{"id":5055,"date":"2026-04-07T06:23:51","date_gmt":"2026-04-07T04:23:51","guid":{"rendered":"https:\/\/wp-karbantartas.hu\/blog\/?p=5055"},"modified":"2026-04-08T13:31:57","modified_gmt":"2026-04-08T11:31:57","slug":"brute-force-vedelem","status":"publish","type":"post","link":"https:\/\/wp-karbantartas.hu\/blog\/brute-force-vedelem\/","title":{"rendered":"Brute force v\u00e9delem: mi\u00e9rt nem el\u00e9g az er\u0151s jelsz\u00f3?"},"content":{"rendered":"<p><strong>K\u00e9pzeld el, hogy valaki percenk\u00e9nt ezr\u00e9vel pr\u00f3b\u00e1lgatja a lak\u00e1sod z\u00e1rj\u00e1t k\u00fcl\u00f6nb\u00f6z\u0151 kulcsokkal \u2013 csak az\u00e9rt, hogy egyszer bejusson. Pontosan ez t\u00f6rt\u00e9nik a weboldaladdal is, ha nincs megfelel\u0151 brute force v\u00e9delem rajta.<\/strong><\/p>\n<p>A brute force t\u00e1mad\u00e1s egyike a legegyszer\u0171bb, m\u00e9gis leghat\u00e9konyabb hackel\u00e9si m\u00f3dszereknek. Nem kell hozz\u00e1 k\u00fcl\u00f6nleges tud\u00e1s, csak egy script \u00e9s id\u0151 \u2013 a kett\u0151b\u0151l pedig sajnos b\u0151ven van a t\u00e1mad\u00f3knak. Ha WordPress-t haszn\u00e1lsz (\u00e9s nagy val\u00f3sz\u00edn\u0171s\u00e9ggel igen, ha itt olvasol), akkor ez a t\u00e9ma is k\u00f6zvetlen\u00fcl \u00e9rint t\u00e9ged.<\/p>\n<p>L\u00e1ssuk, mir\u0151l is van sz\u00f3 pontosan, \u00e9s mit tehetsz ellene!<\/p>\n<h2>Mi az a brute force t\u00e1mad\u00e1s?<\/h2>\n<p>A brute force (nyers er\u0151) t\u00e1mad\u00e1s l\u00e9nyege brut\u00e1lisan egyszer\u0171: a t\u00e1mad\u00f3 automatiz\u00e1lt eszk\u00f6z\u00f6kkel pr\u00f3b\u00e1lgatja a lehets\u00e9ges jelsz\u00f3-kombin\u00e1ci\u00f3kat, am\u00edg meg nem tal\u00e1lja a helyeset. Gondolj r\u00e1 \u00fagy, mint egy digit\u00e1lis lakat-felt\u00f6r\u0151re, amelyik nem okos, csak kitart\u00f3.<\/p>\n<p>A modern botok m\u00e1sodpercenk\u00e9nt <strong>t\u00f6bb sz\u00e1z kombin\u00e1ci\u00f3t<\/strong> is ki tudnak pr\u00f3b\u00e1lni. Egy egyszer\u0171, 6 karakteres jelsz\u00f3t percek alatt felt\u00f6rhetnek. Egy bonyolultabb, 10 karaktereset m\u00e1r napokig tartana &#8211; de a legt\u00f6bb t\u00e1mad\u00f3 nem v\u00e9letlenszer\u0171 kombin\u00e1ci\u00f3kkal kezd, hanem sz\u00f3t\u00e1rb\u00f3l dolgozik. Ez az \u00fagynevezett <em>dictionary attack<\/em>, ami a leggyakoribb jelszavakkal \u00e9s sz\u00f3list\u00e1kkal oper\u00e1l.<\/p>\n<p>WordPress eset\u00e9n a t\u00e1mad\u00e1sok d\u00f6nt\u0151 t\u00f6bbs\u00e9ge a <code>\/wp-login.php<\/code> \u00e9s a <code>\/xmlrpc.php<\/code> f\u00e1jlokat veszi c\u00e9lba \u2013 ezek az alap\u00e9rtelmezett bel\u00e9p\u00e9si pontok.<\/p>\n<h2>Mi\u00e9rt komoly fenyeget\u00e9s ez val\u00f3j\u00e1ban?<\/h2>\n<p>Az alapgondolata \u00e1ltal\u00e1ban ez szokott lenni mindnekinek: &#8222;Mi\u00e9rt pont az \u00e9n weboldalamra ki lenne k\u00edv\u00e1ncsi? Ugyan mi\u00e9rt t\u00f6rn\u00e9k fel?&#8221; Ez az egyik legvesz\u00e9lyesebb t\u00e9vhit az online biztons\u00e1g ter\u00fclet\u00e9n. A t\u00e1mad\u00f3k nem c\u00e9lzottan keresnek t\u00e9ged \u2013 automatiz\u00e1lt botok p\u00e1szt\u00e1zz\u00e1k az internetet, \u00e9s minden sebezhet\u0151 oldalt megtal\u00e1lnak, m\u00e9rett\u0151l \u00e9s t\u00e9m\u00e1t\u00f3l f\u00fcggetlen\u00fcl.<\/p>\n<p>Ha egy brute force t\u00e1mad\u00e1s sikerrel j\u00e1r, a k\u00f6vetkezm\u00e9nyek s\u00falyosak lehetnek:<\/p>\n<ul>\n<li><strong>Adatlop\u00e1s<\/strong> \u2013 \u00fcgyf\u00e9ladatok, e-mail list\u00e1k, rendel\u00e9si adatok ker\u00fclhetnek illet\u00e9ktelen kezekbe<\/li>\n<li><strong>Malware telep\u00edt\u00e9se<\/strong> \u2013 a hacker h\u00e1ts\u00f3 ajt\u00f3t nyithat, amit k\u00e9s\u0151bb \u00fajra felhaszn\u00e1lhat<\/li>\n<li><strong>Spam k\u00fcld\u00e9s<\/strong> \u2013 a szerveredet levelez\u00e9si c\u00e9lokra haszn\u00e1lhatj\u00e1k, amit\u0151l feketelist\u00e1ra ker\u00fclhetsz<\/li>\n<li><strong>LinkSPAM<\/strong> \u2013 rendk\u00edv\u0171l sok kimen\u0151 linkeket helyeznek el a weboldalat bejegyz\u00e9seiben \u00e1ltal\u00e1ban 6-8 db azonos t\u00e9mak\u00f6r\u0171 (szerencsej\u00e1t\u00e9k, feln\u0151tt t\u00e9m\u00e1j\u00fa oldalak, stb.) oldalra f\u00f3kusz\u00e1lva.<\/li>\n<li><strong>SEO-rombol\u00e1s<\/strong> \u2013 rosszindulat\u00fa \u00e1tir\u00e1ny\u00edt\u00e1sok t\u00f6nkretehetik az \u00e9vek alatt fel\u00e9p\u00edtett keres\u0151poz\u00edci\u00f3dat<\/li>\n<li><strong>Teljes le\u00e1ll\u00e1s<\/strong> \u2013 a weboldal el\u00e9rhetetlenn\u00e9 v\u00e1lhat a legrosszabb esetben<\/li>\n<\/ul>\n<p>\u00c9s akkor m\u00e9g nem is sz\u00f3ltam arr\u00f3l, hogy a folyamatos bejelentkez\u00e9si k\u00eds\u00e9rletekt\u0151l a szervered lelassul, ami a felhaszn\u00e1l\u00f3i \u00e9lm\u00e9nyt \u00e9s az oldal sebess\u00e9g\u00e9t is rontja \u2013 ez pedig k\u00f6zvetlen\u00fcl hat az SEO-ra.<\/p>\n<p>Igen, m\u00e1r tal\u00e1lkoztam ilyen weboldallal, amit brute force m\u00f3dszerrel t\u00f6rtek fel. Ez volt egy\u00e9bk\u00e9nt az ok is, ami\u00e9rt hozz\u00e1m fordult az \u00fcgyf\u00e9l. A felt\u00f6r\u00e9st k\u00f6vet\u0151en rengeteg kimen\u0151 hivatkoz\u00e1st \u00e9s tem\u00e9rdek \u00faj spam bejegyz\u00e9sekkel \u00e1rasztott\u00e1k el az oldal\u00e1t. A lognapl\u00f3 alapj\u00e1n der\u00fcltek ki az el\u0151zm\u00e9nyek is, melynek egyik meghat\u00e1roz\u00f3 eleme az igaz\u00e1n gyenge jelsz\u00f3 \u00e9s tiltott &#8222;admin&#8221; felhaszn\u00e1l\u00f3n\u00e9v haszn\u00e1lata volt.<\/p>\n<h2>Mi\u00e9rt nem el\u00e9g az er\u0151s jelsz\u00f3?<\/h2>\n<p>Ide figyelj, mert ezt sokan f\u00e9lre\u00e9rtik. Az er\u0151s jelsz\u00f3 <em>sz\u00fcks\u00e9ges, de nem el\u00e9gs\u00e9ges<\/em> felt\u00e9tel. Mi\u00e9rt? Mert egy bot korl\u00e1tlan ideig pr\u00f3b\u00e1lkozhat, ha semmi nem \u00e1ll\u00edtja meg. Ha nincs limit\u00e1lva a bejelentkez\u00e9si k\u00eds\u00e9rletek sz\u00e1ma, akkor id\u0151 k\u00e9rd\u00e9se csup\u00e1n, hogy felt\u00f6rj\u00e9k a fi\u00f3kodat \u2013 legyen a jelsz\u00f3 b\u00e1rmilyen bonyolult.<\/p>\n<p>R\u00e1ad\u00e1sul az emberek \u2013 \u00e9s ez al\u00f3l \u00e9n sem vagyok kiv\u00e9tel \u2013 hajlamosak ugyanazt a jelsz\u00f3t t\u00f6bb helyen is haszn\u00e1lni. Ha egy m\u00e1sik platformon kisziv\u00e1rog az adatod (\u00e9s ez sajnos rendszeresen megt\u00f6rt\u00e9nik), a t\u00e1mad\u00f3k azonnal kipr\u00f3b\u00e1lj\u00e1k azt a te weboldaladn\u00e1l is. Ezt h\u00edvj\u00e1k <em>credential stuffing<\/em>-nek.<\/p>\n<h2>Hogyan v\u00e9dekezz a brute force t\u00e1mad\u00e1sok ellen?<\/h2>\n<p>Ne bonyol\u00edtsuk t\u00fal! L\u00e9p\u00e9sr\u0151l l\u00e9p\u00e9sre megn\u00e9zem, mit tehetsz WordPress eset\u00e9n.<\/p>\n<h3>1. Korl\u00e1tozd a bejelentkez\u00e9si k\u00eds\u00e9rleteket<\/h3>\n<p>Ez az els\u0151 \u00e9s legfontosabb l\u00e9p\u00e9s. Telep\u00edts egy olyan b\u0151v\u00edtm\u00e9nyt, ami blokkolja az IP-c\u00edmet, ha valaki meghat\u00e1rozott sz\u00e1m\u00fa alkalommal hib\u00e1san pr\u00f3b\u00e1l bel\u00e9pni. Ilyen p\u00e9ld\u00e1ul a <strong>Limit Login Attempts Reloaded<\/strong> vagy a <strong>WP Cerber Security<\/strong>. Ezek ingyenesek \u00e9s nagyon hat\u00e9konyak.<\/p>\n<h3>2. V\u00e1ltoztasd meg az alap\u00e9rtelmezett bel\u00e9p\u00e9si URL-t<\/h3>\n<p>A WordPress alapb\u00f3l a <code>\/wp-admin<\/code> \u00e9s <code>\/wp-login.php<\/code> c\u00edmeken \u00e9rhet\u0151 el. A botok pontosan ezeket keresik. Ha \u00e1tnevezed (pl. <code>\/belepes<\/code> vagy valami egyedi n\u00e9vre), m\u00e1ris kiz\u00e1rod a legt\u00f6bb automatiz\u00e1lt t\u00e1mad\u00e1st. A <strong>WPS Hide Login<\/strong> b\u0151v\u00edtm\u00e9ny ezt p\u00e1r kattint\u00e1ssal megoldja.<\/p>\n<h3>3. Kapcsolj be k\u00e9tfaktoros hiteles\u00edt\u00e9st (2FA)<\/h3>\n<p><a href=\"https:\/\/wp-karbantartas.hu\/blog\/wordpress-weboldalad-veszelyben-van-vedd-ketlepcsos-azonositassal\/\">A k\u00e9tfaktoros hiteles\u00edt\u00e9s<\/a> azt jelenti, hogy a jelsz\u00f3 mellett egy m\u00e1sodik azonos\u00edt\u00f3ra is sz\u00fcks\u00e9g van \u2013 p\u00e9ld\u00e1ul egy telefonra k\u00fcld\u00f6tt k\u00f3dra. M\u00e9g ha a jelszavadat meg is szerzik, a m\u00e1sodik faktor n\u00e9lk\u00fcl nem tudnak bel\u00e9pni. A <strong>Two Factor Authentication<\/strong> vagy a <strong>Google Authenticator<\/strong> b\u0151v\u00edtm\u00e9ny t\u00f6k\u00e9letesen megfelel erre a c\u00e9lra.<\/p>\n<h3>4. Tiltsd le az XML-RPC-t, ha nem haszn\u00e1lod<\/h3>\n<p>Az <code>xmlrpc.php<\/code> f\u00e1jl egy r\u00e9gi API, amelyet a legt\u00f6bb modern WordPress oldal nem haszn\u00e1l \u2013 viszont a t\u00e1mad\u00f3k el\u0151szeretettel c\u00e9lozz\u00e1k meg. Ha nem sz\u00fcks\u00e9ges (pl. nem kezeled az oldaladat mobilappb\u00f3l), egyszer\u0171en tiltsd le. Egy soros k\u00f3ddal megoldhat\u00f3, vagy ism\u00e9t egy b\u0151v\u00edtm\u00e9nnyel, mint a <strong>Disable XML-RPC<\/strong>.<\/p>\n<h3>5. Haszn\u00e1lj t\u0171zfalat (WAF)<\/h3>\n<p>Egy webalkalmaz\u00e1s-t\u0171zfal (WAF) a rossz k\u00e9r\u00e9seket m\u00e9g azel\u0151tt kisz\u0171ri, hogy azok el\u00e9rn\u00e9k az oldaladat. A <strong>Wordfence<\/strong> vagy a <strong>Cloudflare<\/strong> ingyenes szintje is tartalmaz ilyen v\u00e9delmet. Ez az egyik legjobb befektet\u00e9s, amit a weboldalad biztons\u00e1g\u00e1\u00e9rt tehetsz.<\/p>\n<p>A brute force t\u00e1mad\u00e1sok lehetnek nagyon intenz\u00edvek is. Egyik \u00fcgyfelem honlapj\u00e1t negyed\u00e9vente, kb 6 h\u00e9tig folyamatosan el\u00e1rasztott\u00e1k a felt\u00f6r\u00e9si k\u00eds\u00e9rletek. Egy ilyen id\u0151szakban 6-10 ezer felt\u00f6r\u00e9si pr\u00f3b\u00e1lkoz\u00e1s is \u00e9rkezett botnet-r\u0151l. V\u00e9gs\u0151 megold\u00e1st a Cloudflare ny\u00fajtotta, mert jelezte az akkori t\u00e1rhelyszolg\u00e1ltat\u00f3, hogy a fel\u00e1ll\u00edtott t\u0171zfal er\u0151sen fogja a szerver kapacit\u00e1st.<\/p>\n<h3>6. Tartsd naprak\u00e9szen a WordPress-t, a t\u00e9m\u00e1kat \u00e9s a b\u0151v\u00edtm\u00e9nyeket<\/h3>\n<p>Ez nem k\u00f6zvetlen\u00fcl brute force elleni v\u00e9dekez\u00e9s, de szorosan kapcsol\u00f3dik hozz\u00e1. Az elavult szoftverek ismert s\u00e9r\u00fcl\u00e9kenys\u00e9geket tartalmaznak, amelyeket a t\u00e1mad\u00f3k kihaszn\u00e1lnak \u2013 sokszor \u00e9pp az\u00e9rt, hogy k\u00f6nnyebb legyen a brute force t\u00e1mad\u00e1s is. A friss\u00edt\u00e9s az egyik legolcs\u00f3bb (ingyenes!) biztons\u00e1gi int\u00e9zked\u00e9s.<\/p>\n<h2>Melyik megold\u00e1st v\u00e1laszd?<\/h2>\n<p>Ha most kezdesz el foglalkozni a biztons\u00e1ggal, ne akarj egyszerre mindent bevezetni. Javaslom ezt a sorrendet:<\/p>\n<ol>\n<li>Bejelentkez\u00e9si k\u00eds\u00e9rletek korl\u00e1toz\u00e1sa (azonnal, ingyenesen megoldhat\u00f3)<\/li>\n<li>Bel\u00e9p\u00e9si URL megv\u00e1ltoztat\u00e1sa<\/li>\n<li>K\u00e9tfaktoros hiteles\u00edt\u00e9s bekapcsol\u00e1sa<\/li>\n<li>XML-RPC letilt\u00e1sa<\/li>\n<li>T\u0171zfal aktiv\u00e1l\u00e1sa<\/li>\n<\/ol>\n<p>Ha ezeket sorban v\u00e9gigcsin\u00e1lod, a weboldalad v\u00e9delme <strong>drasztikusan javul<\/strong> \u2013 \u00e9s az eg\u00e9sz folyamat nem tart tov\u00e1bb 1-2 \u00f3r\u00e1n\u00e1l.<\/p>\n<h2>\u00d6sszegz\u00e9s: ne v\u00e1rd meg, am\u00edg baj lesz<\/h2>\n<p>A brute force elleni v\u00e9delem alapk\u00f6vetelm\u00e9ny &#8211; k\u00fcl\u00f6n\u00f6sen, ha WordPress-t \u00fczemeltetsz! A j\u00f3 h\u00edr az, hogy a v\u00e9dekez\u00e9s nem bonyolult \u00e9s nem is dr\u00e1ga. N\u00e9h\u00e1ny okos b\u0151v\u00edtm\u00e9ny \u00e9s be\u00e1ll\u00edt\u00e1s elegend\u0151 ahhoz, hogy a botok 99%-a tov\u00e1bbl\u00e9pjen a te oldaladr\u00f3l, \u00e9s k\u00f6nnyebb pr\u00e9d\u00e1t keressen.<\/p>\n<p>Az interneten sajnos nincs 100%-os biztons\u00e1g &#8211; ezt \u0151szint\u00e9n be kell vallani. De te nem a t\u00f6k\u00e9letes v\u00e9delmet keresed, hanem azt, hogy ne te legy\u00e9l a legk\u00f6nnyebb c\u00e9lpont. <strong>Legyen az oldalad az a lakat, amit nem \u00e9ri meg felt\u00f6rni.<\/strong><\/p>\n<p>Ha bizonytalan vagy abban, hogy a te weboldalad mennyire v\u00e9dett, sz\u00edvesen seg\u00edtek egy gyors biztons\u00e1gi \u00e1tvizsg\u00e1l\u00e1sban. Mert az a legjobb, ha a probl\u00e9m\u00e1t m\u00e9g azel\u0151tt tal\u00e1ljuk meg, hogy a t\u00e1mad\u00f3k megteszik helyett\u00fcnk.<\/p>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>K\u00e9pzeld el, hogy valaki percenk\u00e9nt ezr\u00e9vel pr\u00f3b\u00e1lgatja a lak\u00e1sod z\u00e1rj\u00e1t k\u00fcl\u00f6nb\u00f6z\u0151 kulcsokkal \u2013 csak az\u00e9rt, hogy egyszer bejusson. Pontosan ez t\u00f6rt\u00e9nik a weboldaladdal is, ha nincs megfelel\u0151 brute force v\u00e9delem rajta. A brute force t\u00e1mad\u00e1s egyike a legegyszer\u0171bb, m\u00e9gis leghat\u00e9konyabb hackel\u00e9si m\u00f3dszereknek. Nem kell hozz\u00e1 k\u00fcl\u00f6nleges tud\u00e1s, csak egy script \u00e9s id\u0151 \u2013 a kett\u0151b\u0151l [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":5054,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36],"tags":[],"class_list":["post-5055","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blogcikkek"],"_links":{"self":[{"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/posts\/5055","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/comments?post=5055"}],"version-history":[{"count":2,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/posts\/5055\/revisions"}],"predecessor-version":[{"id":5086,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/posts\/5055\/revisions\/5086"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/media\/5054"}],"wp:attachment":[{"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/media?parent=5055"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/categories?post=5055"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/tags?post=5055"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}