Ki támadja a WordPress webhelyemet?
Általában három olyan szervezet létezik, amely megtámadja a WordPress weboldalakat:
Emberek: Ez egy olyan személy, aki egy billentyűzet előtt ül, kézzel próbálkozik és támad egy weboldalt.
Egyetlen Bot: Ez egy olyan automatizált program vagy szkript, amelyet egy hacker írt és automatizált módon támad / fedez fel jellemzően egy, de akár több célpontot egyszerre .
A Botnet: Ez olyan nagyszámú (akár több milliós) fertőzött eszközök csoportja, amelyek olyan programokat futtatnak a tulajdonosuk tudta nélkül a háttérben, amelyeket egy központi “parancs- és vezérlő” kiszolgáló (C & C szerver) koordinál, és amelyek szintén akár egyszerre egy vagy akár számos webhelyet automatizált módon támadnak egyidőben sok helyről.
Miért támadják meg a WordPress webhelyemet?
A támadó célja, hogy adminisztrátori szinten szerezzen irányítást a WordPress-ben. Ez azt jelenti, hogy az oldalon található összes fájlhoz és adathoz hozzáfér. Plusz módosíthatják a fájlokat, módosíthatják az adatbázist, megváltoztathatják a webhely viselkedését és a tartalmat. Ezt a következő okok miatt kívánják tenni:
Levélszemét elküldése: Spamet szeretne küldeni a weboldaladról. A hackerek a weboldaladon szkripteket futtathatnak, amelyek tömeges e-maileket küldenek onnan.
A rosszindulatú tartalmak befogadása és a szűrők kijátszása: A hackerek használhatják a feltört webholdalt olyan tartalmak tárolására, mint a pornográfia, az illegális kábítószer-értékesítés vagy egyéb spam tartalom.
A webhely adatainak ellopása: az adatok elérése és letöltése a weboldalról, beleértve az ügyfelek e-mail címét és nevét is. Célja lehet a még több spam küldése és a személyazonosság-lopás vagy más rosszindulatú tevékenység.
Más webhelyek megtámadására: Miután a weboldalad veszélybe került, a hacker használhatja a weboldalt olyan bot támadási parancsfájlok futtatására, amelyek más weboldalakra ugranak. Weboldalad egy – “botnet” nevű – gépek csoportjává válhat.
Fontos megjegyezni: Miután a weboldalad feltörték, nagyon valószínű, hogy rosszindulatú tevékenységekre fogják használni! Ez tönkre teheti a weboldalad hírnevét SEO szempontból is. A keresőmotorok a rangsorolásnál büntetik is az ilyen weboldalakat. Ebből is látszik, milyen fontos a biztonság!
A leggyakrabban alkalmazott WordPress biztonsági megoldások
1. Tartsd a WordPress-ot naprakészen!
Amikor bejelentkezel és látod, hogy a “Frissítés elérhető”, kattints rá, és frissítsd webhelyed. Ha aggódsz, hogy valami elromlik vagy szétesik az oldal, készíts biztonsági másolatot a frissítés futtatása előtt. A legfontosabb az, hogy ezt rendszeresen megcsináld! Az előző változat biztonsági réseinek információi elérhetők a nyilvánosság számára is (és ebbe a hackerek is beletartoznak!), ami azt jelenti, hogy egy elavult weboldal még inkább sérülékeny, és a régebbi verziódon ki nem javitott sérülékenységi pontokat már meg sem kell találni.
2. Tartsd naprakészen a bővítményeket és a témákat is!
Ahogy a WordPress keret rendszeresen frissül, frissíteni kell a bővítményeket és a témákat is. Minden weboldalra telepített bővítmény és téma olyan, mint egy hátsó ajtó a weboldalhoz. Hacsak nem megfelelően biztosítják (alaposan ellenőrizve, rendszeresen frissítve stb.), a bővítmények és témák utat nyithatnak a betolakodóknak.
3. Távolíts el minden olyan bővítményt vagy témát, amit nem használsz!
Az ok ugyanaz, mint fent is írtam: ha nincsenek fent nem használt, elavult témák, pluginek, akkor az is csökkenteni fogja a feltörés valószínűségét. A pluginok deaktiválása általában nem elegendő; kattints a “Törlés” gombra.
4. Csak jól ismert forrásokból tölts le plugineket és témákat!
Ha lehet, akkor a WordPress.org-ról tölts le, mert ott alaposan megvizsgálják őket, mielőtt elfogadnák a témát vagy a bővítményt. Ha prémium témát vagy bővítményt szeretnél, akkor is csak ismert forrásból töltsd le őket, mint például a Themeforest vagy egy népszerű fejlesztő webhelye.
5. Soha ne használd az “admin” felhasználónevet!
Ha már telepítetted a WordPress-t az “admin” felhasználónévvel, vagy valami nagyon egyszerű user nevet választottál (pl. kiscica), akkor mindenképp változtasd meg azt! Ezek lesznek az elsők, amikkel a feltöréskor próbálkozni fognak.
6. Gyakran változtasd a jelszavad és nem mellesleg csak erős jelszót válassz!
A véletlenszerű betűk, számok és egyéb karakterek használata a legjobb. Használhatsz egy jelszógenerátort is mint a Norton Password Generator vagy a Strong Password Generator. SOHA ne legyen a jelszód password, admin vagy a saját neved! Le is ellenőriheted a jelenlegi jelszavad erősségét ezen a weboldalon!
7. Használj kétlépcsős hitelesítést belépéskor!
A brute force támadások elkerülésére nagyon jó módszer a kétlépcsős azonosítás beállítása. Ez azt jelenti, hogy jelszó szükséges, plusz egy engedélyezési kód, amelyet elküldenek a telefonodra, hogy be tudj lépni a weboldaladra. Általában a második bejelentkezési kód SMS-ben érkezik. Számos pluging használható ehhez a funkcióhoz, pl. a Google Authenticator vagy a Duo.
8. Korlátozd a sikertelen belépések számát!
A brute force támadás a hackerek kedvelt taktikája. Ha engedélyezed, hogy megtegyék, akkor újra és újra megpróbálnak bejelentkezni a weboldalra, addig, amig meg nem találják a helyes név- jelszó kombinációt. Azért nevezik “brute force”-nak, mert a támadás “buta”, de hatásos – többet erővel, mint ésszel. Vannak azonban plugin-ek, amelyek lehetővé teszik, hogy korlátozzuk annak számát, ahányszor egy bizonyos IP-ről egy személy megpróbálhat bejelentkezni meghatározott időn belül. Vannak biztonsági plugin-ek, melyek rengeteg funkciót kínálnak és legtöbbször tartalmazzák a bejelentkezések számának korlátozását is. Ilyen például az iThemes Security és a Sucuri Security., a Wordfence vagy az All in one WP Security. Ezek közül mindig használj egyet!
9. Mindig legyen biztonsági mentés a weboldaladról!
Ne csak alkalmanként, amikor eszedbe jut, akkor ments, hanem rendszeresen. Úgy értem, kiszámíthatóan és menetrend szerint. Az ütemezett biztonsági másolatok a webhelyek biztonsági stratégiájának lényeges részét képezik, mivel biztosítják, hogy weboldalad sérülése esetén könnyebben vissza lehessen azt állítani egy korábbi verzióra. Létezik automatizált megoldás, mint a BackWPUp, UpdraftPlus WP Backup.
10. Tűzfal és vírusirtó telepítése a számítógépedre!
Ez egy extra lépés, igen, de legalább egyszerű. És ha telepíted, akkor pluszban lesz még egy védelmi vonalad a hackerek ellen.
11. SOHA ne tölts le prémium plugin-eket ingyenes letöltős oldalakról!
A prémium bővítmények illegális változatai általában rosszindulatú kódot tartalmaznak.
Ez azt jelenti, hogy az egykor nagyszerű prémium plugin kiváló kóddal most egy hacker közvetlen hozzáférését fogja biztosítani a weboldaladhoz. És miért fogják feltörni az oldalad? Csak azért, mert meg akartál spórolni néhány ezer forintot.
12. A bejelentkezési oldal url-jét változtasd meg
Végülis a webhely egyes elemeinek elrejtése nem akadályozza meg a hackerek hozzáférését, de legalább megnehezíti a feladatukat. És ez jó, nem?
A bejelentkezési oldal áthelyezése vagy átnevezése gyors módja annak, hogy a hacker munkáját nehezebbé tedd. A brute force támadások jellemzően automatizáltak, tehát ha a bejelentkezési oldal más, mint a www.weboldal.com/wp-admin vagy a www.weboldal.com/wp-login.php, akkor azt több idő támadni és a hacker könnyebb célpontot választ. Számos plugin áll rendelkezésre, amelyek ezt az egyszerű változtatást teszik lehetővé. Ilyen pl. a WPS Hide login is vagy a fent említett All In One WP Security. Csak ne felejts el, hogy mi az új belejentkezési URL-ed!
Tehát ezek az ALAP beállítások, amelyeket minden WordPress weboldal tulajdonosnak ajánlott elvégeznie ahhoz, hogy legyen egy biztos védelme a támadások többsége ellen.