Hogyan előzheted meg a weboldalad feltörését?
Ha van weboldalad, akkor azt feltörhetik. Ne vedd ezt személyes sértésnek, általában nem konkrétan veled van bajuk. Inkább csak az erőforrásaidat szeretnék használni vagy az adataidat megszerezni.
Ehhez a támadóknak hozzá kell férniük a weboldaladhoz, hogy ott valamilyen káros kódot helyezzenek el az oldalad tartalmában, fájljaiban. Ennek segítségével például ellophatják az adataidat, a látogatóid adatait, átirányíthatják az adatforgalmat, módosított tartalmat jeleníthetnek meg a weboldaladon.
Ráadásul, ha WordPress weboldalad van, akkor talán az egyik leginkább célkeresztben lévő rendszerrel rendelkezel, éppen azért, mert népszerű, azaz mert nagyon-nagyon sokan használjuk. A széleskörű elterjedtsége sok szempontból előny, viszont éppen emiatt kedvelt célpontja a támadásoknak. Mindenképpen oda kell figyelni a biztonságára.
Bár maga a WordPress viszonylag biztonságos, de ha az oldalad nem megfelelően van beállítva, ha te nem követed a jó gyakorlatokat, akkor a támadók könnyen ki tudják használni az esetleges hibákat.
Komolynak hangzik! És ha megtörténik a fertőzés, a feltörés, akkor sokszor tényleg nehéz és hosszú folyamat a kezelése, javítása. Nem beszélve arról, hogy vissza kell szerezned a látogatóid és a keresőmotorok bizalmát, jó megítélését is. (Tudunk segíteni, ha ez megtörtént!)
Viszont a jó hír, hogy tehetsz a megelőzésért! Ugyanis a honlapod legérzékenyebb része – te vagy! A weboldal tulajdonosok körében ugyanis vannak jellegzetes, sokak által elkövetett hibák, amit a támadók ismernek és könnyen kihasználnak.
Figyelj oda erre a 10 jótanácsra, és máris sokat tettél a honlapod biztonságáért!
Miről olvashatsz?
1. Legyen vírusmentes a számítógéped!
Nézd kicsit távolabbról a biztonság kérdését: legyen vírusmentes a számítógéped, ahonnan belépsz a weboldaladra. Ha esetleg fertőzött a géped és egy vírus továbbítja a jelszavaidat egy harmadik fél felé, akkor minden további tanács haszontalan.
Persze ha megfertőződik a géped, akkor nemcsak a honlapod biztonsága miatt aggódhatsz, hanem minden más adatod (pl. egyéb hozzáférések, jelszavak, bankszámlák stb.) miatt is.
Szóval ne feledkezz meg a számítógéped és a mobilod védelméről! Legyen ez a legelső lépés.
2. Válassz megbízható tárhelyszolgáltatót!
A honlapodat mindenképpen megbízható és a biztonsági szempontokat fontosnak tartó tárhelyszolgáltatónál helyezd el. Legyen mindig friss a webszerver, az adatbáziskezelő rendszer és az összes általuk használt szoftver. Az elavult programok sérülékenyek lehetnek a támadásokkal szemben.
Sajnos erről te nehezen tudsz tájékozódni vagy meggyőződni. Egyszerűen jól kell választani, érdemes sok ügyféllel rendelkező tárhelyszolgáltatót választani, ahol jól működik a support. És ha mégsem sikerült elsőre megtalálni a neked szimpatikus szolgáltatót, sosem késő váltani!
3. Használj SSL-t!
Telepíts SSL tanúsítványt. Ez biztosítja a titkosított kommunikációt a felhasználók és a szerver között, így megakadályozza harmadik fél hozzáférését az adatokhoz. Ennek hiánya nemcsak a keresőkben vetheti vissza az oldalad a rangsorban, de biztonsági kockázatot is jelent.
Ha nem saját hálózaton, hanem mondjuk valaki más wifijén, akár egy kávézóban jelentkezel be az oldaladra, és nincs titkosítva az oldalad adatforgalma (azaz nem használsz SSL-t), akkor akár meg tudják szerezni a belépési adataidat.
A tanúsítványt a tárhelyszolgáltatódtól tudod kérni, sok helyen a tárhely bérléshez automatikusan jár. Még ha külön fizetned is kell érte, ezen nem érdemes spórolni.
4. Használj erős jelszavakat!
Használj komplex jelszavakat minden fiókhoz, beleértve az admin, az FTP és a tárhely hozzáféréseket. A komplex jelszó azt jelenti, hogy legyen legalább 12-16 karakter hosszú, és ne tartalmazzon értelmes szót. Tartalmazzon kis- és nagybetűket, számokat és speciális karaktereket is. Minden egyes jelszó legyen egyedi, azaz ne használd ugyanazt a karaktersorozatot többször!
Ha valaki ezek közül a hozzáférések közül akár egyet is megszerez, az már bármit meg tud tenni az oldaladdal.
Tudom, arra gondolsz, ezt nehéz lesz mindig beírni. Ha eddig nem használtál jelszókezelő programot, akkor itt lesz az ideje!
5. Állíts be kétlépcsős azonosítást (2FA / MFA)!
Különösen az adminisztrátor jogosultságú felhasználók esetében állítsd be a kétlépcsős azonosítást. A módszer lényege, hogy belépéskor a jelszó megadása után egy másik eszközön is azonosítanod kell magad, például a mobilodon. Ez a módszer tehát nem helyettesíti a jelszót, hanem kiegészíti azt. Így ha valaki meg is szerzi a jelszavadat, az nem tud egyből belépni.
A megvalósításhoz például 2FA bővítményeket és a mobilodra telepített appokat használhatsz.
6. Használj CAPTCHA-t!
A CAPTCHA meg tudja különböztetni az embert mint felhasználót a belépni akaró robotoktól. A támadók jellemzően nem kockázatot kereső hekkerek, hanem robotok. Jelentősége ugyan folyamatosan csökken, de azért még érdemes bevetni.
Ha szeretnéd használni, rengeteg captcha-plugin közül tudsz válogatni.
7. Tartsd karban a felhasználókat!
Először is, ne használj olyan felhasználóneveket, amik túl általánosak, mint például “admin”. Jellemzően ezeket a neveket próbálják végig a hekkerprogramok, ezek könnyű célpontot jelentenek.
Másodszor, csak annak adj hozzáférést az oldaladhoz, akinek tényleg szükséges, és mindig gondold át, milyen jogosultságra van szüksége. Nem kell mindenkinek admin jog. Soha ne a te saját belépési adataidat add meg, hanem hozz létre új felhasználót annak, akinek hozzá kell férnie a honlapodhoz. Később pedig, ha már nem dolgozik a weboldaladon, akkor töröld vagy tiltsd le a számára létrehozott felhasználót.
8. Csak megbízható elemeket telepíts! (sablonok, pluginek, add-onok)
Ne tölts le bizonytalan, megbízhatatlan, nem jogtiszta forrásból származó sablonokat, plugineket. Ezek kártékony kódrészletet tartalmazhatnak, amiket ráadásul te magad telepítesz a rendszerbe.
Sok esetben esetleg jogtisztának gondolod, amikor pár dollárért vagy viszonylag olcsón sok-sok fizetős pluginhez lehet hozzájutni. De ilyenkor gondolj bele, hogy ezeknek a licencellenőrzését valaki eltávolítja, és nagyon sokszor kártékony kódot is elrejtenek bennük.
9. Frissíts rendszeresen!
Ezt nagyon könnyű betartani! Ellenőrizd és telepítsd rendszeresen az elérhető frissítéseket a WordPresshez, a sablonodhoz, a pluginekhez. Vagy csak állítsd be, hogy ezek automatikusan frissüljenek.
10. Készíts biztonsági mentéseket!
Készíts rendszeresen biztonsági mentést a teljes honlapról! Ez lehet havi, heti vagy napi szintű, attól függően, milyen gyakran változik a weboldalad tartalma.
Sok tárhelyszolgáltató erre biztosít automatikus lehetőséget, vagy ha nincs ilyen, akkor kereshetsz külső megoldást.
Tárold a biztonsági mentéseket úgy, hogy könnyen hozzáférj, lehetőleg függetlenül a tárhelyedtől.
PLUSZ: Szükséged van biztonsági bővítményre?
Ha az eddig felsorolt tanácsokat követed, akkor már rengeteget tettél a honlapod biztonságáért. A megfelelő beállításokkal és a bővítmények helyes megválasztásával már nagy eséllyel elkerülheted a feltörést.
De hogy még nyugodtabban aludj, használhatsz valamilyen biztonsági bővítményt is. Szerencsére ilyenek már ingyenesen is elérhetők, például a Wordfence, az All-In-One Security vagy a Sucuri Security. Ezek sok olyan beállítást tartalmaznak, amit egyébként is meg tudnál valahol tenni a rendszerben, de ezeket összegyűjtve megkönnyítik a helyzetet.
Sajnos viszont ezek használata már kicsit több tudást feltételez – ha bármelyiket csak bekapcsolod, az még nem elég (de egy lépéssel azért előrébb vagy). Használni kell a funkciókat és megfelelően beállítani a lehetőségeket.
Ha szeretnéd, hogy együtt ellenőrizzük az oldalad biztonságát, esetleg együtt meg is valósítsuk a felsorolt tanácsokat, akkor keress meg minket, szívesen segítünk.
* * * * * * * *
Legyen még szuperebb a weboldalad! Hasonló bejegyzéseket a Blogban találsz!