Hogyan védekezzünk a WordPress támadások ellen?
1. Érdemes elsősorban egy softaculous nevű telepítővel installálni wordpress honlapunkat a tárhelyünkre. Ezen az alkalmazáson belül könnyedén beállítható, hogy automatikusan frissítse, nem csak az alkalmazást, de a témákat és a plugineket is!Rendkívül hasznos a használata!
Ezzel a módszerrel jelentősen csökkenthető a biztonsági hibák által előforduló behatolások száma és a weboldalad forráskódja is naprakész lesz.
Ajánlott használni felhő alapú malware szűrő technológiákat.
2. Készíts egyedi bejelentkező linket: A botok legtöbb esetben a /wp-login.php fájlt keresik, amelyhez a felhasználóneve és jelszót a brutaforce megoldással próbálják “kitalálni”. A Stealth Login wordpress bővítménnyel egyedi bejelentkező URL készíthető és akár le is tiltható a wp-login.php fájl elérése a továbbiakban. A rosszindulatú botok ellen jó megoldás lehet, de tökéletes védelmet nem nyújt.
3. Erős jelszó használata: fontos, hogy könnyen kitalálható (admin, password, stb) jelszavakat ne használjunk. Érdemes random jelszavakat generálni.
4.Bejelentkezési kísérletek korlátozása: Egy remek kis WordPress bővítmény, amely telepítése után figyeli a hibás bejelentkezési kísérleteket. A beállított próbálkozások száma után letiltja a támadó IP címét. Nem tökéletes megoldás, hisz ha elfelejtjük vagy elrontjuk a jelszavunkat, mi is tiltó listára kerülhetünk. Érdemes jelszó menedzselő alkalmazást használni!
5.SSL használata a bejelentkezéshez: Ahhoz, hogy elkerüljük, hogy ellopják illetéktelenek a jelszavainkat, érdemes SSL-t használni. A bejelentkezés akkor a tanúsítvánnyal ellátott https:// titkosított csatornán keresztül fog történni és illetéktelenek nem tudják megszerezni a jelszavainkat.
Olcsó tanusitványt tudsz vásárolni a websas.hu - tól: https://ugyfelkapu.websas.hu/cart.php?gid=7
Nem kell mást tenned, mint a wp-config.php fájlba beszúrni az alábbi sort:define(’FORCE_SSL_ADMIN’, true);
6. Jelszavas védelem a WP-ADMIN könyvtárra: A DirectAdmin-ban tud a mappára jelszavas védelmet készíteni, így a botok és rosszindulatú behatolók nem érik el a bejelentkezéshez szükséges könyvtárat.
7. IP cím alapú korlátozás IP címünk alapján: Korlátozzuk a saját IP címünkre a wp-admin könyvtár elérését. Itt a saját IP címünket kell megadni, így mindenki más számára elérhetetlen lesz. Dinamikus IP cím esetén folyamatos frissítést igényel a megoldás. Nem kell mást tenni, mint a wp-admin könyvtárba létrehozni egy .htacces fájlt, és elhelyezni benne az alábbi sorokat:
order deny,allow
deny from all
# Engedélyezett IP címek
allow from xx.xx.xx.xxx
IP cím alapú korlátozás ország lista alapján: A fenti metódushoz hasonlóan ezt is .htaccess technikával lehetséges megvalósítani. Nem kell mást tenni, mint felmenni ide: http://www.ip2location.com/blockvisitorsbycountry.aspx , kijelölni a tiltani kívánt országokat és a weboldal legenerálja illetve letölthetővé teszi a .htacces fájlt, amelyet a wp-admin könyvtárban szükséges elhelyezni. Nem tökéletes megoldás, egy országhoz csak 1 ip tartomány rendel, viszont legtöbb esetben rendelkezik több tartománnyal is.
8.Távolítsuk el a hiba üzentet a bejelentkezési képernyőről: a legtöbb hacker a visszajelzés alapján folytatja a támadási metódust. Ez ellen egyszerűen védekezhetünk, a theme könyvtárban adjuk hozzá a functions.php-hez alább sort:add_filter('login_errors',create_function('$a', "return null;"));
9. Tartsuk napra készen a WordPress-t: Fontos, hogy folyamatosan naprakész legyen a WordPress alkalmazás, így mindig frissítsük az alkalmazást és a bővítményeket, témákat egyaránt! A folyamatos frissítésekkel a különböző biztonsági réseket, hibákat orvosolják a készítők, így elengedhetetlen feltétele ez a biztonságnak!
10. Malware, deface és egyéb kártékony fertőzés ellenőrzése: Amennyiben nem rendelkezik előfizetett felhő alapú malware szűréssel, úgy fontos, hogy időnként ellenőrizzük a weblapunk nem fertőződött meg.
Ezt az alábbi weboldalon megtehetjük: https://sitecheck.sucuri.net/
