Útmutatás a WordPress webhely biztonságának növelésére, hogy védve legyen a káros szoftverektől és a hackerektől. Tegye biztonságossá webhelyét.
A honlap biztonsága minden honlaptulajdonosnak fontos. A WordPress a legelterjedtebb CMS rendszer a világban, ezért a hackerek támadásának gyakori célpontja.
A WordPress webhely biztonsága
A jól biztosított honlap a vállalkozás számára is fontos. Ha a hackerek ellopják az információkat és a jelszavakat, telepítik a malwaret, akkor az az Ön honlapján keresztül az egészen az ügyfeleihez juthat.
Vegyük át az egyes lépéseket, melyeket be kellene tartania ahhoz, hogy a honlapja biztonságos legyen és maradjon is.
Biztonságos sablon kiválasztása
A sablon az egész honlap jelentős részét képezi. Számos funkciót biztosít és ezért az alapértelmezésben sok kódot tartalmaz. Fontos a hitelesített és minőségi sablon kiválasztása. Néhány még biztonsági ellenőrzést is megfizet és biztonsági tanúsítványt szerez.
Biztonságos tárhely kiválasztása
A WordPress oldal biztosításához fontos a minőségi tárhely kiválasztása. A tárhelynek rendelkeznie kellene SSL tanúsítávnnyal és 99,9%-os hozzáférést kellene garantálnia. Ezen felül bizonyosodjon meg róla, hogy az Ön által választott tárhely adminisztrációja HTTPS protokollal titkosítva van.
Használjon a WordPress oldalhoz alkalmas tárhelyet. Az ilyen tárhely kínálatában ott van a webhely biztonsági mentése, az automatikus WordPress frissítések és támogatja a webhelye biztonságát. Nem elhanyagolható előnye a minőségi technikai támogatás.
Állítsa be az adatmentést
Minden adatról biztonsági mentést kell végezni. Ne csak a tárhelyére használja. A biztonsági mentésre egy helyen van szükség. Használhatja a Dropboxot vagy az Amazont. Állítsa be a rendszert az egész adatbázis, az összes bővítmény és a használt sablon adatmentésére is. Az adatmentés után győződjön meg arról, hogy mentett adatok használhatók. Ezt a lépést ne hagyja ki.
Győződjön meg róla, hogy a mentett adatok használhatók. Az adatmentésre naponta legalább egyszer szükség van vagy rendszeres időközönként. Az adatmentés egy speciális bővítményben vagy a biztonsági bővítményben is beállítható.
? Tipp: én az adatmentésre a UpdraftPlus plugint használom.
Telepítsen biztonsági plugint
A WordPress webhely biztonsága egy biztonsági bővítmény telepítését is igényli. A népszerű Sucuri plugin megvédi Önt a gyakori támadásoktól. Hatékonyan védi webhelyét a mailwarektől. A telepítés után menjen végig az összes szükséges beállításon.
? Tipp: Hasonló, szabadon letölthető bővítmény a Wordfence Security vagy a prémium iThemes Security. Az utóbbi előnye a webhely adatainak automatikus mentése, amit a bővítmény akkor hoz létre, ha a webhelyét támadás éri.
Rendszeresen frissítse az oldalt
A sablon és az összes plugin rendszeres frissítése a WordPress oldal biztonságának fontos része. A WordPress fejlesztők folyamatosan a sablonok és a bővítmények javításán dolgoznak. A frissítéseik néhány biztonsági hiba elhárítását tartalmazhatják.
Ezt a lépést manuálisan végezze el. Az adminisztrátori menüben keresse meg a Faliújság részt és a frissítéseket. Ellenőrizze, hogy melyik plugineket kell frissíteni és frissítse azokat.
Ne használjon elévült pluginekat
Az Ön honlapjához megfelelő pluginek kiválasztásakor csak azokat használja, melyek az utóbbi időben frissítve voltak. Azokat a pluginek, amiket két éve nem frissítettek, ne használja. Nem csak az oldal biztonságát kockáztatja, de a plugin kompatibilitását is az Ön sablonjával.
Használjon erős jelszavakat
A WordPress webhely biztosításának fontos pontja az erős jelszavak használata. Ilyen jelszavakat kellene használnia a saját hozzáféréséhez, de más felhasználók hozzáféréséhez is. A hackerek leggyakoribb támadása éppen a jelszavak ellopására irányul. Önön múlik, hogy ezt megnehezítse nekik. Erős jelszavakat használjon a tárhelyhez is, az e-mailhez és az FTP portokhoz is.
Ne használja mindenütt ugyanazt a jelszót. A jelszónak nem szabadna tartalmaznia az Ön nevét, de egyszerű számsort és hasonlókat sem. Válasszon olyan jelszót, amiben váltakoznak a kis- és nagybetűk, számok és jelek. A legjobb az olyan jelszó, amit nem lehet megjegyezni.
Ahhoz, hogy Ön megjegyezze, használja a password managert. A Password manager segít erős jelszót kialakítani és mindet menti is. A jelszavakhoz a hozzáférést egyetlen jelszóval tudja biztosítani.
A WordPress webhely biztonságának növelése érdekében továbbá fontos, hogy az
adminisztrátori felülethez csak akkor adjon másnak hozzáférést, ha az elengedhetetlen. Fontos továbbá, hogy az, aki ezt a hozzáférést megkapja értse, hogy az oldal szerkesztésénél és karbantartásánál milyen jogkörei vannak. Az adminisztrátori menüben keresse meg a Faliújság részt és a frissítéseket.
SFTP titkosítás
A WordPress webhely biztonsága érdekében fontos, hogy szerkesztéskor az adatokat az FTP-re titkosítva küldje. Használjon SFTP titkosítást.
Biztosítsa be az SSL tanúsítványt
Az SSL (Secure Socket Layer) tanúsítvány garantálja a biztonságos, titkosított kommunikációt a szerverekkel. Ez a kommunikáció a jelszavát is érinti. SSL tanúsítvány nélkül a jelszavát a webhelyére nem titkosítva küldi.
Távolítsa el a szerverről a többlettartalmat
A tartalom, ami a webhelyen (FTP) van elhelyezve, kockázatot jelent. Kockázat lehet például az egész oldal adatmentése a wp-content/backup könyvtárban, ahol az oldal beállításai és az adatbázis tartalma van mente. A többlet-és kockázatos tartalmat a webhelyről ki kell törölni.
Módosítsa a prefixumot
A WordPress sablon telepítésekor a WordPress megkérdezi Önt, hogy milyen prefixumot akar használni. A WordPress alapértelmezett prefixumot használ. Ha az alapértelmezett wp_ prefixumot választja, akkor megkönnyíti a hackerek dolgát. Ezért azt javaslom, hogy bármi másra módosítsa.
Engedélyezze a Firewall (WAF) alklamazást
A WordPress oldal jobb biztosítása érdekében használjon Firewallt (WAF), ami még azelőttblokkolja a malwaret, hogy az Ön oldalához jutna. Erre a célra a Sucuri ajánlom használi. Garantálja a védelmet a malwaretől.
Ne használja az „admin” felhasználói nevet
A WordPress webhely biztonsága érdekében módosítani kell az alap felhasználói nevet. Hozzon létre egy új adminisztrátori számlát és távolítsa el az alapértelmezettet. Ezt azonnal a WordPress sablon telepítésekor tegye meg.
Olyan felhasználói nevet válasszon, amit nem lehet kitalálni. Ha már telepítette a WordPresst és az „admin” felhasználói nevet használja, azt is meg tudja változtatni. Alakítson ki egy új felhasználót és az eredetit törölje. Megoldás a felhasználói név módosítására szolgáló plugin is.
Kapcsolja ki a sablon és a pluginek szerkesztését
A WordPress tartalmaz egy beépített kódszerkesztő funkciót, amely lehetővé teszi a sablonok és bővítmények szerkesztését az adminisztrációs menüben. Azért, hogy ez a lehetőség ne kerüljön illetéktelen kezekbe, jobb kikapcsolni. Ezt a következő kód hozzáadásával teheti meg a wp-config.php fájlba:
// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );
Ellenőrizze az oldalra feltöltött fájlokat
A honlapra csak olyan fájlokat töltsön fel, amelyek nem vírusosak. Víruskereső programmal rendszeresen ellenőrizze számítógépét.
Biztosítsa a bejelentkezést az adminisztrátori menübe
A WordPress korlátlan bejelentkezési próbálkozást engedélyez az adminisztrációs menübe. A bejelentkezés biztosítására beállíthatja a maximális megengedett hibaarányt. Például három hibás bejelentkezést.
Ezen kívül időkorlátot is beállíthat a hibás bejelentkezésre – három bejelentkezés három perc alatt. Ha valaki negyedszer is hibásan jelentkezik be, akkor néhány percre blokkolva lesz az IP-címe. Tegye ezt meg a Login LockDown plugin telepítésével. Az aktiválása után menjen át a Beállítások»Login LockDown menübe.
Használjon kétlépcső ellenőrzést
Az egyik megbízható módja a WordPress oldal biztosításának a kétlépcsős ellenőrzés. Lehetővé teszi az oldalra való belépés védelmét jelszóval és telefonnal.
Rejtse el a bejelentkezési oldalt
A WordPress webhely biztonságát a bejelentkezési oldal elrejtése is növeli. A WordPress a adminisztrációba történő bejelentkezéshez a www.a domain-név/wp-admin vagy a www.a-domain-név/wp-login.php lehetőségeket használja. A WPS Hide Login plugin segítségével átnevezheti.
Vigyázat a komment SPAM-re
A SPAM-kommentár gyakran tartalmaz linkeket a malware programokat tartalmazó webhelyekre. Ha nem akarja letiltani az összes kommentet, akkor ellenőriznie kell őket. A kommentek ellenőrzésére a legismertebb eszköz az Akismet plugin, ami kiértékeli és megszűri a kommenteket.
Az Akismet minden WordPress sablonba telepítve van. A sablon menüjében keresse ki az Akismetet és pipálja ki az „aktiválni” mezőt.
Figyelem: az akismet plugin csak a nem kereskedelmi célú weboldal számára ingyenes.
Nem biztosított wifi-hálózatról ne jelentkezzen be
A WordPress oldal biztonsága érdekében fontos az is, hogy a bejelentkezéshez ne használjon nem biztosított wifi-hálózatot. A hacker, aki ugyanazt a hálózatot használja megszerezheti a bejelentkezési adatait vagy a sütiket (cookie) az állandó bejelentkezéshez.
A wp-config.php áthelyezése
A WordPress webhely biztonságának növelése érdekében ajánlom, hogy a wp-config.php fájlt helyezze egy mappával feljebb. Ezt a lépést csak akkor csinálja meg, ha az nem zavarja meg a honlapja működését és ha csak egy domain van a tárhelyen. Ebben a fájlban van mentve az adatbázis megnevezése, a jelszó és hasonlók. Áthelyezéssel elrejti a hackerek elől.
A jogok beállítása
A WordPress oldal biztonsága növelésének következő lépése a mappa- és fájlhozzáférési jogok beállítása. A honlaphoz a következő jogbeállítást kellene használnia:
Minden mappa — 755 vagy 750
Minden fájl — 644 vagy 640
wp-config.php — 600
Kapcsolja ki a PHP hibajelentés-küldést
A hibajelentés is megjelenítheti a fájlok elérési útját. Viszont letilthatja. A wp-config.php fájloz tegye hozzá:
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);
Kapcsolja ki az XML-RPC Pingback-et
Az XML-RPC Pingback funkció lehetővé teszi, hogy az oldalt a trackbackekhez és a pingbacksekhez kapcsolja. Ugyanakkor ez egyben lehetőség a hackerek számára is. Az XML-RPC Pingback biztonságát például az iThemes Security plugin biztosítja.
A WordPress verziószámának eltávolítása
A WordPress forráskódjában van egy metatag a WordPress verziószámával. Ezt az információt a hackerek kihasználhatják. Könnyedén elrejtheti a Meta Generator and Version Info Remover bővítmény használatával vagy a functions.php fájlhoz a sablonban a következő kód hozzáadásával:
remove_action('wp_head', 'wp_generator');
Állítsa be a tétlen felhasználok automatikus kijelentkezését
Néhány felhasználó úgy áll fel a számítógéptől hosszabb időre, hogy bejelentkezve marad. A WordPress webhelye biztonságának növelése érdekében beállíthatja ezeknek a felhasználóknak az automatikus kijelentkezését. Talán már észrevette, hogy hasonló beállításokat használnak a bankok is. Ez azért van, mert a bejelentkezett felhasználó távollétében a hackerek módosításokat hajthatnak végre a jelszavakban és a számlákon.
A tételen felhasználók automatikus kijelentkezését az Inactive Logout bővítményen keresztül végezheti el.
A WordPress biztonsági tippek összefoglalása
A legfontosabbnak a minőségi tárhely kiválasztását tartom. A tárhelynek SSL tanúsítvánnyal kellene rendelkeznie.
Továbbá ne feledjenek erős jelszavakat használni és telepíteni / beállítani néhány hitelesített biztonsági plugint – Sucuri, Wordfence Security vagy iThemes Security.
Segített Önnek ez a cikk? Kérem, egy megosztással támogasson. 👍
Szia. Nem tudom hogy tudsz-e segíteni, folyamatos hekkertámadás alatt van mind a két weboldalam. Ha tudsz valamilyen megoldást rá,kérlek jelezd felém.
Üdvözlettel:
Szabó László
Kraftwagenteam
Autómentés