan tisztítja a fertőzött fájlokat, és védi az oldaladat a hackelési kísérletek ellen.
        • Egy kattintásos tisztítás: Automatikus tisztítást biztosít a káros fájlok esetén.
        • Tűzfal: A tűzfal megakadályozza a támadások nagy részét még mielőtt elérnék a tárhelyet.
        5. All In One WP Security & Firewall
        • Funkciók: Ez az ingyenes plugin többféle biztonsági funkciót kínál, beleértve a fájlok védelmét, malware ellenőrzést és a tűzfal beállításokat.
        • Fájlvédelem: Monitorozza a fájlokat és megakadályozza a káros fájlok módosítását vagy feltöltését.
        • Könnyen kezelhető: Ideális kezdőknek, mivel felhasználóbarát felületet biztosít.

      1. Javasolt a malware, deface és egyéb kártékony módosítások külső ellenőrzése: az interneten számtalan eszközt találhatunk, amely segít az ilyen típusú problémák felderítésében. Fontos tudni, hogy bár ezek hatékonysága jó, de előfordulhat, hogy nem minden kártékony módosítást és sérülékenységet jelez! Az egyik ilyen ingyenes ellenőrzőeszköz: Sucuri SitecheckVirusTotal

      1. Készítsen egyedi bejelentkező linket: A botok legtöbb esetben a /wp-login.php fájlt keresik, amelyhez a felhasználóneve és jelszót a brutaforce megoldással próbálják “kitalálni”.
        1. WPS Hide Login
        • Funkciók: Ez egy egyszerű, könnyen kezelhető plugin, amely lehetővé teszi az adminisztrációs belépési URL módosítását anélkül, hogy megváltoztatná a WordPress alapfájljait.
        • Előnyök: Nagyon könnyű beállítani, és nem terheli meg az oldalt. Kizárólag az URL-t változtatja meg, így a belépési oldalt csak az új URL-en keresztül lehet elérni.
        • Használata: Telepítés után az adminisztrációs felületen beállíthatsz egy új belépési URL-t, például yourwebsite.com/custom-login.
        2. iThemes Security (korábban Better WP Security)
        • Funkciók: Az iThemes Security egy átfogó biztonsági plugin, amely számos funkciót kínál, beleértve a belépési URL megváltoztatását.
        • Előnyök: A plugin nem csak a belépési URL módosítását teszi lehetővé, hanem további biztonsági funkciókat is nyújt, például kétlépcsős hitelesítést, fájlvédelmet, IP-zárolást és még sok mást.
        • Használata: Az admin URL megváltoztatásához aktiváld a „Hide Backend” funkciót, és add meg az új belépési URL-t.
        3. All In One WP Security & Firewall
        • Funkciók: Ez az ingyenes plugin nemcsak a belépési URL módosítását teszi lehetővé, hanem több biztonsági funkciót is kínál, mint például brute force támadások elleni védelem, fájlintegritás ellenőrzés, és egy tűzfal.
        • Előnyök: Egyszerű beállítás, átfogó biztonsági megoldás a WordPress számára. Képes értesítéseket küldeni a belépési kísérletekről és más biztonsági fenyegetésekről.
        • Használata: Az adminisztrációs panelen megadhatsz egyedi belépési URL-t, és blokkolhatod az alapértelmezett wp-admin hozzáférést.
        4. LoginPress
        • Funkciók: Eredetileg a belépési oldal testreszabására tervezték, de tartalmaz egy funkciót a belépési URL megváltoztatására is.
        • Előnyök: Testreszabhatod az admin belépési oldal kinézetét (például logó, színek, betűtípus), miközben megváltoztatod az URL-t.
        • Használata: Telepítés után az adminisztrációs panelről könnyedén beállítható az új URL.
        5. Hide My WP Ghost
        • Funkciók: Ez a plugin kifejezetten az oldal védelmére és a belépési URL elrejtésére fókuszál. Továbbá segít elrejteni a WordPress verziószámot, a bővítmények és sablonok nyilvános elérhetőségét is.
        • Előnyök: Komplexebb biztonsági funkciókat kínál, és elrejti a WordPress specifikus információkat, hogy megvédje az oldalt a hackerektől.
        • Használata: Telepítés után egyszerűen beállíthatod az új belépési URL-t, és számos egyéb biztonsági funkciót aktiválhatsz.

      1. Erős jelszó használata: fontos, hogy könnyen kitalálható vagy visszafejthető (admin, password, 123456, asd, stb) jelszavakat ne használjunk. Érdemes random jelszavakat generálni. Ehhez nyújt segítséget a TARHELY.PRO Jelszó generátor

      1. Bejelentkezési kísérletek korlátozása:
        1. Limit Login Attempts Reloaded
        • Funkciók: Ez az egyik legnépszerűbb és legegyszerűbb bővítmény a bejelentkezési kísérletek korlátozására. Automatikusan zárolja a felhasználót meghatározott számú sikertelen belépési kísérlet után.
        • Előnyök:
          • Könnyű beállítás.
          • IP-cím alapján korlátozza a belépési kísérleteket.
          • Értesítéseket küld a zárolásokról.
        • További funkciók: Támogatja az IP-címek fehér- és feketelistáját, és az adminisztrátor manuálisan feloldhatja a zárolt felhasználókat.
        2. Login LockDown
        • Funkciók: Ez a plugin figyeli a belépési kísérleteket és ideiglenesen zárolja az IP-címeket, ha egy bizonyos számú sikertelen próbálkozás történt rövid időn belül.
        • Előnyök:
          • Könnyű és hatékony megoldás a brute force támadások ellen.
          • Beállíthatod, hogy hány próbálkozás után történjen zárolás, és hogy mennyi ideig tartson a zárolás.
        • Testreszabás: Lehetőséget biztosít arra, hogy meghatározd a kísérletek számát és a zárolás időtartamát.
        3. WP Limit Login Attempts
        • Funkciók: Hasonlóan a fent említett pluginekhez, a WP Limit Login Attempts is a bejelentkezési próbálkozások számát korlátozza, és automatikusan zárolja az IP-címeket ismételt sikertelen kísérletek után.
        • Előnyök:
          • Könnyű és gyors telepítés.
          • IP-cím zárolás és egyedi beállítások a próbálkozások száma, valamint a zárolási idő hosszára.
        • Értesítések: Lehetőség van e-mail értesítések beállítására a zárolási eseményekről.
        4. All In One WP Security & Firewall
        • Funkciók: Ez az ingyenes plugin egy átfogó biztonsági megoldás, amely tartalmaz bejelentkezési kísérletek korlátozását is. Számos biztonsági opciót kínál, köztük brute force támadások elleni védelmet.
        • Előnyök:
          • Korlátozhatod a belépési kísérletek számát IP-cím alapján.
          • Fehérlista és feketelista kezelés.
          • Komplett biztonsági megoldás tűzfallal, fájlfigyeléssel, és adatbázis biztonsági mentésekkel.
        • További funkciók: Az admin felhasználói felület intuitív, és tartalmaz bejelentkezési figyelmeztetéseket és IP blokkolási lehetőségeket.
        5. iThemes Security
        • Funkciók: Az iThemes Security számos biztonsági funkciót kínál, beleértve a bejelentkezési kísérletek korlátozását is. Automatikusan zárolja a felhasználókat meghatározott számú sikertelen próbálkozás után.
        • Előnyök:
          • Korlátozza a belépési próbálkozásokat és értesítéseket küld a zárolásokról.
          • Képes IP-címeket zárolni, fehérlistára tenni.
          • Sok más biztonsági funkciót is tartalmaz, például fájlfigyelést és kétlépcsős hitelesítést.
        6. Jetpack Protect
        • Funkciók: A Jetpack egy népszerű, többfunkciós plugin, amely tartalmaz beépített védelmet a brute force támadások ellen. A bejelentkezési kísérletek számát korlátozza és blokkolja a gyanús IP-címeket.
        • Előnyök:
          • Könnyű telepítés és használat.
          • Automatikus védelem és IP-blokkolás.
        • További funkciók: Jetpack más funkciókat is kínál, mint például webhelyteljesítmény-figyelés és biztonsági mentés.

      1. SSL tanúsítvány használata a bejelentkezéshez: ahhoz, hogy elkerüljük az adatszivárgást, tehát hogy illetéktelenek megszerezzék a jelszavainkat, érdemes SSL tanúsítványt használni. A bejelentkezés ekkor a tanúsítvánnyal ellátott https:// titkosított csatornán keresztül fog megtörténni, így az illetéktelenek nem tudják megszerezni a jelszavainkat. Az SSL telepítése után nem kell mást tennie, mint a wp-config.php fájlba beszúrni az alábbi sort:
        define(’FORCE_SSL_ADMIN’, true); Garanciákkal bíró, megbízható tanúsítványokért látogasson el az SSL tanúsítvány oldalunkra!

      1. Jelszavas védelem a WP-ADMIN könyvtárra: Egyszerű, ám de jó megoldás lehet a WP-ADMIN könyvtára jelszavas védelemmel ellátni, így a botok és rosszindulatú behatolók nem érik el a bejelentkezéshez szükséges könyvtárat. (Ezt a megoldást a fenti plugin alkalmazások kitudják váltani.) Ez a technika .htaccess megoldással kivitelezhető néhány lépésben: Jelszavas védelem létrehozása könyvtárakra

      1. IP cím alapú korlátozás: Korlátozzuk a saját IP címünkre a wp-admin könyvtár elérését. Itt a saját IP címünket kell megadni, így mindenki más számára elérhetetlen lesz. Dinamikus IP cím esetén folyamatos frissítést igényel a megoldás, tehát nem javasolt. FIX IP cím esetén kell mást tenni, mint a wp-admin könyvtárba létrehozni egy .htacces fájlt, és elhelyezni benne az alábbi sorokat:order deny,allow deny from all # Engedélyezett IP címek allow from xx.xx.xx.xxx

      1. IP cím alapú korlátozás ország lista alapján: A fenti metódushoz hasonlóan ezt is .htaccess technikával lehetséges megvalósítani. Nem kell mást tenni, mint felmenni az alábbi oldalra, kijelölni a tiltani kívánt országokat és a weboldal legenerálja illetve letölthetővé teszi a .htacces fájlt, amelyet a wp-admin könyvtárban szükséges elhelyezni. Nem tökéletes megoldás, egy országhoz csak 1 ip tartomány rendel, viszont legtöbb esetben rendelkezik több tartománnyal is.

      1. Távolítsuk el a hiba üzentet a bejelentkezési képernyőről: a legtöbb hacker a visszajelzés alapján folytatja le a támadási metódust. Ez ellen egyszerűen védekezhetünk, a theme könyvtárban adjuk hozzá a functions.php-hez alább sort:
        add_filter('login_errors',create_function('$a',"return null;"));

      1. Tartsuk napra készen a WordPress-t: Fontos, hogy folyamatosan naprakész legyen a WordPress alkalmazás, így mindig frissítsük az alkalmazást és a bővítményeket, témákat egyaránt! A folyamatos frissítésekkel a különböző biztonsági réseket, hibákat orvosolják a készítők, így elengedhetetlen feltétele ez a biztonságnak!

      1. Ne töltsön le ismeretlen forrásból származó bővítményeket, témákat a wordpress alkalmazáshoz! Ilyen ismeretlen forrás a torrentoldalak és egyéb warez oldalak.

      1. Törölje a felesleges, nem használt témákat és bővítményeket a WordPress alól!

      1. Figyeljen oda, hogy melyik mappának milyen attribútumot ad meg! A könyvtárakra 755 jogosultság, míg a fájlokra 644 jogosultság szükséges! 4 = Írás 2 = Olvasás 1= Futtatás. SSH-n néhány paranccsal tudod javítani a problémát: Jogosultságok beállítása fájlokra és könyvtárakra SSH-n

      1. Azokban a könyvtárakban, ahol várhatóan nem szükséges a .php fájlok futtatása, korlátozza bizonyok fájlok elérését. Ilyen könyvtárak lehetnek: /wp-includes/ és  /wp-content/uploads/
        Hozzon létre a fenti mappákban egy .htaccess fájlt, amelybe az alábbi sorokat másolja be majd mentse azt el:

        <FilesMatch ‘.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$’>
        Order allow,deny
        Deny from all
        </FilesMatch>

      1. Védekezzünk a számítógépünket érő behatolások ellen! Az online védelemhez elengedhetetlen, hogy a kliens gépe biztonságos legyen. Így javasoljuk az alábbi rövid összefoglaló átolvasását: link

    <2FilesMatch '.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$'> Order allow,deny Deny from all