A top 40 millió online webhely több mint 10%-a használja a WordPresst. De biztonságos a WordPress? A kérdésre a rövid válasz igen – a WordPress biztonságos. Ez azonban nem jelenti azt, hogy a WordPressnek nincsenek sebezhetőségei.
Szerencsére a WordPress közösség számos gyakori WordPress sebezhetőséget dokumentált, így a webhelyek adminisztrátorai könnyen hozzáadhatnak biztonsági rétegeket webhelyükhöz. Ebben a cikkben 5 egyszerű módszert mutatok be a WordPress-webhely biztonságosabbá tételére.
1. Egyedi rendszergazdai felhasználónevekkel és erős bejelentkezési jelszavakkal rendelkezzen
Az adminisztrátori bejelentkezési oldal a WordPress webhely első védelmi vonala. Itt bármely rendszergazda vagy felhasználó hozzáférhet a webhely „háttérrendszeréhez”, és módosíthatja a webhelyet, beviheti vagy kivonhatja a felhasználói/ügyféladatokat, illetve hozzáadhat vagy eltávolíthat webhelyfájlokat és funkciókat – feltéve, hogy erre engedélyt kapott. .
A rossz szereplők azonban átjáróként is használhatják ezt a bejelentkezési oldalt az Ön webhelye elleni támadásokhoz. Például a "Brute Force” támadások esetén a hackerek ismételten megpróbálják kitalálni az Ön bejelentkezési adatait, hogy hozzáférhessenek webhelyéhez.
Nem tart sokáig, amíg ezek a hackerek sikeresen behatolnak webhelye érzékeny információiba, ha általános rendszergazdai felhasználónevet és jelszót használ (például „admin” a felhasználónév, és „password1234” a jelszó).
Ezért az első egyszerű dolog, amit megtehet webhelye biztonságosabbá tétele érdekében egyedi felhasználóneveket és erős jelszavakat használjon a webhely bejelentkezési adataihoz. Győződjön meg arról is, hogy a felhasználónév és a jelszó megvan egyedi a WordPress webhelyére és nem használják más bejelentkezési helyekhez (például az online banki vagy a közösségi média bejelentkezési adataihoz). Ez további biztonsági réteget ad hozzá.
Ha viszont több webhelyen újrahasznosítja felhasználóneveit és jelszavait, akkor az ezeket a hitelesítési adatokat használó összes webhely veszélybe kerül abban a pillanatban, amikor az egyiket egy hacker feltöri.
Ha attól tart, hogy elveszíti bejelentkezési adatait, készítsen papír másolatot az adatokról (feltétlenül írja be a megfelelő nagybetűket!). Tárolja a papírmásolatot biztonságos helyen, ahová csak Ön és megbízható személyek férhetnek hozzá (például egy zárható iratszekrényben).
Ezenkívül engedélyezheti a kétfaktoros hitelesítést vagy az egyszeri jelszót (OTP) a WordPress bejelentkezési oldalán. Ez egy újabb biztonsági réteget biztosít a magasabb szintű védelem érdekében. Például a WordPress biztonsági bővítmény SG Security (ami jár SiteGround hosting tervek) egy „kéttényezős hitelesítés” funkcióval rendelkezik, amely a Google Authenticator beépülő modulját használja. Ez azt jelenti, hogy még ha egy hacker kitalálta is az adminisztrátori felhasználónevét és jelszavát, akkor is ki kell találnia a véletlenszerűen generált hitelesítési kódot, hogy hozzáférjen webhelye háttérrendszeréhez.
2. Használja a WordPress legújabb verzióját
Egy másik egyszerű módszer webhelye biztonságának megőrzésére, ha mindig a WordPress legújabb verzióját használja. A WordPress egy „kiadási cikluson” fut, amely körülbelül 4 havonta kiadja az alapkód új verzióit. Míg a WordPress új verziói lehetnek kisebbek vagy nagyobbak, szinte mindig tartalmaznak biztonsági frissítéseket.
Ezek a frissítések olyan forrásokból származó legfrissebb információkon alapulnak, mint a Open Web Application Security Project (OWASP Foundation), „a webalkalmazások biztonságával foglalkozó online közösség”.
Szerencsére a WordPress és minden egyes új kiadása mindig ingyenesen telepíthető webhelyére. És a legtöbb esetben a WordPress automatikusan frissíti a webhelyet a legújabb verzióra (kivéve, ha kifejezetten azt mondja neki, hogy nem, vagy a WordPress 3.7-nél régebbi verziót használ).
Ráadásul a WordPress törzscsapata rengeteg erőfeszítést költ a WordPress új verzióinak visszafelé kompatibilissé tételére. Ez egyszerűen azt jelenti, hogy a WordPress új verzióit úgy tervezték, hogy működjenek a meglévő témákkal, bővítményekkel és egyéni kóddal.
Az Irányítópult > Frissítések menüpontban (a fenti képen sárga nyíl) ellenőrizheti, hogy webhelye frissült-e a legújabb verzióra. Itt láthatja, hogy a WordPress melyik verzióját használja, és hogy az elérhető-e a legújabb verzió (piros nyíl a fenti képen).
Fontos megjegyezni, hogy általában nem szeretne a WordPress legújabb verziójára „ugrani”, ha sokkal régebbi verziót használ.
Ha például a WordPress 4.9-et (2017-ben jelent meg) használja élő webhelyén, nem javaslom, hogy próbáljon meg egyenesen a WordPress 6.2-re (a cikk idején a legújabb verzió) frissíteni. Ez megtöri a dolgokat.
Ehelyett letöltheti és telepítheti korábbi kiadások webhelyére, és lassan frissítse webhelyét. Ezenkívül a frissítések végrehajtása előtt biztonsági másolatot kell készítenie webhelye fájljairól. Azt javaslom, nézd meg ez a cikk a WordPress-webhely biztonsági mentése előtt, közben és után megteendő különféle lépésekről szól. Ez minden bizonnyal lehet egy folyamat, de megkímélheti attól a fejfájástól, hogy összeomlik a webhelye, és megpróbál mindent utólag kijavítani.
Vegye figyelembe, hogy minél régebbi a WordPress jelenlegi verziója, annál fárasztóbb és bizonytalanabb lesz ez a folyamat. Ez még inkább ok arra, hogy a WordPress verzióját mindig naprakészen tartsa!
3. Frissítse a témát a legújabb verzióra, és távolítsa el a nem használt témákat
A WordPress „megerősíti” alapértelmezett témái biztonságát azáltal, hogy folyamatosan fejleszti, iterálja és új témaváltozatokat ad ki. Ez azt jelenti, hogy mindig a WordPress legfrissebb alapértelmezett témáját kell használnia, amikor csak teheti, mivel a legújabb biztonsági frissítések be vannak építve.
Szerencsére könnyű megállapítani, hogy melyik alapértelmezett téma a legújabb, mert minden új témát az aktuális (vagy közelgő) évről neveznek el, amikor a témát ki kell adni. Például a 2023-ban kiadott téma a „Twenty Twenty-Three” nevet viseli.
A biztonsági frissítéseken kívül az új alapértelmezett témák számos új funkciót is tartalmaznak, amelyek célja, hogy megkönnyítsék és élvezetesebbé tegyék a webhelyek tervezését. Ráadásul gyakran teljesítményjavításokat is tartalmaznak annak érdekében, hogy webhelye jobban teljesítsen, és ezáltal nagyobb forgalmat érjen el.
Nem tudja, hogyan frissítheti témáit a WordPressben? Megmutatom, hogyan az enyémben WordPress kezdőknek 2023: kód nélküli WordPress mesterkurzus az Udemy-n.
Akár a legújabb alapértelmezett témát választja a WordPress-webhelyhez, akár ragaszkodik ahhoz a témához, amelyik kényelmes, mindig törölnie kell az inaktív vagy egyéb módon nem használt témát a webhely hátterében. Ennek az az oka, hogy a fel nem használt témák (különösen a régebbi témák vagy harmadik féltől származó témák) biztonsági réseket tartalmazhatnak, amelyek megkönnyítik a hackerek számára az Ön webhelyének elérését és megtámadását.
4. Frissítse a beépülő modulokat a legújabb verziójukra, és ellenőrizze a kompatibilitást
Az egyik dolog, ami nagyszerűvé teszi a WordPress-t, az a harmadik féltől származó bővítmények integrálása. Azonban nem minden beépülő modult hoznak létre egyformán, és némelyikük ténylegesen biztonsági rést okozhat a webhelyen.
Szerencsére van néhány egyszerű dolog, amellyel csökkentheti a beépülő modulok által okozott biztonsági fenyegetések kockázatát.
Kezdetnek mindig azt javasoljuk, hogy töltse le és telepítse a WordPress beépülő modulokat a WordPress adattárból. Ennek az az oka, hogy az itt felsorolt beépülő modulokat a WordPress biztonsági csapatának át kell tekintenie és jóvá kell hagynia, mielőtt letölthetővé válna. Ezeket a bővítményeket ezen keresztül találhatja meg ez a közvetlen hivatkozás a beépülő modul tárolójához, vagy közvetlenül a webhely WP Admin Area részéből a Plugins> Add New (az alábbi képen sárga nyíl) menüpontban.
Amikor eldönti, hogy melyik beépülő modult töltse le WordPress-webhelyére, erősen ajánlom a „WordPress-verziójával kompatibilis” beépülő modulok használatát. Szerencsére a WordPress közvetlenül a Plugin könyvtárból közli, hogy a beépülő modul és a WordPress verzió kompatibilis-e (piros nyíl a fenti képen). Azok a beépülő modulok, amelyeket nem teszteltek a WordPress legújabb verziójával, a következő üzenetet jelenítik meg: „Nem tesztelték az Ön WordPress-verziójával” (kék nyíl a fenti képen).
Bár a „nem tesztelt” beépülő modulok jól működhetnek az Ön WordPress-verziójával és témájával, előfordulhat, hogy ezekhez a bővítményekhez feltáratlan biztonsági rések kapcsolódnak. Ezért az ilyen bővítményeket óvatosan használja webhelyén.
Ne feledje, hogy A WordPress kijelenti a biztonsági fehér könyvében: "A beépülő modulok és a témák tárolóba foglalása nem garancia arra, hogy mentesek a biztonsági résektől." Ennek ellenére az ismert „súlyos sérülékenységekkel” rendelkező beépülő modulok eltávolításra kerülnek a tárolóból, és a WordPress biztonsági csapata még javíthatja is őket, mielőtt újra közzéteszik őket a tárhelyen.
Végül, miután telepítette a beépülő modulokat a webhelyére, gondoskodnia kell arról, hogy mindegyiket naprakészen tartsa. A beépülő modulok fejlesztői általában biztonsági frissítéseket és javításokat vezetnek be új verzióikkal. Tehát a beépülő modul legfrissebb verziójával biztosíthatja, hogy az adott bővítményhez elérhető összes legújabb biztonsági frissítés elérhető legyen webhelyén. A nem használt vagy inaktív témákhoz hasonlóan azt is javaslom, hogy kapcsolja ki és távolítsa el a nem használt beépülő modulokat a webhelyen, hogy csökkentse annak esélyét, hogy az ilyen beépülő modulok később biztonsági rést okozzanak.
Ha nem tudja, hogyan kell frissíteni a beépülő modulokat a WordPressben, azt javaslom, hogy ellenőrizze ezt a folyamatot a saját oldalamban WordPress kezdőknek 2023: kód nélküli WordPress mesterkurzus az Udemy-n.
5. Adjon hozzá egy SSL-tanúsítványt a domainjéhez
A végső könnyű 2023-ban úgy növelheti biztonságát a WordPress webhelyén, hogy SSL-tanúsítványt ad hozzá a domainhez.
Az SSL (Secure Socket Layer) tanúsítványok lényegében azt igazolják, hogy a webhely látogatói által megtekintett tartalom a tartalom tényleges létrehozójától származik, nem pedig egy csaló vagy csaló webhely. Más szóval, közvetlenül a felhasználó böngészőjéből ellenőrzi, hogy minden jogszerű-e.
A megfelelően beállított SSL-tanúsítvánnyal rendelkező webhelyeken a böngésző keresősávjában egy lakat ikon látható a webhely URL-címe mellett. Például, ha megnézi ennek a webhelynek a tetejét a Google Chrome böngészőjében, egy lakat ikont fog látni a fő URL mellett (piros nyíl a fenti képen). Ha rákattint a lakat ikonra, megjelenik egy „A kapcsolat biztonságos” sor. Ez a Google ellenőrzi, hogy a webhely és a látogató böngészője közötti kapcsolat biztonságos és privát.
Az SSL-tanúsítványok különösen fontosak minden olyan webhely számára, amely gyűjt ANY felhasználói adatok típusa. Ez magában foglalja a kapcsolatfelvételi űrlapon gyűjtött egyszerű információkat (pl. név, e-mail cím, telefonszám stb.), valamint összetettebb vagy privát információkat, amelyek például egy e-kereskedelmi webhelyről gyűjthetők (pl. hitelkártyaszámok, cím, stb.). Azáltal, hogy biztonságossá teszik a kapcsolatot a webhely és a webhely látogatói között, az SSL-tanúsítványok nagyon megnehezítik a hackerek számára a két fél között kicserélt információk ellopását.
Egyes webhely-tárhelyszolgáltatók díjat számítanak fel az SSL-tanúsítványért, míg mások (pl Siteground) kínál a ingyenes SSL tanúsítvány. A legtöbb tárhelyszolgáltatónak SSL-tanúsítványt kell kínálnia, valamint útmutatást kell adnia a WordPress webhelyére történő telepítéséhez.
További bónuszként az olyan keresőmotorok, mint a Google, hajlamosak az SSL-tanúsítvánnyal rendelkező webhelyeket magasabbra rangsorolni, mint azokat, amelyek nem rendelkeznek ilyen tanúsítvánnyal. Más szavakkal, az SSL-tanúsítványok nemcsak biztonságosabbá teszik webhelyeit, hanem elősegíthetik a webhely nagyobb forgalmát is.
Ennyit ehhez a cikkhez! Ha tetszett, az én oldalamban többet megtudhat arról, hogyan hozhat létre WordPress-webhelyet az elejétől a végéig WordPress kezdőknek 2023: kód nélküli WordPress mesterkurzus az Udemy-n.
