Komolyan mondom: ha van egy WordPress oldalad, és még nem gondolkodtál a biztonságon, akkor egy nyitott ajtóval hívod be a betörőket. A hackerek nem válogatnak – nem csak a nagy cégeket célozzák meg. Egy kis vállalkozás weboldala ugyanolyan vonzó célpont, főleg ha könnyen törhető.

Több mint 19 éve dolgozom weboldalakkal, és sajnos rengeteg olyan esetet láttam, amikor egy egyszerű WordPress admin védelem megspórolt volna komoly fejfájást – és pénzt. Ebben a cikkben megmutatom lépésről lépésre, mit tehetsz ma, most, ingyen vagy minimális befektetéssel.

Miért pont a WordPress admin felület a kedvenc célpontja a hackereknek?

A WordPress az internet legnagyobb tartalomkezelő rendszere – a weboldalak közel 43%-a ezen fut. Ez egyszerre nagy erő és nagy célpont. A hackerek automatizált botokat használnak, amelyek folyamatosan pásztázzák az internetet, és keresik a tipikus WordPress belépési oldalakat.

Az alapértelmezett belépési cím (/wp-admin vagy /wp-login.php) mindenki által ismert. Ha ezt nem változtatod meg, a botok azonnal megtalálják, és elkezdenek belépési kísérleteket – ezt hívják brute force támadásnak. Próbálgatják a jelszavakat, amíg be nem jutnak.

A jó hír: a legtöbb ilyen támadás megelőzhető néhány egyszerű lépéssel. Ne bonyolítsuk túl!

Az alapok: amit mindenképpen meg kell tenned

Erős jelszó és egyedi felhasználónév

Tudom, tudom – ezt mindenki mondja. De mégis rengeteg oldalnál látom, hogy az adminisztrátor felhasználóneve „admin”, a jelszó meg valami olyasmi, mint „jelszo123”. Ez egyenértékű azzal, mintha a lakáskulcsodat a lábtörlő alá rejtenéd.

Amit tegyél meg most:

Töröld az „admin” nevű felhasználót, és hozz létre egy egyedi nevet
Használj legalább 16 karakteres, vegyes jelszót (nagy- és kisbetű, szám, jel)
Jelszókezelőt ajánlok – én a Bitwardent használom, ingyenes és megbízható

A belépési oldal elrejtése és védelme

Változtasd meg az alapértelmezett belépési URL-t

Az alapértelmezett /wp-login.php cím nyilvánosan ismert. Az egyik legegyszerűbb védelmi lépés, ha ezt megváltoztatod valami egyedire – például /bejelentkezes-xyz vagy bármi, amit csak te tudsz.

Erre a célra a WPS Hide Login bővítmény kiváló – egyszerű, könnyű, megbízható. Telepítés után egy mezőbe beírod az új URL-t, és kész. A régi cím automatikusan 404-es hibát ad vissza.

Fontos: Jegyezd meg az új belépési URL-t, mert ha elfelejted, ki leszel zárva a saját oldaladból.

Belépési kísérletek korlátozása

Ha a botok nem tudják megváltoztatni az URL-t, akkor próbálgatják a jelszavakat. Az alapértelmezett WordPress korlátlan számú belépési kísérletet engedélyez – ez nagy probléma.

A megoldás: korlátozd a belépési kísérleteket. Például 3-5 sikertelen próbálkozás után zárja ki az adott IP-címet egy időre. Erre a Limit Login Attempts Reloaded bővítmény tökéletes – ingyenes és azonnal működik.

WordPress admin felület védelem haladóknak

IP-alapú hozzáférés korlátozása

Ha mindig ugyanarról az IP-címről (vagy néhány fix helyről) lépsz be, megoldhatod, hogy az admin felületet csak ezekről az IP-kből lehessen elérni. Mindenki más automatikusan 403-as hibát kap.

Ezt a .htaccess fájlban lehet beállítani (Apache szervereknél), vagy a tárhelyszolgáltató vezérlőpultjában. Íme egy egyszerű példa:


<Files wp-login.php>
Order Deny,Allow
Deny from All
Allow from 250.250.250.250
</Files>

Természetesen a 123.456.789.000 helyett a saját IP-címedet írd be. Ha dinamikus IP-d van (azaz minden bekapcsoláskor változik), ez a módszer nem ideális – de sok kis vállalkozásnál fix IP-vel dolgoznak.

SSL tanúsítvány és HTTPS

Ha még nincs HTTPS-ed, az most sürgős feladat. Az SSL tanúsítvány titkosítja az adatforgalmat az oldalad és a látogatók között – beleértve a belépési adatokat is. A legtöbb tárhelyszolgáltató ma már ingyenesen adja a Let’s Encrypt tanúsítványt.

WordPress oldalon a Really Simple SSL bővítmény segít az átállásban, ha még nem tetted meg. Pár kattintás az egész.

Biztonsági bővítmény telepítése

Ha egyetlen dolgot tehetsz meg a WordPress admin védelem érdekében, az egy jó biztonsági bővítmény telepítése. A legismertebbek:

Wordfence Security – átfogó védelem, tűzfal, malware-szkenner, ingyenes verzió is van
Solid Security (korábban iThemes Security) – sok hasznos védelmi funkció egyben
Sucuri Security – különösen jó a tűzfal és a monitoring terén

Ne telepíts egyszerre többet ezek közül – elegendő egy, de azt állítsd be rendesen!

Rendszeres karbantartás – az elhanyagolt terület

Frissítések telepítése

A feltört WordPress oldalak jelentős részénél az ok egyszerű: elavult szoftver. Egy régi bővítmény, egy régi téma, egy régi WordPress verzió – mindegyik ismert biztonsági réseket tartalmazhat, amiket a hackerek kihasználnak.

Mit tegyél:

Kapcsold be az automatikus WordPress frissítéseket (legalább a kisebb verziókra)
Hetente nézd át és frissítsd a bővítményeket és a témát
Távolíts el minden inaktív bővítményt és témát – ha nem használod, töröld

Rendszeres biztonsági mentés

A biztonsági mentés nem véd meg a feltöréstől, de ha mégis megtörténik a baj, egy jó mentés jelenti a különbséget az „elveszett minden” és az „egy óra alatt vissza vagyunk” között.

Ajánlom az UpdraftPlus bővítményt – ingyenes, megbízható, és automatikusan mentheti az oldaladat Google Drive-ra, Dropboxra vagy más felhőtárhelyre. Állítsd be napi vagy heti mentést, attól függően, mennyire aktív az oldalad.

Amit sokan elfelejtenek: a felhasználói jogosultságok

Ha nem te vagy az egyetlen, aki hozzáfér a WordPress admin felülethez, különösen fontos a jogosultságok helyes beállítása. Ne adj mindenki adminisztrátori jogot – csak azt adj, amire valóban szüksége van.

A WordPress beépített szerepkörei:

Adminisztrátor – teljes hozzáférés (csak te és megbízott személyek)
Szerkesztő – tartalmat kezel, de beállításokhoz nem fér hozzá
Szerző – csak saját cikkeit kezeli
Közreműködő – írhat, de nem publikálhat
Előfizető – csak a profilját kezeli

Ha egy fejlesztő vagy tartalomíró segít neked, ne adj neki adminisztrátori jogot, ha nincs rá szükség. Ha viszont igen, a munka végeztével vedd el tőle.

Összegzés: a WordPress admin védelem egyszerűen kivitelezhető

Látod, nem kell IT-szakértőnek lenned ahhoz, hogy biztonságban tartsd a WordPress admin felületedet. A lépések nagy része ingyenes, és az alapokat pár óra alatt el lehet végezni.

Lássuk a gyakorlatot – itt van a teendő lista sorban:

✅ Változtasd meg az „admin” felhasználónevet és állíts be erős jelszót
✅ Kapcsold be a kétlépéses azonosítást
✅ Rejtsd el az alapértelmezett belépési URL-t (WPS Hide Login)
✅ Korlátozd a belépési kísérleteket (Limit Login Attempts Reloaded)
✅ Telepíts egy biztonsági bővítményt (Wordfence vagy hasonló)
✅ Ellenőrizd és frissítsd a WordPress-t, bővítményeket, témákat
✅ Állíts be automatikus biztonsági mentést (UpdraftPlus)
✅ Ellenőrizd a felhasználói jogosultságokat

Ha ezt a listát végigcsinálod, az oldalad biztonságosabb lesz, mint a WordPress-oldalak 70-80%-a. Nem kell tökéletesnek lenni – csak nehezebb célpontnak, mint a többi.

Ha kérdésed van, vagy elakadtál valamelyik lépésnél, írj bátran – szívesen segítek!

← WordPress belépési próbálkozások korlátozása – így védd meg az oldaladNem megbízható WordPress bővítmények veszélyei: amit minden weboldaltulajdonosnak tudnia kell →

→ Kiszerveznéd a WordPress karbantartást? Megnézem a lehetőségeket ←