Egy 2016-ban készült statisztika szerint a világon körülbelül 37 ezer weboldalt fertőznek meg valamilyen káros kóddal naponta. Joggal merülhet fel a kérdés, mit lehet tenni, hogy minimalizáljuk az esélyt arra, hogy egyike legyünk az évente megfertőzött sokszázezer weboldal tulajdonosi társaságának. Az alábbiakban összegyűjtöttünk pár hasznos tippet, ami mögött sokéves üzemeltetői és fejlesztői tapasztalat áll.
Egyértelmű ajánlásokra van szüksége? Ugorjon az azonnali, pontos tanácsainkra!
Általános tanácsok:
Jelszókezelés - Kiemelten fontos, hogy a tárhellyel létesített kapcsolatokhoz (pl. cPanel, FTP) erős jelszavakat használjunk. Amennyiben FTP kliensében elmenti a csatlakozási adatokat, úgy érdemes mesterjelszót beállítani a programban. Amennyiben levelet kapunk, melyben belépési adataink közül valamelyik megadására kérnek minket, járjunk el körültekintően, ignoráljuk a gyanús leveleket.
Csatlakozásra használt kliensek karbantartása - Érdemes rendszeresen vírusirtást végeznünk azokon az eszközökön, ahonnan menedzseljük tárhelyünket, valamint használjunk megfelelően beállított tűzfalat és kémprogramkeresőt számítógépünkön, telefonunkon, tabletünkön. Ezen lépések megtételével minimalizálhatjuk annak veszélyét, hogy jelszavaink kiszivárogjanak.
Keretrendszerek, tartalomkezelők
Becslések szerint a világon fellelhető weboldalak 50-70%-át valamilyen tartalomkezelő rendszer (CMS - Content Management System), például WordPress, Joomla vagy Drupal szolgálja ki. Ezen rendszerek előnye, hogy ingyenes, nyílt forráskódú, könnyen testreszabható, beüzemelését akár laikusok is el tudják végezni. Sajnos azonban ezen tulajdonságok miatt a CMS-ek által kiszolgált weboldalak a világhálón fellelhető rosszindulatú személyek egyik kedvenc támadható felülete lett.
-
Keretrendszert csak megbízható forrásból
Ahogy egy házat jó alapra épít a beruházó, úgy egy weboldal alapjának is stabilnak, megbízhatónak kell lennie. Éppen ezért fontos, hogy weboldalkészítésnél kizárólag az adott tartalomkezelő hivatalos oldaláról szerezzük be annak forráskódját.
Ezek a következőek:
WordPress:https://wordpress.com/
Joomla:https://www.joomla.com/
Drupal:https://www.drupal.org/ -
Válasszuk meg a kiegészítőket, bővítményeket, témákat
Ha ellenőriztük virtuális házunk alapját, arra is figyelmet fordítunk, milyen anyagokból épül az meg. Az előző pontban említett tanácsot érdemes megfogadni a bővítmények, modulok, témák feltelepítése előtt is - érdemes a hivatalos oldalakról beszerezni azokat. Ezenkívül egy bővítmény kiválasztása és telepítése előtt megvizsgálhatjuk az alábbi kérdéseket:- Mióta található meg a bővítmény a piacon? - Egy nagy múltra visszatekintő kiegészítőben jobban megbízhatunk.
- Mennyien használják az adott bővítményt? - Jó mérőszám lehet, ha sokan megbíznak egy kiegészítőben.
- Mikor frissült legutoljára az adott modul? - A rendszeres frissítés hiánya nem ad bizakodásra okot.
Sok bővítmény, kiegészítő, vagy téma nem elérhető a CMS-ek hivatalos oldalán. Ilyen esetekben érdemes a következőket is számításba venni:- Jó benyomást kelt a bővítmény hivatalos weboldala?
- Nyújtanak esetleg díjmentes, vagy fizetős támogatást, van lehetőség fórumok használatára az oldalukon?
- Fel vannak tüntetve a készítők, meg van adva azok elérhetősége?
- Mit mondanak mások?
-
Biztonsági intézkedések
Ha már elkezdtük megépíteni a virtuális házunkat, szeretnénk megvédeni a betolakodóktól, és a lehető leghosszabb ideig kívánjuk használni azt. Íme, néhány gyakorlati tanács!
- Védjük meg az adminisztrációs felületet az alábbiak szerint:
- Erős jelszavak használata
Ahogy egy új házon jó zárbetéteket használnánk, a jelszavaink is legyenek erősek - tartalmazzanak kis- és nagybetűt, számot, speciális karaktert, és lehetőleg ne alapuljanak szótári szavakon. - Rejtsük el a bejelentkezési felületet
A legtöbb keretrendszer adminisztrációs felületének elérési útvonala állandó. Szerencsére a nyílt forrású keretrendszerek mögött dolgozó közösség gondolt erre a problémára, és különböző plugin-ekkel ma már lehetőség van módosítani a bejelentkezési felületek elérési útvonalát. Használatuk esetén a jelszókipörgető robotok egyszerűen nem fogják megtalálni az adminisztrációs felületet, és így a behatolási pontot sem. Az alábbi linkeken rákerestünk ilyen kiegészítőkre:
Wordpress admin URL módosító modulhoz kattintson ide
Joomla amdin URL módosító modulhoz pedig klikkeljen ide. - Tegyük még erősebbé a bejelentkezési felületet
A felsoroltakon kívül más módokon is erősíthetjük a bejelentkezési felületet. A legtöbb CMS-hez elérhetőek olyan ingyenes plugin-ek, amik segítségével beállíthatunk kétfaktoros azonosítást (pl. Google Authenticator), vagy robotok ellen védő feladvány, captcha kitöltéséhez köthetjük a bejelentkezést (pl. Google reCAPTCHA).
Ezzel a témával kapcsolatban már korábban írtunk: https://tarhely.eu/ugyfeladmin/knowledgebase/175/Captcha-vdelem-azaz-biztonsgi-kd-a-honlapra.html
- Erős jelszavak használata
- Távolítsuk el a felesleges kiegészítőket
Az elmúlt időszakban azt tapasztaltuk, hogy néhány keretrendszer már telepítéskor több extra bővítményt feltesz. Amennyiben ezekre nincs szükség, érdemes eltávolítani azokat. Ezenkívül a nem használt témákat, bővítményeket is ajánlott törölni. - Használjunk tűzfalat
A tartalomkezelők elleni támadások igen szerteágazóak lehetnek - megpróbálhatják például kihasználni az esetleges szerverkonfigurációs hibákat, biztonsági réseket kereshetnek PHP és JavaScript fájlokban különböző manipulált kérések küldésével, visszaélhetnek rosszul beállított fájljogosultságokkal, a nyitott űrlapok segítségével igyekezhetnek kárt tenni a weboldalhoz tartozó adatbázisban és fájlokban. Ilyen és ehhez hasonló támadások kivédésére ajánlott valamilyen tűzfal modult feltelepíteni:
Wordpress tűzfalakhoz kattintson ide
Joomla tűzfalakhoz pedig klikkeljen ide
A legtöbb modern tűzfalbővítmény automatikusan kitiltja a gyanús látogatókat, követi az adott weboldal fájlváltozásait és különböző internetes adatbázisok segítségével ellenőrzi azt, hogy virtuális házunk fertőzött-e. - A látogatók által elérhető űrlapok számának csökkentése, védelme
Az előző pontban már említésre került a nyitott űrlapok problémája. Mik lehetnek ezek? Nyitott fórum, hozzászólási vagy regisztrációs lehetőség, kapcsolatfelvételi űrlap. Tapasztalataink szerint sok problémát tudnak okozni az ilyen űrlapok. Robotok megtalálhatják ezeket, és megfelelő védelem hiányában hamis regisztrációk, fórumbejegyzések millióit tudják létrehozni, illetve nagyon sokszor spamelésre is használják azokat. Érdemes a nem szükséges űrlapokat eltávolítani, a megmaradtakat pedig extra védelemmel ellátni - például bejelentkezéshez, vagy captcha kitöltéséhez köthetjük azok használatát. - Tartsuk naprakészen weboldalunkat
A bevezetőben említett ingyenesség és nyílt forráskód miatt a rosszindulatú személyek könnyen és gyorsan feltérképezhetik egy-egy keretrendszer, modul, bővítmény, vagy téma gyenge pontját és azokat támadva számos oldalt megfertőzhetnek. A biztonsági hibákat éppen ezért rendszeresen javítják a felsorolt kódokban - a korrigálásnak azonban csak akkor látjuk hasznát, ha nem feledkezünk el a frissítésekről. A legtöbb keretrendszerhez lehetőségünk van telepíteni olyan bővítményt, mely automatikusan frissíti weboldalunkat, vagy emlékeztetőt küld nekünk emailben arról, hogy teendőnk van ezzel kapcsolatban.
- Védjük meg az adminisztrációs felületet az alábbiak szerint:
-
Készítsünk biztonsági mentést
Előfordul, hogy minden tőlünk telhetőt megtettünk, mégis megfertőzik a weboldalunkat. Ilyen esetben a legbiztosabb az, ha biztonsági mentésből helyreállítjuk azt egy korábbi verzióra. Az alábbi linkeken olyan bővítményekre kerestünk rá, amik segítségével biztonsági mentéseket lehet készíteni egy-egy oldalról:
Wordpress backup modulhoz kattintson ide
Joomla backup modulhoz pedig klikkeljen az alábbi linkre
Mit tesz értem a Tárhely.Eu?
A folyamatos felügyelet és fejlesztés mellett az alábbiakkal védjük a nálunk lévő tárhelyeket:
- A legmodernebb rendszereket használjuk a hackelések, spamelések megelőzésére. Automata vírus- és spamszűrést futtatunk szervereinken, mely folyamatosan vizsgálja és szükség szerint el is távolítja a gyanús fájlokat. Utóbbi esetén azonnal értesítjük ügyfelünket a beavatkozásról.
- Egyéni fejlesztésű szoftverekkel folyamatosan monitorozzuk a szervereinken a kimenő leveleket, és szükség esetén felülvizsgáljuk a levélfolyamot, így felderítve kisebb spameléseket, robotok által végzett regisztrációkat.
- Nem megfelelő jelszóval történő csatlakozási kísérlet - pl. cPanel, FTP, email, SSH - után tiltjuk az adott IP-címet, ahonnan illetéktelenül próbálnak behatolni.
- Legtöbb szerverünkre nem engedélyezzük a külföldi FTP csatlakozást, hiszen túlnyomórészt a rossz szándékú kapcsolódások külföldről történnek. Természetesen van lehetőség a külföli IP-címek engedélyezésére is, amit a következő cikk segítségével tud megtenni: https://tarhely.eu/ugyfeladmin/knowledgebase.php?action=displayarticle&id=121
Pontos tanácsokat szeretnék kapni!
Ugyan nem ajánlott a CMS-rendszerek bővítményekkel való terhelése, mégis ajánlunk egy listát, ami alapján a javítások jelentős része elvégezhető azok számára is akik kevésbé értenek a weboldaluk üzemeltetéséhez:
WordPress ajánlásaink:
- Alapértelmezett Login oldal átnevezése - WPS Hide Login vagy más bővítménnyel
- A /wp-admin belépési oldal bruteforce elleni védelme - Loginizer, vagy iThemes bővítmények
- Captcha kód elhelyezése a /wp-admin belépési és ügyfélregisztrációs oldalakra - Login No Captcha reCAPTCHA és hasonlóak
- 2Faktoros authentikáció - WP 2FA vagy Google Authenticator vagy más bővítménnyel
- xmlrpc letiltása - Disable XML-RPC-API vagy Better WordPress Security és más bővítmények (kiemelten fontos ezt kezelni!)
- Fájlváltozások monitorozása - Website File Change és egyéb bővítmények
- Felhasználói tevékenységek monitorozása - WP Security Audit Log vagy hasonló bővítmények
Ezen kívül természetesen sok más teendő is elvégezhető, ezek azok a minimális védelmek (belépés elrejtése és belépés megnehezítése, módosítások követhetősége), melyek beállításával máris sokat tettünk oldalunk megvédése érdekében.
Joomla ajánlásaink:
- Titkos kulcs használata bejelentkezéshez - AdminExile vagy más bővítménnyel
- Weboldal rendszeres monitorozásának beállítása - ingyenes StatusCake vagy más rendszer alkalmazása
- SEF (keresőbarát URL-ek) használata, engedélyezése - Joomla-admin/Weboldal/Globális beállítások résznél
- Kis erőforrásigénnyel működő Tűzfal használata - RSFirewall vagy hasonló telepítése
- Védekezés a kéretlen feliratkozók és spam-hozzászólások ellen - Antyspam by CleanTalk vagy más bővítménnyel
- Fájlváltozások monitorozása - Antivirus Website Protection vagy hasonló bővítményekkel
Ezen kívül természetesen sok más teendő is elvégezhető, ezek azok a minimális védelmek (belépés elrejtése és belépés megnehezítése, módosítások követhetősége), melyek beállításával máris sokat tettünk oldalunk megvédése érdekében.