wp-karbantartas.hu

10 gyakori WordPress biztonsági hiba, amit el kell kerülnöd

Erős acél lakat egy masszív fa ajtón, a WordPress biztonság szimbólumaként
Cikk tartalma elrejtem
A weboldalad nincs biztonságban – csak még nem tudod
Miért pont a WordPress a hackerek kedvenc célpontja?
A 10 leggyakoribb WordPress biztonsági hiba
1. Az „admin” felhasználónév megtartása
2. Gyenge jelszavak használata
3. A WordPress, a sablonok és a bővítmények frissítésének elhanyagolása
4. Megbízhatatlan forrásból letöltött bővítmények és sablonok
5. Kétlépéses azonosítás hiánya
6. Nincs rendszeres biztonsági mentés
7. A bejelentkezési oldal védelme nélkül hagyva
8. SSL tanúsítvány hiánya
9. Rossz fájljogosultságok a szerveren
10. Nem használsz biztonsági bővítményt
Honnan tudod, hogy már feltörték az oldaladat?
Összegzés: ne bonyolítsuk túl!

A weboldalad nincs biztonságban – csak még nem tudod

Komolyan mondom: a legtöbb WordPress-es weboldal, amit valaha átvilágítottam, legalább 3-4 alapvető biztonsági hibát tartalmazott. Nem azért, mert a tulajdonosaik hanyagok lettek volna – egyszerűen senki nem mondta el nekik, mire figyeljenek. Ebben a cikkben összegyűjtöttem azt a 10 WordPress biztonsági hibát, amelyeket a leggyakrabban látok, és amelyek a legtöbb bajt okozzák. Ha ezeket elkerülöd, máris sokkal jobb helyzetben leszel, mint az oldalak 80%-a.

Miért pont a WordPress a hackerek kedvenc célpontja?

Nem azért, mert rossz rendszer – épp ellenkezőleg. A WordPress azért vonzza a támadókat, mert az internetes weboldalak közel 43%-a ezen fut. Ha egyszer valaki talál egy sebezhetőséget, azzal egyszerre millió oldalt lehet megcélozni. Ez nem WordPress-specifikus probléma, hanem a népszerűség ára.

A jó hír: a legtöbb támadás automatizált, és az alapvető biztonsági lépésekkel kivédhető. Lássuk is, mik ezek!

A 10 leggyakoribb WordPress biztonsági hiba

1. Az „admin” felhasználónév megtartása

Ez az egyik legklasszikusabb WordPress biztonsági hiba. Ha a felhasználóneved admin, akkor a hackernek már csak a jelszavadat kell kitalálnia. A megoldás egyszerű: hozz létre egy új, admin jogosultságú felhasználót más névvel, majd töröld az eredetit. Két perc, és máris sokkal nehezebb dolgod van a betörőknek.

2. Gyenge jelszavak használata

„WordPress123” – igen, ilyet is láttam már. A gyenge jelszó szinte meghívó a betörőknek. Használj legalább 16 karakteres, véletlenszerű jelszót, amelyben van nagy- és kisbetű, szám és speciális karakter. Egy jelszókezelő (pl. Bitwarden vagy 1Password) sokat segíthet ebben – nem kell fejben tartani semmit.

3. A WordPress, a sablonok és a bővítmények frissítésének elhanyagolása

Ez a lista egyik legfontosabb pontja. Az elavult szoftver a leggyakoribb belépési pont a támadók számára. Minden egyes frissítés biztonsági javításokat is tartalmaz – ha ezeket kihagyod, nyitva hagyod az ajtót. Kapcsold be az automatikus frissítéseket, vagy legalább hetente egyszer ellenőrizd, hogy minden naprakész-e.

4. Megbízhatatlan forrásból letöltött bővítmények és sablonok

Tudom, csábító az ingyenes prémium sablon vagy bővítmény – de ezek sokszor rosszindulatú kódot tartalmaznak. Ez az egyik legveszélyesebb WordPress biztonsági hiba, mert szándékosan teszed be a problémát a saját oldaladba. Csak a hivatalos WordPress könyvtárból vagy megbízható fejlesztőktől tölts le bármit.

5. Kétlépéses azonosítás hiánya

A kétfaktoros hitelesítés (2FA) az egyik legerősebb védelmi eszköz. Ha valaki megszerzi a jelszavadat, akkor is szüksége lesz a telefonodra (vagy egy alkalmazásra) a belépéshez. Telepíts egy egyszerű bővítményt, mint a WP 2FA, és néhány perc alatt beállítható. Megéri, ígérem.

6. Nincs rendszeres biztonsági mentés

Szigorúan véve ez nem „biztonsági hiba” a szó klasszikus értelmében – de ha valami baj történik (és előbb-utóbb mindig történik valami), és nincs mentésed, akkor az összes munkád odavész. Automatizáld a napi vagy heti mentéseket, és tárold azokat a weboldaltól különböző helyen – például Google Drive-on vagy egy felhős tárhelyen.

7. A bejelentkezési oldal védelme nélkül hagyva

A /wp-admin és a /wp-login.php URL minden WordPress oldalon ugyanott van – a robotok ezt pontosan tudják, és folyamatosan próbálkoznak. Néhány egyszerű lépéssel megnehezítheted a dolgukat:

  • Limitáld a sikertelen bejelentkezési kísérleteket (pl. Limit Login Attempts Reloaded bővítménnyel)
  • Nevezd át a bejelentkezési URL-t
  • Adj hozzá CAPTCHA-t a bejelentkezési oldalhoz

8. SSL tanúsítvány hiánya

Ha az oldalad még mindig http://-vel kezdődik és nem https://-sel, az komoly probléma. Az SSL tanúsítvány titkosítja a kommunikációt a látogató böngészője és a szervered között. Ma már szinte minden tárhelyszolgáltatónál ingyenesen elérhető (Let’s Encrypt), szóval nincs mentség. Ráadásul a Google is jobban szereti a biztonságos oldalakat – SEO szempontból is érdemes.

9. Rossz fájljogosultságok a szerveren

Ez egy kicsit technikusabb terület, de fontos. Ha a szervered fájljogosultságai rosszul vannak beállítva, a támadók módosíthatják a fájljaidat. Az általánosan ajánlott beállítások: mappák esetén 755, fájlok esetén 644. A wp-config.php fájlt érdemes 600-ra állítani. Ha nem vagy biztos benne, kérd a tárhelyszolgáltatód segítségét – ez az ő területük.

10. Nem használsz biztonsági bővítményt

Nem kell profi hackervadásznak lenned ahhoz, hogy megvédd az oldaladat – ehhez ott vannak a biztonsági bővítmények. Az olyan eszközök, mint a Wordfence vagy a Solid Security (korábban iThemes Security), folyamatosan figyelik az oldaladat, értesítenek a gyanús tevékenységekről, és sok mindent automatikusan blokkolnak. Ez olyan, mint egy riasztórendszer – nem garancia, de erős visszatartó erő.

Honnan tudod, hogy már feltörték az oldaladat?

Sajnos sokszor az áldozat az utolsó, aki értesül róla. Néhány figyelmeztető jel, amire érdemes odafigyelni:

  • Az oldal lassabb lett, mint korábban
  • Furcsa, ismeretlen fájlok jelentek meg a szerveren
  • A Google „Ez az oldal veszélyes lehet” figyelmeztetést jelenít meg
  • A tárhelyszolgáltatód felfüggesztette a fiókodat
  • Ismeretlen adminisztrátor-felhasználók jelentek meg

Ha ezek bármelyikét tapasztalod, azonnal cselekedj: változtass jelszót, ellenőrizd az adminisztrátor-felhasználókat, és futtass egy biztonsági vizsgálatot. Vagy érdemes egy karbantartási tervet kidolgoznod.

Összegzés: ne bonyolítsuk túl!

A fenti 10 WordPress biztonsági hiba nagy részét néhány óra alatt orvosolhatod – nem kell hozzá fejlesztői tudás, csak egy kis odafigyelés és következetesség.

Ha most kezdenél valamit, az első három lépésem ezek lennének:

  1. Cseréld le az „admin” felhasználónevet és állíts be erős jelszót
  2. Frissíts mindent – WordPress, sablonok, bővítmények
  3. Telepíts egy biztonsági bővítményt és kapcsold be a 2FA-t

Ha ezzel megvagy, már sokkal biztonságosabb vagy, mint a weboldalak többsége. A biztonság nem egyszeri feladat – hanem egy folyamatos szokás. De ha egyszer beállítottad az alapokat, a rendszer nagy részét magától kezeli.

Van olyan biztonsági hiba, amivel te is szembesültél? Vagy kérdésed van a fentiekkel kapcsolatban? Írj nekem, szívesen segítek!

→ Kiszerveznéd a WordPress karbantartást? Megnézem a lehetőségeket ←