Hogyan lesz biztosnágos a weboldal?
Még a legnagyobb cégek weboldalát is képesek feltörni a hekkerek, kérdés, a te weboldaladon van-e valami értékes számukra. Viszont ha nem is gondood, hogy lenne ilyesmi, de random vírusok, robot felhasználók támadhatják meg az oldalad, ha nincsenek jól beállítva az őket akadályozó tényezők.
Sokan sokféleképpen fogalmazzák meg, mitől lesz biztonságos egy weboldal. Többféle megoldás van, ezeknek a kombinációira esküdnek a weboldalkészítők. Nézzünk néhányat, amit én haználok:
Biztonsági mentés
Az általam használt tárhelyen automatikusan készül biztonsági mentés (ha nálam rendeled a tárhelyed, neked isígy lesz). Ez azért jó, mert a tárhelyszolgáltató adminfelületére belépve a Cpanel kezelőfelületen pár kattintással visszaállítható egy nem túl régi biztonsági mentés.
Ezen kívül használok másik biztonsági mentést is, egy UpDruft Plus nevű bővítménnyel, amit akkor szoktam futtatni, mielőtt és miután nagyobb változtatást végzek az oldalon, illetve rendszer vagy sablonfrissítés előtt (ugyanis nagyon ritkán előfordul, hgy nem tesz jót egy frissítés a weboldalnak, pl. egy régebbi sablon új verziójában szétesik a kinézet, vagy egyén előre nem látható hiba keletkezik.) Az Updraft Plusszal készített biztonsági mentés fájljait lementem a saját gépemre és/vagy Google Drive fiókomba, hogy akkor is elérjem, ha véletlenül nem enged be az admin felület vagy a tárhelyen vagy az érintett weboldalon. Minden eshetőségre fel kell készülni előre.
Soha nem szabad „admin” felhasználónevet adni
A WordPress alapvetően az admin felhasználónevet kínálja fel, ezt tudják a hekkerek és robotok is. Ezt minden esetben állítsuk át! Ha van valahol ilyen felhasználóneved, haladéktalanul nevezd át!
Használj erős jelszavakat!
Nemcsak az adminfelületre való belépésnél, de a tárhelyszolgáltatódnál, az FTP-nél, az adatbázisoknál és a levelezésednél is különböző, bonyolult, nem kitalálható jelszavakat használj! Nyilván te sem fogod megjegyezni ezeket, ezért mentsd el őket jó helyen, vagy használj egy mesterjelszóval hozzáférhető szoftvert (pl. ilyen a LastPass).
Bejelentkezési oldal elrejtése
A profi beállítások közé tartozik, ha elrejtjük, illetve átnevezzük a bejelentkezési oldalt. Ez alapvetően a weboldalad neve /wp-login.php
reCaptha
A Captha megkülönbözteti a valódi embereket a robot felhasználóktól, pl. feladatokat ad, amire csak egy ember képes. Ilyen lehet, ha egy képen kell különböző részleteket felismerni, kép alapján szöveget beírni vagy egy egyszerű matematikai feladatot elvégezni. De van már automata felismerés is, ilyenkor a háttérben végzi el a program az azonosítást. Hasznos funkció bejelentkezési, regisztrációs vagy kapcsolati űrlapokon, hozzászólások elküldése előtt stb.
Én a Google reCapthat használom.
Korlátozom a belépési kísérletek számát
Alap beállításban a WordPress akármennyi bejelentkezési próbálkozást enged. Ez kényelmesnek tűnhet, ha gyakran téveszted a jelszavad (erre tudok jobb megoldást is, pl. LastPass vagy a böngészőben tárolt jelszavak), de a weboldalt épp feltörni készülő programnak is szabad utat enged. Gondolkozz el, te hány kísérletet engedsz (javaslok például 3-at), és hogy mennyi időre zárja ki az oldal a próbálkozót (mindenképp legyen legalább egy óra). Egy jó bővítmény erre például a Login Lockdown.
WordPress Security pluginok
Hogy micsodák? Hát biztonsági bővítmények. Rengeteg ilyen van, én a WordFence-t szoktam használni, esetleg az All in one WP Security Firewall. Ezekben a Tűzfalat is enegdélyezni kell, így blokkolják a rosszindulató forgalmat, mielőtt elérné magát a weboldalt.
Folyamatos frissítés
A bővítmények, sablonok és maga a WordPress keretrendszer fejlesztői folyamatosan frissítik a verziókat, épp azért, hogy az esetleges biztonsági réseket kiküszöböljék. Ezért minden esetben rendszeresen követnünk kell a frissítéseiket, ám előtte ne felejtsünk el biztonsági mentést készíteni a teljes weboldalrló, hisz ahogy fentebb írtam, néha sajnos előfordul, hogy valami nem úgy sül el, ahogy szeretnénk és összeomlik a frissítés során a weboldal. Az egyik bővítmény, a WordFence abban is segít, hogy emailben értesít, ha valamilyen bővítményből elérhető újabb verzió.
Figyelni kell a furcsa hozzászólásokat is és letiltani őket, ugyanis gyakran vírust tartalmazó linkeket helyeznek el az oldalunkon.
A weboldalad átadása után kapsz tőlem egy weboldalhasználati kézikönyvet, amelyben azt is leírom, hogany tudod a frissítéseket te magad elvégezni. Ha viszont nem akarsz ezzel bajlódni vagy félsz, hogy elrontasz valamit, nyugodtan rámbízhatod a frissítéseket és a biztonsági felülvizsgálatot, erre találtam ki az Éves Karbantartó Csomagot.
Vélemény, hozzászólás?