WordPress Biztonsági Útmutató 2025: Hatékony Módszerek a Támadások Megállítására

0

Tartalom:

A WordPress, mint az egyik legnépszerűbb tartalomkezelő rendszer, gyakran célpontja különböző támadásoknak. Ahogy egyre több weboldal épül erre a platformra, úgy nő a biztonsági kockázatok száma is. A megfelelő védelem kialakítása nemcsak a weboldal stabilitását és rendelkezésre állását biztosítja, hanem a felhasználói adatok védelmét is elősegíti. Ebben a cikkben bemutatjuk a legfontosabb biztonsági lépéseket és stratégiákat, amelyekkel megvédheted WordPress oldaladat a gyakori támadások ellen, így minimalizálhatod a veszélyeket és fenntarthatod a weboldalad megbízhatóságát.

Alkalmazástelepítő és Menedzser használata

Javasolt a nálunk elérhető Softaculous csomagtelepítővel történő alkalmazástelepítés. A WordPress alkalmazás telepítésének folyamatában beállítható, hogy a későbbiekben automatikusan frissítse a WordPress alkalmazást, a plugineket és a témákat is! Így jelentősen csökkenthető a biztonsági hibák által előforduló behatolások száma és a weboldala forráskódja is naprakész lesz.

Proaktív szűrők és biztonsági pluginek használata

A következő biztonsági pluginek telepítésével tovább növelhetjük az oldal védelmét:

1. Sucuri Security
  • Funkciók: A Sucuri egy teljes körű weboldal biztonsági megoldás, amely valós idejű monitoringot, tűzfalat, malware keresést, valamint a sebezhetőségek folyamatos figyelését biztosítja.
  • Előnyök: Képes a WordPress core fájlok, témák és bővítmények integritásának ellenőrzésére, és megakadályozza a káros fájlok elhelyezését.
  • Tűzfal védelem: A fizetős verzióban egy web application firewall (WAF) védi a webhelyedet az ismert támadási módszerektől.
2. Wordfence Security
  • Funkciók: A Wordfence az egyik legnépszerűbb WordPress biztonsági plugin, amely tartalmaz malware keresőt, végrehajtásvédelmet, és egy tűzfalat. Képes figyelmeztetni a sebezhetőségekről és megelőzi a káros fájlok elhelyezését.
  • Káros fájlok szűrése: A plugin rendszeresen ellenőrzi a fájlokat, és ha bármi gyanúsat talál, automatikusan értesítést küld.
  • Valós idejű védelem: A fizetős verzió valós idejű IP blokkolást és ország alapú tiltásokat is lehetővé tesz.
3. iThemes Security
  • Funkciók: Az iThemes Security egy másik népszerű választás, amely megakadályozza a webhely gyenge pontjainak kihasználását. Automatikusan zárolja az IP-címeket, és megakadályozza a rosszindulatú fájlok feltöltését.
  • Fájlintegritás ellenőrzés: Ez a funkció figyeli a webhely fájljait, és értesít, ha bármilyen változást észlel a fájlokban.
  • Kétlépcsős hitelesítés: Ezzel növeli az adminisztrációs felület biztonságát.
4. MalCare Security
  • Funkciók: Kiváló választás olyan webhelyek számára, amelyek napi malware ellenőrzést igényelnek. Automatikusan tisztítja a fertőzött fájlokat, és védi az oldaladat a hackelési kísérletek ellen.
  • Egy kattintásos tisztítás: Automatikus tisztítást biztosít a káros fájlok esetén.
  • Tűzfal: A tűzfal megakadályozza a támadások nagy részét még mielőtt elérnék a tárhelyet.
5. All In One WP Security & Firewall
  • Funkciók: Ez az ingyenes plugin többféle biztonsági funkciót kínál, beleértve a fájlok védelmét, malware ellenőrzést és a tűzfal beállításokat.
  • Fájlvédelem: Monitorozza a fájlokat és megakadályozza a káros fájlok módosítását vagy feltöltését.
  • Könnyen kezelhető: Ideális kezdőknek, mivel felhasználóbarát felületet biztosít.

Külső ellenőrző eszközök használata

Az interneten számtalan eszközt találhatunk, amely segít az ilyen típusú problémák felderítésében. Fontos tudni, hogy bár ezek hatékonysága jó, de előfordulhat, hogy nem minden kártékony módosítást és sérülékenységet jelez! Az egyik ilyen ingyenes ellenőrzőeszköz: Sucuri SitecheckVirusTotal

Egyedi bejelentkező link létrehozása

Hatékonyan rejthetjük el vagy maszkolhatjuk a különböző könyvtástruktúrákat, URL-ek elérését az alábbi alkalmazásokkal.

1. WPS Hide Login
  • Funkciók: Ez egy egyszerű, könnyen kezelhető plugin, amely lehetővé teszi az adminisztrációs belépési URL módosítását anélkül, hogy megváltoztatná a WordPress alapfájljait.
  • Előnyök: Nagyon könnyű beállítani, és nem terheli meg az oldalt. Kizárólag az URL-t változtatja meg, így a belépési oldalt csak az új URL-en keresztül lehet elérni.
  • Használata: Telepítés után az adminisztrációs felületen beállíthatsz egy új belépési URL-t, például yourwebsite.com/custom-login.
2. iThemes Security (korábban Better WP Security)
  • Funkciók: Az iThemes Security egy átfogó biztonsági plugin, amely számos funkciót kínál, beleértve a belépési URL megváltoztatását.
  • Előnyök: A plugin nem csak a belépési URL módosítását teszi lehetővé, hanem további biztonsági funkciókat is nyújt, például kétlépcsős hitelesítést, fájlvédelmet, IP-zárolást és még sok mást.
  • Használata: Az admin URL megváltoztatásához aktiváld a „Hide Backend” funkciót, és add meg az új belépési URL-t.
3. All In One WP Security & Firewall
  • Funkciók: Ez az ingyenes plugin nemcsak a belépési URL módosítását teszi lehetővé, hanem több biztonsági funkciót is kínál, mint például brute force támadások elleni védelem, fájlintegritás ellenőrzés, és egy tűzfal.
  • Előnyök: Egyszerű beállítás, átfogó biztonsági megoldás a WordPress számára. Képes értesítéseket küldeni a belépési kísérletekről és más biztonsági fenyegetésekről.
  • Használata: Az adminisztrációs panelen megadhatsz egyedi belépési URL-t, és blokkolhatod az alapértelmezett wp-admin hozzáférést.
4. LoginPress
  • Funkciók: Eredetileg a belépési oldal testreszabására tervezték, de tartalmaz egy funkciót a belépési URL megváltoztatására is.
  • Előnyök: Testreszabhatod az admin belépési oldal kinézetét (például logó, színek, betűtípus), miközben megváltoztatod az URL-t.
  • Használata: Telepítés után az adminisztrációs panelről könnyedén beállítható az új URL.
5. Hide My WP Ghost
  • Funkciók: Ez a plugin kifejezetten az oldal védelmére és a belépési URL elrejtésére fókuszál. Továbbá segít elrejteni a WordPress verziószámot, a bővítmények és sablonok nyilvános elérhetőségét is.
  • Előnyök: Komplexebb biztonsági funkciókat kínál, és elrejti a WordPress specifikus információkat, hogy megvédje az oldalt a hackerektől.
  • Használata: Telepítés után egyszerűen beállíthatod az új belépési URL-t, és számos egyéb biztonsági funkciót aktiválhatsz.

Erős jelszavak használata

Ne alkalmazzunk könnyen kitalálható vagy visszafejthető (admin, password, 123456, asd stb.) jelszavakat. Az ilyen jelszavak nagy kockázatot jelentenek, mivel könnyen megjegyezhetők, de éppen ezért a támadók is könnyen kitalálhatják őket. Ehelyett érdemes random, 16 karakteres vagy annál hosszabb jelszavakat használni. Egy erős jelszó tartalmaz kis- és nagybetűket, számokat és speciális karaktereket.

TARHELY.PRO Jelszó generátor:
Ez az eszköz segíthet neked olyan erős és biztonságos jelszavak létrehozásában, amelyek megfelelnek a fent említett kritériumoknak. A generátor véletlenszerűen állít elő jelszavakat, amelyek nehezen visszafejthetők és biztonságosan használhatók az online fiókjaid védelme érdekében. A következő módon használhatod:

  1. Nyisd meg a generátort: Látogass el a TARHELY.PRO Jelszó generátor oldalára.
  2. Válaszd ki a jelszó hosszát: Ajánlott minimum 16 karakter hosszúságú jelszavakat választani.
  3. Speciális karakterek használata: Győződj meg arról, hogy kis- és nagybetűket, számokat és speciális karaktereket is tartalmaz a jelszó.
  4. Generálás: Nyomd meg a generálás gombot, és a rendszer véletlenszerűen létrehozza az erős jelszót.

Miért fontos az erős jelszó?

Egy erős jelszó jelentősen megnehezíti a támadók dolgát, akik próbálják kitalálni vagy feltörni a jelszavadat. A jelszókezelő használata további biztonságot nyújt, mert segít megjegyezni és kezelni a különböző erős jelszavakat anélkül, hogy azok könnyen hozzáférhetőek lennének mások számára.

Bejelentkezési kísérletek korlátozása

Az alábbi plugin könyvtárba telepíthető alkalmazásokat javasoljuk kipróbálni:

1. Limit Login Attempts Reloaded
  • Funkciók: Ez az egyik legnépszerűbb és legegyszerűbb bővítmény a bejelentkezési kísérletek korlátozására. Automatikusan zárolja a felhasználót meghatározott számú sikertelen belépési kísérlet után.
  • Előnyök:
    • Könnyű beállítás.
    • IP-cím alapján korlátozza a belépési kísérleteket.
    • Értesítéseket küld a zárolásokról.
  • További funkciók: Támogatja az IP-címek fehér- és feketelistáját, és az adminisztrátor manuálisan feloldhatja a zárolt felhasználókat.
2. Login LockDown
  • Funkciók: Ez a plugin figyeli a belépési kísérleteket és ideiglenesen zárolja az IP-címeket, ha egy bizonyos számú sikertelen próbálkozás történt rövid időn belül.
  • Előnyök:
    • Könnyű és hatékony megoldás a brute force támadások ellen.
    • Beállíthatod, hogy hány próbálkozás után történjen zárolás, és hogy mennyi ideig tartson a zárolás.
  • Testreszabás: Lehetőséget biztosít arra, hogy meghatározd a kísérletek számát és a zárolás időtartamát.
3. WP Limit Login Attempts
  • Funkciók: Hasonlóan a fent említett pluginekhez, a WP Limit Login Attempts is a bejelentkezési próbálkozások számát korlátozza, és automatikusan zárolja az IP-címeket ismételt sikertelen kísérletek után.
  • Előnyök:
    • Könnyű és gyors telepítés.
    • IP-cím zárolás és egyedi beállítások a próbálkozások száma, valamint a zárolási idő hosszára.
  • Értesítések: Lehetőség van e-mail értesítések beállítására a zárolási eseményekről.
4. All In One WP Security & Firewall
  • Funkciók: Ez az ingyenes plugin egy átfogó biztonsági megoldás, amely tartalmaz bejelentkezési kísérletek korlátozását is. Számos biztonsági opciót kínál, köztük brute force támadások elleni védelmet.
  • Előnyök:
    • Korlátozhatod a belépési kísérletek számát IP-cím alapján.
    • Fehérlista és feketelista kezelés.
    • Komplett biztonsági megoldás tűzfallal, fájlfigyeléssel, és adatbázis biztonsági mentésekkel.
  • További funkciók: Az admin felhasználói felület intuitív, és tartalmaz bejelentkezési figyelmeztetéseket és IP blokkolási lehetőségeket.
5. iThemes Security
  • Funkciók: Az iThemes Security számos biztonsági funkciót kínál, beleértve a bejelentkezési kísérletek korlátozását is. Automatikusan zárolja a felhasználókat meghatározott számú sikertelen próbálkozás után.
  • Előnyök:
    • Korlátozza a belépési próbálkozásokat és értesítéseket küld a zárolásokról.
    • Képes IP-címeket zárolni, fehérlistára tenni.
    • Sok más biztonsági funkciót is tartalmaz, például fájlfigyelést és kétlépcsős hitelesítést.
6. Jetpack Protect
  • Funkciók: A Jetpack egy népszerű, többfunkciós plugin, amely tartalmaz beépített védelmet a brute force támadások ellen. A bejelentkezési kísérletek számát korlátozza és blokkolja a gyanús IP-címeket.
  • Előnyök:
    • Könnyű telepítés és használat.
    • Automatikus védelem és IP-blokkolás.
  • További funkciók: Jetpack más funkciókat is kínál, mint például webhelyteljesítmény-figyelés és biztonsági mentés.

SSL tanúsítvány telepítése és beállítása

Az SSL titkosítja az adatokat a felhasználók és a szerver között, megnehezítve a támadók számára az adatlopást vagy manipulációt.

A bejelentkezés ekkor a tanúsítvánnyal ellátott https:// titkosított csatornán keresztül fog megtörténni, így az illetéktelenek nem tudják megszerezni a jelszavainkat. Az SSL telepítése után nem kell mást tennie, mint a wp-config.php fájlba beszúrni az alábbi sort:

define('FORCE_SSL_ADMIN', true);

Garanciákkal bíró, megbízható tanúsítványokért látogasson el az SSL tanúsítvány oldalunkra!

A témád védelmének fokozása

1. Védekezés bejelentkezést érintő támadások ellen

A legtöbb hacker az oldal által adott hibajelzések alapján folytatja le a támadási metódust.

A következő kódrészlet eltávolítja a WordPress bejelentkezési oldaláról az alapértelmezett hibaüzeneteket, amelyek megjelennek sikertelen bejelentkezési kísérlet esetén. A create_function egy egyszerű, inline PHP funkciót hoz létre, ami ebben az esetben mindig null értéket ad vissza.

Ez nagyon hasznos biztonsági intézkedés lehet, mert:

  1. Hibaüzenetek elrejtése: Megakadályozza, hogy támadók megtudják, hogy egy felhasználónév létezik-e (pl. „Invalid username” vs. „Incorrect password”).
  2. Egységes üzenet: Csökkenti az esélyt arra, hogy támadók információkat nyerjenek az autentikáció működéséről.

Ez ellen egyszerűen védekezhetünk, a theme könyvtárban adjuk hozzá a functions.php-hez alább sort:

add_filter('login_errors', function() {
return null;
});

2. Bemenet tisztítása

Add hozzá a téma könyvtárban a functions.php fájlhoz az alább kódsort, hogy felhasználói bemetet tudj szűrni és validálni:

add_filter('query_vars', function($vars) {
foreach ($vars as $key => $value) {
$vars[$key] = sanitize_text_field($value);
}
return $vars;
});
  • A WordPress query_vars tartalmazza az URL-ben szereplő paramétereket, például: example.com/?param=abc.
  • sanitize_text_field alkalmazása
    A kód minden egyes változót megtisztít a sanitize_text_field függvénnyel, amely eltávolítja a nem megengedett HTML vagy különleges karaktereket, csökkentve az XSS támadások és egyéb visszaélések kockázatát.
  • Tisztított változók visszaadása
    A módosított változók visszakerülnek a WordPress rendszerébe.

2. XSS támadások megelőzése

Kimenetek tisztítása, hogy ne lehessen rosszindulatú szkripteket futtatni:

add_filter('the_content', 'wp_kses_post');

A add_filter('the_content', 'wp_kses_post'); kód a WordPress tartalmi szűrőjéhez ad egy funkciót, amely a wp_kses_post függvényt alkalmazza. Ez a függvény eltávolítja azokat a HTML elemeket és attribútumokat, amelyek nem biztonságosak, például <script> vagy <iframe>.

  • the_content szűrő: Ez a szűrő minden bejegyzés vagy oldal tartalmára vonatkozik, mielőtt azt a felhasználó látja,
  • wp_kses_post: Biztonságos HTML-t hagy csak jóvá (pl. <p>, <strong>, <a>).
  • Eredmény: Csak a megengedett elemek jelennek meg, csökkentve az XSS támadások kockázatát.

Hogyan tudom tesztelni?

A add_filter('the_content', 'wp_kses_post'); kód teszteléséhez kövesd az alábbi lépéseket:

  1. Hozd létre a kódot a functions.php fájlban.
  2. Lépj be a WordPress admin felületére, és hozz létre egy bejegyzést, amiben HTML elemeket használsz, például:
    <script>alert('test');</script>
    <b>Bold szöveg</b>
    <a href="https://example.com">Link</a>
  3. Teszteld, hogy a kód fut-e: Ha az wp_kses_post helyesen van beállítva, akkor az <script> tag eltűnik, de a <b> és <a> tagok megmaradnak.
  4. Nézd meg a bejegyzést a weboldalon, hogy a tisztított HTML csak a biztonságos elemeket tartalmazza.

3. Adminisztrációs hozzáférések korlátozása

Ez a megoldás az adminisztrációs felület korlátozására alkalmas, például csak meghatározott IP-címek számára teszi elérhetővé azt. Ez segít megvédeni az adminisztrációs oldalt brute-force támadásoktól:

add_action('init', function() {
if (is_admin() && !in_array($_SERVER['REMOTE_ADDR'], ['127.0.0.1'])) {
wp_die('Access denied.');
}
});

A megadott kód az init akcióra csatlakozik, és az alábbiakat teszi:

  • Ellenőrzi, hogy az oldal adminisztrációs felület-e: A is_admin() feltétel igaz lesz, ha valaki megpróbál hozzáférni a WordPress adminisztrációs oldalához.
  • IP-cím ellenőrzése: Az $_SERVER['REMOTE_ADDR'] változó segítségével összehasonlítja a látogató IP-címét egy megadott listával (pl. 127.0.0.1, ami a helyi gép címe).
  • Hozzáférés megtagadása: Ha az IP-cím nem szerepel a listában, akkor a WordPress azonnal leállítja a műveletet a wp_die('Access denied.') paranccsal, és a felhasználó hibaüzenetet kap.

4. XML-RPC teljes tiltása

A kód célja, hogy teljesen letiltsa a WordPress XML-RPC funkcióját, amely távoli elérést tesz lehetővé. Az XML-RPC gyakran célpontja brute-force támadásoknak, ezért hasznos lehet a biztonság növelésére. A beépített tiltó mechanizmus működését egy WordPress XML-RPC Validator eszközzel tudod ellenőrízni.

add_filter('xmlrpc_enabled', '__return_false');
  • XML-RPC kérelmek felismerése: Amikor valaki a xmlrpc.php fájlhoz próbál hozzáférni, a WordPress először ellenőrzi, hogy az XML-RPC engedélyezve van-e.
  • Szűrő aktiválása: A fenti kód a xmlrpc_enabled szűrőt használja, amely a WordPress-nek azt mondja, hogy az XML-RPC funkció le legyen tiltva.
  • Válasz a kérelmekre: Ha az XML-RPC le van tiltva, a rendszer visszaad egy hibát, és nem engedi a távoli hozzáférést.

5. Alapértelmezett WordPress fejlécek eltávolítása

Az alábbi kód a WordPress oldaladon a felesleges metaadatokat távolítja el az oldal forráskódjából:

remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'rsd_link');

Hogyan tesztelheted?

  • Kód hozzáadása: Tedd ezt a kódot a functions.php fájlba.
  • Ellenőrizd a forráskódot:
    • Nyisd meg a weboldalad frontendjét.
    • Jobb kattintás → „Forrás megtekintése” (View Source) vagy nyomj Ctrl+U.
  • Keresés a metaadatokra:
    • Keresd az alábbi elemeket:
      • <meta name="generator"... (WordPress verzió)
      • <link rel="EditURI"... (RSD link)
      • <link rel="wlwmanifest"... (Windows Live Writer manifest)

Hogyan működik?

  • remove_action('wp_head', 'wp_generator');
    Eltávolítja a <meta name="generator" content="WordPress x.x.x"> sort, amely a WordPress verzióját jelenítené meg. Ez megakadályozza, hogy támadók könnyen azonosítsák az oldalon futó WordPress verzióját.

  • remove_action('wp_head', 'wlwmanifest_link');
    Eltávolítja a Windows Live Writer meta linket (wlwmanifest.xml), amely csak bizonyos külső eszközökhöz szükséges.

  • remove_action('wp_head', 'rsd_link');
    Eltávolítja a Remote Service Discovery (RSD) linket, amely az XML-RPC kapcsolathoz tartozik.

6. Alapértelmezett REST API korlátozás

Az add_filter('rest_authentication_errors', function ($result) {...}); kód célja, hogy a WordPress REST API-t korlátozza, és csak bejelentkezett felhasználók számára tegye elérhetővé. Ez megakadályozza, hogy nem hitelesített látogatók hozzáférjenek az API-n keresztül elérhető adatokhoz.

add_filter('rest_authentication_errors', function ($result) {
if (!is_user_logged_in()) {
return new WP_Error('rest_forbidden', 'REST API restricted.', array('status' => 403));
}
return $result;
});

Hogyan tesztelheted?

  • REST API elérésének próbája: Nyisd meg egy REST API végpontot nem bejelentkezett állapotban, például:
    https://yourdomain.com/wp-json/wp/v2/posts
  • Várható eredmény:
    • Ha nem vagy bejelentkezve, egy 403-as HTTP hibakódot és az „REST API restricted” hibaüzenetet kell kapnod.
    • Bejelentkezett állapotban az API végpont megfelelően működik.

Hogyan működik?

  • REST API hitelesítési ellenőrzése:

    • A REST API minden kérése a rest_authentication_errors szűrőn megy keresztül.
    • A kód ellenőrzi, hogy a felhasználó be van-e jelentkezve (is_user_logged_in()).

  • Ha nem bejelentkezett felhasználó kérdez:

    • Egy WP_Error objektumot ad vissza, amely egyéni hibát („REST API restricted”) generál, és 403-as HTTP státuszkódot küld.

  • Ha bejelentkezett felhasználó kérdez:

    • Az API a szokásos módon működik, és továbbadja a kérést.

7. Alapértelmezett WordPress fejlécek eltávolítása

A következő kód célja, hogy biztosítsa a WordPress által generált sütik titkosított HTTPS kapcsolaton keresztül legyenek továbbítva. Ez megakadályozza, hogy a sütiket lehallgassák egy nem biztonságos kapcsolaton keresztül.

add_filter('secure_signon_cookie', '__return_true');
add_filter('secure_auth_cookie', '__return_true');

Hogyan tesztelheted?

  • Hozd létre a kódot a functions.php fájlban.
  • Nyisd meg a böngésző sütikezelőjét:
    • A legtöbb böngészőben ez elérhető a fejlesztői eszközökben (F12Alkalmazás vagy TárolóSütik).
  • Nézd meg a sütik beállításait:
    • Keresd meg a secure_auth vagy secure_signon nevű sütiket.
    • Ellenőrizd, hogy a „Secure” címke meg van-e adva.
  • Tesztelj HTTP kapcsolaton keresztül:
    • Kapcsold ki a HTTPS-t, és próbáld meg elérni az adminisztrációs oldalt.
    • A böngésző nem továbbítja a sütiket, ha a „Secure” opció aktív, így a belépés sikertelen lesz.

Hogyan működik?

  • secure_signon_cookie szűrő:
    Ez biztosítja, hogy a bejelentkezési sütik (Signon Cookies) csak titkosított kapcsolaton keresztül jöjjenek létre. Ez védi a hitelesítési adatokat az esetleges lehallgatástól.

  • secure_auth_cookie szűrő:
    Ez ugyanazt a funkciót látja el a hitelesítési sütik (Authentication Cookies) esetében, amelyeket a WordPress adminisztrációs felületének használatához hoz létre.

8. Bemenetek tisztítása

A megadott kód célja, hogy a WordPress által használt query vars (lekérdezési változók) bemeneteit tisztítsa a sanitize_text_field függvénnyel, eltávolítva az érvénytelen vagy veszélyes karaktereket.

add_filter('query_vars', function($vars) { foreach ($vars as $key => $value) { $vars[$key] = sanitize_text_field($value); } return $vars; });add_filter('query_vars', function($vars) { foreach ($vars as $key => $value) { $vars[$key] = sanitize_text_field($value); } return $vars; });

Hogyan tesztelheted?

  1. Add hozzá a kódot a functions.php fájlhoz.
  2. Hozz létre egy URL-paramétert:
    • Például:
      https://yourdomain.com/?custom_param=<script>alert('XSS');</script>
  3. Ellenőrizd a tisztítást:
    • Használj egy WordPress oldal sablonban vagy pluginben egy kódot a get_query_var függvénnyel, hogy ellenőrizd a bemeneti adatot:
      $custom_param = get_query_var('custom_param'); echo $custom_param;
    • Az eredményben a nem biztonságos karaktereket, mint a <script> tag, el kell távolítani. A várt eredmény:
      alert('XSS');
  4. Ellenőrzés:
    • Ha a tisztítás helyesen működik, a bemenet biztonságos formában jelenik meg, kizárva az XSS vagy más veszélyes kód futtatását.

Hogyan működik?

  1. Lekérdezési változók átalakítása:
    A WordPress automatikusan felismeri az URL-ben szereplő, regisztrált query vars változókat (pl. ?custom_param=value). A kód minden ilyen változót végigjár, és a potenciálisan veszélyes karaktereket eltávolítja.

  2. Biztonságos bemenet biztosítása:
    A sanitize_text_field eltávolítja a nem kívánt karaktereket, például HTML tageket vagy speciális karaktereket, amelyek veszélyesek lehetnek (pl. <script>).

  3. Továbbítás tisztított formában:
    A tisztított változók biztonságosak lesznek az alkalmazáson belüli feldolgozásra, például megjelenítésre vagy adatbázisba mentésre.

9.Egyedi bejelentkezési link definiálása:

Ez a kód egy egyedi belépési URL létrehozását valósítja meg WordPress-ben, miközben letiltja az alapértelmezett wp-login.php és wp-admin oldalak közvetlen elérését a nem bejelentkezett felhasználók számára. Helyezd el a témád könyvtárában található functions.php fájlban az alábbi kódot:

 // Egyedi belépési URL kezelése function custom_login_redirect() { $request_uri = $_SERVER['REQUEST_URI']; // Ha az egyedi belépési URL-t használják (pl. /belepes), töltsük be a wp-login.php-t if (strpos($request_uri, 'belepes') !== false) { require_once ABSPATH . 'wp-login.php'; exit; } } add_action('init', 'custom_login_redirect'); // Bejelentkezés utáni átirányítás function custom_login_after_redirect($redirect_to, $request, $user) { if (isset($user->roles) && is_array($user->roles)) { if (in_array('administrator', $user->roles)) { return admin_url(); // Admin felhasználók az admin felületre kerülnek } else { return home_url(); // Minden más felhasználó a kezdőlapra kerül } } return $redirect_to; } add_filter('login_redirect', 'custom_login_after_redirect', 10, 3);

Hogyan működik a fenti kód?

  1. Egyedi URL (pl. /belepes):Ha ezen az URL-en keresztül érkezik a felhasználó, a wp-login.php tartalma betöltődik, és megjelenik a bejelentkezési oldal.
  2. Alapértelmezett URL-ek blokkolása:wp-login.php vagy wp-admin közvetlen elérésekor a rendszer 404-es hibát küld vissza, kivéve, ha a felhasználó már be van jelentkezve.
  3. Biztonság:A kód elrejti a WordPress alapértelmezett belépési oldalait a támadók elől. Csak az egyedi URL használható bejelentkezéshez.

WordPress és bővítmények naprakészen tartása

Fontos, hogy folyamatosan naprakész legyen a WordPress alkalmazás, így mindig frissítsük az alkalmazást és a bővítményeket, témákat egyaránt! A folyamatos frissítésekkel a különböző biztonsági réseket, hibákat orvosolják a készítők, így elengedhetetlen feltétele ez a biztonságnak!

  • Töröld a felesleges, nem használt témákat és bővítményeket a WordPress alól.
  • Ne tölts le ismeretlen forrásból származó bővítményeket, témákat a wordpress alkalmazáshoz! Ilyen ismeretlen forrás a torrentoldalak és egyéb warez oldalak.

A WordPress automatikus frissítéseinek kezelésére az alábbiakat javasolt megfontolni:

  1. Automatikus frissítések engedélyezése:
    • A WordPress alapértelmezés szerint engedélyezi a kisebb (biztonsági és karbantartási) frissítéseket. Ezeket érdemes bekapcsolva hagyni.
  2. Bővítmények és sablonok frissítése:
    • Az admin felületen minden bővítmény és sablon frissítését manuálisan vagy automatikusan beállíthatod.
  3. Automatikus frissítések konfigurálása:
    • CORE fájlok frissítése a wp-config.php fájlban:
      define('WP_AUTO_UPDATE_CORE', true);
      Ez lehetővé teszi a főbb magfrissítéseket is.
    • Bővítmények és sablonok frissítése:
      • Lépj a Bővítmények (Plugins) menübe.
      • Az egyes bővítményeknél kattints az „Automatikus frissítés engedélyezése” linkre.
      • A Megjelenés > Sablonok alatt ugyanezt megteheted a sablonokkal is.
  4. Bővítmény használata:
    • Használj bővítményeket, mint például a Easy Updates Manager, amelyek részletes szabályozást biztosítanak a frissítések felett.
  5. Biztonsági mentések készítése:
    • Automatikus frissítések előtt állítsd be a rendszeres biztonsági mentéseket (pl. Softacoulos segítségével).

Biztonsági jogosultságok beállítása

Figyeljen oda, hogy melyik mappának milyen attribútumot ad meg!

  • 755 könyvtárakra: Ez olvasási, írási és végrehajtási jogot ad a tulajdonosnak, és olvasási és végrehajtási jogot a csoportnak és másoknak.
  • 644 fájlokra: Olvasási és írási jogot ad a tulajdonosnak, és csak olvasási jogot a csoportnak és másoknak.

SSH-n futtatható parancsok a fájlok és könyvtárak helyes jogosultságok rekurzív beállításhoz:
  • Könyvtárakra:
    find /path/to/directory -type d -exec chmod 755 {} \;
    Ez a parancs az összes könyvtárra 755 jogosultságot állít be, ami azt jelenti, hogy:
    • 7 (rwx): Teljes jogosultság a tulajdonosnak (olvashat, írhat, végrehajthat).
    • 5 (r-x): Csak olvashat és végrehajthat a csoport és mások számára.

  • Fájlokra:
    find /path/to/directory -type f -exec chmod 644 {} \;
    Ez a parancs az összes fájlra 644 jogosultságot állít be, ami azt jelenti, hogy:
    • 6 (rw-): Olvasási és írási jog a tulajdonosnak.
    • 4 (r–): Csak olvasási jog a csoport és mások számára.

  • wp-config.php fájlra:
    chmod 440 wp-config.php
    Ez a parancs a wp-config.php fájlra 440 jogosultságot állít be (szükség esetén használható a 444 is), ami azt jelenti, hogy:
    • 4 (r–): Olvasási jog a tulajdonosnak.
    • 4 (r–): Csak olvasási jog a csoport számára.
    • 0 (r–): Nincs hozzáférés mások számára.

Korlátozott fájlfelöltési lehetőségek

Azokban a könyvtárakban, ahol várhatóan nem szükséges a .php fájlok futtatása, korlátozza bizonyok fájlok elérését.

A WordPress alapstruktúrájában vannak olyan specifikus könyvtárak, ahol a .htaccess fájl használata különösen hasznos lehet, hogy növelje a biztonságot anélkül, hogy az oldal működését zavarná. Az alábbiakban felsorolom azokat a könyvtárakat, amelyekben érdemes specifikus biztonsági szabályokat beállítani:

1. wp-content/uploads/

Ez a mappa az egyik legfontosabb, ahol érdemes letiltani a PHP fájlok futtatását. Mivel ide kerülnek a feltöltött fájlok (képek, dokumentumok stb.), ez egy potenciális célpont lehet rosszindulatú PHP fájlok feltöltésére.

Ajánlott .htaccess szabály Apache 2.4-től:

<FilesMatch "\.(py|exe|php[0-9]?|suspected)$">
Require all denied
</FilesMatch>

Ez a szabály megakadályozza a PHP fájlok futtatását ebben a mappában, ami biztonságosabbá teszi a webhelyet.

2. wp-includes/

wp-includes mappa tartalmazza a WordPress core fájljait, melyeknek a front-end látogatók által történő hozzáférése nem szükséges. Ezt a mappát is védeni kell a közvetlen hozzáféréstől.

Ajánlott .htaccess szabály:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-includes/ - [F,L]< /></IfModule>
Apache 2.4-től: 
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /

# Tiltás a wp-includes mappára
RewriteRule ^wp-includes/ - [F,L]
</IfModule>

Magyarázat a szabályról:

  • RewriteRule ^wp-includes/ - [F,L]: Ez a szabály megakadályozza, hogy közvetlenül hozzáférjenek a wp-includes könyvtárhoz. A - jelzi, hogy nem végez átirányítást vagy módosítást, csak tiltja (403 – Forbidden válasz).
    • [F]: Force forbidden (403-as válasz).
    • [L]: Stop processing further rules.
3. wp-admin/

A WordPress adminisztrációs felülete (admin panel) biztonságos hozzáférést igényel, és érdemes védeni azt a külső támadásokkal szemben. A .htaccess fájl használható ezen a területen például IP-korlátozásra, vagy további hitelesítésre.

Ajánlott IP-korlátozó szabály (példa):

<FilesMatch ".*">
Order Deny,Allow
Deny from all
Allow from 123.456.789.000 # Csak ez az IP férhet hozzá az adminhoz
</FilesMatch>

Apache 2.4-től ajánlott szabály: 
<FilesMatch ".*">
Require all denied
Require ip 123.456.789.000
</FilesMatch>
4. wp-content/themes/ és wp-content/plugins/

Bár ezek a mappák tartalmaznak PHP fájlokat, ezeket a fájlokat a WordPress maga futtatja. Ezért nem érdemes teljesen blokkolni a PHP fájlokat ebben a könyvtárban, de hasznos lehet további biztonsági szabályokat létrehozni.

Biztonsági szabály ajánlás:

    • Ha a felhasználók vagy harmadik felek nem férhetnek hozzá ezekhez a mappákhoz (pl. ha nem engedélyezel fájlfeltöltést bővítményekbe), érdemes itt is korlátozni a PHP fájlok futtatását, például egyes bővítmény vagy téma könyvtárakban.
5. wp-config.php és .egyéb védelem (a gyökérkönyvtárban)

wp-config.php az egyik legfontosabb fájl, mivel tartalmazza az adatbázis hitelesítési adatait és más kritikus beállításokat. A közvetlen hozzáférés tiltása itt különösen fontos. A szabályokat a gyökér könyvtárban lévő .htaccess fájlhoz szükséges hozzáadni.

Ajánlott .htaccess szabály Apache 2.4-től:

<FilesMatch "^(wp-config\.php|\.htaccess|\.env|\.git)">
Require all denied
</FilesMatch>

Ajánlott .htaccess szabály nem kívánt fájlkiterjesztések ellen, Apache 2.4-től:

<FilesMatch "\.(py|exe|sh|bat|cmd|suspected)$">
Require all denied
</FilesMatch>

Adatbázis és fájlmentések rendszeres készítése

Automatikusan készíts mentéseket a weboldalról, és tárold azokat biztonságos, távoli helyeken. Így, ha egy támadás sikerrel jár, gyorsan helyreállíthatod az oldalt.

Nálunk számtalan lehetőség közül választhatsz:
Biztonsági mentés műveletek

Fájlmódosítások letiltása

A WordPress saját FileSystem API-ja felelős a fájl- és könyvtárműveletekért. Ezt letilthatod a wp-config.php fájlban

define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
  • DISALLOW_FILE_EDIT: Megakadályozza a bővítmények és témák szerkesztését a WordPress felületén.
  • DISALLOW_FILE_MODS: Megakadályozza a fájlműveleteket, például a bővítmények és témák telepítését, frissítését és törlését.

Használj kétfaktoros hitelesítést

A kétfaktoros hitelesítés (2FA) egy olyan biztonsági intézkedés, amely két különálló azonosítási módszert követel meg a felhasználóktól a hozzáférés engedélyezéséhez. Ez jelentősen megnöveli a biztonságot a hagyományos jelszavas védelemmel szemben, mivel a támadónak nemcsak a jelszót kell megszereznie, hanem a második tényezőt (általában egy időkorlátos kódot vagy eszközt) is.

Hogyan működik a kétfaktoros hitelesítés?

  1. Első lépés: jelszó megadása
    A felhasználó a szokásos módon belép a WordPress admin felületére a felhasználónév és jelszó megadásával.

  2. Második lépés: második hitelesítési faktor
    A rendszer egy további hitelesítési módszert kér, például egy kódot, amit egy mobilalkalmazás (pl. Google Authenticator), SMS-ben küldött kód, vagy hardveres token állít elő. A belépés csak akkor sikeres, ha ez a második lépés is teljesül.

A kétfaktoros hitelesítés előnyei
  • Növeli a biztonságot: Még ha valaki megszerezné is a jelszavadat (pl. egy adatlopás során), a második hitelesítési tényező nélkül nem tud belépni.
  • Csökkenti a brute force támadások hatékonyságát: Mivel a támadónak nem csak a jelszót kell kitalálnia, hanem a dinamikusan generált kódot is, amely általában néhány percig érvényes.
  • Többféle hitelesítési módszer közül lehet választani: Alkalmazások, SMS, hardveres tokenek, vagy akár biometrikus azonosítók.
Kétfaktoros hitelesítéshez ajánlott WordPress bővítmények
  1. Google Authenticator – Two Factor Authentication (2FA)

    Ez az egyik legnépszerűbb bővítmény, amely egyszerű és hatékony módon integrálja a 2FA-t a WordPress webhelyekre.

    Jellemzők:

    • Kompatibilis a Google Authenticator és más hitelesítési alkalmazásokkal.
    • Különböző felhasználókra különféle hitelesítési szabályok alkalmazhatók.
    • Képes csak bizonyos felhasználói csoportok (például adminisztrátorok) számára 2FA-t bekapcsolni.
    • SMS vagy e-mail alapú hitelesítés is választható.

    Használata:

    1. A felhasználó egy mobilalkalmazással szkenneli be a QR kódot, és onnantól kezdve az alkalmazás generál kódokat minden belépéshez.
  2. Wordfence Security

    A Wordfence egy átfogó biztonsági bővítmény, amelynek része a kétfaktoros hitelesítés is.

    Jellemzők:

    • Integrálja a Google Authenticator-t és más hitelesítési appokat.
    • E-mail alapú 2FA támogatás.
    • Korlátozza a belépési kísérleteket, tűzfal funkcióval, IP-szűréssel, malware kereséssel.

    Előnyök:

    • Komplett biztonsági megoldás része, nem csak 2FA.
    • Rendszeres jelentések és naplózás a biztonsági eseményekről.

  3. iThemes Security

    Az iThemes Security szintén egy átfogó biztonsági bővítmény, amely kétfaktoros hitelesítést kínál a WordPress weboldalakhoz.

    Jellemzők:

    • Google Authenticator kompatibilis.
    • E-mail alapú másodlagos hitelesítés.
    • IP alapú tiltás, brute force támadások elleni védelem.

    Előnyök:

    • Kiválóan skálázható kis- és nagyobb weboldalakhoz.
    • Kombinálható más biztonsági funkciókkal (pl. fájlmódosítás figyelés, adatbázis mentések).
  4. Two Factor Authentication by WP White Security

    Egy egyszerű, mégis hatékony kétfaktoros hitelesítési megoldás, amely könnyen integrálható különféle hitelesítési módokkal.

    Jellemzők:

    • Kompatibilis Google Authenticator, Authy és más TOTP (Time-based One-Time Password) alkalmazásokkal.
    • Felhasználók kiválaszthatják, hogy melyik másodlagos hitelesítési módszert szeretnék használni.
    • Adminisztrátori fiókok számára kötelezővé tehető.

    Előnyök:

    • Könnyen beállítható és használható.
    • Támogatja a többfelhasználós oldalakat is, így minden felhasználónak saját 2FA lehetősége van.

  5. MiniOrange Two Factor Authentication

    Ez a bővítmény többféle hitelesítési módszert kínál, beleértve az SMS-t, e-mailt és a Google Authenticator alapú megoldásokat.

    Jellemzők:

    • Támogat több hitelesítési opciót, beleértve az OTP kódokat SMS-ben vagy e-mailben.
    • Különböző módszereket biztosít az egyes felhasználói szintekhez (pl. adminisztrátorok, szerkesztők, előfizetők).
    • Támogatja az automatikus belépési figyelmeztetéseket, ha ismeretlen eszközről próbálnak hozzáférni.

    Előnyök:

    • Sokféle hitelesítési módszert kínál, így mindenki kiválaszthatja a számára legmegfelelőbbet.
    • Egyedi beállítási lehetőségek, akár felhasználói szintenként.

Használj CAPTCHA hitelesítést

A CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) egy olyan biztonsági mechanizmus, amelynek célja annak eldöntése, hogy a weboldal felhasználója ember vagy számítógépes program (bot). A CAPTCHA egy sor egyszerű feladatot ad a felhasználónak (például eltorzított szöveg beírása, képek közötti választás), amelyeket az emberek könnyen meg tudnak oldani, míg a botok nehezebben

A CAPTCHA használatának előnyei:

1. Védelem a spamek ellen

Az egyik legnagyobb előnye a CAPTCHA-nak, hogy megvédi az űrlapokat az automatikus spam botok ellen. Ezek a botok képesek nagy mennyiségű spam üzenetet generálni a kapcsolatfelvételi, regisztrációs vagy jelszó-helyreállítási űrlapokon keresztül. A CAPTCHA biztosítja, hogy csak valódi felhasználók férjenek hozzá ezekhez az űrlapokhoz.

2. Brute force támadások elleni védelem

CAPTCHA-t használva megelőzheted a brute force támadásokat, ahol támadók próbálnak belépni a weboldaladra úgy, hogy ismételten különböző jelszavakat tesztelnek. A reCAPTCHA bevezetésével korlátozhatod az ilyen jellegű próbálkozásokat, és elérheted, hogy csak emberek férhessenek hozzá a bejelentkezési űrlapokhoz.

3. Felhasználói adatvédelem biztosítása

Mivel a CAPTCHA megakadályozza a botok hozzáférését a jelszó-helyreállítási és bejelentkezési folyamatokhoz, ez növeli az oldal felhasználóinak adatvédelmét. A hackerek nem tudnak olyan könnyen hozzáférni a felhasználók adataihoz, mint jelszavakhoz vagy e-mail címekhez.

4. Felhasználói élmény javítása

Az újabb verziók, például a Google láthatatlan reCAPTCHA-ja vagy a noCAPTCHA megoldások javítják a felhasználói élményt, mivel nem zavarják a látogatókat extra feladatokkal (például képek kiválasztásával). Csak akkor aktiválódik a CAPTCHA, ha gyanús viselkedést érzékel.

5. Könnyű implementáció és széleskörű kompatibilitás

A WordPress rengeteg könnyen telepíthető plugin-t kínál a CAPTCHA integrációhoz, amelyek jól működnek az űrlapokkal, regisztrációs oldalakkal és jelszó-helyreállítási folyamatokkal. Nem igényel fejlett programozási tudást, így könnyedén beépíthető egy meglévő weboldalba.

6. Biztonsági rések csökkentése

Az automatikus regisztrációk és rosszindulatú támadások gyakran az űrlapokon keresztül történnek. A CAPTCHA hozzáadásával minimalizálhatod az ilyen típusú támadások esélyét, mivel megelőzi, hogy robotok kihasználják az esetleges biztonsági réseket.

7. Jelszó visszaállítás biztonságosabbá tétele

A jelszó-emlékeztető és visszaállítási folyamat érzékeny terület. CAPTCHA-val védekezve megbizonyosodhatsz arról, hogy csak a valós felhasználók kérelmezik a jelszó helyreállítását, és csökkentheted az ilyen típusú visszaéléseket.

8. Testreszabhatóság

Számos CAPTCHA plugin lehetőséget kínál arra, hogy testreszabhasd, mikor és hol jelenjen meg. Például csak a jelszó-helyreállító oldalakon, vagy csak a bejelentkezési űrlapokon. Ez segít abban, hogy a felhasználói élmény és a biztonság egyensúlyban legyen.

9. Költséghatékony védelem

A CAPTCHA megoldások többsége ingyenesen használható (például a Google reCAPTCHA), így költséghatékony módon nyújthatsz extra biztonságot anélkül, hogy drága biztonsági megoldásokra lenne szükséged.

Javasolt Plugin alkalmazások:

1. Google Captcha (reCAPTCHA) by BestWebSoft

Ez a bővítmény integrálja a Google reCAPTCHA-t a bejelentkezési, regisztrációs és jelszó-helyreállítási oldalakhoz. Az egyszerű beállítás és széles körű támogatás mellett könnyen használható.

2. WPForms

Ez egy drag-and-drop űrlapkészítő, amely beépített Google reCAPTCHA támogatással rendelkezik. Lehetővé teszi a különböző típusú űrlapok egyszerű készítését és védelmét CAPTCHA-val.

  • Előnyök: Felhasználóbarát felület, támogat többféle CAPTCHA-t, beleértve a hCaptcha-t is.
  • Letöltés: WPForms

3. reCAPTCHA by WP Armour

Kifejezetten a spamek ellen tervezett bővítmény, amely láthatatlan reCAPTCHA-t kínál, így nem zavarja a felhasználói élményt. Működik bejelentkezési, regisztrációs és jelszó helyreállító oldalakon is.

4. Advanced noCaptcha & Invisible Captcha

Ez a bővítmény támogatja mind a Google noCaptcha reCAPTCHA V2, mind a láthatatlan reCAPTCHA integrációját, és többféle WordPress űrlaphoz használható.

Ezek a bővítmények mind növelik a weboldalad biztonságát a jelszó-emlékeztetők és más űrlapok esetében, miközben megvédik azokat a robotok támadásaitól.

5. Simple Cloudflare Turnstile Plugin

A Simple Cloudflare Turnstile plugin egy rugalmas, láthatatlan biztonsági megoldás, amely a Cloudflare Turnstile rendszerét integrálja a WordPress oldalakhoz. A plugin célja, hogy hatékony védelmet nyújtson a spamek és automatizált botok ellen, miközben minimálisra csökkenti a felhasználói beavatkozást.

  • Előnyök: Láthatatlan CAPTCHA megoldás, amely automatikusan védi az űrlapokat anélkül, hogy felhasználói beavatkozást igényelne. Gyorsan betöltődik és adatvédelmi szempontból is előnyös, mivel kevesebb adatot gyűjt, mint a hagyományos CAPTCHA-k.
  • Letöltés: Simple Cloudflare Turnstile

      1. Javasolt a nálunk elérhető Softaculous csomagtelepítővel történő alkalmazástelepítés. A WordPress alkalmazás telepítésének folyamatában beállítható, hogy a későbbiekben automatikusan frissítse a WordPress alkalmazást, a plugineket és a témákat is! Így jelentősen csökkenthető a biztonsági hibák által előforduló behatolások száma és a weboldala forráskódja is naprakész lesz.

      1. Javasolt a proaktív szűrők használata!
        Sucuri Security
        • Funkciók: A Sucuri egy teljes körű weboldal biztonsági megoldás, amely valós idejű monitoringot, tűzfalat, malware keresést, valamint a sebezhetőségek folyamatos figyelését biztosítja.
        • Előnyök: Képes a WordPress core fájlok, témák és bővítmények integritásának ellenőrzésére, és megakadályozza a káros fájlok elhelyezését.
        • Tűzfal védelem: A fizetős verzióban egy web application firewall (WAF) védi a webhelyedet az ismert támadási módszerektől.
        2. Wordfence Security
        • Funkciók: A Wordfence az egyik legnépszerűbb WordPress biztonsági plugin, amely tartalmaz malware keresőt, végrehajtásvédelmet, és egy tűzfalat. Képes figyelmeztetni a sebezhetőségekről és megelőzi a káros fájlok elhelyezését.
        • Káros fájlok szűrése: A plugin rendszeresen ellenőrzi a fájlokat, és ha bármi gyanúsat talál, automatikusan értesítést küld.
        • Valós idejű védelem: A fizetős verzió valós idejű IP blokkolást és ország alapú tiltásokat is lehetővé tesz.
        3. iThemes Security
        • Funkciók: Az iThemes Security egy másik népszerű választás, amely megakadályozza a webhely gyenge pontjainak kihasználását. Automatikusan zárolja az IP-címeket, és megakadályozza a rosszindulatú fájlok feltöltését.
        • Fájlintegritás ellenőrzés: Ez a funkció figyeli a webhely fájljait, és értesít, ha bármilyen változást észlel a fájlokban.
        • Kétlépcsős hitelesítés: Ezzel növeli az adminisztrációs felület biztonságát.
        4. MalCare Security
        • Funkciók: Kiváló választás olyan webhelyek számára, amelyek napi malware ellenőrzést igényelnek. Automatikusan tisztítja a fertőzött fájlokat, és védi az oldaladat a hackelési kísérletek ellen.
        • Egy kattintásos tisztítás: Automatikus tisztítást biztosít a káros fájlok esetén.
        • Tűzfal: A tűzfal megakadályozza a támadások nagy részét még mielőtt elérnék a tárhelyet.
        5. All In One WP Security & Firewall
        • Funkciók: Ez az ingyenes plugin többféle biztonsági funkciót kínál, beleértve a fájlok védelmét, malware ellenőrzést és a tűzfal beállításokat.
        • Fájlvédelem: Monitorozza a fájlokat és megakadályozza a káros fájlok módosítását vagy feltöltését.
        • Könnyen kezelhető: Ideális kezdőknek, mivel felhasználóbarát felületet biztosít.

      1. Javasolt a malware, deface és egyéb kártékony módosítások külső ellenőrzése: az interneten számtalan eszközt találhatunk, amely segít az ilyen típusú problémák felderítésében. Fontos tudni, hogy bár ezek hatékonysága jó, de előfordulhat, hogy nem minden kártékony módosítást és sérülékenységet jelez! Az egyik ilyen ingyenes ellenőrzőeszköz: Sucuri SitecheckVirusTotal

      1. Készítsen egyedi bejelentkező linket: A botok legtöbb esetben a /wp-login.php fájlt keresik, amelyhez a felhasználóneve és jelszót a brutaforce megoldással próbálják “kitalálni”.
        1. WPS Hide Login
        • Funkciók: Ez egy egyszerű, könnyen kezelhető plugin, amely lehetővé teszi az adminisztrációs belépési URL módosítását anélkül, hogy megváltoztatná a WordPress alapfájljait.
        • Előnyök: Nagyon könnyű beállítani, és nem terheli meg az oldalt. Kizárólag az URL-t változtatja meg, így a belépési oldalt csak az új URL-en keresztül lehet elérni.
        • Használata: Telepítés után az adminisztrációs felületen beállíthatsz egy új belépési URL-t, például yourwebsite.com/custom-login.
        2. iThemes Security (korábban Better WP Security)
        • Funkciók: Az iThemes Security egy átfogó biztonsági plugin, amely számos funkciót kínál, beleértve a belépési URL megváltoztatását.
        • Előnyök: A plugin nem csak a belépési URL módosítását teszi lehetővé, hanem további biztonsági funkciókat is nyújt, például kétlépcsős hitelesítést, fájlvédelmet, IP-zárolást és még sok mást.
        • Használata: Az admin URL megváltoztatásához aktiváld a „Hide Backend” funkciót, és add meg az új belépési URL-t.
        3. All In One WP Security & Firewall
        • Funkciók: Ez az ingyenes plugin nemcsak a belépési URL módosítását teszi lehetővé, hanem több biztonsági funkciót is kínál, mint például brute force támadások elleni védelem, fájlintegritás ellenőrzés, és egy tűzfal.
        • Előnyök: Egyszerű beállítás, átfogó biztonsági megoldás a WordPress számára. Képes értesítéseket küldeni a belépési kísérletekről és más biztonsági fenyegetésekről.
        • Használata: Az adminisztrációs panelen megadhatsz egyedi belépési URL-t, és blokkolhatod az alapértelmezett wp-admin hozzáférést.
        4. LoginPress
        • Funkciók: Eredetileg a belépési oldal testreszabására tervezték, de tartalmaz egy funkciót a belépési URL megváltoztatására is.
        • Előnyök: Testreszabhatod az admin belépési oldal kinézetét (például logó, színek, betűtípus), miközben megváltoztatod az URL-t.
        • Használata: Telepítés után az adminisztrációs panelről könnyedén beállítható az új URL.
        5. Hide My WP Ghost
        • Funkciók: Ez a plugin kifejezetten az oldal védelmére és a belépési URL elrejtésére fókuszál. Továbbá segít elrejteni a WordPress verziószámot, a bővítmények és sablonok nyilvános elérhetőségét is.
        • Előnyök: Komplexebb biztonsági funkciókat kínál, és elrejti a WordPress specifikus információkat, hogy megvédje az oldalt a hackerektől.
        • Használata: Telepítés után egyszerűen beállíthatod az új belépési URL-t, és számos egyéb biztonsági funkciót aktiválhatsz.

      1. Erős jelszó használata: fontos, hogy könnyen kitalálható vagy visszafejthető (admin, password, 123456, asd, stb) jelszavakat ne használjunk. Érdemes random jelszavakat generálni. Ehhez nyújt segítséget a TARHELY.PRO Jelszó generátor

      1. Bejelentkezési kísérletek korlátozása:
        1. Limit Login Attempts Reloaded
        • Funkciók: Ez az egyik legnépszerűbb és legegyszerűbb bővítmény a bejelentkezési kísérletek korlátozására. Automatikusan zárolja a felhasználót meghatározott számú sikertelen belépési kísérlet után.
        • Előnyök:
          • Könnyű beállítás.
          • IP-cím alapján korlátozza a belépési kísérleteket.
          • Értesítéseket küld a zárolásokról.
        • További funkciók: Támogatja az IP-címek fehér- és feketelistáját, és az adminisztrátor manuálisan feloldhatja a zárolt felhasználókat.
        2. Login LockDown
        • Funkciók: Ez a plugin figyeli a belépési kísérleteket és ideiglenesen zárolja az IP-címeket, ha egy bizonyos számú sikertelen próbálkozás történt rövid időn belül.
        • Előnyök:
          • Könnyű és hatékony megoldás a brute force támadások ellen.
          • Beállíthatod, hogy hány próbálkozás után történjen zárolás, és hogy mennyi ideig tartson a zárolás.
        • Testreszabás: Lehetőséget biztosít arra, hogy meghatározd a kísérletek számát és a zárolás időtartamát.
        3. WP Limit Login Attempts
        • Funkciók: Hasonlóan a fent említett pluginekhez, a WP Limit Login Attempts is a bejelentkezési próbálkozások számát korlátozza, és automatikusan zárolja az IP-címeket ismételt sikertelen kísérletek után.
        • Előnyök:
          • Könnyű és gyors telepítés.
          • IP-cím zárolás és egyedi beállítások a próbálkozások száma, valamint a zárolási idő hosszára.
        • Értesítések: Lehetőség van e-mail értesítések beállítására a zárolási eseményekről.
        4. All In One WP Security & Firewall
        • Funkciók: Ez az ingyenes plugin egy átfogó biztonsági megoldás, amely tartalmaz bejelentkezési kísérletek korlátozását is. Számos biztonsági opciót kínál, köztük brute force támadások elleni védelmet.
        • Előnyök:
          • Korlátozhatod a belépési kísérletek számát IP-cím alapján.
          • Fehérlista és feketelista kezelés.
          • Komplett biztonsági megoldás tűzfallal, fájlfigyeléssel, és adatbázis biztonsági mentésekkel.
        • További funkciók: Az admin felhasználói felület intuitív, és tartalmaz bejelentkezési figyelmeztetéseket és IP blokkolási lehetőségeket.
        5. iThemes Security
        • Funkciók: Az iThemes Security számos biztonsági funkciót kínál, beleértve a bejelentkezési kísérletek korlátozását is. Automatikusan zárolja a felhasználókat meghatározott számú sikertelen próbálkozás után.
        • Előnyök:
          • Korlátozza a belépési próbálkozásokat és értesítéseket küld a zárolásokról.
          • Képes IP-címeket zárolni, fehérlistára tenni.
          • Sok más biztonsági funkciót is tartalmaz, például fájlfigyelést és kétlépcsős hitelesítést.
        6. Jetpack Protect
        • Funkciók: A Jetpack egy népszerű, többfunkciós plugin, amely tartalmaz beépített védelmet a brute force támadások ellen. A bejelentkezési kísérletek számát korlátozza és blokkolja a gyanús IP-címeket.
        • Előnyök:
          • Könnyű telepítés és használat.
          • Automatikus védelem és IP-blokkolás.
        • További funkciók: Jetpack más funkciókat is kínál, mint például webhelyteljesítmény-figyelés és biztonsági mentés.

      1. SSL tanúsítvány használata a bejelentkezéshez: ahhoz, hogy elkerüljük az adatszivárgást, tehát hogy illetéktelenek megszerezzék a jelszavainkat, érdemes SSL tanúsítványt használni. A bejelentkezés ekkor a tanúsítvánnyal ellátott https:// titkosított csatornán keresztül fog megtörténni, így az illetéktelenek nem tudják megszerezni a jelszavainkat. Az SSL telepítése után nem kell mást tennie, mint a wp-config.php fájlba beszúrni az alábbi sort:
        define(’FORCE_SSL_ADMIN’, true); Garanciákkal bíró, megbízható tanúsítványokért látogasson el az SSL tanúsítvány oldalunkra!

      1. Jelszavas védelem a WP-ADMIN könyvtárra: Egyszerű, ám de jó megoldás lehet a WP-ADMIN könyvtára jelszavas védelemmel ellátni, így a botok és rosszindulatú behatolók nem érik el a bejelentkezéshez szükséges könyvtárat. (Ezt a megoldást a fenti plugin alkalmazások kitudják váltani.) Ez a technika .htaccess megoldással kivitelezhető néhány lépésben: Jelszavas védelem létrehozása könyvtárakra

      1. IP cím alapú korlátozás: Korlátozzuk a saját IP címünkre a wp-admin könyvtár elérését. Itt a saját IP címünket kell megadni, így mindenki más számára elérhetetlen lesz. Dinamikus IP cím esetén folyamatos frissítést igényel a megoldás, tehát nem javasolt. FIX IP cím esetén kell mást tenni, mint a wp-admin könyvtárba létrehozni egy .htacces fájlt, és elhelyezni benne az alábbi sorokat:order deny,allow deny from all # Engedélyezett IP címek allow from xx.xx.xx.xxx

      1. IP cím alapú korlátozás ország lista alapján: A fenti metódushoz hasonlóan ezt is .htaccess technikával lehetséges megvalósítani. Nem kell mást tenni, mint felmenni az alábbi oldalra, kijelölni a tiltani kívánt országokat és a weboldal legenerálja illetve letölthetővé teszi a .htacces fájlt, amelyet a wp-admin könyvtárban szükséges elhelyezni. Nem tökéletes megoldás, egy országhoz csak 1 ip tartomány rendel, viszont legtöbb esetben rendelkezik több tartománnyal is.

      1. Távolítsuk el a hiba üzentet a bejelentkezési képernyőről: a legtöbb hacker a visszajelzés alapján folytatja le a támadási metódust. Ez ellen egyszerűen védekezhetünk, a theme könyvtárban adjuk hozzá a functions.php-hez alább sort:
        add_filter('login_errors',create_function('$a',"return null;"));

      1. Tartsuk napra készen a WordPress-t: Fontos, hogy folyamatosan naprakész legyen a WordPress alkalmazás, így mindig frissítsük az alkalmazást és a bővítményeket, témákat egyaránt! A folyamatos frissítésekkel a különböző biztonsági réseket, hibákat orvosolják a készítők, így elengedhetetlen feltétele ez a biztonságnak!

      1. Ne töltsön le ismeretlen forrásból származó bővítményeket, témákat a wordpress alkalmazáshoz! Ilyen ismeretlen forrás a torrentoldalak és egyéb warez oldalak.

      1. Törölje a felesleges, nem használt témákat és bővítményeket a WordPress alól!

      1. Figyeljen oda, hogy melyik mappának milyen attribútumot ad meg! A könyvtárakra 755 jogosultság, míg a fájlokra 644 jogosultság szükséges! 4 = Írás 2 = Olvasás 1= Futtatás. SSH-n néhány paranccsal tudod javítani a problémát: Jogosultságok beállítása fájlokra és könyvtárakra SSH-n

      1. Azokban a könyvtárakban, ahol várhatóan nem szükséges a .php fájlok futtatása, korlátozza bizonyok fájlok elérését. Ilyen könyvtárak lehetnek: /wp-includes/ és  /wp-content/uploads/
        Hozzon létre a fenti mappákban egy .htaccess fájlt, amelybe az alábbi sorokat másolja be majd mentse azt el:

        <FilesMatch ‘.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$’>
        Order allow,deny
        Deny from all
        </FilesMatch>

      1. Védekezzünk a számítógépünket érő behatolások ellen! Az online védelemhez elengedhetetlen, hogy a kliens gépe biztonságos legyen. Így javasoljuk az alábbi rövid összefoglaló átolvasását: link