Hogyan tehetjük biztonságosabbá honlapunkat, Wordpress és Joomla rendszerünket?

Egy 2016-ban készült statisztika szerint a világon körülbelül 37 ezer weboldalt fertőznek meg valamilyen káros kóddal naponta. Joggal merülhet fel a kérdés, mit lehet tenni, hogy minimalizáljuk az esélyt arra, hogy egyike legyünk az évente megfertőzött sokszázezer weboldal tulajdonosi társaságának. Az alábbiakban összegyűjtöttünk pár hasznos tippet, ami mögött sokéves üzemeltetői és fejlesztői tapasztalat áll.

Egyértelmű ajánlásokra van szüksége? Ugorjon az azonnali, pontos tanácsainkra!

 

Általános tanácsok:


Jelszókezelés - Kiemelten fontos, hogy a tárhellyel létesített kapcsolatokhoz (pl. cPanel, FTP) erős jelszavakat használjunk. Amennyiben FTP kliensében elmenti a csatlakozási adatokat, úgy érdemes mesterjelszót beállítani a programban. Amennyiben levelet kapunk, melyben belépési adataink közül valamelyik megadására kérnek minket, járjunk el körültekintően, ignoráljuk a gyanús leveleket.

Csatlakozásra használt kliensek karbantartása - Érdemes rendszeresen vírusirtást végeznünk azokon az eszközökön, ahonnan menedzseljük tárhelyünket, valamint használjunk megfelelően beállított tűzfalat és kémprogramkeresőt számítógépünkön, telefonunkon, tabletünkön. Ezen lépések megtételével minimalizálhatjuk annak veszélyét, hogy jelszavaink kiszivárogjanak.


Keretrendszerek, tartalomkezelők

Becslések szerint a világon fellelhető weboldalak 50-70%-át valamilyen tartalomkezelő rendszer (CMS - Content Management System), például WordPress, Joomla vagy Drupal szolgálja ki. Ezen rendszerek előnye, hogy ingyenes, nyílt forráskódú, könnyen testreszabható, beüzemelését akár laikusok is el tudják végezni. Sajnos azonban ezen tulajdonságok miatt a CMS-ek által kiszolgált weboldalak a világhálón fellelhető rosszindulatú személyek egyik kedvenc támadható felülete lett.

  1. Keretrendszert csak megbízható forrásból

    Ahogy egy házat jó alapra épít a beruházó, úgy egy weboldal alapjának is stabilnak, megbízhatónak kell lennie. Éppen ezért fontos, hogy weboldalkészítésnél kizárólag az adott tartalomkezelő hivatalos oldaláról szerezzük be annak forráskódját.

    Ezek a következőek:
    WordPress:https://wordpress.com/
    Joomla:https://www.joomla.com/
    Drupal:https://www.drupal.org/
  2. Válasszuk meg a kiegészítőket, bővítményeket, témákat

    Ha ellenőriztük virtuális házunk alapját, arra is figyelmet fordítunk, milyen anyagokból épül az meg. Az előző pontban említett tanácsot érdemes megfogadni a bővítmények, modulok, témák feltelepítése előtt is - érdemes a hivatalos oldalakról beszerezni azokat. Ezenkívül egy bővítmény kiválasztása és telepítése előtt megvizsgálhatjuk az alábbi kérdéseket:
    • Mióta található meg a bővítmény a piacon? - Egy nagy múltra visszatekintő kiegészítőben jobban megbízhatunk.
    • Mennyien használják az adott bővítményt? - Jó mérőszám lehet, ha sokan megbíznak egy kiegészítőben.
    • Mikor frissült legutoljára az adott modul? - A rendszeres frissítés hiánya nem ad bizakodásra okot.

    Sok bővítmény, kiegészítő, vagy téma nem elérhető a CMS-ek hivatalos oldalán. Ilyen esetekben érdemes a következőket is számításba venni:
    • Jó benyomást kelt a bővítmény hivatalos weboldala?
    • Nyújtanak esetleg díjmentes, vagy fizetős támogatást, van lehetőség fórumok használatára az oldalukon?
    • Fel vannak tüntetve a készítők, meg van adva azok elérhetősége?
    • Mit mondanak mások?
  3. Biztonsági intézkedések

    Ha már elkezdtük megépíteni a virtuális házunkat, szeretnénk megvédeni a betolakodóktól, és a lehető leghosszabb ideig kívánjuk használni azt. Íme, néhány gyakorlati tanács!

    1. Védjük meg az adminisztrációs felületet az alábbiak szerint:


      • Erős jelszavak használata
        Ahogy egy új házon jó zárbetéteket használnánk, a jelszavaink is legyenek erősek - tartalmazzanak kis- és nagybetűt, számot, speciális karaktert, és lehetőleg ne alapuljanak szótári szavakon.

      • Rejtsük el a bejelentkezési felületet
        A legtöbb keretrendszer adminisztrációs felületének elérési útvonala állandó. Szerencsére a nyílt forrású keretrendszerek mögött dolgozó közösség gondolt erre a problémára, és különböző plugin-ekkel ma már lehetőség van módosítani a bejelentkezési felületek elérési útvonalát. Használatuk esetén a jelszókipörgető robotok egyszerűen nem fogják megtalálni az adminisztrációs felületet, és így a behatolási pontot sem. Az alábbi linkeken rákerestünk ilyen kiegészítőkre:
        Wordpress admin URL módosító modulhoz kattintson ide
        Joomla amdin URL módosító modulhoz pedig klikkeljen ide.


      • Tegyük még erősebbé a bejelentkezési felületet
        A felsoroltakon kívül más módokon is erősíthetjük a bejelentkezési felületet. A legtöbb CMS-hez elérhetőek olyan ingyenes plugin-ek, amik segítségével beállíthatunk kétfaktoros azonosítást (pl. Google Authenticator), vagy robotok ellen védő feladvány, captcha kitöltéséhez köthetjük a bejelentkezést (pl. Google reCAPTCHA).

        Ezzel a témával kapcsolatban már korábban írtunk: https://tarhely.eu/ugyfeladmin/knowledgebase/175/Captcha-vdelem-azaz-biztonsgi-kd-a-honlapra.html

    2. Távolítsuk el a felesleges kiegészítőket
      Az elmúlt időszakban azt tapasztaltuk, hogy néhány keretrendszer már telepítéskor több extra bővítményt feltesz. Amennyiben ezekre nincs szükség, érdemes eltávolítani azokat. Ezenkívül a nem használt témákat, bővítményeket is ajánlott törölni.

    3. Használjunk tűzfalat
      A tartalomkezelők elleni támadások igen szerteágazóak lehetnek - megpróbálhatják például kihasználni az esetleges szerverkonfigurációs hibákat, biztonsági réseket kereshetnek PHP és JavaScript fájlokban különböző manipulált kérések küldésével, visszaélhetnek rosszul beállított fájljogosultságokkal, a nyitott űrlapok segítségével igyekezhetnek kárt tenni a weboldalhoz tartozó adatbázisban és fájlokban. Ilyen és ehhez hasonló támadások kivédésére ajánlott valamilyen tűzfal modult feltelepíteni:
      Wordpress tűzfalakhoz kattintson ide
      Joomla tűzfalakhoz pedig klikkeljen ide
      A legtöbb modern tűzfalbővítmény automatikusan kitiltja a gyanús látogatókat, követi az adott weboldal fájlváltozásait és különböző internetes adatbázisok segítségével ellenőrzi azt, hogy virtuális házunk fertőzött-e.

    4. A látogatók által elérhető űrlapok számának csökkentése, védelme
      Az előző pontban már említésre került a nyitott űrlapok problémája. Mik lehetnek ezek? Nyitott fórum, hozzászólási vagy regisztrációs lehetőség, kapcsolatfelvételi űrlap. Tapasztalataink szerint sok problémát tudnak okozni az ilyen űrlapok. Robotok megtalálhatják ezeket, és megfelelő védelem hiányában hamis regisztrációk, fórumbejegyzések millióit tudják létrehozni, illetve nagyon sokszor spamelésre is használják azokat. Érdemes a nem szükséges űrlapokat eltávolítani, a megmaradtakat pedig extra védelemmel ellátni - például bejelentkezéshez, vagy captcha kitöltéséhez köthetjük azok használatát.

    5. Tartsuk naprakészen weboldalunkat
      A bevezetőben említett ingyenesség és nyílt forráskód miatt a rosszindulatú személyek könnyen és gyorsan feltérképezhetik egy-egy keretrendszer, modul, bővítmény, vagy téma gyenge pontját és azokat támadva számos oldalt megfertőzhetnek. A biztonsági hibákat éppen ezért rendszeresen javítják a felsorolt kódokban - a korrigálásnak azonban csak akkor látjuk hasznát, ha nem feledkezünk el a frissítésekről. A legtöbb keretrendszerhez lehetőségünk van telepíteni olyan bővítményt, mely automatikusan frissíti weboldalunkat, vagy emlékeztetőt küld nekünk emailben arról, hogy teendőnk van ezzel kapcsolatban.
  4. Készítsünk biztonsági mentést

    Előfordul, hogy minden tőlünk telhetőt megtettünk, mégis megfertőzik a weboldalunkat. Ilyen esetben a legbiztosabb az, ha biztonsági mentésből helyreállítjuk azt egy korábbi verzióra. Az alábbi linkeken olyan bővítményekre kerestünk rá, amik segítségével biztonsági mentéseket lehet készíteni egy-egy oldalról:
    Wordpress backup modulhoz kattintson ide
    Joomla backup modulhoz pedig klikkeljen az alábbi linkre


Mit tesz értem a Tárhely.Eu?

A folyamatos felügyelet és fejlesztés mellett az alábbiakkal védjük a nálunk lévő tárhelyeket:

  • A legmodernebb rendszereket használjuk a hackelések, spamelések megelőzésére. Automata vírus- és spamszűrést futtatunk szervereinken, mely folyamatosan vizsgálja és szükség szerint el is távolítja a gyanús fájlokat. Utóbbi esetén azonnal értesítjük ügyfelünket a beavatkozásról.
  • Egyéni fejlesztésű szoftverekkel folyamatosan monitorozzuk a szervereinken a kimenő leveleket, és szükség esetén felülvizsgáljuk a levélfolyamot, így felderítve kisebb spameléseket, robotok által végzett regisztrációkat.
  • Nem megfelelő jelszóval történő csatlakozási kísérlet - pl. cPanel, FTP, email, SSH - után tiltjuk az adott IP-címet, ahonnan illetéktelenül próbálnak behatolni.
  • Legtöbb szerverünkre nem engedélyezzük a külföldi FTP csatlakozást, hiszen túlnyomórészt a rossz szándékú kapcsolódások külföldről történnek. Természetesen van lehetőség a külföli IP-címek engedélyezésére is, amit a következő cikk segítségével tud megtenni: https://tarhely.eu/ugyfeladmin/knowledgebase.php?action=displayarticle&id=121

 


Pontos tanácsokat szeretnék kapni!

 

Ugyan nem ajánlott a CMS-rendszerek bővítményekkel való terhelése, mégis ajánlunk egy listát, ami alapján a javítások jelentős része elvégezhető azok számára is akik kevésbé értenek a weboldaluk üzemeltetéséhez:

 

WordPress ajánlásaink:

  • Alapértelmezett Login oldal átnevezése - WPS Hide Login vagy más bővítménnyel
  • A /wp-admin belépési oldal bruteforce elleni védelme - Loginizer, vagy iThemes bővítmények
  • Captcha kód elhelyezése a /wp-admin belépési és ügyfélregisztrációs oldalakra - Login No Captcha reCAPTCHA és hasonlóak
  • 2Faktoros authentikáció - WP 2FA vagy Google Authenticator vagy más bővítménnyel
  • xmlrpc letiltása -  Disable XML-RPC-API vagy Better WordPress Security és más bővítmények (kiemelten fontos ezt kezelni!)
  • Fájlváltozások monitorozása - Website File Change és egyéb bővítmények
  • Felhasználói tevékenységek monitorozása - WP Security Audit Log vagy hasonló bővítmények

 

Ezen kívül természetesen sok más teendő is elvégezhető, ezek azok a minimális védelmek (belépés elrejtése és belépés megnehezítése, módosítások követhetősége), melyek beállításával máris sokat tettünk oldalunk megvédése érdekében.

 

Joomla ajánlásaink:

  • Titkos kulcs használata bejelentkezéshez - AdminExile vagy más bővítménnyel
  • Weboldal rendszeres monitorozásának beállítása - ingyenes StatusCake vagy más rendszer alkalmazása
  • SEF (keresőbarát URL-ek) használata, engedélyezése - Joomla-admin/Weboldal/Globális beállítások résznél
  • Kis erőforrásigénnyel működő Tűzfal használata - RSFirewall vagy hasonló telepítése
  • Védekezés a kéretlen feliratkozók és spam-hozzászólások ellen - Antyspam by CleanTalk vagy más bővítménnyel
  • Fájlváltozások monitorozása - Antivirus Website Protection vagy hasonló bővítményekkel

 

Ezen kívül természetesen sok más teendő is elvégezhető, ezek azok a minimális védelmek (belépés elrejtése és belépés megnehezítése, módosítások követhetősége), melyek beállításával máris sokat tettünk oldalunk megvédése érdekében.

  • weboldal biztonság, weboldal védelem, biztonságos oldal, oldal biztonság, wordpress biztonság, joomla biztonság, frissitve
  • 67 felhasználó találta hasznosnak ezt
Hasznosnak találta ezt a választ?

Kapcsolódó cikkek

Mért látom a "WordPress Account Compromise Alert" hibaüzenet a WP admin oldalamra belépve?

Mért látom a "WordPress Account Compromise Alert" hibaüzenet a WP admin oldalamra belépve? Mert...

Wordpress áthelyezése másik domainra vagy mappába

Ha már van egy felépített Wordpress weboldala aktív domain vagy mappa alatt, és át szeretné ezt...

Wordpress admin jelszó módosítása

Ha nem tud bejelentkezni a WordPress admin felületére (a http://azondomainneve.hu/wp-admin...

Hogyan tudom költöztetni WordPress oldalam?

WordPress oldalát két módon tudja költöztetni, választhatja a manuális illetve a bővítmény általi...

Magento 2.x verziók telepítése, működtetése

A Magento egy ismerten magas erőforrásokkal rendelkező Webshop-rendszer. Telepíthetősége nem csak...