A WordPress biztonsági alapjai
A WordPress tartalomkezelő rendszer (CMS) az egyik legnépszerűbb webes alkalmazás a piacon. Becslések szerint a WordPress az internet csaknem 40%-át biztosítja, szemben a néhány évvel ezelőtti 30%-kal. A tartalomkezelő rendszer sikerének alapja a kényelem, az egyszerű telepítés, valamint a kiterjedt téma- és bővítményközösség. A WordPress-t olyanok is használhatják, akik nagyon keveset ismerik a webalkalmazások működését, és ez a biztonság rovására megy.
Feltörhető a WordPress?
Bármely webalkalmazás feltörhető, de a WordPress népszerűsége miatt az elsődleges célpont a heckerek számára.
A WordPress kód magja általában biztonságos, a sebezhetőségek általában harmadik féltől származó témákból vagy beépülő modulokból fakadnak. Ezeket sok esetben kevésbé képzett programozok is készítik, igy jóval nagyobb a hibázás lehetősége.
A témák és beépülő modulok kóddal egészítik ki a WordPress magját, hogy további funkciókat biztosítsanak, de pontosan ez a kód okozhat sebezhetőséget. Mivel a webhelytulajdonosok általában nem biztonsági szakértők, nem tudják, hogyan tekintsék át a kódot és teszteljék a harmadik féltől származó beépülő modulokat a sebezhetőségek szempontjából. Még a több millió letöltéssel rendelkező bővítmény is tartalmazhat ismeretlen biztonsági réseket, így a csak népszerű bővítmények és témák használata nem garantálja a biztonságot.
A harmadik féltől származó kód nem az egyetlen kockázat a WordPress-webhelyek számára. Ha a szerver vagy az alkalmazás rosszul van konfigurálva (pl. megengedő hozzáférés a kritikus fájlokhoz vagy könyvtárakhoz), az adatszivárgáshoz vezethet, vagy egy támadó rosszindulatú kódot tölthet fel a WordPress-kiszolgálóra, hogy feltörje a megcélzott webhelyet vagy magát a szervert. Bármilyen hibás konfiguráció vagy sebezhető kód megengedi a WordPressnek a kompromisszumot, így a WordPress még biztonságos kódjával is feltörhető.
Mivel a WordPress nagyon népszerű szoftver, gyakori, hogy a támadók szkript-ellenőrző funkciókat használnak a sebezhetőségek megtalálására és (néha) automatikus kihasználására.
Az alábbiakban felsoroljuk azokat a gyakori fenyegetéseket, amelyek veszélyeztethetik a WordPress-webhelyeket, amelyeket érdemes figyelembe vennie a webhely biztonsága érdekében.
Felhasználónév
Nagyon gyakoriak a WordPress blog rendszergazdai fiókja elleni brute force támadások. Ha olyan megfigyelő alkalmazást használ, amely blokkolja és naplózza ezeket a brute-force hitelesítési robotokat, láthatja, hogy az „admin” és „adminisztrátor” felhasználóneveket folyamatosan támadják. Alternatív rendszergazdai felhasználónév használatával óvintézkedéseket tehet, és megvédheti magát a brute force hitelesítéstől. Ez nem véd teljes mértékben a brute force támadásoktól, de blokkolja a két leggyakoribb rendszergazdai felhasználónév keresésére kódolt szkripteket.
Elavult alapszoftver
A WordPress alapkódja mindaddig biztonságos, amíg meg nem találják meg benne a sebezhetőséget.
A WordPress fejlesztői egész évben új verziókat adnak ki. Az elavult alapszoftverek sebezhetőségeinek leküzdése érdekében frissítse a WordPress-szoftvert, amikor egy új kiadás elérhető. A WordPress rendelkezik egy automatikus frissítési funkcióval is, amely minden alkalommal frissíti az alapszoftvert, amikor új verzió kerül bevezetésre.
Elavult PHP verziók
A PHP programozási nyelv számos változáson ment keresztül a megjelenése óta, és a régebbi verziók már nem támogatottak. A hivatalos PHP webhely a 8.0-s verziót tartalmazza, 2023-ig támogatott biztonsági frissítésekkel, de a 7.3-as verzió nem kap biztonsági frissítéseket 2021 decembere után. Ha a PHP régebbi verzióit futtatja, fennáll a veszélye, hogy a WordPress webhelyen biztonsági rések maradnak, és nincs lehetőség a javításra. .
Az elavult PHP-verzió tárolása gyakori, mert valahányszor az új szoftvert bevezetik a webhelyre, az új konfigurációt a telepítés előtt tesztelni kell. A verziók között néhány apró változtatás történik, így az első tesztelés nélküli telepítés tönkreteheti a webhelyet. Ez a bonyodalom késéshez vezet, ami lehetőséget nyit a támadók számára. Amikor egy PHP-verzió hivatalosan elavult, és már nem támogatott, a WordPress webhelyet tesztelni kell, és a lehető leggyorsabban frissíteni kell a legújabb támogatott verzióra.
Nem definiált felhasználói szerepkörök
Amikor először állítja be a WordPress szoftvert, a telepítés során létrehoz egy rendszergazdai fiókot. Ez a fiók teljes mértékben felügyeli az alkalmazást. A WordPressnek számos más szerepe is van, például szerkesztő, író és előfizető. Minden szerepkör saját alapvető engedélyekkel rendelkezik, amelyek hozzá vannak adva egy felhasználói fiókhoz annak létrehozásakor.
A felhasználói engedélyeket szigorúan ellenőrizni kell, és a felhasználók hozzáadásával megbízott személyeknek megfelelő utasításokat kell követniük a megfelelő szerepkörök hozzárendeléséhez minden új fiókhoz. Alapértelmezés szerint az új felhasználók is szerepet kapnak. Ennek a szerepkörnek kell lennie a legkorlátozottabb engedélyekkel, és a későbbiekben hozzáadott további engedélyekkel.
Elavult WordPress témák és beépülő modulok
Ahogy a WordPress központi kódbázisát is frissíteni kell, a témákat és a beépülő modulokat is frissíteni kell a sebezhetőségek felfedezésekor. Ez a követelmény nyomást gyakorol a fejlesztőkre, hogy javítsák szoftvereiket, ezért a WordPress webhely tulajdonosa csak olyan aktív fejlesztővel telepíthet témákat és bővítményeket, akik még nem szüntettek meg a bővítménykód támogatását.
Még a népszerű beépülő modulokban is vannak sebezhetőségek, de a fejlesztők többsége továbbra is javítja a támogatást, hogy vonzza a felhasználókat. Amikor bővítményt vagy témát keres, mindig olyan szoftvert válasszon, amely aktív fejlesztővel és gyakori frissítésekkel, különösen biztonsági frissítésekkel rendelkezik.
SQL Injekció
Amikor a kód SQL-lekérdezéseket ad át a háttéradatbázisnak, azt érvényesíteni kell az SQL-befecskendezés elkerülése érdekében. Az SQL injekciós támadások kihasználják a rosszul kódolt bővítményeket és témákat, és rosszindulatú utasításokat küldenek az adatbázisba. Ezek az utasítások lehetővé teszik a támadó számára, hogy lekérdezéseket hajtson végre, adatokat töröljön, és potenciálisan megnövelje a jogosultságokat. A legsúlyosabb biztonsági probléma az, hogy a támadók elrejthetik a rosszindulatú programokat az adatbázisban az újrafertőződés és a tartós fenyegetés fenntartása érdekében.
A WordPress webhelytulajdonosok nagymértékben támaszkodnak a fejlesztőkre az SQL-utasítások ellenőrzésére, mielőtt elküldenék azokat az adatbázisba. A fejlesztőknek például előre elkészített utasításokat kell használniuk, nem pedig karakterláncok és felhasználói bevitel segítségével lekérdezéseket készíteni. Minden felhasználói bevitelt „nem biztonságosként” kell kezelni, és ellenőrizni kell, mielőtt elküldené az adatbázisba.
Megjegyzés: 2022-től az Imunify360 védelmi megoldásunk, képes az adatbázist is ellenőrizni, és az idegen, kártékony kódokat, automatikusan eltávolítani.
Rosszindulatú kód
A támadók automata szkripteket írnak, hogy azonosítsák a biztonsági réseket, amin keresztül rosszindulatú alkalmazásokat tölthetnek fel. A rosszindulatú programok sikeres telepítése lehetővé teheti a támadók számára, hogy megrongálják a webhelyet, zsarolóprogramot töltsenek le a szerverre, vagy kódot szúrjanak be a WordPress-fájlokba.
A feltöltött rosszindulatú kódokkal, eltéríthetik a látogatókat, reklámokat jeleníthetnek meg, vírusokat terjeszthetnek, más weboldalakat támadhatnak, SPAM et küldhetnek, adatokat lophatnak.
A webhely feltörése megterhelő a webhely tulajdonosa számára, és szakértőre van szükség a sebezhetőség felderítéséhez és a probléma orvoslásához.
Rosszindulatú programok különféle okok miatt tölthetők fel. A címtárak megengedő hozzáférése, a beépülő modulok és a téma kódok biztonsági rései, vagy a helytelen webhelykonfigurációk néhány példa azokra a biztonsági problémákra, amelyek rosszindulatú programok telepítéséhez vezethetnek egy WordPress-webhelyen. Ha webhelyét naprakészen tartja és tevékenységfigyeléssel fedi le, az segíthet megállítani és észlelni a rosszindulatú programok feltöltését.
Megjegyzés: Az Imunify360 védelmi megoldásunk, minden feltöltött fájlt valós időben elemez, továbbá a régi fájlokat is heti rendszerességgel átvizsgálja, amennyiben idegen rosszindulatú kódot talál a fájlokban, a rendszer képes a káros tartalmat eltávolítani az adott fájlból, miközben az eredeti részeket érintetlenül hagyja.
Webhelyek közötti szkriptelés
Cross-site scripting (XSS) támadások akkor fordulnak elő, amikor a támadók kihasználják a rosszul megtervezett bővítménykódot, amely lehetővé teszi a támadók számára, hogy saját rosszindulatú tartalmaikat illesszék be az ügyfél és a szerver közötti információcserébe. Kétféle XSS-támadás létezik: tükröződő és tartós. A tükrözött XSS esetén a támadó rosszindulatú kódot küld a felhasználói bemenetre, amely ezt követően megjelenik a felhasználó böngészőjében. Például, ha lekér egy szövegdobozban lévő bevitelt, és elküldi a szervernek egy GET-lekérdezésben, ezt a bemenetet érvényesíteni kell, mielőtt megjeleníti a böngészőben. Ellenkező esetben a támadó rosszindulatú szkripteket szúrhat be, amelyek a felhasználó böngészőjében futnak majd, ami cookie-k vagy hozzáférési jogkivonatok ellopásához vezethet.
A perzisztens XSS akkor fordul elő, amikor a támadó rosszindulatú tartalmat küld egy webszervernek, majd az alkalmazás eltárolja azt az adatbázisban. A tárolt rosszindulatú tartalom később megjelenik a felhasználó böngészőjében. Ez a rosszindulatú tartalom cookie-kat vagy hozzáférési tokeneket is ellophat, a felhasználókat rosszindulatú webhelyre irányíthatja át, vagy felhasználói adatokat lophat el.
Elosztott szolgáltatásmegtagadás (DDoS)
A DDoS nem rossz kódból fakad, hanem akkor fordul elő, amikor a támadók túl nagy forgalommal árasztják el az oldalt, ami kimeríti az erőforrásokat. Ha a DDoS nem észlelhető gyorsan, a támadás használhatatlanná teheti a webhelyet. A DDoS több eszközt használ különböző földrajzi helyeken, hogy forgalmat küldjön a szervernek, ami látszólag minden figyelmeztetés nélkül megtörténhet. A webhelyet figyelni kell az ilyen támadásokra, hogy a rendszergazdák gyorsan cselekedhessenek.
Az ilyen támadások ellen elsősorban a szerver üzemeltető tud védekezni.
Viszont, az ügyfeleknek is lehetőségük van bizonyos szintű védelem használatára.
A népszerű CDN szolgáltatók kepések szűrni a rosszindulatú adatforgalmat.
Továbbá a weboldal tárolt változatának a kiszolgálásával tovább tudják csökkenteni a szerver terhelését.
Ingyenes korlátozott megoldás: Cloudflare
Cégünk által biztosított megoldás: LiteSpeed CDN szolgáltatása.
SEO Spam
Egyes támadások kulcsszavakat, hivatkozásokat és átirányításokat injektálnak. A cél az, hogy kihasználjuk a keresőmotorokban magas rangú webhelyoldalakat, és ezeket kihasználva javítsuk a támadó webhelyének rangsorolását. A „gyógyszerészeti hackek” elrejtik a gyógyszerészeti termékekre vonatkozó rejtett kulcsszavakat és linkeket az áldozatok oldalain. A keresőmotorok észlelik a tartalmat és rangsorolják a kulcsszavak és linkek oldalait, de a webhely tulajdonosa nem látja azokat.
A feltételes átirányítások a keresőmotorokban rangsorolt oldalakról irányítják a felhasználókat, és egy támadó által irányított webhelyre küldik őket. A felhasználók nincsenek tisztában az átirányítással, és megbízhatják a támadó által irányított webhelyet hitelesítő adatokkal vagy érzékeny információkkal. A feltételes átirányítások hatással vannak a keresőmotorok rangsorolására is, így a webhelytulajdonosok láthatják, hogy oldalaik rangsorolnak furcsa kifejezéseket, vagy hirtelen elveszíthetik a rangsort.
Brute-Force Attack
A webhelyek megtámadásának egyik legegyszerűbb módja, ha az admin felületen be tudnak jelentkezni a támadók. Ennek érdekében, gyakran használt jelszavakat próbálgatnak, vagy más weboldalakról lopott jelszavakkal próbálkoznak.
Régen az volt a támadók módszere, hogy a webhelyre egymás után több ezer kísérletet próbáltak meg (automata programokkal). Az ilyen támadásokat könnyű volt felderíteni, ezért a támadók taktikát váltottak, most egy weboldalra csak nagyon kevés próbálkozás érkezik óránként 1-2 db, viszont egyszerre több ezer webhelyet próbálnak meg feltörni.
Hogy lehet védekezni ez ellen?
1: Felejtsük el az Admin felhasználó nevet, és az egyezerű jelszavakat, a jelszó legalább legyen 10-12 karakteres, benne speciális karakter, pl: kötőjel.
2: Biztonsági modul: Sok biztonságot nővelő modul van a piacon, az egyik legnépszerűbb a wordfence. érdemes úgy beállítani, hogy az admin felhasználónévre érkező próbálkozót azonnal tiltsa le, több napra is.
3: Két faktoros hitelesítés: Ma már a wordpresbe is elérhető ez a megoldás. Ilyenkor a bejelentkezéshez a mobiltelefonunkra telepített alkalmazásra is szükség lesz, ami egy PIN kódot generál.
4: Szerver oldali védelem: Rendszerünk, képes érzékelni a legtöbb ilyen belépési kísérletet, ilyenkor a szerver, egy hitelesítő oldalt jelenít meg, amit a robotok nem tudnak visszaigazolni, igy kitiltásra kerülnek.
Hogyan tehetem biztonságossá a WordPress webhelyemet?
WordPress-webhely-tulajdonosként nagymértékben támaszkodik a fejlesztőkre a biztonságos kód elkészítésében, de lépéseket is tehet webhelye biztonságának biztosítása érdekében. Amellett, hogy mindig biztonságban tartja kódját a WordPress alapalkalmazásának és a beépülő moduljainak frissítésével, számos további lépést is megtehet, amelyek csökkentik a kockázatot.
Keressen egy megbízható WordPress tárhely szolgáltatót
Webhelyét megerősített biztonságú szerveren kell tárolni. A tárhely szolgáltató rendszergazdái felelősek a szerver biztonságáért, így rájuk számíthat a WordPress megfelelő konfigurálásában. Egy kezdő, vagy kevésbé hozzáértő ember amikor tárhelyet keres, rendszerint az ár, a méret, és a sebesség, esetleg a tárhelyhez kapott extra ajándékok (ingyen domain) alapján szoktak dönteni, és rendszerint a legutolsó szempont a biztonság, ez már csak akkor szokott előtérbe kerülni, miután megtörtént a baj. Sok esetben a biztonsági visszaállítás sem segít, mert az ügyesebb hackerek, egy hátsó kapu telepítésével kezdik, amin keresztük később is visszajöhetnek a tárhelyre. Ezt hagyományos eszközökkel szinte lehetetlen megtalálni.
Sajnos sokan nem tudják, de olcsó árakat biztosítani, csak úgy lehet, ha valamin spórol a szolgáltató. A legegyszerűbb a biztonságon spórolni, mivel ez a legkevésbé mérhető a felhasználók számára. Ha pedig feltörik az oldalt, a tárhely bérlőre lehet mutogatni, hogy nem frissítette az oldalt. Ami persze tényleg probléma! Viszont elképzelhető, hogy egy megfelelő biztonságú szerveren, ez úgy oldódik meg, hogy az előfizető ebből semmit nem vesz észre. Illetve a feltörési kísérletek 99% át sikeresen elhárítja a rendszer.
Hogy találhat olyan tárhelyet ami nem csak a tárhely bérlőre hárítja át a védelmet, hanem aktív védelmet jelent a weboldala számára?
1: Böngéssze végig a cég oldalát, ha minőségi védelmet használnak, akkor arról rendszerint tájékoztatják a vásárlókat, hiszen ez egy olyan extra szolgáltatás, mint az autóknál az adaptív tempómat + sávtartó rendszer.
2: Kérdezzen rá a szolgáltatónál, hogy mit használ, hogy védekezik, milyen szoftvereket használ (név szerint)!
3: A kapott információknak nézzen utána az interneten. Egy levélben, vagy weboldalon lehet olyan hangzatos szavakat használni, hogy az egyik legnépszerűbb xy alkalmazást használjuk. Nos az, hogy valami népszerű, az nem jelenti azt, hogy jó! A legtöbb alkalmazás, azért népszerű mert ingyenes!
Hozzáférés korlátozása
A támadók sok esetben bizonyos oldalakat céloznak meg, amelyek érzékeny információkat tárolnak, beleértve a webhely hitelesítő adatait.
Ezek az oldalak: wp-admin , wp-login.php és xmlrpc.php .
A rossz engedélyek hozzárendelése ezekhez a fájlokhoz lehetővé teheti a támadók számára, hogy hitelesítő adatokat lopjanak el, vagy saját hitelesítő adataikat fecskendezzék be, így hozzáférést kapnak az adatbázishoz és a webhely tartalmához.
Még akkor is, ha ezek a fájlok védettek, a támadók továbbra is megszerezhetik a hitelesítési adatokat adathalász e-mailek, közösségi manipulációk vagy rosszindulatú programok segítségével. A fiók hitelesítő adatainak védelme érdekében további intézkedéseket tehet annak biztosítására, hogy a támadók ne tudjanak hitelesíteni még akkor sem, ha meg tudják szerezni az Ön WordPress-rendszergazdáját.
- Használjon titkosításilag erős jelszavakat a brute force támadások elkerülése érdekében. A jelszavaknak legalább 10 karakterből kell állniuk, és tartalmazniuk kell számokat, nagybetűket és speciális karaktereket. A jelszótárolóban tárolhatja a WordPress hitelesítő adatait, hogy ne felejtse el őket.
- Használjon kéttényezős hitelesítést. A WordPress adminisztrációs panelen való hitelesítéshez a támadónak továbbra is szüksége lesz az okostelefonjára küldött hitelesítési kódra. A kéttényezős hitelesítés egy olyan stratégia, amely megakadályozza a hitelesítés nélküli hozzáférést egy adathalász támadás után.
- Korlátozza a hitelesítési kísérleteket. Nem akadályozhatja meg a robotokat abban, hogy hitelesítést kíséreljenek meg, de korlátozhatja a brute force támadások blokkolására irányuló kísérletek számát. A WordPress rendelkezik olyan beépülő modulokkal , amelyek korlátozzák a hitelesítési kísérleteket. A megadott számú próbálkozás után a fiók egy meghatározott ideig zárolásra kerül.
- Az inaktív fiókok hitelesítésének megszüntetése. Ha aktívan hagyja a tétlen felhasználókat, akkor lehetőség nyílik a támadók számára akár token lopás, akár fizikai hozzáférés miatt a felhasználó eszközén. Ha a felhasználó nyilvános eszközről hitelesít, és elfelejt kijelentkezni, egy WordPress beépülő modul segítségével biztosíthatja, hogy bárki, aki fizikai hozzáféréssel vagy munkamenet-eltérítéssel rendelkezik, ne férhessen hozzá az adminisztrációs irányítópulthoz.
- Módosítsa az alapértelmezett rendszergazdai fiók nevét, vagy hozzon létre egy alternatív rendszergazdai fiókot. A WordPress telepítésekor létrejön a rendszergazdai fiók. Az egyik stratégia a fiók átnevezése egy másikra, vagy létrehozhat egy másik fiókot, és letilthatja a fő rendszergazdai fiókot.
Tartsa naprakészen a WordPress-t
A WordPress fejlesztői minden évben frissítéseket adnak ki. Ezek a frissítések különféle hibákat és biztonsági problémákat kezelnek. Frissítés előtt mindig készítsen biztonsági másolatot a WordPress webhelyéről, de a lehető leghamarabb frissítse a szoftvert, különösen, ha a frissítés egy ismert sebezhetőséget javít.
Ne felejtse el frissíteni a bővítményeket és a témákat, amikor elérhetővé válnak. A sérülékenységek általában a beépülő modulból és a téma kódjából erednek, így a gyors javítás megakadályozza, hogy a támadók kihasználják a problémákat. A WordPress irányítópultja figyelmeztetést jelenít meg, amikor egy beépülő modul vagy téma új frissítéssel rendelkezik.
A frissítések kezeléséhez minden nap át kell tekintenie a WordPress irányítópultját, de ezt a többletköltséget kiküszöbölheti az Imunify360 védelmi rendszerrel ellátott tárhely használatával . Az Imunify360 valós idejű virtuális javítást hajt végre , hogy soha ne érjen adattörést az elavult bővítmények vagy alapkód miatt. Ezenkívül a PHP verziókat is frissítik, és még a hivatalos támogatás megszűnése után is javítják a nyilvánosságra került biztonsági hibákat , tartalmaz egy webalkalmazás-tűzfalat (WAF) és proaktív védelmi modulokat, amelyek megállítják és figyelmeztetik a gyanús viselkedést.
Pár egyszerű lépés a WordPress biztonságához
A WordPress-webhelyek éles üzembe helyezése előtt kövesse a webhely biztonságát biztosító műveleti ellenőrzőlistát. Összeállítottunk egy ellenőrzőlistát, amely segít Önnek elkezdeni a WordPress biztonságát.
Biztonsági másolatok létrehozása
A biztonsági mentések a katasztrófa utáni helyreállítás kulcsfontosságú elemei. Ha más módszerekkel nem tud helyreállni az állásidőből, a biztonsági mentések visszaállítják a rendszert egy korábbi időpontra. Biztonsági mentésre akkor is szükség van, ha WordPress webhelye zsarolóvírus-támadás áldozatává válik. Biztonságos helyen kell tárolni, és ellenőrizni kell, hogy nem sérültek-e meg.
A jobb tárhely szolgáltató, automatikusan biztosítják a biztonsági mentéseket, viszont ettől függetlenül néha érdemes saját magának is mentést készítenie.
Telepítse a biztonsági bővítményeket
Számos biztonsági bővítmény segíthet a támadások megállításában. Ezek a bővítmények leállítják az XSS-t, a jelszavak elleni brute force támadásokat, a fájlok bejárását és a rosszindulatú feltöltéseket. Még ezekkel a biztonsági beépülő modulokkal is fontos figyelni a WordPress-készletét a támadások azonosítása érdekében. Javasolt csak 1db ilyen bővítményt használni!
Webalkalmazás tűzfal (WAF) használata
A WAF (Web Application Firewall – Alkalmazásszintű tűzfal) számos olyan támadást megállíthat, amelyek a beépülő modulok és a témakódok sebezhetőségeit használják fel. Az Imunify360 WAF-ja leállítja az XSS-t, a rosszindulatú PHP-szkripteket, a brute-force jelszótámadásokat és az SQL-befecskendezést. Az elavult szoftver sebezhetőségeinek leküzdése érdekében az Imunify360 javítja a WordPress szoftvert, és figyeli az illetéktelen tevékenységeket.
Telepítsen egy SSL/HTTPS-tanúsítványt
Az SSL/TLS-tanúsítvány növeli a felhasználói kapcsolatok biztonságát, és megakadályozza az adatlehallgatást. Az SSL/TLS-tanúsítvány a keresőmotorok rangsorolásához is kulcsfontosságú, ezért prioritásként kell kezelnie, mielőtt telepíti a WordPress-készletet egy éles szerverre.
Megjegyzés: Ma már a jobb tárhelyszolgáltatók, ingyen biztosítják az SSL tanúsítványt, minden a tárhelyen használt domain névre.
Viszont akadnak szolgáltatók, akik csak pénzért illetve, csak 1db domain névhez biztosítják az SSL tanúsítványt. Érdemes odafigyelni a
Fájlszerkesztés letiltása
A WordPress alkalmazás rendelkezik egy fájlszerkesztési lehetőséggel, amely lehetővé teszi a felhasználók számára, hogy módosítsák a tartalmat, beleértve a témaelemeket is. Ha egy támadó kihasználhat bármilyen biztonsági rést, akkor az Ön webhelyének tartalma rejtett rosszindulatú programok, átirányítások vagy harmadik féltől származó hivatkozások révén feltörhet. Le kell zárni a szerkesztést, hogy csak a rendszergazda szerkeszthesse a fájlokat és a témakonfigurációkat.
Módosítsa a WordPress adatbázis-tábla előtagját
Amikor a támadók létrehozzák SQL-befecskendezési parancsfájljaikat, többnyire azt feltételezik, hogy a megcélzott webhely tulajdonosa az alapértelmezett wp_ előtagot használja az összes WordPress-táblázaton. Ez az előtag a telepítési folyamat során módosítható. Nem szünteti meg az összes SQL-befecskendezési sebezhetőséget, de leállít minden olyan szkriptet, ahol a támadó azt feltételezi, hogy a WordPress táblái az alapértelmezett előtaggal rendelkeznek.
A címtárindexelés és a böngészés letiltása
Amikor a könyvtárak böngészhetők, a keresőmotorok indexelhetik az olvasható fájlok listáját, a támadók pedig bármilyen olvasható fájlt megtekinthetnek, hogy betekintést nyerjenek a webhely konfigurálási és beállítási módjába. A címtárböngészést le kell tiltani, amit a .htaccess fájlban a következő opcióval tehet meg:
Options -Indexes
Az XML-RPC letiltása a WordPressben
A WordPress XML-RPC funkciója lehetővé teszi a tartalom távoli feltöltését harmadik féltől származó kliens használatával. Hacsak nem feltétlenül szükséges távolról feltöltenie a tartalmat, ezt a funkciót le kell tiltani a kompromittálás kockázatának csökkentése érdekében. Könnyen letilthatja az XML-RPC-t egy olyan bővítmény használatával, amely lehetővé teszi a távoli hozzáférés vezérlését.
chmod 000 xmlrpc.php
Következtetés
A WordPress biztonsága kritikus fontosságú az adatvédelem és a webhely hírneve szempontjából. Mivel a WordPress annyira népszerű, a támadók erőfeszítéseiket a tartalomkezelő rendszert tartalmazó webhelyekre összpontosítják. Az Imunify360 leegyszerűsítheti webhelye biztonságát, és lehetővé teszi, hogy proaktív módon közelítse meg webhelye biztonságát.