December 28, 2020

Hogyan védekezz a külső támadások ellen, ha WordPress-t használsz.

Az utóbbi hetekben több helyről is lehet hallani, hogy globális támadást indítottak a nyílt forráskódú WordPress CMS-t használó oldalak ellen. A támadásnál nem válogatnak a tárhelyszolgáltatók között, szinte az összes érintett. A támadók leggyakrabban nem az oldal forráskódjának, hanem az oldalt létrehozó felhasználónak a gyengeségét használják ki. Ilyen gyengeségek például az egyszerű, rövid jelszavak, az alapértelmezetten hagyott user, vagy éppen a könyvtárstruktúra.

Néhány tanács arra vonatkozóan, hogy egy frissen telepített WordPress-ben mit kellene beállítani, hogy minimális biztonságot nyújtson az ilyen támadások ellen:

A WP alapértelmezett felhasználóneve az ‘admin’, ezt célszerű megváltoztatni, hiszen egy brute force támadás esetén a támadónak lényegesen nehezebb a dolga, ha a felhasználónév sem áll rendelkezésére.
Az alapértelmezett felhasználónak az azonosítója 1-es, ezt is célszerű lecserélni, így SQL injekciós támadásnál megnehezítjük a támadó dolgát azzal, hogy egy userid-t is meg kell szereznie.
Alapból a CMS az oldal forráskódjába belepakol pár, a motorra vonatkozó információkat. Bekerül többek között a WP verziószáma, ami szintén nagyban megkönnyíti a támadó dolgát, mivel tudja melyik verziónak mik a lehetséges biztonsági rései.
A jelszavakat nem lehet elégszer megemlíteni, mint biztonsági kockázatot. Legalább 8-10, de inkább 12-15 karakteres jelszót válasszunk és soha ne álljon értelmes szavakból. Példa egy biztonságos jelszóra: aU76[h8f[rf$vsf
SQL injekciós támadásnál megkönnyítjük a támadó dolgát, ha tudja, hogy a táblaneveink milyen előtaggal kezdődnek, hiszen a további része fix (wp_posts, wp_terms, wp_users, stb.). Az alapértelmezett a “wp_”, ezt lehetőleg kerüljük el. Célszerű egy 3-4 karakterből álló véletlen sorozatot adni. Pl: “bgtzo_”
Rendkívül fontos a rendszeres biztonsági másolat az adatbázisról és a fájlokról is. Célszerű hetente menteni, de ha megoldható és sokat változik az oldal tartalma, akkor naponta még jobb lenne.
A túlzottan hosszú (>150) URL-eket is érdemes tiltani, mivel SQL injekciónál a paraméterben kapja meg az oldal a lefuttatandó utasításokat, ha ennek hosszát lekorlátozzuk, azzal megelőzhetőek az ilyen támadások.
Ha több regisztrált felhasználónk is van, akkor érdemes letiltani a sablonok és bővítmények szerkeszthetőségét és a nem adminisztrátori jogokkal rendelkező userek jogosultságát, hogy lássák a frissítéseket.
A wp-config.php és a .htaccess fájlokat célszerű csak olvashatóra állítani.
Amennyiben viszonylag statikus vagy éppen magától frissülő oldalunk van, akkor érdemes megfontolni, hogy az admin felület elérhetőségét is lekorlátozzuk. Létezik arra megoldás, hogy pl az oldal admin felülete csak reggel 8 és 9 között legyen elérhető, ezzel is csökkentve a támadások lehetőségét.
Better-WP-Security

Ezekre és még számos megoldás egyszerű beállítására létezik egy hasznos kiegészítő, a Better WP Security.

A weboldal betöltési sebessége

Kényes téma a keresőoptimalizálás onsite seo részében a honlap betöltődési sebessége. Ez is egy rangsorolási szempont a keresők szemében, ezért érdemes foglalkozni vele. A napokban találtam egy eszközt, ami azt mutatja meg, hogy egy adott oldal mennyi idő alatt töltődik be. Ennek a blognak a legutóbbi méréskori eredménye 1.8 másodperc volt, ami mindenképpen jó időnek számít (legalábbis a saját honlapjaim között): http://tools.pingdom.com/?url=blog.szirmai.com.

Az eszköz másik előnye, hogy kiírja a weboldal összetevőinek a méretét is: scriptek, képek, css fájlok. Ennek segítségével meg lehet tudni, hogy hol érdemes még faragni az oldal méretéből.

Admin area

About

A SEO vagy ahogy magyarul mondják, a keresőoptimalizálás az egyik leghatékonyabb és legolcsóbb online marketing eszköz egy honlap látogatottságának növeléséhez. Releváns és értékes látogatókat szerezhet, akik ügyfelei válhatnak.