Címke: biztonság

Ki a hibás, ha feltörték a WordPress oldalamat?

Sokszor előfordul, hogy ügyfelek vagy érdeklődők felteszik nekem ezt a kérdést. Kit kell hibáztatniuk? A tárhely védelme gyenge? Maga a WordPress túl sebezhető? Vagy a weblap készítője követett el hibát? Ilyenkor nem lehet egy szóban válaszolni, hiszen a WordPress alapú (vagy bármilyen más alapú) weblapok biztonsága nagyon sok tényezőtől függ.

Vírusirtás a honlapodon – alapfokon

Nincs annál bosszantóbb, mint amikor a gondosan elkészített honlapodat vírusok, férgek, “malware”-ek (azaz rosszindulatú kódok) fertőzik meg. A legtöbb honlaptulajdonos nem is érti, mi a csudának van értelme az ő honlapját feltörni, hiszen ő csak blogol a cickányok nászáról, miért érdekes ez egy hackernek? Csakhogy a malware-ek (és azok fejlesztői) valójában nem a blogod fölött akarják átvenni az irányítást, hanem kapuként használják ahhoz, hogy a tárhelyszolgáltatód szerverének erőforrásait kihasználva támadást indítsanak egy érzékeny (például banki) weboldal ellen.

SSL tanúsítvány beállítása WordPressben

Az előző cikkemben röviden bemutattam, mi az az SSL tanúsítvány, mire való, és hogyan lehet hozzájutni. Azonban az még nem elég, ha be van kapcsolva a tanúsítvány a tárhelyeden – ha már létezik egy ideje a weboldalad, akkor meg kell tenned néhány további lépést, hogy “kizöldítsd” az egészet. (A tanúsítvány telepítéséről és bekapcsolásáról itt nem írok – ha a tárhelyszolgáltatód nem csinálja meg Neked, akkor nézd meg a cPaneles beállításról ezt a videót.)

Az SSL tanúsítványról röviden és egyszerűen

Az SSL tanúsítvány azt jelzi, hogy a weblap és a látogatója közötti adatforgalom titkosított csatornákon keresztül történik, és így illetéktelenek nem tudnak ebbe “belehallgatni”. Meglétét egy weblapra kívülről ránézve úgy látod, hogy a weblap linkje https-sel kezdődik sima http helyett, valamint egy kis zöld lakat és a “Biztonságos” szó is látszik a böngésző címsorában (lásd pl https://uk.godaddy.com/).

Hogyan nehezítsd meg a hackerek dolgát?

A WordPress alapértelmezésként hibaüzeneteket jelenít meg, ha a bejelentkezési adatok nem helyesek a Vezérlőpultra történő bejelentkezéskor. Ez igazán felhasználóbarát megoldás, de egyben segítséget is nyújt az oldalt feltörni kívánó hackerek számára.
Légy résen, és nehezítsd meg a hackerek dolgát a hibaüzenetek beállításával! Ebben a bejegyzésben megtanulhatod, hogyan tudod ezt a legkönnyebben megtenni.

WordPress Biztonsági Est

Már sokszor és sok mindent írtunk a WordPress biztonságról, de senki nem tud többet erről a témáról, mint Csermák Szabolcs, az “Etikus Hacker”, aki a weboldalán és a Facebook oldalán is rendszeresen osztja meg tanácsait a témáról. Most egy élő rendezvény keretében hallhatjuk tőle, hogy mit és hogyan érdemes tennünk.

Visual Composer – biztonsági frissítés

Az Envato Team bejelentette, hogy a WP Bakery által készített “húzd-és-vidd” bejegyzésszerkesztő (vagy ahogyan többen ismerik: page builder), a Visual Composer kódjában biztonsági hibát fedeztek fel. A 4.7.4. verzióban ezt javították, tehát ha korábbit használsz, akkor mindenképpen frissítsd a bővítményt. Megmutatom, pontosan hogyan tudod ezt megtenni.

Ismét brutális WordPress elleni támadás az xmlrpc.php fájlon keresztül – töröld a tárhelyedről!

A blogok közötti visszajelzéseket (trackback/pingback) kezelő xmlrpc.php ellen, illetve azon keresztül kb három napja módszeres támadásokat észlelünk a szerverünkön. A támadások száma bőven felette lehet a napi milliós próbálkozásnak. Webmesterünknek újra kell írnia azt a speciális, WordPress elleni támadásokat elemző scriptjét, amely a mi szerverünket védi, mert a jelenlegi megoldás mellett egy normál számítógép, amely csak ezt csinálja, már nem tudja feldolgozni a percenkénti egyszer készülő logot – olyan mennyiségben támadnak.
Az egyetlen biztos megoldás jelenleg (ahogyan azt már sokszor megírtam) az, hogy törölni kell az xmlrpc.php fájlt a tárhelyed WordPress mappájából. Akinek karbantartási szerződése van, annak ezt mi folyamatosan elvégezzük, illetve ahová akármilyen egyéb okból belépünk, ott is töröljük. A gond az, hogy a fájl minden egyes WordPress motor frissítésnél újra felkerül a tárhelyre – tehát ha nem mi tartjuk karban a weboldaladat, akkor kérlek, ezt a fájlt minden frissítés után töröld ki újra!

Frissítés a háttérben – WordPress 3.7

“Köszönjük a WordPress 3.7 verzióra történt frissítést! Lehet, hogy nem is észrevehető, de a háttérben minden rendben van.” – ez a felirat fogad, ha elvégzed a frissítést a legújabb, 3.7-es WordPress verzióra. Hű, ez királyság, gondolod első pillanatban, többet nem kell vesződnöm a frissítésekkel! Nos, a helyzet azért nem javult (vagy romlott…) ennyire.

Biztonsági és hibajavító verzió érkezett

Megjött a WordPress 3.5.2-es verziója, amely 7 biztonsági rést és 12 hibát javított, valamint 3 biztonsági újítást vezetett be. Frissítsd a motort, de ne felejtsd el a biztonsági előírásokat! Ezekről korábban már sokat olvashattál, ezt a cikket mindenképpen ajánlom a figyelmedbe.

A WordPress és a tárhelyszolgáltatás

A múlt héten gyakorlatilag semmi másra nem volt időm, mint levelezni – a tárhelyszolgáltatóval, amelynek viszonteladói vagyunk, a tárhely-ügyfelekkel, akiknek szolgáltatunk, és a WP-Suli meg a Facebook-oldalunk olvasóival, akik követnek minket és hallgatnak ránk a WordPress rendszerrel kapcsolatos kérdésekben.
Elsősorban szeretnék köszönetet mondani mindazoknak, akik a támogatásukról, az együttérzésükről biztosítottak minket, vagy éppen a segítségüket ajánlották fel. Hálás vagyok együttműködésükért és türelmükért.
Érdekes volt azonban néhány ügyfelünk illetve olvasónk reakciója, amelyet a legtöbb esetben az ismeretek hiánya okozott. Hoax, túlzott aggodalmaskodás, sőt, paranoia (ilyen szavakat használtak a kételkedők), vagy valóban nagyobb veszélyben vannak a WordPress alapú oldalak, mint más rendszerek?

All-In-One-SEO-Pack: nem biztonsági rés, “csak” egy szerver-riasztást kiváltó script van benne

Megkaptuk a hivatalos választ az All-In-One-SEO-Pack bővítmény fejlesztőitől. A lényeg az, hogy az a script, amely az egyik szerverünkön a riasztást kiváltotta, nem biztonsági rés, hanem egy olyan memórialimit-emelési kérés a szerver felé, amely “bizonyos körülmények között” fellép – azt nem írták meg, hogy melyek ezek a körülmények, és azt sem, hogy miért van szükség a memórialimit emelésére. Mindenesetre még egy kis türelmet kérünk a tárhely-ügyfeleinktől: hamarosan újra engedélyezzük az All-In-One-SEO-Pack használatát a szerverünkön.
De mi is ez a memórialimit-emelési kérés?

Betöltés...

Ha először jársz nálunk…

Ne maradj le, iratkozz fel!

Tartalomjegyzék

Válassz a bejegyzések közül az alábbi témák szerint, vagy használd a keresőt!

Kiemelt ajánlat

WordPress tárhely

A WordPress igényeire optimalizált tárhely

Csatlakozz Facebookon!

Rajongóink speciális ajánlatokat kapnak, és elsőként értesülnek újdonságainkról.

Szeretettel várunk!

Ajánlott sablonok, bővítmények

Ez a weboldal a felhasználói élmény optimalizálása érdekében sütiket használ. További információ

Az Uniós törvények értelmében fel kell hívnunk a figyelmét arra, hogy ez a weboldal ún. "cookie"-kat vagy "sütiket" használ. A sütik apró, tökéletesen veszélytelen fájlok, amelyeket a weboldal helyez el az Ön számítógépén, hogy minél egyszerűbbé tegye az Ön számára a böngészést. A sütiket letilthatja a böngészője beállításaiban. Amennyiben ezt nem teszi meg, illetve ha a "Rendben" feliratú gombra kattint, azzal elfogadja a sütik használatát.

Bezárás