Hogyan védekezzünk a WordPress támadások ellen?

Telepítés

Érdemes elsősorban egy softaculous nevű telepítővel installálni wordpress honlapunkat a tárhelyünkre. Ezen az alkalmazáson belül könnyedén beállítható, hogy automatikusan frissítse, nem csak az alkalmazást, de a témákat és a plugineket is!Rendkívül hasznos a használata!

softaculous-1

Érdemes elsősorban egy softaculous nevű telepítővel installálni wordpress honlapunkat a tárhelyünkre. Ezen az alkalmazáson belül könnyedén beállítható, hogy automatikusan frissítse, nem csak az alkalmazást, de a témákat és a plugineket is!Rendkívül hasznos a használata!

Ezzel a módszerrel jelentősen csökkenthető a biztonsági hibák által előforduló behatolások száma és a weboldalad forráskódja is naprakész lesz.
Ajánlott használni felhő alapú malware szűrő technológiákat.

Egyedi bejelentkező URL

Készíts egyedi bejelentkező linket: A botok legtöbb esetben a /wp-login.php fájlt keresik, amelyhez a felhasználóneve és jelszót a brutaforce megoldással próbálják “kitalálni”.

after-lockdown-wp-admin-plugin-installed-wp-login-url-changed
Készíts egyedi bejelentkező linket: A botok legtöbb esetben a /wp-login.php fájlt keresik, amelyhez a felhasználóneve és jelszót a brutaforce megoldással próbálják “kitalálni”.  A Stealth Login wordpress bővítménnyel egyedi bejelentkező URL készíthető és akár le is tiltható a wp-login.php fájl elérése a továbbiakban. A rosszindulatú botok ellen jó megoldás lehet, de tökéletes védelmet nem nyújt.

Erős jelszó használata

Erős jelszó használata: fontos, hogy könnyen kitalálható (admin, password, stb) jelszavakat ne használjunk. Érdemes random jelszavakat generálni. 

strong-password

Használj SSL hitelesítést!

SSL használata a bejelentkezéshez: Ahhoz, hogy elkerüljük, hogy ellopják illetéktelenek a jelszavainkat, érdemes SSL-t használni. A bejelentkezés akkor a tanúsítvánnyal ellátott https:// titkosított csatornán keresztül fog történni és illetéktelenek nem tudják megszerezni a jelszavainkat.


Nem kell mást tenned, mint a wp-config.php fájlba beszúrni az alábbi sort:

define(’FORCE_SSL_ADMIN’, true);

Wp admin könyvtár védelme

Jelszavas védelem a WP-ADMIN könyvtárra: A DirectAdmin-ban tud a mappára jelszavas védelmet készíteni, így a botok és rosszindulatú behatolók nem érik el a bejelentkezéshez szükséges könyvtárat.

IP cím korlátozása
IP cím alapú korlátozás IP címünk alapján: Korlátozzuk a saját IP címünkre a wp-admin könyvtár elérését. Itt a saját IP címünket kell megadni, így mindenki más számára elérhetetlen lesz.

list-of-ips

wordpress védelme

Dinamikus IP cím esetén folyamatos frissítést igényel a megoldás. Nem kell mást tenni, mint a wp-admin könyvtárba létrehozni egy .htacces fájlt, és elhelyezni benne az alábbi sorokat:

order deny,allow
deny from all
# Engedélyezett IP címek
allow from xx.xx.xx.xxx

IP cím alapú korlátozás ország lista alapján: A fenti metódushoz hasonlóan ezt is .htaccess technikával lehetséges megvalósítani. Nem kell mást tenni, mint felmenni ide: http://www.ip2location.com/blockvisitorsbycountry.aspx  , kijelölni a tiltani kívánt országokat és a weboldal legenerálja illetve letölthetővé teszi a .htacces fájlt, amelyet a wp-admin könyvtárban szükséges elhelyezni. Nem tökéletes megoldás, egy országhoz csak 1 ip tartomány rendel, viszont legtöbb esetben rendelkezik több tartománnyal is.

Hiba üzenet eltávolítása a bejelentkezési képernyőről

Távolítsuk el a hiba üzentet a bejelentkezési képernyőről: a legtöbb hacker a visszajelzés alapján folytatja a támadási metódust. Ez ellen egyszerűen védekezhetünk, a theme könyvtárban adjuk hozzá a functions.php-hez alább sort:

add_filter('login_errors',create_function('$a'"return null;"));

Legyen mindig friss a WordPress

Tartsuk napra készen a WordPress-t: Fontos, hogy folyamatosan naprakész legyen a WordPress CMS, így mindig frissítsük az alkalmazást és a bővítményeket, témákat egyaránt! A folyamatos frissítésekkel a különböző biztonsági réseket, hibákat orvosolják a készítők, így elengedhetetlen feltétele ez a biztonságnak!

wordpress-maintenance-update

wordpress védelme

Fenyegetések ellenőrzése

Malware, deface és egyéb kártékony fertőzés ellenőrzése: Amennyiben nem rendelkezik előfizetett  felhő alapú malware szűréssel, úgy fontos, hogy időnként ellenőrizzük a weblapunk nem fertőződött meg.

Ezt az alábbi weboldalon megtehetjük: https://sitecheck.sucuri.net/ 

11. Védekezzünk a számítógépünket érő behatolások ellen: Az online védelemhez elengedhetetlen, hogy a kliens gépe biztonságos legyen.