Tartalom:
- Alkalmazástelepítő és Menedzser használata
- Proaktív szűrők és biztonsági pluginek használata
- Külső ellenőrző eszközök használata
- Egyedi bejelentkező link létrehozása
- Erős jelszavak használata
- Bejelentkezési kísérletek korlátozása
- SSL tanúsítvány telepítése és beállítása
- További védekezés a támadások ellen
- WordPress és bővítmények naprakészen tartása
- Biztonsági jogosultságok beállítása
- Korlátozott fájlfelöltési lehetőségek
- Adatbázis és fájlmentések rendszeres készítése
- Fájlmódosítások letiltása
- Használj kétfaktoros hitelesítést
- Használj CAPTCHA hitelesítést
A WordPress, mint az egyik legnépszerűbb tartalomkezelő rendszer, gyakran célpontja különböző támadásoknak. Ahogy egyre több weboldal épül erre a platformra, úgy nő a biztonsági kockázatok száma is. A megfelelő védelem kialakítása nemcsak a weboldal stabilitását és rendelkezésre állását biztosítja, hanem a felhasználói adatok védelmét is elősegíti. Ebben a cikkben bemutatjuk a legfontosabb biztonsági lépéseket és stratégiákat, amelyekkel megvédheted WordPress oldaladat a gyakori támadások ellen, így minimalizálhatod a veszélyeket és fenntarthatod a weboldalad megbízhatóságát.
Alkalmazástelepítő és Menedzser használata
Javasolt a nálunk elérhető Softaculous csomagtelepítővel történő alkalmazástelepítés. A WordPress alkalmazás telepítésének folyamatában beállítható, hogy a későbbiekben automatikusan frissítse a WordPress alkalmazást, a plugineket és a témákat is! Így jelentősen csökkenthető a biztonsági hibák által előforduló behatolások száma és a weboldala forráskódja is naprakész lesz.
Proaktív szűrők és biztonsági pluginek használata
A következő biztonsági pluginek telepítésével tovább növelhetjük az oldal védelmét:
1. Sucuri Security
- Funkciók: A Sucuri egy teljes körű weboldal biztonsági megoldás, amely valós idejű monitoringot, tűzfalat, malware keresést, valamint a sebezhetőségek folyamatos figyelését biztosítja.
- Előnyök: Képes a WordPress core fájlok, témák és bővítmények integritásának ellenőrzésére, és megakadályozza a káros fájlok elhelyezését.
- Tűzfal védelem: A fizetős verzióban egy web application firewall (WAF) védi a webhelyedet az ismert támadási módszerektől.
2. Wordfence Security
- Funkciók: A Wordfence az egyik legnépszerűbb WordPress biztonsági plugin, amely tartalmaz malware keresőt, végrehajtásvédelmet, és egy tűzfalat. Képes figyelmeztetni a sebezhetőségekről és megelőzi a káros fájlok elhelyezését.
- Káros fájlok szűrése: A plugin rendszeresen ellenőrzi a fájlokat, és ha bármi gyanúsat talál, automatikusan értesítést küld.
- Valós idejű védelem: A fizetős verzió valós idejű IP blokkolást és ország alapú tiltásokat is lehetővé tesz.
3. iThemes Security
- Funkciók: Az iThemes Security egy másik népszerű választás, amely megakadályozza a webhely gyenge pontjainak kihasználását. Automatikusan zárolja az IP-címeket, és megakadályozza a rosszindulatú fájlok feltöltését.
- Fájlintegritás ellenőrzés: Ez a funkció figyeli a webhely fájljait, és értesít, ha bármilyen változást észlel a fájlokban.
- Kétlépcsős hitelesítés: Ezzel növeli az adminisztrációs felület biztonságát.
4. MalCare Security
- Funkciók: Kiváló választás olyan webhelyek számára, amelyek napi malware ellenőrzést igényelnek. Automatikusan tisztítja a fertőzött fájlokat, és védi az oldaladat a hackelési kísérletek ellen.
- Egy kattintásos tisztítás: Automatikus tisztítást biztosít a káros fájlok esetén.
- Tűzfal: A tűzfal megakadályozza a támadások nagy részét még mielőtt elérnék a tárhelyet.
5. All In One WP Security & Firewall
- Funkciók: Ez az ingyenes plugin többféle biztonsági funkciót kínál, beleértve a fájlok védelmét, malware ellenőrzést és a tűzfal beállításokat.
- Fájlvédelem: Monitorozza a fájlokat és megakadályozza a káros fájlok módosítását vagy feltöltését.
- Könnyen kezelhető: Ideális kezdőknek, mivel felhasználóbarát felületet biztosít.
Külső ellenőrző eszközök használata
Az interneten számtalan eszközt találhatunk, amely segít az ilyen típusú problémák felderítésében. Fontos tudni, hogy bár ezek hatékonysága jó, de előfordulhat, hogy nem minden kártékony módosítást és sérülékenységet jelez! Az egyik ilyen ingyenes ellenőrzőeszköz: Sucuri Sitecheck, VirusTotal
Egyedi bejelentkező link létrehozása
Hatékonyan rejthetjük el vagy maszkolhatjuk a különböző könyvtástruktúrákat, URL-ek elérését az alábbi alkalmazásokkal.
1. WPS Hide Login
- Funkciók: Ez egy egyszerű, könnyen kezelhető plugin, amely lehetővé teszi az adminisztrációs belépési URL módosítását anélkül, hogy megváltoztatná a WordPress alapfájljait.
- Előnyök: Nagyon könnyű beállítani, és nem terheli meg az oldalt. Kizárólag az URL-t változtatja meg, így a belépési oldalt csak az új URL-en keresztül lehet elérni.
- Használata: Telepítés után az adminisztrációs felületen beállíthatsz egy új belépési URL-t, például
yourwebsite.com/custom-login
.
2. iThemes Security (korábban Better WP Security)
- Funkciók: Az iThemes Security egy átfogó biztonsági plugin, amely számos funkciót kínál, beleértve a belépési URL megváltoztatását.
- Előnyök: A plugin nem csak a belépési URL módosítását teszi lehetővé, hanem további biztonsági funkciókat is nyújt, például kétlépcsős hitelesítést, fájlvédelmet, IP-zárolást és még sok mást.
- Használata: Az admin URL megváltoztatásához aktiváld a „Hide Backend” funkciót, és add meg az új belépési URL-t.
3. All In One WP Security & Firewall
- Funkciók: Ez az ingyenes plugin nemcsak a belépési URL módosítását teszi lehetővé, hanem több biztonsági funkciót is kínál, mint például brute force támadások elleni védelem, fájlintegritás ellenőrzés, és egy tűzfal.
- Előnyök: Egyszerű beállítás, átfogó biztonsági megoldás a WordPress számára. Képes értesítéseket küldeni a belépési kísérletekről és más biztonsági fenyegetésekről.
- Használata: Az adminisztrációs panelen megadhatsz egyedi belépési URL-t, és blokkolhatod az alapértelmezett
wp-admin
hozzáférést.
4. LoginPress
- Funkciók: Eredetileg a belépési oldal testreszabására tervezték, de tartalmaz egy funkciót a belépési URL megváltoztatására is.
- Előnyök: Testreszabhatod az admin belépési oldal kinézetét (például logó, színek, betűtípus), miközben megváltoztatod az URL-t.
- Használata: Telepítés után az adminisztrációs panelről könnyedén beállítható az új URL.
5. Hide My WP Ghost
- Funkciók: Ez a plugin kifejezetten az oldal védelmére és a belépési URL elrejtésére fókuszál. Továbbá segít elrejteni a WordPress verziószámot, a bővítmények és sablonok nyilvános elérhetőségét is.
- Előnyök: Komplexebb biztonsági funkciókat kínál, és elrejti a WordPress specifikus információkat, hogy megvédje az oldalt a hackerektől.
- Használata: Telepítés után egyszerűen beállíthatod az új belépési URL-t, és számos egyéb biztonsági funkciót aktiválhatsz.
Erős jelszavak használata
Ne alkalmazzunk könnyen kitalálható vagy visszafejthető (admin, password, 123456, asd stb.) jelszavakat. Az ilyen jelszavak nagy kockázatot jelentenek, mivel könnyen megjegyezhetők, de éppen ezért a támadók is könnyen kitalálhatják őket. Ehelyett érdemes random, 16 karakteres vagy annál hosszabb jelszavakat használni. Egy erős jelszó tartalmaz kis- és nagybetűket, számokat és speciális karaktereket.
TARHELY.PRO Jelszó generátor:
Ez az eszköz segíthet neked olyan erős és biztonságos jelszavak létrehozásában, amelyek megfelelnek a fent említett kritériumoknak. A generátor véletlenszerűen állít elő jelszavakat, amelyek nehezen visszafejthetők és biztonságosan használhatók az online fiókjaid védelme érdekében. A következő módon használhatod:
- Nyisd meg a generátort: Látogass el a TARHELY.PRO Jelszó generátor oldalára.
- Válaszd ki a jelszó hosszát: Ajánlott minimum 16 karakter hosszúságú jelszavakat választani.
- Speciális karakterek használata: Győződj meg arról, hogy kis- és nagybetűket, számokat és speciális karaktereket is tartalmaz a jelszó.
- Generálás: Nyomd meg a generálás gombot, és a rendszer véletlenszerűen létrehozza az erős jelszót.
Miért fontos az erős jelszó?
Egy erős jelszó jelentősen megnehezíti a támadók dolgát, akik próbálják kitalálni vagy feltörni a jelszavadat. A jelszókezelő használata további biztonságot nyújt, mert segít megjegyezni és kezelni a különböző erős jelszavakat anélkül, hogy azok könnyen hozzáférhetőek lennének mások számára.
Bejelentkezési kísérletek korlátozása
Az alábbi plugin könyvtárba telepíthető alkalmazásokat javasoljuk kipróbálni:
1. Limit Login Attempts Reloaded
- Funkciók: Ez az egyik legnépszerűbb és legegyszerűbb bővítmény a bejelentkezési kísérletek korlátozására. Automatikusan zárolja a felhasználót meghatározott számú sikertelen belépési kísérlet után.
- Előnyök:
- Könnyű beállítás.
- IP-cím alapján korlátozza a belépési kísérleteket.
- Értesítéseket küld a zárolásokról.
- További funkciók: Támogatja az IP-címek fehér- és feketelistáját, és az adminisztrátor manuálisan feloldhatja a zárolt felhasználókat.
2. Login LockDown
- Funkciók: Ez a plugin figyeli a belépési kísérleteket és ideiglenesen zárolja az IP-címeket, ha egy bizonyos számú sikertelen próbálkozás történt rövid időn belül.
- Előnyök:
- Könnyű és hatékony megoldás a brute force támadások ellen.
- Beállíthatod, hogy hány próbálkozás után történjen zárolás, és hogy mennyi ideig tartson a zárolás.
- Testreszabás: Lehetőséget biztosít arra, hogy meghatározd a kísérletek számát és a zárolás időtartamát.
3. WP Limit Login Attempts
- Funkciók: Hasonlóan a fent említett pluginekhez, a WP Limit Login Attempts is a bejelentkezési próbálkozások számát korlátozza, és automatikusan zárolja az IP-címeket ismételt sikertelen kísérletek után.
- Előnyök:
- Könnyű és gyors telepítés.
- IP-cím zárolás és egyedi beállítások a próbálkozások száma, valamint a zárolási idő hosszára.
- Értesítések: Lehetőség van e-mail értesítések beállítására a zárolási eseményekről.
4. All In One WP Security & Firewall
- Funkciók: Ez az ingyenes plugin egy átfogó biztonsági megoldás, amely tartalmaz bejelentkezési kísérletek korlátozását is. Számos biztonsági opciót kínál, köztük brute force támadások elleni védelmet.
- Előnyök:
- Korlátozhatod a belépési kísérletek számát IP-cím alapján.
- Fehérlista és feketelista kezelés.
- Komplett biztonsági megoldás tűzfallal, fájlfigyeléssel, és adatbázis biztonsági mentésekkel.
- További funkciók: Az admin felhasználói felület intuitív, és tartalmaz bejelentkezési figyelmeztetéseket és IP blokkolási lehetőségeket.
5. iThemes Security
- Funkciók: Az iThemes Security számos biztonsági funkciót kínál, beleértve a bejelentkezési kísérletek korlátozását is. Automatikusan zárolja a felhasználókat meghatározott számú sikertelen próbálkozás után.
- Előnyök:
- Korlátozza a belépési próbálkozásokat és értesítéseket küld a zárolásokról.
- Képes IP-címeket zárolni, fehérlistára tenni.
- Sok más biztonsági funkciót is tartalmaz, például fájlfigyelést és kétlépcsős hitelesítést.
6. Jetpack Protect
- Funkciók: A Jetpack egy népszerű, többfunkciós plugin, amely tartalmaz beépített védelmet a brute force támadások ellen. A bejelentkezési kísérletek számát korlátozza és blokkolja a gyanús IP-címeket.
- Előnyök:
- Könnyű telepítés és használat.
- Automatikus védelem és IP-blokkolás.
- További funkciók: Jetpack más funkciókat is kínál, mint például webhelyteljesítmény-figyelés és biztonsági mentés.
SSL tanúsítvány telepítése és beállítása
Az SSL titkosítja az adatokat a felhasználók és a szerver között, megnehezítve a támadók számára az adatlopást vagy manipulációt.
A bejelentkezés ekkor a tanúsítvánnyal ellátott https:// titkosított csatornán keresztül fog megtörténni, így az illetéktelenek nem tudják megszerezni a jelszavainkat. Az SSL telepítése után nem kell mást tennie, mint a wp-config.php fájlba beszúrni az alábbi sort:define('FORCE_SSL_ADMIN', true);
Garanciákkal bíró, megbízható tanúsítványokért látogasson el az SSL tanúsítvány oldalunkra!
További védekezés a támadások ellen
A legtöbb hacker az oldal által adott hibajelzések alapján folytatja le a támadási metódust. Ez ellen egyszerűen védekezhetünk, a theme könyvtárban adjuk hozzá a functions.php-hez alább sort:add_filter(
'login_errors'
,create_function(
'$a'
,
"return null;"
));
WordPress és bővítmények naprakészen tartása
Fontos, hogy folyamatosan naprakész legyen a WordPress alkalmazás, így mindig frissítsük az alkalmazást és a bővítményeket, témákat egyaránt! A folyamatos frissítésekkel a különböző biztonsági réseket, hibákat orvosolják a készítők, így elengedhetetlen feltétele ez a biztonságnak! Törölje a felesleges, nem használt témákat és bővítményeket a WordPress alól rendszeresen.
Ne töltsön le ismeretlen forrásból származó bővítményeket, témákat a wordpress alkalmazáshoz! Ilyen ismeretlen forrás a torrentoldalak és egyéb warez oldalak.
Biztonsági jogosultságok beállítása
Figyeljen oda, hogy melyik mappának milyen attribútumot ad meg!
- 755 könyvtárakra: Ez olvasási, írási és végrehajtási jogot ad a tulajdonosnak, és olvasási és végrehajtási jogot a csoportnak és másoknak.
- 644 fájlokra: Olvasási és írási jogot ad a tulajdonosnak, és csak olvasási jogot a csoportnak és másoknak.
SSH-n futtatható parancsok a fájlok és könyvtárak helyes jogosultságok rekurzív beállításhoz:
- Könyvtárakra:
find /path/to/directory -type d -exec chmod 755 {} \;
- 7 (rwx): Teljes jogosultság a tulajdonosnak (olvashat, írhat, végrehajthat).
- 5 (r-x): Csak olvashat és végrehajthat a csoport és mások számára.
- Fájlokra:
find /path/to/directory -type f -exec chmod 644 {} \;
- 6 (rw-): Olvasási és írási jog a tulajdonosnak.
- 4 (r–): Csak olvasási jog a csoport és mások számára.
- wp-config.php fájlra:
chmod 440 wp-config.php
Ez a parancs a wp-config.php fájlra 440 jogosultságot állít be (szükség esetén használható a 444 is), ami azt jelenti, hogy:- 4 (r–): Olvasási jog a tulajdonosnak.
- 4 (r–): Csak olvasási jog a csoport számára.
- 0 (r–): Nincs hozzáférés mások számára.
Korlátozott fájlfelöltési lehetőségek
Azokban a könyvtárakban, ahol várhatóan nem szükséges a .php fájlok futtatása, korlátozza bizonyok fájlok elérését.
A WordPress alapstruktúrájában vannak olyan specifikus könyvtárak, ahol a .htaccess
fájl használata különösen hasznos lehet, hogy növelje a biztonságot anélkül, hogy az oldal működését zavarná. Az alábbiakban felsorolom azokat a könyvtárakat, amelyekben érdemes specifikus biztonsági szabályokat beállítani:
1. wp-content/uploads/
Ez a mappa az egyik legfontosabb, ahol érdemes letiltani a PHP fájlok futtatását. Mivel ide kerülnek a feltöltött fájlok (képek, dokumentumok stb.), ez egy potenciális célpont lehet rosszindulatú PHP fájlok feltöltésére.
Ajánlott .htaccess
szabály Apache 2.4-től:
<FilesMatch "\.(py|exe|php[0-9]?|suspected)$">
Require all denied
</FilesMatch>
Ez a szabály megakadályozza a PHP fájlok futtatását ebben a mappában, ami biztonságosabbá teszi a webhelyet.
2. wp-includes/
A wp-includes
mappa tartalmazza a WordPress core fájljait, melyeknek a front-end látogatók által történő hozzáférése nem szükséges. Ezt a mappát is védeni kell a közvetlen hozzáféréstől.
Ajánlott .htaccess
szabály:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-includes/ - [F,L]< /></IfModule>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
# Tiltás a wp-includes mappára
RewriteRule ^wp-includes/ - [F,L]
</IfModule>
Magyarázat a szabályról:
RewriteRule ^wp-includes/ - [F,L]
: Ez a szabály megakadályozza, hogy közvetlenül hozzáférjenek awp-includes
könyvtárhoz. A-
jelzi, hogy nem végez átirányítást vagy módosítást, csak tiltja (403 – Forbidden válasz).- [F]: Force forbidden (403-as válasz).
- [L]: Stop processing further rules.
3. wp-admin/
A WordPress adminisztrációs felülete (admin panel) biztonságos hozzáférést igényel, és érdemes védeni azt a külső támadásokkal szemben. A .htaccess
fájl használható ezen a területen például IP-korlátozásra, vagy további hitelesítésre.
Ajánlott IP-korlátozó szabály (példa):
<FilesMatch ".*">
Order Deny,Allow
Deny from all
Allow from 123.456.789.000 # Csak ez az IP férhet hozzá az adminhoz
</FilesMatch>
Apache 2.4-től ajánlott szabály:
<FilesMatch ".*">
Require all denied
Require ip 123.456.789.000
</FilesMatch>
4. wp-content/themes/
és wp-content/plugins/
Bár ezek a mappák tartalmaznak PHP fájlokat, ezeket a fájlokat a WordPress maga futtatja. Ezért nem érdemes teljesen blokkolni a PHP fájlokat ebben a könyvtárban, de hasznos lehet további biztonsági szabályokat létrehozni.
Biztonsági szabály ajánlás:
-
- Ha a felhasználók vagy harmadik felek nem férhetnek hozzá ezekhez a mappákhoz (pl. ha nem engedélyezel fájlfeltöltést bővítményekbe), érdemes itt is korlátozni a PHP fájlok futtatását, például egyes bővítmény vagy téma könyvtárakban.
5. wp-config.php
és .egyéb védelem (a gyökérkönyvtárban)
A wp-config.php
az egyik legfontosabb fájl, mivel tartalmazza az adatbázis hitelesítési adatait és más kritikus beállításokat. A közvetlen hozzáférés tiltása itt különösen fontos. A szabályokat a gyökér könyvtárban lévő .htaccess fájlhoz szükséges hozzáadni.
Ajánlott .htaccess
szabály Apache 2.4-től:
<FilesMatch "^(wp-config\.php|\.htaccess|\.env|\.git)">
Require all denied
</FilesMatch>
Ajánlott .htaccess
szabály nem kívánt fájlkiterjesztések ellen, Apache 2.4-től:
<FilesMatch "\.(py|exe|sh|bat|cmd|suspected)$">
Require all denied
</FilesMatch>
Adatbázis és fájlmentések rendszeres készítése
Automatikusan készíts mentéseket a weboldalról, és tárold azokat biztonságos, távoli helyeken. Így, ha egy támadás sikerrel jár, gyorsan helyreállíthatod az oldalt.
Nálunk számtalan lehetőség közül választhatsz:
Biztonsági mentés műveletek
Fájlmódosítások letiltása
A WordPress saját FileSystem API-ja felelős a fájl- és könyvtárműveletekért. Ezt letilthatod a wp-config.php
fájlban
define('DISALLOW_FILE_EDIT', true);
define('DISALLOW_FILE_MODS', true);
DISALLOW_FILE_EDIT
: Megakadályozza a bővítmények és témák szerkesztését a WordPress felületén.DISALLOW_FILE_MODS
: Megakadályozza a fájlműveleteket, például a bővítmények és témák telepítését, frissítését és törlését.
Használj kétfaktoros hitelesítést
A kétfaktoros hitelesítés (2FA) egy olyan biztonsági intézkedés, amely két különálló azonosítási módszert követel meg a felhasználóktól a hozzáférés engedélyezéséhez. Ez jelentősen megnöveli a biztonságot a hagyományos jelszavas védelemmel szemben, mivel a támadónak nemcsak a jelszót kell megszereznie, hanem a második tényezőt (általában egy időkorlátos kódot vagy eszközt) is.
Hogyan működik a kétfaktoros hitelesítés?
-
Első lépés: jelszó megadása
A felhasználó a szokásos módon belép a WordPress admin felületére a felhasználónév és jelszó megadásával. -
Második lépés: második hitelesítési faktor
A rendszer egy további hitelesítési módszert kér, például egy kódot, amit egy mobilalkalmazás (pl. Google Authenticator), SMS-ben küldött kód, vagy hardveres token állít elő. A belépés csak akkor sikeres, ha ez a második lépés is teljesül.
A kétfaktoros hitelesítés előnyei
- Növeli a biztonságot: Még ha valaki megszerezné is a jelszavadat (pl. egy adatlopás során), a második hitelesítési tényező nélkül nem tud belépni.
- Csökkenti a brute force támadások hatékonyságát: Mivel a támadónak nem csak a jelszót kell kitalálnia, hanem a dinamikusan generált kódot is, amely általában néhány percig érvényes.
- Többféle hitelesítési módszer közül lehet választani: Alkalmazások, SMS, hardveres tokenek, vagy akár biometrikus azonosítók.
Kétfaktoros hitelesítéshez ajánlott WordPress bővítmények
-
Google Authenticator – Two Factor Authentication (2FA)
Ez az egyik legnépszerűbb bővítmény, amely egyszerű és hatékony módon integrálja a 2FA-t a WordPress webhelyekre.
Jellemzők:
- Kompatibilis a Google Authenticator és más hitelesítési alkalmazásokkal.
- Különböző felhasználókra különféle hitelesítési szabályok alkalmazhatók.
- Képes csak bizonyos felhasználói csoportok (például adminisztrátorok) számára 2FA-t bekapcsolni.
- SMS vagy e-mail alapú hitelesítés is választható.
Használata:
- A felhasználó egy mobilalkalmazással szkenneli be a QR kódot, és onnantól kezdve az alkalmazás generál kódokat minden belépéshez.
-
Wordfence Security
A Wordfence egy átfogó biztonsági bővítmény, amelynek része a kétfaktoros hitelesítés is.
Jellemzők:
- Integrálja a Google Authenticator-t és más hitelesítési appokat.
- E-mail alapú 2FA támogatás.
- Korlátozza a belépési kísérleteket, tűzfal funkcióval, IP-szűréssel, malware kereséssel.
Előnyök:
- Komplett biztonsági megoldás része, nem csak 2FA.
- Rendszeres jelentések és naplózás a biztonsági eseményekről.
-
iThemes Security
Az iThemes Security szintén egy átfogó biztonsági bővítmény, amely kétfaktoros hitelesítést kínál a WordPress weboldalakhoz.
Jellemzők:
- Google Authenticator kompatibilis.
- E-mail alapú másodlagos hitelesítés.
- IP alapú tiltás, brute force támadások elleni védelem.
Előnyök:
- Kiválóan skálázható kis- és nagyobb weboldalakhoz.
- Kombinálható más biztonsági funkciókkal (pl. fájlmódosítás figyelés, adatbázis mentések).
-
Two Factor Authentication by WP White Security
Egy egyszerű, mégis hatékony kétfaktoros hitelesítési megoldás, amely könnyen integrálható különféle hitelesítési módokkal.
Jellemzők:
- Kompatibilis Google Authenticator, Authy és más TOTP (Time-based One-Time Password) alkalmazásokkal.
- Felhasználók kiválaszthatják, hogy melyik másodlagos hitelesítési módszert szeretnék használni.
- Adminisztrátori fiókok számára kötelezővé tehető.
Előnyök:
- Könnyen beállítható és használható.
- Támogatja a többfelhasználós oldalakat is, így minden felhasználónak saját 2FA lehetősége van.
-
MiniOrange Two Factor Authentication
Ez a bővítmény többféle hitelesítési módszert kínál, beleértve az SMS-t, e-mailt és a Google Authenticator alapú megoldásokat.
Jellemzők:
- Támogat több hitelesítési opciót, beleértve az OTP kódokat SMS-ben vagy e-mailben.
- Különböző módszereket biztosít az egyes felhasználói szintekhez (pl. adminisztrátorok, szerkesztők, előfizetők).
- Támogatja az automatikus belépési figyelmeztetéseket, ha ismeretlen eszközről próbálnak hozzáférni.
Előnyök:
- Sokféle hitelesítési módszert kínál, így mindenki kiválaszthatja a számára legmegfelelőbbet.
- Egyedi beállítási lehetőségek, akár felhasználói szintenként.
Használj CAPTCHA hitelesítést
A CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) egy olyan biztonsági mechanizmus, amelynek célja annak eldöntése, hogy a weboldal felhasználója ember vagy számítógépes program (bot). A CAPTCHA egy sor egyszerű feladatot ad a felhasználónak (például eltorzított szöveg beírása, képek közötti választás), amelyeket az emberek könnyen meg tudnak oldani, míg a botok nehezebben
A CAPTCHA használatának előnyei:
1. Védelem a spamek ellen
Az egyik legnagyobb előnye a CAPTCHA-nak, hogy megvédi az űrlapokat az automatikus spam botok ellen. Ezek a botok képesek nagy mennyiségű spam üzenetet generálni a kapcsolatfelvételi, regisztrációs vagy jelszó-helyreállítási űrlapokon keresztül. A CAPTCHA biztosítja, hogy csak valódi felhasználók férjenek hozzá ezekhez az űrlapokhoz.
2. Brute force támadások elleni védelem
CAPTCHA-t használva megelőzheted a brute force támadásokat, ahol támadók próbálnak belépni a weboldaladra úgy, hogy ismételten különböző jelszavakat tesztelnek. A reCAPTCHA bevezetésével korlátozhatod az ilyen jellegű próbálkozásokat, és elérheted, hogy csak emberek férhessenek hozzá a bejelentkezési űrlapokhoz.
3. Felhasználói adatvédelem biztosítása
Mivel a CAPTCHA megakadályozza a botok hozzáférését a jelszó-helyreállítási és bejelentkezési folyamatokhoz, ez növeli az oldal felhasználóinak adatvédelmét. A hackerek nem tudnak olyan könnyen hozzáférni a felhasználók adataihoz, mint jelszavakhoz vagy e-mail címekhez.
4. Felhasználói élmény javítása
Az újabb verziók, például a Google láthatatlan reCAPTCHA-ja vagy a noCAPTCHA megoldások javítják a felhasználói élményt, mivel nem zavarják a látogatókat extra feladatokkal (például képek kiválasztásával). Csak akkor aktiválódik a CAPTCHA, ha gyanús viselkedést érzékel.
5. Könnyű implementáció és széleskörű kompatibilitás
A WordPress rengeteg könnyen telepíthető plugin-t kínál a CAPTCHA integrációhoz, amelyek jól működnek az űrlapokkal, regisztrációs oldalakkal és jelszó-helyreállítási folyamatokkal. Nem igényel fejlett programozási tudást, így könnyedén beépíthető egy meglévő weboldalba.
6. Biztonsági rések csökkentése
Az automatikus regisztrációk és rosszindulatú támadások gyakran az űrlapokon keresztül történnek. A CAPTCHA hozzáadásával minimalizálhatod az ilyen típusú támadások esélyét, mivel megelőzi, hogy robotok kihasználják az esetleges biztonsági réseket.
7. Jelszó visszaállítás biztonságosabbá tétele
A jelszó-emlékeztető és visszaállítási folyamat érzékeny terület. CAPTCHA-val védekezve megbizonyosodhatsz arról, hogy csak a valós felhasználók kérelmezik a jelszó helyreállítását, és csökkentheted az ilyen típusú visszaéléseket.
8. Testreszabhatóság
Számos CAPTCHA plugin lehetőséget kínál arra, hogy testreszabhasd, mikor és hol jelenjen meg. Például csak a jelszó-helyreállító oldalakon, vagy csak a bejelentkezési űrlapokon. Ez segít abban, hogy a felhasználói élmény és a biztonság egyensúlyban legyen.
9. Költséghatékony védelem
A CAPTCHA megoldások többsége ingyenesen használható (például a Google reCAPTCHA), így költséghatékony módon nyújthatsz extra biztonságot anélkül, hogy drága biztonsági megoldásokra lenne szükséged.
Javasolt Plugin alkalmazások:
1. Google Captcha (reCAPTCHA) by BestWebSoft
Ez a bővítmény integrálja a Google reCAPTCHA-t a bejelentkezési, regisztrációs és jelszó-helyreállítási oldalakhoz. Az egyszerű beállítás és széles körű támogatás mellett könnyen használható.
- Előnyök: Könnyen telepíthető, támogatja a legújabb reCAPTCHA verziókat.
- Letöltés: Google Captcha by BestWebSoft
2. WPForms
Ez egy drag-and-drop űrlapkészítő, amely beépített Google reCAPTCHA támogatással rendelkezik. Lehetővé teszi a különböző típusú űrlapok egyszerű készítését és védelmét CAPTCHA-val.
- Előnyök: Felhasználóbarát felület, támogat többféle CAPTCHA-t, beleértve a hCaptcha-t is.
- Letöltés: WPForms
3. reCAPTCHA by WP Armour
Kifejezetten a spamek ellen tervezett bővítmény, amely láthatatlan reCAPTCHA-t kínál, így nem zavarja a felhasználói élményt. Működik bejelentkezési, regisztrációs és jelszó helyreállító oldalakon is.
- Előnyök: Láthatatlan reCAPTCHA, ami nem zavarja a felhasználót.
- Letöltés: reCAPTCHA by WP Armour
4. Advanced noCaptcha & Invisible Captcha
Ez a bővítmény támogatja mind a Google noCaptcha reCAPTCHA V2, mind a láthatatlan reCAPTCHA integrációját, és többféle WordPress űrlaphoz használható.
- Előnyök: Rugalmasan alkalmazható különböző űrlapokon, láthatatlan reCAPTCHA támogatása.
- Letöltés: Advanced noCaptcha & Invisible Captcha
Ezek a bővítmények mind növelik a weboldalad biztonságát a jelszó-emlékeztetők és más űrlapok esetében, miközben megvédik azokat a robotok támadásaitól.
5. Simple Cloudflare Turnstile Plugin
A Simple Cloudflare Turnstile plugin egy rugalmas, láthatatlan biztonsági megoldás, amely a Cloudflare Turnstile rendszerét integrálja a WordPress oldalakhoz. A plugin célja, hogy hatékony védelmet nyújtson a spamek és automatizált botok ellen, miközben minimálisra csökkenti a felhasználói beavatkozást.
- Előnyök: Láthatatlan CAPTCHA megoldás, amely automatikusan védi az űrlapokat anélkül, hogy felhasználói beavatkozást igényelne. Gyorsan betöltődik és adatvédelmi szempontból is előnyös, mivel kevesebb adatot gyűjt, mint a hagyományos CAPTCHA-k.
- Letöltés: Simple Cloudflare Turnstile
-
- Javasolt a nálunk elérhető Softaculous csomagtelepítővel történő alkalmazástelepítés. A WordPress alkalmazás telepítésének folyamatában beállítható, hogy a későbbiekben automatikusan frissítse a WordPress alkalmazást, a plugineket és a témákat is! Így jelentősen csökkenthető a biztonsági hibák által előforduló behatolások száma és a weboldala forráskódja is naprakész lesz.
-
- Javasolt a proaktív szűrők használata!
Sucuri Security
- Funkciók: A Sucuri egy teljes körű weboldal biztonsági megoldás, amely valós idejű monitoringot, tűzfalat, malware keresést, valamint a sebezhetőségek folyamatos figyelését biztosítja.
- Előnyök: Képes a WordPress core fájlok, témák és bővítmények integritásának ellenőrzésére, és megakadályozza a káros fájlok elhelyezését.
- Tűzfal védelem: A fizetős verzióban egy web application firewall (WAF) védi a webhelyedet az ismert támadási módszerektől.
2. Wordfence Security
- Funkciók: A Wordfence az egyik legnépszerűbb WordPress biztonsági plugin, amely tartalmaz malware keresőt, végrehajtásvédelmet, és egy tűzfalat. Képes figyelmeztetni a sebezhetőségekről és megelőzi a káros fájlok elhelyezését.
- Káros fájlok szűrése: A plugin rendszeresen ellenőrzi a fájlokat, és ha bármi gyanúsat talál, automatikusan értesítést küld.
- Valós idejű védelem: A fizetős verzió valós idejű IP blokkolást és ország alapú tiltásokat is lehetővé tesz.
3. iThemes Security
- Funkciók: Az iThemes Security egy másik népszerű választás, amely megakadályozza a webhely gyenge pontjainak kihasználását. Automatikusan zárolja az IP-címeket, és megakadályozza a rosszindulatú fájlok feltöltését.
- Fájlintegritás ellenőrzés: Ez a funkció figyeli a webhely fájljait, és értesít, ha bármilyen változást észlel a fájlokban.
- Kétlépcsős hitelesítés: Ezzel növeli az adminisztrációs felület biztonságát.
4. MalCare Security
- Funkciók: Kiváló választás olyan webhelyek számára, amelyek napi malware ellenőrzést igényelnek. Automatikusan tisztítja a fertőzött fájlokat, és védi az oldaladat a hackelési kísérletek ellen.
- Egy kattintásos tisztítás: Automatikus tisztítást biztosít a káros fájlok esetén.
- Tűzfal: A tűzfal megakadályozza a támadások nagy részét még mielőtt elérnék a tárhelyet.
5. All In One WP Security & Firewall
- Funkciók: Ez az ingyenes plugin többféle biztonsági funkciót kínál, beleértve a fájlok védelmét, malware ellenőrzést és a tűzfal beállításokat.
- Fájlvédelem: Monitorozza a fájlokat és megakadályozza a káros fájlok módosítását vagy feltöltését.
- Könnyen kezelhető: Ideális kezdőknek, mivel felhasználóbarát felületet biztosít.
- Javasolt a proaktív szűrők használata!
-
- Javasolt a malware, deface és egyéb kártékony módosítások külső ellenőrzése: az interneten számtalan eszközt találhatunk, amely segít az ilyen típusú problémák felderítésében. Fontos tudni, hogy bár ezek hatékonysága jó, de előfordulhat, hogy nem minden kártékony módosítást és sérülékenységet jelez! Az egyik ilyen ingyenes ellenőrzőeszköz: Sucuri Sitecheck, VirusTotal
-
- Készítsen egyedi bejelentkező linket: A botok legtöbb esetben a /wp-login.php fájlt keresik, amelyhez a felhasználóneve és jelszót a brutaforce megoldással próbálják “kitalálni”.
1. WPS Hide Login
- Funkciók: Ez egy egyszerű, könnyen kezelhető plugin, amely lehetővé teszi az adminisztrációs belépési URL módosítását anélkül, hogy megváltoztatná a WordPress alapfájljait.
- Előnyök: Nagyon könnyű beállítani, és nem terheli meg az oldalt. Kizárólag az URL-t változtatja meg, így a belépési oldalt csak az új URL-en keresztül lehet elérni.
- Használata: Telepítés után az adminisztrációs felületen beállíthatsz egy új belépési URL-t, például
yourwebsite.com/custom-login
.
2. iThemes Security (korábban Better WP Security)
- Funkciók: Az iThemes Security egy átfogó biztonsági plugin, amely számos funkciót kínál, beleértve a belépési URL megváltoztatását.
- Előnyök: A plugin nem csak a belépési URL módosítását teszi lehetővé, hanem további biztonsági funkciókat is nyújt, például kétlépcsős hitelesítést, fájlvédelmet, IP-zárolást és még sok mást.
- Használata: Az admin URL megváltoztatásához aktiváld a „Hide Backend” funkciót, és add meg az új belépési URL-t.
3. All In One WP Security & Firewall
- Funkciók: Ez az ingyenes plugin nemcsak a belépési URL módosítását teszi lehetővé, hanem több biztonsági funkciót is kínál, mint például brute force támadások elleni védelem, fájlintegritás ellenőrzés, és egy tűzfal.
- Előnyök: Egyszerű beállítás, átfogó biztonsági megoldás a WordPress számára. Képes értesítéseket küldeni a belépési kísérletekről és más biztonsági fenyegetésekről.
- Használata: Az adminisztrációs panelen megadhatsz egyedi belépési URL-t, és blokkolhatod az alapértelmezett
wp-admin
hozzáférést.
4. LoginPress
- Funkciók: Eredetileg a belépési oldal testreszabására tervezték, de tartalmaz egy funkciót a belépési URL megváltoztatására is.
- Előnyök: Testreszabhatod az admin belépési oldal kinézetét (például logó, színek, betűtípus), miközben megváltoztatod az URL-t.
- Használata: Telepítés után az adminisztrációs panelről könnyedén beállítható az új URL.
5. Hide My WP Ghost
- Funkciók: Ez a plugin kifejezetten az oldal védelmére és a belépési URL elrejtésére fókuszál. Továbbá segít elrejteni a WordPress verziószámot, a bővítmények és sablonok nyilvános elérhetőségét is.
- Előnyök: Komplexebb biztonsági funkciókat kínál, és elrejti a WordPress specifikus információkat, hogy megvédje az oldalt a hackerektől.
- Használata: Telepítés után egyszerűen beállíthatod az új belépési URL-t, és számos egyéb biztonsági funkciót aktiválhatsz.
- Készítsen egyedi bejelentkező linket: A botok legtöbb esetben a /wp-login.php fájlt keresik, amelyhez a felhasználóneve és jelszót a brutaforce megoldással próbálják “kitalálni”.
-
- Erős jelszó használata: fontos, hogy könnyen kitalálható vagy visszafejthető (admin, password, 123456, asd, stb) jelszavakat ne használjunk. Érdemes random jelszavakat generálni. Ehhez nyújt segítséget a TARHELY.PRO Jelszó generátor
-
- Bejelentkezési kísérletek korlátozása:
1. Limit Login Attempts Reloaded
- Funkciók: Ez az egyik legnépszerűbb és legegyszerűbb bővítmény a bejelentkezési kísérletek korlátozására. Automatikusan zárolja a felhasználót meghatározott számú sikertelen belépési kísérlet után.
- Előnyök:
- Könnyű beállítás.
- IP-cím alapján korlátozza a belépési kísérleteket.
- Értesítéseket küld a zárolásokról.
- További funkciók: Támogatja az IP-címek fehér- és feketelistáját, és az adminisztrátor manuálisan feloldhatja a zárolt felhasználókat.
2. Login LockDown
- Funkciók: Ez a plugin figyeli a belépési kísérleteket és ideiglenesen zárolja az IP-címeket, ha egy bizonyos számú sikertelen próbálkozás történt rövid időn belül.
- Előnyök:
- Könnyű és hatékony megoldás a brute force támadások ellen.
- Beállíthatod, hogy hány próbálkozás után történjen zárolás, és hogy mennyi ideig tartson a zárolás.
- Testreszabás: Lehetőséget biztosít arra, hogy meghatározd a kísérletek számát és a zárolás időtartamát.
3. WP Limit Login Attempts
- Funkciók: Hasonlóan a fent említett pluginekhez, a WP Limit Login Attempts is a bejelentkezési próbálkozások számát korlátozza, és automatikusan zárolja az IP-címeket ismételt sikertelen kísérletek után.
- Előnyök:
- Könnyű és gyors telepítés.
- IP-cím zárolás és egyedi beállítások a próbálkozások száma, valamint a zárolási idő hosszára.
- Értesítések: Lehetőség van e-mail értesítések beállítására a zárolási eseményekről.
4. All In One WP Security & Firewall
- Funkciók: Ez az ingyenes plugin egy átfogó biztonsági megoldás, amely tartalmaz bejelentkezési kísérletek korlátozását is. Számos biztonsági opciót kínál, köztük brute force támadások elleni védelmet.
- Előnyök:
- Korlátozhatod a belépési kísérletek számát IP-cím alapján.
- Fehérlista és feketelista kezelés.
- Komplett biztonsági megoldás tűzfallal, fájlfigyeléssel, és adatbázis biztonsági mentésekkel.
- További funkciók: Az admin felhasználói felület intuitív, és tartalmaz bejelentkezési figyelmeztetéseket és IP blokkolási lehetőségeket.
5. iThemes Security
- Funkciók: Az iThemes Security számos biztonsági funkciót kínál, beleértve a bejelentkezési kísérletek korlátozását is. Automatikusan zárolja a felhasználókat meghatározott számú sikertelen próbálkozás után.
- Előnyök:
- Korlátozza a belépési próbálkozásokat és értesítéseket küld a zárolásokról.
- Képes IP-címeket zárolni, fehérlistára tenni.
- Sok más biztonsági funkciót is tartalmaz, például fájlfigyelést és kétlépcsős hitelesítést.
6. Jetpack Protect
- Funkciók: A Jetpack egy népszerű, többfunkciós plugin, amely tartalmaz beépített védelmet a brute force támadások ellen. A bejelentkezési kísérletek számát korlátozza és blokkolja a gyanús IP-címeket.
- Előnyök:
- Könnyű telepítés és használat.
- Automatikus védelem és IP-blokkolás.
- További funkciók: Jetpack más funkciókat is kínál, mint például webhelyteljesítmény-figyelés és biztonsági mentés.
- Bejelentkezési kísérletek korlátozása:
-
- SSL tanúsítvány használata a bejelentkezéshez: ahhoz, hogy elkerüljük az adatszivárgást, tehát hogy illetéktelenek megszerezzék a jelszavainkat, érdemes SSL tanúsítványt használni. A bejelentkezés ekkor a tanúsítvánnyal ellátott https:// titkosított csatornán keresztül fog megtörténni, így az illetéktelenek nem tudják megszerezni a jelszavainkat. Az SSL telepítése után nem kell mást tennie, mint a wp-config.php fájlba beszúrni az alábbi sort:
define(’FORCE_SSL_ADMIN’, true);
Garanciákkal bíró, megbízható tanúsítványokért látogasson el az SSL tanúsítvány oldalunkra!
- SSL tanúsítvány használata a bejelentkezéshez: ahhoz, hogy elkerüljük az adatszivárgást, tehát hogy illetéktelenek megszerezzék a jelszavainkat, érdemes SSL tanúsítványt használni. A bejelentkezés ekkor a tanúsítvánnyal ellátott https:// titkosított csatornán keresztül fog megtörténni, így az illetéktelenek nem tudják megszerezni a jelszavainkat. Az SSL telepítése után nem kell mást tennie, mint a wp-config.php fájlba beszúrni az alábbi sort:
-
- Jelszavas védelem a WP-ADMIN könyvtárra: Egyszerű, ám de jó megoldás lehet a WP-ADMIN könyvtára jelszavas védelemmel ellátni, így a botok és rosszindulatú behatolók nem érik el a bejelentkezéshez szükséges könyvtárat. (Ezt a megoldást a fenti plugin alkalmazások kitudják váltani.) Ez a technika .htaccess megoldással kivitelezhető néhány lépésben: Jelszavas védelem létrehozása könyvtárakra
-
- IP cím alapú korlátozás: Korlátozzuk a saját IP címünkre a wp-admin könyvtár elérését. Itt a saját IP címünket kell megadni, így mindenki más számára elérhetetlen lesz. Dinamikus IP cím esetén folyamatos frissítést igényel a megoldás, tehát nem javasolt. FIX IP cím esetén kell mást tenni, mint a wp-admin könyvtárba létrehozni egy .htacces fájlt, és elhelyezni benne az alábbi sorokat:order deny,allow deny from all # Engedélyezett IP címek allow from xx.xx.xx.xxx
-
- IP cím alapú korlátozás ország lista alapján: A fenti metódushoz hasonlóan ezt is .htaccess technikával lehetséges megvalósítani. Nem kell mást tenni, mint felmenni az alábbi oldalra, kijelölni a tiltani kívánt országokat és a weboldal legenerálja illetve letölthetővé teszi a .htacces fájlt, amelyet a wp-admin könyvtárban szükséges elhelyezni. Nem tökéletes megoldás, egy országhoz csak 1 ip tartomány rendel, viszont legtöbb esetben rendelkezik több tartománnyal is.
-
- Távolítsuk el a hiba üzentet a bejelentkezési képernyőről: a legtöbb hacker a visszajelzés alapján folytatja le a támadási metódust. Ez ellen egyszerűen védekezhetünk, a theme könyvtárban adjuk hozzá a functions.php-hez alább sort:
add_filter(
'login_errors'
,create_function(
'$a'
,
"return null;"
));
- Távolítsuk el a hiba üzentet a bejelentkezési képernyőről: a legtöbb hacker a visszajelzés alapján folytatja le a támadási metódust. Ez ellen egyszerűen védekezhetünk, a theme könyvtárban adjuk hozzá a functions.php-hez alább sort:
-
- Tartsuk napra készen a WordPress-t: Fontos, hogy folyamatosan naprakész legyen a WordPress alkalmazás, így mindig frissítsük az alkalmazást és a bővítményeket, témákat egyaránt! A folyamatos frissítésekkel a különböző biztonsági réseket, hibákat orvosolják a készítők, így elengedhetetlen feltétele ez a biztonságnak!
-
- Ne töltsön le ismeretlen forrásból származó bővítményeket, témákat a wordpress alkalmazáshoz! Ilyen ismeretlen forrás a torrentoldalak és egyéb warez oldalak.
-
- Törölje a felesleges, nem használt témákat és bővítményeket a WordPress alól!
-
- Figyeljen oda, hogy melyik mappának milyen attribútumot ad meg! A könyvtárakra 755 jogosultság, míg a fájlokra 644 jogosultság szükséges! 4 = Írás 2 = Olvasás 1= Futtatás. SSH-n néhány paranccsal tudod javítani a problémát: Jogosultságok beállítása fájlokra és könyvtárakra SSH-n
-
- Azokban a könyvtárakban, ahol várhatóan nem szükséges a .php fájlok futtatása, korlátozza bizonyok fájlok elérését. Ilyen könyvtárak lehetnek: /wp-includes/ és /wp-content/uploads/
Hozzon létre a fenti mappákban egy .htaccess fájlt, amelybe az alábbi sorokat másolja be majd mentse azt el:
<FilesMatch ‘.(py|exe|php|PHP|Php|PHp|pHp|pHP|pHP7|PHP7|phP|PhP|php5|suspected)$’>
Order allow,deny
Deny from all
</FilesMatch>
- Azokban a könyvtárakban, ahol várhatóan nem szükséges a .php fájlok futtatása, korlátozza bizonyok fájlok elérését. Ilyen könyvtárak lehetnek: /wp-includes/ és /wp-content/uploads/
-
- Védekezzünk a számítógépünket érő behatolások ellen! Az online védelemhez elengedhetetlen, hogy a kliens gépe biztonságos legyen. Így javasoljuk az alábbi rövid összefoglaló átolvasását: link