üzleti kommunikáció
A kommunikáció nem jobbá teszi a terméket, de kelendőbbé…
2018-11-20
címsorok hosszúsága
Vajon a rövid vagy a hosszú címsorok adnak el jobban?
2020-05-12

WordPress biztonság felsőfokon, doppingold acélosra

wordpress biztonság
Wordpress védelem felsőfokon…
Avagy így doppingold honlapod védelmét kőkeményre!
A minap többször is találkoztam kétkedő véleményekkel a Wordpress biztonságáról. Pedig a Wordpress hajtja a honlapok bő 30 százalékát. Ez nagyobb arány annál, minthogy legyintve elintézzük azzal, amit hallani lehet gyakran: - a Wordpress nem egy biztonságos rendszer! - Nos, ezt most megcáfolom.

Olvasd el, mit kell tudni a Wordpress biztonságáról, és hogyan turbózd Wordpress honlapod védelmét igen magas szintűre!

Nyílt rendszer

A Wordpress nyílt forráskódú rendszer. Ez azt jelenti, hogy bárki hozzáférhet a kódhoz, elemezheti annak gyenge pontjait, biztonsági rést találhat rajta. Ha pedig talál, akkor kihasználhatja, és attól kezdve úgy megy át a védelmen, mint kés a vajon... - feltörheti mások weboldalait, megszerezheti az irányítást mások honlapja, rosszabb esetben szervere fölött. - ezt gyakran lehet hallani, azonban van az éremnek másik oldala is.

Vajon miért szeretné feltörni bárki is a honlapodat?

Honlapod gyengesége sokszor kitárja az ajtót rosszindulatú lehetőségek előtt. Például, ha weboldalad kódját módosítják, elérhetik, hogy attól kezdve mindenki szépen letölt egy kémprogramot a gépére, aki csak megtekinti weboldaladat. Hűha! Vetted a lapot? Mások böngészőjét veszik rá, hogy telepítsen egy férget a gépre, amely utána jelenti a böngészési szokásokat, kiadja a használt jelszavakat, vagy még érzékenyebb információkat szerez. Esetleg megszerzik az e-mailküldéshez szükséges jelszavakat, hogy utána levélszemét hegyeket indítsanak el Te vagy mások nevében…

És ez a Te honlapod megtekintésével kezdődhet. Csak mert azt feltörték, talán észre sem veszed. - Ugye, milyen kellemetlen?

A nyílt rendszernek vannak előnyei

A nyílt forrás azt is jelenti, hogy nem egy aránylag szűk gárda dolgozik a fejlesztéseken, hanem attól sokkal többen! Lelkes hívek ezrei dolgoznak azon, hogy a Wordpress rendszer egyre jobb, tökéletesebb legyen. Ez nem csupán a rendszer kényelmi funkcióit jelenti, hanem azt is, hogy a biztonságot is egyszerre sok ezren tesztelik és fejlesztik.

Amennyiben találnak valamilyen biztonsági rést, azt azonnal befoltozzák és beleteszik a legközelebbi frissítésbe. A Wordpresst ezért rendszeresen frissíteni érdemes sőt, az újabb verziók önműködően frissítik saját magukat. Így tulajdonképpen minden támadható részletet gyorsan javítanak.

Kell félned a biztonsági résektől?

Amennyiben rendszeresen frissíted a honlap rendszerét, akkor nem kell tőle túlzottan tartanod. A biztonsági hiányoságok ugyanis rémisztően hangzanak, de ha visszagondolsz, tulajdonképpen ezekről szól az operációs rendszerek története. Hányszor olvashattuk már, hogy a Windows, a MacOs, az Android, a Chrome és a Firefox, Safari… folytathanám, új verziót adott ki, amely ilyen és ilyen biztonsági javításokat tartalmaz. Az óvatosság receptje úgy hangzik laikus felhasználók számára, hogy tartsd frissen a rendszeret, úgy kevesebb az esélye a bajnak.

Zárd ki az emberi tényezőt!

Tapasztalatom, hogy a Wordpress honlapok biztonsága elsősorban emberi tényezőkön csúszhat el. Vezető ok a kétes biztonságú jelszó. A Te Wordpress honlapodat is jó eséllyel naponta megszondázza pár robot az internetről, vajon be tud-e lépni ilyen felhasználónévvel, mint az „Admin”, vagy „Test”, és egy rakás szkenner érkezik, amely szeretné kitalálni a belépési jelszót.

Aki ügyes, akár le is lehet kérdezheti a felhasználónevet, már tényleg csak a jelszót kell kitalálni. Ez mai világunkban nem is olyan nehéz, ha a jelszó nem volt eléggé átgondolva. Pl.a születési dátum, a kedvenc kutyus neve egyáltalán nem nehéz jelszó, azonban ha ügyesen kevered a betűket és a számokat, akkor elég hatékony jelszót faraghatsz magadnak.

Gondoskodj a frissítésről!

A Wordpress működését egy sor kiegészítő teszi teljesebbé, amelyeket külső résztvevők fejlesztenek. Az elérhető kiegészítők pár kattintással telepíthetők. Fejlesztőik követve a Wordpress frissítéseit, ügyelnek a kompatibilitásra és azzal többé kevésbé szinkronban újabb verziókat bocsátanak ki. Nem elég tehát a Wordpress keretrendszert naprakészen tartani, ügyelni kell a kiegészítők frissítéseire is.

Az installált kiegészítők is mindig frissek legyenek!

Itt egy valós példa! Az elmúlt hónapokban például sokan egy bizonyos kiegészítő pluginnal oldották meg a GDPR követelményeinek való megfelelőséget. Installáltak egy olyan kiegészítőt, amely elhelyezte azokat a fránya kis kipipálandó négyzeteket az üzenetküldő űrlapok alatt. Ennek a kiegészítőnek ez a neve: WP GDPR Compliance.

Nos, az történt, hogy a tavaly megélt nagy GDPR porverésben e kiegészítőben egy biztonsági rés volt, amit kihasználva a rosszfiúk szépen feltörték Wordpress honlapok ezreit. Csak mert azok tulajdonosai nem figyeltek arra, hogy frissíteni kell a plugineket… - A biztonsági rést a következő verzió orvosolta, így aki időben frissített, az elkerülte a bajt. Szóval nézz utána van-e ilyen plugin a honlapon és frissítsd! S ha már ott vagy, frissítsd az összes többit is!

A tárhely szerepe

A tárhelyszolgáltatók egy rakás dolgot tudnak tenni honlapod védelméért. Legjobb, ha olyan tárhelyszolgáltatót keresel, amelyik ajánl kimondottan Wordpressre előkészített megoldásokat. A Wordpress amúgy nem kényes jószág, de van pár technikai feltétele a sima működésnek.

Ilyen például, hogy megfelelő mennyiségű memóriát engednek rendszere számára használni. Tudom, triviálisan hangzik, de még ma is találkozom ennek az ellenkezőjével. A tárhelyszolgáltatók egy része igenis szűkmarkúan bánik az erőforrásokkal, vagy éppen nem fejleszti saját infrastruktúráját naprakészen. Egy profi tárhelyszolgáltatónal nem kérdés, hogy rendelkezésre áll a legújabb működtetői környezet, értem itt a szükséges php, mysql verziókat. Laikusként ezt nem egyszerű megítélni, ezért kérj segítséget!

A megfelelő tárhelyen napi biztonsági mentés és más monitoring szolgáltatások léteznek, amelyek állandóan vizslatják, mi történik, ellenőrzik honlapod forgalmát, és riadót fújnak, ha támadást érzékelnek. Ha jót akarsz magadnak, válassz ilyen szolgáltatót!

Fontos a kiegészítő biztonság

Jót teszed, ha nem hagyatkozol csupán a tárhely biztonsági szolgáltatásaira! Remek biztonsági kiegészítőket installálhatsz weboldaladra, amelyek őrzik azt, elemezve forgalmát.

Ezek szépen detektálják, ha valaki rosszindulatúan közeledik, például rövid idő alatt többször megpróbál belépni a szerkesztőfelületekre. Brute force támadásnak hívják, amikor egy erre beállított számítógép, egy robot megpróbálja kitalálni a belépési adatokat. Egy ilyen robot képes igen gyors egymásutánban meghívni a belépőoldalt, ezért jól felismerhető.

Amikor ilyen támadást érzékel a védelem, nemes egyszerűséggel letiltja betolakodót annak ip címe alapján. Előre beállított időtartam elteltéig nem is engedi vissza a honlapra, így védve azt.
Az ilyen szoftveres tűzfalakból van jó néhány, egyik legépszerűbb a Wordfence, amely több, mint egymillió honlapot véd. Rendszeres időközönként csekkolja a honlap állományait, ellenőrzi integritásukat, érintetlenségüket, megtalálja az esetlegesen megváltozott állományokat és figyelmeztet a frissítendő kiegészítőkre is. Igazi svájcibicska, amelyre rábízhatod weboldaladat. Naponta vagy hetente jelentést küld a weboldal állapotáról. Ráadásul van díjtalan verziója, pár korlátozással nagyszerűen használható.

Igazi nagyágyú még az iThemes Security, a CleanTalk, a Sucuri Security, ezek azonban rövid kipróbálható üzem után fizetős szolgáltatás ajánlanak, vagy prémium kényelmet ígérnek fizetség ellenében.

A Wordfence kiegészítőt azért szeretjük, mert szemléletes felületen többféle módon biztosítja a védelmet. Megnézi a szerver és a Wordpress működési állapotát, ellenőrzi a fájlokat, féreg után kutat a fájlokban és az adatbázisban is, ami remek funkció! Végezetül tájékoztat az egyes pluginek megbízhatóságáról.

De van még valami, amivel borsot törhetsz a rosszindulatú betolakodók orra alá!

IP alapú földrajzi szűrés

Ez komolynak hangzik! Talán hallottad már, hogy a weboldal látogatóit az interneten IP címük azonosítja. Neked és Nekem is van ilyen, amikor internetezünk. Ha felkeresek egy weboldalt, akkor ez alapján tudni lehet rólam, hogy melyik országból, városból internetezem.

Mivel tapasztalható, hogy a támadók nagy része a világ egyéb tájáról érkezik, ezt szépen lehet szűrni. Ha weboldalad ajánlatait magyarul, a magyar piacra szánod, akkor érdemes lehet letiltani a honlap elérhetőségét külföldre. Ha nincs kifejezett mondanivalód a külföldieknek, pláne, hiszen honlapod csak magyarul beszél… - akkor mikért ne tiltanád le őket, ezzel kizárva a kínai, orosz, koreai, amerikai, ukrán, thaiföldi hackerek zömét?

Az IP Geo Block nevű kiegészítő pont erre szolgál. Megadhatod, melyik országból engedélyezed a weboldal meglátogatását, és melyik országokból érkező böngészők számára van megtiltva a honlap lekérése. Így ők nem látnak belőle semmit, vagy csak egy üzenetet, hogy bocsi, zárva vagyunk…

Automatikus biztonsági mentés

Amennyiben a fentieket követed, akkor minimálisra csökkented annak kockázatát, hogy honlapodat feltörik, vagy bármilyen biztonsági rést találnak annak védelmén.

Ezt az egyébként meglehetősen erős védelmet megkoronázza a napi biztonsági mentés. Ne gondold, hogy ez alapból jár minden tárhelyhez! Amikor tárhely választására kerül sor, akkor kérdezz rá, bizonyoosodj meg, hogy könnyen hozzáférhető módon, laikusként is kezelhető recovery opciók álljanak rendelkezésre. Ha bármilyen okból mégis beüt a baj, akkor egyszerűen visszaállíthatod a megelőző állapotot.

Saját példaként említhetem, hogy bár igen ritkán fordul elő, de fejlesztőként is simán mellé lehet nyúlni úgy a dolgoknak, hogy a honlap összeomlik. Velem is előfordult már. Azonban kár aggódnom annak tudatában, hogy bármelyik nálunk működő webszájt 2 percen belül visszaállítható. Legyen meg Neked is ez a biztonságod!

Foglaljuk tehát össze!

Így faraghatod sziklaszilárdra Wordpress honlapod védelmét:

- Zárd ki a hanyag emberi tényezőt, frissítsd rendszeredet és néha a jelszavadat is!
- Használj profi tárhelyszolgáltatót, aki ott van a szeren!
- Telepíts szoftveres tűzfalat, ami megvéd a támadások túlnyomó többségétől!
- Használj IP alapú szűrést, és zárd ki a nemzetközi hacker csoportokat.
- Használj automatikus backup mentéseket szerverszinten, naponta legalább egyszer!

Ha ilyen módon összehangolt védelmet szervezel weboldalad köré, akkor biztos lehetsz benne, hogy a támadók könnyebb célpont után néznek, a Te weboldalad pedig üzembiztosan közvetíti ajánlataidat non-stop…

Bizonyára mondanom sem kell, hogy Ügyfelünkként ezeket a biztonsági szolgáltatásokat alapértelmezetten élvezheted.

Betöltés...

Biztonság felsőfokon - hasznos volt ez a poszt?

Köszönöm!
Köszönöm, hogy elküldted véleményedet!
Válassz egy opciót!

Állandó alkalmazkodás a piac igényeihez?
Jobban jársz, ha kezedbe veszed az irányítást!

Olvasd el, hogyan vált két partnerünk saját területének tudatos irányítójává azzal, hogy bevezetett kommunikációjukkal felrúgták a megrögzött piaci szokásokat, és kiemelkedtek versenytársaik közül... - a vevők pedig boldogan választják őket!

EREDMÉNYEK:

30% növekedés 1 év alatt
10milliós forgalom nulláról pár hónap alatt

Ezek bizony ragyogó eredmények! Nem varázslat, hanem logikus lépések következetes megvalósítása, amit Te is simán bevezethetsz! Olvasd el, hogyan sikerült ezeket elérni, meríts belőle, használd fel Te is, érj el jelentős növekedést!!
Az esettanulmány hivatkozását e-mailben elküldjük.

Hová küldhetjük Neked?


*Elfogadom az Adatvédelmi tájékoztatóban foglaltakat!
*Hozzájárulok, hogy a Honlapragasztó e-mailt küldjön!


Te is szeretnél ilyen mosolygósan, elégedetten tekinteni üzleti eredményeidre? Olvasd el, hogyan segít ebben a Honlapragasztó!

"Hetek alatt sikerült jó üzleteket szerezni. Remek konstrukciót ajánlottak induló vállalkozásunk számára. Azóta is hetente konzultálunk."
- Mulik Sándor, Open Doors Kft.

"Ajánlom minden olyan cégvezetőnek, vállalkozónak, aki ki szeretne lépni a sorból, kiemelkedni a versenytársak közül."
- Kanizsár Krisztián, G-TA Kft.