wp-karbantartas.hu

WordPress belépési próbálkozások korlátozása – így védd meg az oldalad

Acélból készült páncélajtó kombinációs zárral, amely a WordPress belépési védelmét szimbolizálja
Cikk tartalma elrejtem
Miért veszélyesek a korlátlan belépési próbálkozások?
A belépési próbálkozások korlátozásának módszerei
1. Biztonsági plugin használata
2. Kézi korlátozás az .htaccess fájlon keresztül
3. Kétfaktoros hitelesítés bevezetése
Lépésről lépésre: a Limit Login Attempts Reloaded beállítása
További biztonsági tippek a WordPress védelméhez
Az alapértelmezett „admin” felhasználónév megváltoztatása
Erős jelszavak használata
A wp-login.php URL megváltoztatása
Összegzés

Ha WordPress alapú weboldalt üzemeltetsz, szinte biztos, hogy az adminisztrációs felületed folyamatosan célpontja az automatizált támadásoknak. A WordPress belépési próbálkozások korlátozása az egyik legegyszerűbb, mégis leghatékonyabb módszer, amellyel megvédheted az oldaladat a jogosulatlan hozzáférési kísérletektől. Ebben a cikkben lépésről lépésre bemutatjuk, miért fontos ez a biztonsági intézkedés, és hogyan valósíthatod meg a gyakorlatban.

Miért veszélyesek a korlátlan belépési próbálkozások?

A WordPress alapértelmezés szerint nem korlátozza, hogy valaki hányszor próbálkozhat meg a bejelentkezéssel. Ez azt jelenti, hogy egy rosszindulatú szereplő – vagy egy automatizált bot – akár több ezer jelszó-kombinációt is kipróbálhat másodpercek alatt. Ezt a módszert brute force támadásnak nevezik, és sajnos rendkívül elterjedt.

A brute force támadások nem csupán biztonsági kockázatot jelentenek: komoly terhelést rónak a szerverre is, ami lassabb betöltési időt, esetenként akár leállást is okozhat. Ha a támadónak sikerül bejutnia az adminisztrációs felületre, az oldal teljes tartalma veszélybe kerülhet – kártékony kódot helyezhetnek el, adatokat lophatnak, vagy akár teljesen átveheti az irányítást valaki más.

Tapasztalat szerint a legjellemzőbb megelőző tünete a brute force támadásnak a weboldal gyakori akár időszakosan vagy folyamatos történő lassulása (főleg osztott tárhelyen) és a gyorsan növekvő lognapló, mely rögzíti a belépési próbálkozásokat. Jellemzően sok országból érkeznek a belépési próbálkozások és ha nincs valami belépést limitáló kódod a honlapon, akkor elég tisztességesen „megsorozzák” a honlapodat. Ilyen estben a szolgáltató általában értesít és le is kapcsolhatják a honlapodat amíg meg nem oldod a szűrést.

A belépési próbálkozások korlátozásának módszerei

Szerencsére több megbízható módszer is létezik a probléma kezelésére. Az alábbiakban a leggyakrabban alkalmazott megoldásokat mutatjuk be, a legegyszerűbbtől a haladóbb technikákig.

1. Biztonsági plugin használata

A legkényelmesebb megoldás egy dedikált biztonsági plugin telepítése. Ezek a bővítmények automatikusan figyelik a belépési kísérleteket, és meghatározott számú sikertelen próbálkozás után ideiglenesen blokkolják az adott IP-címet.

A legnépszerűbb ilyen pluginek közé tartoznak:

  • Limit Login Attempts Reloaded – az egyik legelterjedtebb ingyenes megoldás, amely egyszerűen konfigurálható, és részletes naplót vezet a próbálkozásokról.
  • Wordfence Security – átfogó biztonsági csomag, amely a belépési próbálkozások korlátozásán kívül tűzfalat és malware-szkennert is tartalmaz.
  • WP Cerber Security – haladóbb felhasználóknak ajánlott, részletes szabályozási lehetőségekkel és IP-alapú szűréssel.
  • iThemes Security – könnyen kezelhető felülettel rendelkezik, és számos egyéb védelmi funkciót is kínál.

A legtöbb ilyen plugin lehetővé teszi, hogy beállítsd: hány sikertelen kísérlet után, mennyi ideig legyen blokkolva egy IP-cím. Általánosan ajánlott beállítás: 3-5 próbálkozás után 15-30 perces zárolás, ismételt kísérlet esetén hosszabb blokkolás.

2. Kézi korlátozás az .htaccess fájlon keresztül

Ha nem szeretnél plugint használni, a WordPress belépési oldalát közvetlenül is védheted az .htaccess fájl módosításával. Ezzel megadhatod, hogy csak bizonyos IP-címekről legyen elérhető a wp-login.php oldal.

Ezt a módszert különösen akkor érdemes alkalmazni, ha az oldalt csak néhány, előre ismert IP-címről kezelitek (például egy irodai hálózatból). Hátránya, hogy ha az IP-cím megváltozik, előfordulhat, hogy te magad sem tudsz bejelentkezni – ezért körültekintően kell alkalmazni.

3. Kétfaktoros hitelesítés bevezetése

A kétfaktoros hitelesítés (2FA) önmagában nem korlátozza a belépési próbálkozások számát, de rendkívül hatékony kiegészítő védelmet nyújt. Még ha valaki meg is szerzi a jelszavadat, a második hitelesítési lépés – például egy mobiltelefon-alkalmazás által generált kód – nélkül nem tud bejelentkezni. Hogyan használd a 2FA-t, olvasd el ezt a cikket is.

A 2FA bevezetéséhez szintén plugin szükséges, ilyen például a WP 2FA vagy a Google Authenticator bővítmény.

Sok esetben az is elég ha legalább azokat az országokat (IP tartomány szűrés) nem engeded a honlapodhoz férni, ahonnan alapból sem vársz megkeresést. (Indonézia, Oroszország, Brazília, Kína, India stb.)

Lépésről lépésre: a Limit Login Attempts Reloaded beállítása

Bemutatjuk a legegyszerűbb és legelterjedtebb megoldás telepítését és konfigurálását.

  1. Telepítés: Lépj be a WordPress adminisztrációs felületre, majd navigálj a Bővítmények → Új bővítmény menüpontra. Keress rá a „Limit Login Attempts Reloaded” névre, majd telepítsd és aktiváld.
  2. Beállítások megnyitása: Aktiválás után a Beállítások → Limit Login Attempts menüpontban találod a konfigurációs lehetőségeket.
  3. Próbálkozások számának megadása: Az „Allowed Retries” mezőben add meg, hány sikertelen kísérlet után zárolódjon az IP – ajánlott érték: 3 vagy 4.
  4. Zárolás időtartamának beállítása: A „Minutes Lockout” mezőben add meg a zárolás hosszát percekben. Első alkalomra 20-30 perc elegendő.
  5. Értesítés e-mailben: Engedélyezd az e-mail értesítést, hogy azonnal tudj a gyanús tevékenységekről.
  6. Mentés: Kattints a „Save Settings” gombra, és a védelem azonnal életbe lép.

További biztonsági tippek a WordPress védelméhez

A belépési próbálkozások korlátozása fontos lépés, de önmagában nem elegendő a teljes körű védelemhez. Az alábbiakban néhány kiegészítő intézkedést javaslunk.

Az alapértelmezett „admin” felhasználónév megváltoztatása

A legtöbb automatizált támadás az „admin” felhasználónévvel próbálkozik, hiszen ez a WordPress alapértelmezett beállítása. Ha más felhasználónevet használsz, a támadóknak egyszerre kell kitalálniuk a felhasználónevet és a jelszót is – ez exponenciálisan csökkenti a sikeres behatolás esélyét.

Erős jelszavak használata

Még ha korlátozzuk is a próbálkozások számát, egy erős jelszó az alapvető védelmi vonal. Használj legalább 12 karakteres, kis- és nagybetűket, számokat és speciális karaktereket tartalmazó jelszavakat. Jelszókezelő alkalmazás (pl. Bitwarden, KeePassXC, 1Password) segítségével könnyedén tárolhatod és kezelheted ezeket.

A wp-login.php URL megváltoztatása

Az alapértelmezett bejelentkezési oldal URL-je minden WordPress telepítésnél azonos: yourdomain.com/wp-login.php. Ezt az URL-t egyedi, nehezen kitalálható útvonalra változtatva a botok nagy része meg sem találja a belépési felületet. Erre alkalmas például a WPS Hide Login plugin.

Komplex és egyszerű megoldásnak én mindenképpen a cloudflare-t javasolom megoldásnak. Emellett legyen limitált a belépési próbálkozások száma is és mindezek mellett legyen azért intelligens captcha is.

Összegzés

A WordPress belépési próbálkozások korlátozása az egyik legkönnyebben megvalósítható, mégis kiemelkedően hatékony biztonsági intézkedés, amelyet minden weboldal-tulajdonosnak érdemes bevezetnie. Egy megfelelően beállított plugin percek alatt aktív védelmet nyújt a brute force támadások ellen, miközben a mindennapi használatot egyáltalán nem nehezíti meg.

Ne feledd: a WordPress biztonság nem egyszeri feladat, hanem folyamatos odafigyelést igényel. A belépési korlátozások mellett rendszeresen frissítsd a WordPress magot, a témákat és a plugineket, készíts rendszeres biztonsági mentéseket, és figyeld az oldaladon zajló aktivitást. Ezekkel az intézkedésekkel weboldaladat hosszú távon is biztonságban tudhatod.

 

→ Kiszerveznéd a WordPress karbantartást? Megnézem a lehetőségeket ←