WordPress weboldal biztonság 6 tipp

A honlapunk megfelelő működésének egyik sarokköve a WordPress weboldal biztonsága. Manapság az adatok biztonságának kérdése az informatika minden területén kiemelt fontosságú. Nem beszélve arról, ha weboldalunk megfertőződik, a Google feketelistára teszi. A statisztikák szerint a Google több, mint 10.000 weboldalat tesz feketelistára naponta.

Miért fontos a weboldalunk biztonsága?

Egy feltört WordPress weboldal hatalmas kárt tud okozni a vállalkozásodnak:

• Felhasználók adatainak, jelszavainak ellopása.
• Fertőző fájlok telepítése a honlapra.
• A fertőző fájlokat a felhasználóknak is tovább küldhetik.
• Zárolják a weboldaladat, és váltságdíjat kérnek a feloldásáért.
• Bevételcsökkenés, hírnévrontás.
• Google feketelistájára kerül a weboldal

WordPress weboldal biztonság 7 lépésben:

1. A frissítések legyenek naprakészek!

A frissítés egyébként is az alapvető karbantartás részét kell, hogy képezze! A WordPress egy nyílt forráskódú szoftver, ami állandóan frissül. Beállíthatjuk, hogy a bővítmények frissítése automatikus legyen-e, vagy azt magunk csináljuk. Van néhány olyan bővítmény, amit automata frissítésre állíthatunk, de én jobban szeretem magam frissíteni a verziókat. Figyeljünk oda, hogy ne csak a bővítményeket, hanem a sablonokat is frissítsük!

Frissítés előtt (főleg a főverziók és a WordPress verziók frissítése lőtt) csináljunk egy teljes mentést az odlalunkról!

A bővítmények frissítése azért is fontos, mert sajnos nem egyszer fordult elő, hogy 1-1 bővítményben biztonsági rést fedeztek fel, amit

2. Nem használt bővítmények, sablonok eltávolítása

WordPress weboldal biztonságának második eleme az, hogy a nem használt bővítményeket, sablonokat távolítsuk el. Ehhez különösebb magyarázat szerintem nem szükséges. Arra figyeljünk oda, hogy a WordPress alapértelmezett sablonját (Twenty Twenty) NE töröljük!

3. Erős jelszó és egyéni felhasználónév használata

Mindig használjunk erős, nehezen kitalálható jelszót, igyekezzünk nem mindenhol ugyanazt a jelszót használni. Nem kell megjegyeznünk, használjunk valamilyen jelszótároló programot, vagy a böngészőnk jelszómentését. Ha ezt választjuk, figyeljünk az ezt tároló fiókunkhoz(pl. Google) kétlépcsős hitelesítés legyen beállítva!

Pár gondolat a jelszavakkal kapcsolatban:

Ugye ez ott kezdődik, hogy SOHA nem adjuk meg ugyanazt a jelszavat kétszer más-más hozzáférésekhez. Jó esetben tehát nem ugyanaz a jelszavunk az e-mail fiókunkhoz, mint például a Facebook fiókunkhoz.

A következő lépés az erős jelszó használata. A „jelszo1” „kisfiam3” „12345” jelszavakat tényleg felejtsük már el! Sajnos azt kell mondanom, hogy a mai napig van olyan ismerősöm, kollégám, aki a fentiekhez hasonló jelszavakat használ, ráadásul mindenhez az a jelszava…

Nekem erre két jó módszerem van:

• Veszünk a környezetünkből valamilyen eseményt, nevet, amit tudunk, fontos nekünk, ezekből összeszedünk pár betűt olyan sorrendben, amit meg tudunk jegyezni, mögé rakunk egy dátumot, vagy annak részletét, és kiegészítjük 1 vagy két különleges karakterrel. Például: WordPress weboldal biztonság : WPwbg!@ (Ennél hosszabb legyen, ez csak egy példa az összeállításra!)
• A másik módszer egyszerűbb, használjunk egy jelszógenerátort. NE felejtsük a jelszót feljegyezni/megjegyzetetni!

Ha megvan az erős jelszavunk, a másik fontos dolog, hogy a felhasználónevünk is egyedi legyen. SOHA DE SOHA ne használjuk az „admin” „Admin” „user” neveket, vagy a „saját-domain_admin”, illetve hasonló neveket!

A biztonságos jelszóval és a az egyedi user névvel már meg is alapoztuk a WordPress weboldal biztonságát.

4. Megfelelő tárhelyszolgáltató.

A tárhelyekről itt olvashatsz bővebben. Biztonsági szempontból a lényeg, hogy a szolgáltató használja az ott használt szoftverek, eszközök legfrisebb változatát. Ezen kívül nem baj, ha van napi biztonsági mentés a tárhelyen beállítva. Ami nagyon kényelmesség tudja tenni az életünket az a menedzselt hosting, ahol gondoskodnak helyettünk a frissítésekről, mentésekről, visszaállításokról.

5. Rendszeres biztonsági mentés

Az előző pontban említettem már a biztonsági mentést. Ez nem feltétlenül WordPress weboldal biztonsági kérdés, mindenképpen ajánlott! Használhatunk erre bővítményt, amit magunk kezelünk. Biztonsági szempontból ez azért fontos, mert feltörés/megfertőződés esetén sokkal egyszerűbb visszaállítani egy „tiszta” biztonsági mentést, mint a már meglévő oldalt kitakarítani. A biztonsági mentés terjedjen ki a fájlrendszerre, és az adatbázisra is! A mentés legyen rendszeres, az ajánlott rendszeresség függ attól, hogy milyen tartalmú az oldalunk. Például egy naponta frissülő blogoldalnál, vagy webáruháznál érdemes naponta menteni, míg egy egyszerűbb weboldalnál elég havi 1-2 mentést csinálni.

6. Tűzfal / biztonsági bővítmény használata

Erre is számtalan plugin létezik, én a Wordfence nevű bővítményt használom, ezt szoktam az készített weboldalakra is feltelepíteni és beállítani. Érdemes olyan bővítményt választani, amelyik rendelkezik tűzfallal is. A Wordfence ingyenes verziója is ilyen. A beállításokon menjünk végig, és állítsuk be a bővítményt. Elég egyértelmű, könnyen be tudjuk állítani. Érdemes az „All options” menüpont alatt az email értesítéseket is testreszabni. A legjobb a bővítményben, beállíthatunk hozzá Google reCAPTCHA-t, illetve kétfaktoros hitelesítést is!

A kétfaktoros hitelesítéshez szükséges letölteni a telefonunkra a Google Authenticator nevű alkalmazást is. Ha „kizárjuk” magunkat, akkor az adminisztrátori email címünkkel ezt könnyedén feloldhatjuk. Ha pedig az authenticator-ral van gond, csak használjuk a beállításkor letöltött visszaállító kódok egyikét. Az úgynevezett „bruteforce” támadások ellen a bővítmény teljes körű védelmet nyújt.

+1 tipp: .htaccess és robots.txt beállítások

Buxbaum Barna, a wpSuli alapítójának ajánlott beállításait a fenti fájlok vonatkozásában részletesen elolvashatjátok az alábbi képre kattintva:

Én is ezeket a beállításokat használom minden oldalnál, és egyébként is érdemes körülnézni a wpSuli oldalán! 😉