WordPress biztonság: egyszerűen és hatásosan

Írta: | 2013. július 30. | kategóriák: Biztonság, CMS, Web

Májusban múlt 10 éve a WordPress egy volt az új blogrendszerek közül. Mára az egyik vezető tartalomkezelő rendszerré nőtte ki magát, az internetes oldalak több, mint 20% használja. Ez óriási előlépés sok szempontból: töménytelen mennyiségű visszajelzés, azok alapján való futólépésben történő fejlesztés és még sorolhatnánk. Egy nagyon jó rendszer lett. A hátulütő viszont, hogy rengeteg hacker WordPress weboldalakat tör fel, mert kifizetődő lett.

Kövesd az alábbi lépéseket és megnehezíted a feltörést!

Tartsd szem előtt a könyvtár/állomány hozzáférhetési jogait!

A legtöbb WordPress kiszolgáló szerver Linux alapú, de bármely más szerveren hasonlóak az alapelvek. A lényeg, hogy minél korlátozottabb hozzáférés kell az állományokhoz. Miért? Mert ha bárki módosíthatja, akkor bizony könnyen pórul járunk. A bankkártyánkat sem hagyjuk szanaszét. Nem normális.

A könyvtárak teljes joggal (olvasás, írás, futtatás) kell rendelkezzenek a létrehozó felhasználói fiók által, illetve olvasási és futtatási joggal (a futtatási jogra szükség lehet pl. keresésnél). Ez annyit tesz, hogy a jog 755 kell legyen. Érdemes kipróbálni a 744-et is, ami csak olvasást jelent, de nem minden esetben működik.

Az állományok esetében csak olvasási és írási jogra van szükség a létrehozónak is. Ez természetesen attól függ, hogy miként van kiszolgálva az oldal, ki személyesíti meg  a PHP fordítás műveletét, de a legtöbb szerveren elégséges. Szóval, a file jogai 644.

További részletekért olvasd el a WordPress hivatalos oldalán a helyes file beállításokat.

Nevezd másként az alap felhasználót, ne admin-nak

Ez már jó ideje része a WordPress telepítésnek: meglehet adni az alap felhasználó nevét. Abban az esetben, ha már régen létezik az oldalad és akkor még nem volt ez a lehetőség, akkor sincs gond. Az adatbázisban átlehet írni és viszlát betörők, nincs többé admin felhasználó (név).

Kövesd a biztonsági előírásokat

A wp-config.php szépen kinőtte magát. Itt érdemes megadni a biztonsági kulcsokat. Lehetőleg ezeket generáljuk, kézzel sosem írunk akkora badarságot, amit generálni lehet, mivel hajlamosak vagyunk értelmes szavakban vagy mintákban, patternekben, gondolkodni.

Nagyon figyelni kell a jelszavakra is. Sose legyen egyszerű feltörni, legyen elég hosszú, akár egy mondat hosszúságú is és ne tartalmazzon értelmes szavakat. A lényeg, nem megjegyezni kell nehéz legyen, hanem feltörni. Ha volt egy kedves versikénk, mondókánk, kiválasztunk egy-két mondatot, felcserélhetjük a szavak sorrendjét, szinonimákat vihetünk be, idegen nyelvre fordíthatjuk részeit, számokat, speciális karaktereket vihetünk be és így tovább.

 Védd a wp-config.php filet

Az egyik létfontosságú állomány a beállításokat tartalmazó wp-config.php. Erre nagyon kell vigyázni, hiszen itt van tárolva többek közt az adatbázis elérhetőség, az SQL felhasználó és jelszó is. Két egyszerű módszer is van ennek védelmére. Az egyik, ha egy mappával feljebb helyezzük azt, pl. a /pubic_html/ fölé. A WordPress tudja, ha nem találja a wp-config-ot akkor tovább keres, egy szinttel fentebb. Ez azért jó, mert az a színt böngészőn keresztül nem hozzaférhető. Egy másik módszer, ha a .htaccess állományban beállítjuk, hogy a wp-config.php ne legyen elérhető. Magyarán letiltjuk a külvilág számára.

<Files wp-config.php>
    Order allow,deny
    Deny from all
</Files>

Mindig legyen telepítve a legutolsó frissítés

Talán az egyik legkézenfekvőbb dolog, ha mindig a legfrissebb változat fut az oldalunkon. Ez biztonságot nyújt, mivel a legutolsó hibajavításokat és biztonsági rések kiküszöbölését is tartalmazza. Egy kattintás és néhány másodperc legtöbb esetben. Ha viszont vannak egyedi módosítások, akkor érdemes alaposan megnézni mi változott és ha az új WordPress is támogatja az igényeinket. Ellenkező esetben érdemes az új API-ra átírni a változtatásainkat és ezt követően frissíteni, hogy ne essen le az oldalunk.

Töröld ki a WordPress verzíót

Ez kissé illetlenség is lehet, mivel ezáltal megakadályozod, hogy felmérés készüljön az éppen használt WordPress verziókról. Sajnos ezt sem elvetendő, mivel kevesebb információ révén a hacker is tovább kellene próbálkozzon az oldal feltörésén. Legtöbb esetben továbblépnek, könnyebb halat keresve. Néhány további tipp a BlintDesign-ról.

WP-Includes és WP-Admin könyvtárak védelme

Fontos, hogy  a rendszerállományok és adminisztrációs felölet védve legyenek. A WP-Includes folder tartalmazza az rendszer vázát, mindenképpen érdemes védni. Ezt is lelehet tiltani .htaccess-ből. Ebben a mappában nincs mit keressenek a látogatók, böngészőből nem kell elérés.

A WP-Admin a rendszerkezelést szolgálja. Itt érdemes arra gondolni, főleg ha csak mi használjuk, hogy IP címre korlátozva hagyjunk csak belépési lehetőséget vagy egyszerűen kérjünk szerver azonosítást (felhasználó és jelszó, certificate, ami van, szerver függő), mielőtt belépnénk a WordPress-be is.

További tippekért olvasd el a WP Suli ide tartozó írását.

Amennyiben egyéb ötleteid is vannak, ne habozz megosztani velünk!



Értékeld a bejegyzést!

Loading ... Loading ...

A bejegyzésre érkező kommenteket elérheted RSS 2.0 formájában vagy emailben is:

A bejegyzéshez tartozó trackback cím, illetve a permalink.

A megjegyzéseket kérlek, tedd fel érthető és illendő módon, ne fikázz le másokat, mert nem tudnak valamit, amit te már igen. A kommentár lehetőleg függjön a bejegyzéshez :)

kötelező
kötelező, titok marad
ha nincs, maradjon üres