{"id":5066,"date":"2026-04-11T07:11:48","date_gmt":"2026-04-11T05:11:48","guid":{"rendered":"https:\/\/wp-karbantartas.hu\/blog\/?p=5066"},"modified":"2026-04-11T19:43:25","modified_gmt":"2026-04-11T17:43:25","slug":"wordpress-admin-vedelem","status":"publish","type":"post","link":"https:\/\/wp-karbantartas.hu\/blog\/wordpress-admin-vedelem\/","title":{"rendered":"WordPress admin v\u00e9delem: \u00edgy v\u00e9dd meg a bel\u00e9p\u00e9si fel\u00fcletedet a t\u00e1mad\u00e1sokt\u00f3l"},"content":{"rendered":"

A WordPress admin fel\u00fcleted \u00e9ppen most lehet c\u00e9lkeresztben \u2013 \u00e9s val\u00f3sz\u00edn\u0171leg nem is tudsz r\u00f3la<\/strong><\/h4>\n

Komolyan mondom: ha van egy WordPress oldalad, \u00e9s m\u00e9g nem gondolkodt\u00e1l a biztons\u00e1gon, akkor egy nyitott ajt\u00f3val h\u00edvod be a bet\u00f6r\u0151ket. A hackerek nem v\u00e1logatnak \u2013 nem csak a nagy c\u00e9geket c\u00e9lozz\u00e1k meg. Egy kis v\u00e1llalkoz\u00e1s weboldala ugyanolyan vonz\u00f3 c\u00e9lpont, f\u0151leg ha k\u00f6nnyen t\u00f6rhet\u0151.<\/p>\n

T\u00f6bb mint 19 \u00e9ve dolgozom weboldalakkal, \u00e9s sajnos rengeteg olyan esetet l\u00e1ttam, amikor egy egyszer\u0171 WordPress admin v\u00e9delem megsp\u00f3rolt volna komoly fejf\u00e1j\u00e1st \u2013 \u00e9s p\u00e9nzt. Ebben a cikkben megmutatom l\u00e9p\u00e9sr\u0151l l\u00e9p\u00e9sre, mit tehetsz ma, most, ingyen vagy minim\u00e1lis befektet\u00e9ssel.<\/p>\n

Mi\u00e9rt pont a WordPress admin fel\u00fclet a kedvenc c\u00e9lpontja a hackereknek?<\/h2>\n

A WordPress az internet legnagyobb tartalomkezel\u0151 rendszere \u2013 a weboldalak k\u00f6zel 43%-a ezen fut. Ez egyszerre nagy er\u0151 \u00e9s nagy c\u00e9lpont. A hackerek automatiz\u00e1lt botokat haszn\u00e1lnak, amelyek folyamatosan p\u00e1szt\u00e1zz\u00e1k az internetet, \u00e9s keresik a tipikus WordPress bel\u00e9p\u00e9si oldalakat.<\/p>\n

Az alap\u00e9rtelmezett bel\u00e9p\u00e9si c\u00edm (\/wp-admin<\/strong> vagy \/wp-login.php<\/strong>) mindenki \u00e1ltal ismert. Ha ezt nem v\u00e1ltoztatod meg, a botok azonnal megtal\u00e1lj\u00e1k, \u00e9s elkezdenek bel\u00e9p\u00e9si k\u00eds\u00e9rleteket \u2013 ezt h\u00edvj\u00e1k brute force t\u00e1mad\u00e1snak<\/em>. Pr\u00f3b\u00e1lgatj\u00e1k a jelszavakat, am\u00edg be nem jutnak.<\/p>\n

A j\u00f3 h\u00edr: a legt\u00f6bb ilyen t\u00e1mad\u00e1s megel\u0151zhet\u0151 n\u00e9h\u00e1ny egyszer\u0171 l\u00e9p\u00e9ssel. Ne bonyol\u00edtsuk t\u00fal!<\/p>\n

Az alapok: amit mindenk\u00e9ppen meg kell tenned<\/h2>\n

Er\u0151s jelsz\u00f3 \u00e9s egyedi felhaszn\u00e1l\u00f3n\u00e9v<\/h3>\n

Tudom, tudom \u2013 ezt mindenki mondja. De m\u00e9gis rengeteg oldaln\u00e1l l\u00e1tom, hogy az adminisztr\u00e1tor felhaszn\u00e1l\u00f3neve „admin”<\/strong>, a jelsz\u00f3 meg valami olyasmi, mint „jelszo123”. Ez egyen\u00e9rt\u00e9k\u0171 azzal, mintha a lak\u00e1skulcsodat a l\u00e1bt\u00f6rl\u0151 al\u00e1 rejten\u00e9d.<\/p>\n

Amit tegy\u00e9l meg most:<\/p>\n

    \n
  • T\u00f6r\u00f6ld az „admin” nev\u0171 felhaszn\u00e1l\u00f3t, \u00e9s hozz l\u00e9tre egy egyedi nevet<\/li>\n
  • Haszn\u00e1lj legal\u00e1bb 16 karakteres, vegyes jelsz\u00f3t (nagy- \u00e9s kisbet\u0171, sz\u00e1m, jel)<\/li>\n
  • Jelsz\u00f3kezel\u0151t aj\u00e1nlok \u2013 \u00e9n a Bitwardent haszn\u00e1lom, ingyenes \u00e9s megb\u00edzhat\u00f3<\/li>\n<\/ul>\n

    A bel\u00e9p\u00e9si oldal elrejt\u00e9se \u00e9s v\u00e9delme<\/h2>\n

    V\u00e1ltoztasd meg az alap\u00e9rtelmezett bel\u00e9p\u00e9si URL-t<\/h3>\n

    Az alap\u00e9rtelmezett \/wp-login.php<\/strong> c\u00edm nyilv\u00e1nosan ismert. Az egyik legegyszer\u0171bb v\u00e9delmi l\u00e9p\u00e9s, ha ezt megv\u00e1ltoztatod valami egyedire \u2013 p\u00e9ld\u00e1ul \/bejelentkezes-xyz<\/em> vagy b\u00e1rmi, amit csak te tudsz.<\/p>\n

    Erre a c\u00e9lra a WPS Hide Login<\/strong> b\u0151v\u00edtm\u00e9ny kiv\u00e1l\u00f3 \u2013 egyszer\u0171, k\u00f6nny\u0171, megb\u00edzhat\u00f3. Telep\u00edt\u00e9s ut\u00e1n egy mez\u0151be be\u00edrod az \u00faj URL-t, \u00e9s k\u00e9sz. A r\u00e9gi c\u00edm automatikusan 404-es hib\u00e1t ad vissza.<\/p>\n

    Fontos:<\/strong> Jegyezd meg az \u00faj bel\u00e9p\u00e9si URL-t, mert ha elfelejted, ki leszel z\u00e1rva a saj\u00e1t oldaladb\u00f3l.<\/p>\n

    Bel\u00e9p\u00e9si k\u00eds\u00e9rletek korl\u00e1toz\u00e1sa<\/h3>\n

    Ha a botok nem tudj\u00e1k megv\u00e1ltoztatni az URL-t, akkor pr\u00f3b\u00e1lgatj\u00e1k a jelszavakat. Az alap\u00e9rtelmezett WordPress korl\u00e1tlan sz\u00e1m\u00fa bel\u00e9p\u00e9si k\u00eds\u00e9rletet enged\u00e9lyez \u2013 ez nagy probl\u00e9ma.<\/p>\n

    A megold\u00e1s: korl\u00e1tozd a bel\u00e9p\u00e9si k\u00eds\u00e9rleteket. P\u00e9ld\u00e1ul 3-5 sikertelen pr\u00f3b\u00e1lkoz\u00e1s ut\u00e1n z\u00e1rja ki az adott IP-c\u00edmet egy id\u0151re. Erre a Limit Login Attempts Reloaded<\/strong> b\u0151v\u00edtm\u00e9ny t\u00f6k\u00e9letes \u2013 ingyenes \u00e9s azonnal m\u0171k\u00f6dik.<\/p>\n

    WordPress admin fel\u00fclet v\u00e9delem halad\u00f3knak<\/h2>\n

    IP-alap\u00fa hozz\u00e1f\u00e9r\u00e9s korl\u00e1toz\u00e1sa<\/h3>\n

    Ha mindig ugyanarr\u00f3l az IP-c\u00edmr\u0151l (vagy n\u00e9h\u00e1ny fix helyr\u0151l) l\u00e9psz be, megoldhatod, hogy az admin fel\u00fcletet csak ezekr\u0151l az IP-kb\u0151l lehessen el\u00e9rni. Mindenki m\u00e1s automatikusan 403-as hib\u00e1t kap.<\/p>\n

    Ezt a .htaccess<\/strong> f\u00e1jlban lehet be\u00e1ll\u00edtani (Apache szerverekn\u00e9l), vagy a t\u00e1rhelyszolg\u00e1ltat\u00f3 vez\u00e9rl\u0151pultj\u00e1ban. \u00cdme egy egyszer\u0171 p\u00e9lda:<\/p>\n

    \r\n<Files wp-login.php>\r\nOrder Deny,Allow\r\nDeny from All\r\nAllow from 250.250.250.250\r\n<\/Files>\r\n<\/code><\/pre>\n
    Term\u00e9szetesen a 123.456.789.000<\/em> helyett a saj\u00e1t IP-c\u00edmedet \u00edrd be. Ha dinamikus IP-d van (azaz minden bekapcsol\u00e1skor v\u00e1ltozik), ez a m\u00f3dszer nem ide\u00e1lis \u2013 de sok kis v\u00e1llalkoz\u00e1sn\u00e1l fix IP-vel dolgoznak.<\/p>\n
    SSL tan\u00fas\u00edtv\u00e1ny \u00e9s HTTPS<\/h3>\n
    Ha m\u00e9g nincs HTTPS-ed, az most s\u00fcrg\u0151s feladat. Az SSL tan\u00fas\u00edtv\u00e1ny titkos\u00edtja az adatforgalmat az oldalad \u00e9s a l\u00e1togat\u00f3k k\u00f6z\u00f6tt \u2013 bele\u00e9rtve a bel\u00e9p\u00e9si adatokat is. A legt\u00f6bb t\u00e1rhelyszolg\u00e1ltat\u00f3 ma m\u00e1r ingyenesen adja a Let’s Encrypt tan\u00fas\u00edtv\u00e1nyt.<\/p>\n
    WordPress oldalon a Really Simple SSL<\/strong> b\u0151v\u00edtm\u00e9ny seg\u00edt az \u00e1t\u00e1ll\u00e1sban, ha m\u00e9g nem tetted meg. P\u00e1r kattint\u00e1s az eg\u00e9sz.<\/p>\n
    Biztons\u00e1gi b\u0151v\u00edtm\u00e9ny telep\u00edt\u00e9se<\/h3>\n
    Ha egyetlen dolgot tehetsz meg a WordPress admin v\u00e9delem \u00e9rdek\u00e9ben, az egy j\u00f3 biztons\u00e1gi b\u0151v\u00edtm\u00e9ny telep\u00edt\u00e9se. A legismertebbek:<\/p>\n
      \n
    • Wordfence Security<\/strong> \u2013 \u00e1tfog\u00f3 v\u00e9delem, t\u0171zfal, malware-szkenner, ingyenes verzi\u00f3 is van<\/li>\n
    • Solid Security<\/strong> (kor\u00e1bban iThemes Security) \u2013 sok hasznos v\u00e9delmi funkci\u00f3 egyben<\/li>\n
    • Sucuri Security<\/strong> \u2013 k\u00fcl\u00f6n\u00f6sen j\u00f3 a t\u0171zfal \u00e9s a monitoring ter\u00e9n<\/li>\n<\/ul>\n
      Ne telep\u00edts egyszerre t\u00f6bbet ezek k\u00f6z\u00fcl \u2013 elegend\u0151 egy, de azt \u00e1ll\u00edtsd be rendesen!<\/p>\n
      Rendszeres karbantart\u00e1s \u2013 az elhanyagolt ter\u00fclet<\/h2>\n
      Friss\u00edt\u00e9sek telep\u00edt\u00e9se<\/h3>\n
      A felt\u00f6rt WordPress oldalak jelent\u0151s r\u00e9sz\u00e9n\u00e9l az ok egyszer\u0171: elavult szoftver<\/strong>. Egy r\u00e9gi b\u0151v\u00edtm\u00e9ny, egy r\u00e9gi t\u00e9ma, egy r\u00e9gi WordPress verzi\u00f3 \u2013 mindegyik ismert biztons\u00e1gi r\u00e9seket tartalmazhat, amiket a hackerek kihaszn\u00e1lnak.<\/p>\n
      Mit tegy\u00e9l:<\/p>\n
        \n
      • Kapcsold be az automatikus WordPress friss\u00edt\u00e9seket (legal\u00e1bb a kisebb verzi\u00f3kra)<\/li>\n
      • Hetente n\u00e9zd \u00e1t \u00e9s friss\u00edtsd a b\u0151v\u00edtm\u00e9nyeket \u00e9s a t\u00e9m\u00e1t<\/li>\n
      • T\u00e1vol\u00edts el minden inakt\u00edv b\u0151v\u00edtm\u00e9nyt \u00e9s t\u00e9m\u00e1t \u2013 ha nem haszn\u00e1lod, t\u00f6r\u00f6ld<\/li>\n<\/ul>\n
        Rendszeres biztons\u00e1gi ment\u00e9s<\/h3>\n
        A biztons\u00e1gi ment\u00e9s nem v\u00e9d meg a felt\u00f6r\u00e9st\u0151l, de ha m\u00e9gis megt\u00f6rt\u00e9nik a baj, egy j\u00f3 ment\u00e9s jelenti a k\u00fcl\u00f6nbs\u00e9get az „elveszett minden” \u00e9s az „egy \u00f3ra alatt vissza vagyunk” k\u00f6z\u00f6tt.<\/p>\n
        Aj\u00e1nlom az UpdraftPlus<\/strong> b\u0151v\u00edtm\u00e9nyt \u2013 ingyenes, megb\u00edzhat\u00f3, \u00e9s automatikusan mentheti az oldaladat Google Drive-ra, Dropboxra vagy m\u00e1s felh\u0151t\u00e1rhelyre. \u00c1ll\u00edtsd be napi vagy heti ment\u00e9st, att\u00f3l f\u00fcgg\u0151en, mennyire akt\u00edv az oldalad.<\/p>\n
        Amit sokan elfelejtenek: a felhaszn\u00e1l\u00f3i jogosults\u00e1gok<\/h2>\n
        Ha nem te vagy az egyetlen, aki hozz\u00e1f\u00e9r a WordPress admin fel\u00fclethez, k\u00fcl\u00f6n\u00f6sen fontos a jogosults\u00e1gok helyes be\u00e1ll\u00edt\u00e1sa. Ne adj mindenki adminisztr\u00e1tori jogot \u2013 csak azt adj, amire val\u00f3ban sz\u00fcks\u00e9ge van.<\/p>\n
        A WordPress be\u00e9p\u00edtett szerepk\u00f6rei:<\/p>\n
          \n
        • Adminisztr\u00e1tor<\/strong> \u2013 teljes hozz\u00e1f\u00e9r\u00e9s (csak te \u00e9s megb\u00edzott szem\u00e9lyek)<\/li>\n
        • Szerkeszt\u0151<\/strong> \u2013 tartalmat kezel, de be\u00e1ll\u00edt\u00e1sokhoz nem f\u00e9r hozz\u00e1<\/li>\n
        • Szerz\u0151<\/strong> \u2013 csak saj\u00e1t cikkeit kezeli<\/li>\n
        • K\u00f6zrem\u0171k\u00f6d\u0151<\/strong> \u2013 \u00edrhat, de nem publik\u00e1lhat<\/li>\n
        • El\u0151fizet\u0151<\/strong> \u2013 csak a profilj\u00e1t kezeli<\/li>\n<\/ul>\n
          Ha egy fejleszt\u0151 vagy tartalom\u00edr\u00f3 seg\u00edt neked, ne adj neki adminisztr\u00e1tori jogot, ha nincs r\u00e1 sz\u00fcks\u00e9g. Ha viszont igen, a munka v\u00e9gezt\u00e9vel vedd el t\u0151le.<\/p>\n
          \u00d6sszegz\u00e9s: a WordPress admin v\u00e9delem egyszer\u0171en kivitelezhet\u0151<\/h2>\n
          L\u00e1tod, nem kell IT-szak\u00e9rt\u0151nek lenned ahhoz, hogy biztons\u00e1gban tartsd a WordPress admin fel\u00fcletedet. A l\u00e9p\u00e9sek nagy r\u00e9sze ingyenes, \u00e9s az alapokat p\u00e1r \u00f3ra alatt el lehet v\u00e9gezni.<\/p>\n
          L\u00e1ssuk a gyakorlatot \u2013 itt van a teend\u0151 lista sorban:<\/p>\n
            \n
          1. \u2705 V\u00e1ltoztasd meg az „admin” felhaszn\u00e1l\u00f3nevet \u00e9s \u00e1ll\u00edts be er\u0151s jelsz\u00f3t<\/li>\n
          2. \u2705 Kapcsold be a k\u00e9tl\u00e9p\u00e9ses azonos\u00edt\u00e1st<\/li>\n
          3. \u2705 Rejtsd el az alap\u00e9rtelmezett bel\u00e9p\u00e9si URL-t (WPS Hide Login)<\/li>\n
          4. \u2705 Korl\u00e1tozd a bel\u00e9p\u00e9si k\u00eds\u00e9rleteket (Limit Login Attempts Reloaded)<\/li>\n
          5. \u2705 Telep\u00edts egy biztons\u00e1gi b\u0151v\u00edtm\u00e9nyt (Wordfence vagy hasonl\u00f3)<\/li>\n
          6. \u2705 Ellen\u0151rizd \u00e9s friss\u00edtsd a WordPress-t, b\u0151v\u00edtm\u00e9nyeket, t\u00e9m\u00e1kat<\/li>\n
          7. \u2705 \u00c1ll\u00edts be automatikus biztons\u00e1gi ment\u00e9st (UpdraftPlus)<\/li>\n
          8. \u2705 Ellen\u0151rizd a felhaszn\u00e1l\u00f3i jogosults\u00e1gokat<\/li>\n<\/ol>\n
            Ha ezt a list\u00e1t v\u00e9gigcsin\u00e1lod, az oldalad biztons\u00e1gosabb lesz, mint a WordPress-oldalak 70-80%-a. Nem kell t\u00f6k\u00e9letesnek lenni \u2013 csak nehezebb c\u00e9lpontnak, mint a t\u00f6bbi.<\/p>\n
            Ha k\u00e9rd\u00e9sed van, vagy elakadt\u00e1l valamelyik l\u00e9p\u00e9sn\u00e9l, \u00edrj b\u00e1tran \u2013 sz\u00edvesen seg\u00edtek!<\/p>\n
             <\/p>\n
             <\/p>\n","protected":false},"excerpt":{"rendered":"
            A WordPress admin fel\u00fcleted \u00e9ppen most lehet c\u00e9lkeresztben \u2013 \u00e9s val\u00f3sz\u00edn\u0171leg nem is tudsz r\u00f3la Komolyan mondom: ha van egy WordPress oldalad, \u00e9s m\u00e9g nem gondolkodt\u00e1l a biztons\u00e1gon, akkor egy nyitott ajt\u00f3val h\u00edvod be a bet\u00f6r\u0151ket. A hackerek nem v\u00e1logatnak \u2013 nem csak a nagy c\u00e9geket c\u00e9lozz\u00e1k meg. Egy kis v\u00e1llalkoz\u00e1s weboldala ugyanolyan vonz\u00f3 c\u00e9lpont, […]<\/p>\n","protected":false},"author":4,"featured_media":5065,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[36],"tags":[],"class_list":["post-5066","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blogcikkek"],"_links":{"self":[{"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/posts\/5066","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/comments?post=5066"}],"version-history":[{"count":4,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/posts\/5066\/revisions"}],"predecessor-version":[{"id":5104,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/posts\/5066\/revisions\/5104"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/media\/5065"}],"wp:attachment":[{"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/media?parent=5066"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/categories?post=5066"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp-karbantartas.hu\/blog\/wp-json\/wp\/v2\/tags?post=5066"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}