Mint tárhelyszolgáltatónak (helyesebben tárhely viszonteladónak, hiszen az általunk használt szerver a Silihost Kft tulajdona) újra és újra szembe kell néznünk a WordPress elleni támadásokkal. Mostanra sajnos elmondható, hogy a WordPress népszerűsége a visszájára fordult: állandósult a brutális támadás a WordPress rendszerek ellen. Nem tehetünk mást, mindannyiunk érdekében kötelezővé kell tennünk a wp-login.php védelmét a tárhelyünkön, de mindenki másnak is, minden WordPress felhasználónak ugyanezt javasoljuk.

Ahogyan azt már korábban is leírtuk, “A WordPress oldalak ellen öszetett támadás folyik. A legtöbb esetben a wp-login.php kapuoldalt támadják, igyekeznek jelszókombinációkkal feltörni az adott rendszert.” (Antal Béla, Silihost Kft) A Silihost szerverén a legfrissebb logok szerint “2014. szeptember 7. óta egymillió (!) feletti az észlelt támadások száma, melyek konkrétan a wp-login.php ellen történtek“. “Tapasztalatból tudjuk, hogy eleddig csak a nem-frissített rendszerek okoztak komolyabb problémát, azonban az utóbbi időkben már a WordPress verziószámától függetlenül igyekeznek jelszótörési technikával behatolni a rendszerbe. Ezt a fajta, ún. brute force jelszótörési módszert ki lehet védeni azzal, ha átnevezzük a wp-login.php kapuoldalt.

A sokszor hangoztatott biztonsági előírásokat (frissítések elvégzése, saját számítógép vírusmentesítése, erős felhasználónév és jelszó használata, stb) természetesen továbbra is be kell tartani, de ez most már kevés. “A botnetekbe be van égetve a wp-login.php fájlnév“, fogalmazott Antal Béla, tehát egyetlen módon védekezhetünk: át kell neveznünk a wp-login.php fájlt és a wp-admin oldalt.

Ezt a feladatot kétféleképpen végezhetjük el: az egyik az, hogy a tárhelyünkön lévő .htaccess fájlt módosítjuk; de a bátortalanabb felhasználók számára, akiknek komoly gondot okoz egy ilyen beavatkozás, szerencsére rendelkezésre állnak erre a célra bővítmények is.

 

Először az első módszert ismertetem, a WordPress Fórumon talált cikk alapján.

Ha semmiképpen nem akarsz a tárhelyeden nyúlkálni, hanem mindenképpen bővítményt akarsz használni, akkor kattints ide, és rögtön a cikk második részéhez ugrasz.

Az eredeti .htaccess fájl így néz ki:

# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress

Ebbe, a RewriteBase / sor után bele kell írni egy új parancsot:

RewriteRule ^belepes$ wp-login.php

Ezzel egyelőre még csak azt érted el, hogy a domainneved.hu/belepes linken és a domainneved.hu/wp-login.php linken is be lehet lépni a Vezérlőpultodba; ezért most még el kell rejtened a wp-login.php-t.

Ennek érdekében a functions.php fájlba be kell írnod a következőket:

add_filter('site_url', 'wplogin_filter', 10, 3);
function wplogin_filter( $url, $path, $orig_scheme )
{
$old = array( "/(wp-login\.php)/");
$new = array( "belepes");
return preg_replace( $old, $new, $url, 1);
}

Ettől kezdve, amikor a WordPress bárhol a “wp-login.php”-ra hivatkozik, akkor helyette a “belepes”-t fogja használni.

 

Egy másik cikkben a wp-admin könyvtár, azaz a Vezérlőpult elrejtését írja le a szerző. Itt is a .htaccess fájlba kell beleírnunk, a következőképpen:

RewriteEngine On
RewriteBase /
##### INNEN JÖN AZ ÚJ KÓDRÉSZLET #####
RewriteCond %{REQUEST_URI} wp-admin/
RewriteCond %{QUERY_STRING} !IRJIDEVALAMIBONYOLULTAT
RewriteRule .*.php [F,L]
RewriteCond %{QUERY_STRING} !IRJIDEVALAMIBONYOLULTAT
RewriteRule ^UJKONYVTARNEVE/(.*) wp-admin/$1?%{QUERY_STRING}&IRJIDEVALAMIBONYOLULTAT [L]
##### EDDIG TART AZ ÚJ KÓDRÉSZLET #####
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

A fenti kódban az “IRJIDEVALAMIBONYOLULTAT” részt helyettesítsd valami nehezen kitalálhatóval (bármilyen hosszabb magyar szó megteszi 🙂 – vagy a kedvenc kisállatod neve is), az “UJKONYVTARNEVE” pedig az lesz, ahol ezentúl eléred a Vezérlőpultot, tehát ez helyettesíti mostantól a wp-admint.

 

Ha megnézed a fenti két módszerről szóló cikkeket, láthatod, hogy mindkettő régen, évekkel ezelőtt íródott. Azóta számos bővítményt készítettek a probléma megoldására, én most azt ismertetem, amely a WordPress hivatalos oldalán a legmagasabb értékelést kapta, és ez a Rename wp-login.php.

Leírása szerint ez a bővítmény anélkül működik hatásosan, hogy a Rewrite utasításokat módosítaná, és a valóságban nem nevez át vagy változtat meg egyetlen fájlt sem a WordPress motorban, viszont elérhetetlenné teszi a wp-admin könyvtárat és a wp-login.php fájlt. (Azaz jó, ha megjegyzed, mire nevezted át ezeket, különben Te magad sem fogsz tudni belépni 🙂 – de ez persze csak vicc, különben is, ha törlöd a tárhelyedről a bővítményt, akkor visszaáll a régi rend.)

Használata pofonegyszerű: amint telepíted és bekapcsolod, átdob a Beállítások -> Közvetlen linkek oldalra, ahol csak be kell írnod, hogy mi legyen ezentúl a belépésvezérlő oldalad neve, és készen is vagy. A domainneved.hu/wp-admin ezentúl nem dob át a wp-login.php-ra, hanem kiírja, hogy jelentkezz be, a domainneved.hu/wp-login.php pedig 404-es “Nincs ilyen oldal” hibaüzenetre fut.

A Rename wp-login.php együttműködik számos olyan bővítménnyel, amely a belépési oldalt használja, így nem okoz gondot a BuddyPress, a bbPress, a Limit Login Attempts, vagy a User Switching számára, és (saját tapasztalat) rendben működik, ha a User Access Manager + Theme My Login párosítást használod (de eltérő nevet kell adnod a két belépési felületnek). Ugyanakkor problémásak lesznek azok a bővítmények, amelyek nem szabványosan hivatkoznak a belépésvezérlő függvényre, hanem a fejlesztő direktben a kódba írta be a wp-login.php fájlnevet.

Mindezek miatt természetesen a bővítmény bekapcsolása előtt olvasd el a leírását, készíts biztonsági mentést a weblapodról, járj el nagyon körültekintően, és ha bármi gondot tapasztalsz, akkor kapcsold ki a bővítményt (vagy töröld a tárhelyedről) és keress egy másikat a WordPress hivatalos oldalán.

Ha bizonytalan vagy, kérj segítséget a tárhelyszolgáltatódtól, vagy valakitől, aki biztosabban mozog a számítástechnika világában. Ha gondolod, minket is megbízhatsz ezzel a feladattal – kérlek, írj a tamogatas [@] pagonymedia [.] hu e-mail címre.

 

A számítógépes bűncselekmények mindenkit érintenek, ezért nagyon fontos, hogy összefogjunk, és mindenki mindent megtegyen annak érdekében, hogy a weboldalaink ne lehessenek a támadók martalékai. Erősen javaslom, hogy vezesd be a fenti módszert Te is!