Kategória: WordPress biztonság

Gyorshír: biztonsági rés volt a WP GDPR Compliance bővítményben – így állíthatod helyre a weboldalad!

“Több fórumon is előjött az utóbbi napokban az a hiba, hogy nem jön be a WordPress admin és átugrik az oldal egy idegen weboldalra.” – írja a WordPress Magyarország oldalán Patai László.
“Ennek az lehet az oka, hogy biztonsági rés tátongott a WP GDPR Compliance nevű bővítményben, melyen keresztül a támadók át tudták venni az oldalunk felett az irányítást.”

Még egyszer a WordPress biztonságosságáról

“Megkérdeztem a tárhelyszolgáltatómat, hogy mi a véleménye, és ő nem szeretné, hogy WordPresst telepítsek a tárhelyemre. Azt mondja, túl sokszor kell biztonsági frissitést csinálni hozzá, és veszélyeztetem vele nemcsak a weblapom látogatóit, de a szervert és a rajta lévő többi weboldalt is. Igaz ez? Mit tehetek? Felejtsem el inkább a WordPresst?”
Ahogy mondani szokás, ha minden hasonló kérdésért csak tíz forintot kaptam volna, ma már dúsgazdag lennék… És a válaszom még mindig ugyanaz: a WordPress semmivel sem veszélyesebb vagy biztonságosabb, mint bármi más az interneten. Csak ésszel kell vele bánni. Tudni kell, hogy mik a szabályok, és azokat be kell tartani.

Ki a hibás, ha feltörték a WordPress oldalamat?

Sokszor előfordul, hogy ügyfelek vagy érdeklődők felteszik nekem ezt a kérdést. Kit kell hibáztatniuk? A tárhely védelme gyenge? Maga a WordPress túl sebezhető? Vagy a weblap készítője követett el hibát? Ilyenkor nem lehet egy szóban válaszolni, hiszen a WordPress alapú (vagy bármilyen más alapú) weblapok biztonsága nagyon sok tényezőtől függ.

Vírusirtás a honlapodon – alapfokon

Nincs annál bosszantóbb, mint amikor a gondosan elkészített honlapodat vírusok, férgek, “malware”-ek (azaz rosszindulatú kódok) fertőzik meg. A legtöbb honlaptulajdonos nem is érti, mi a csudának van értelme az ő honlapját feltörni, hiszen ő csak blogol a cickányok nászáról, miért érdekes ez egy hackernek? Csakhogy a malware-ek (és azok fejlesztői) valójában nem a blogod fölött akarják átvenni az irányítást, hanem kapuként használják ahhoz, hogy a tárhelyszolgáltatód szerverének erőforrásait kihasználva támadást indítsanak egy érzékeny (például banki) weboldal ellen.

SSL tanúsítvány beállítása WordPressben

Az előző cikkemben röviden bemutattam, mi az az SSL tanúsítvány, mire való, és hogyan lehet hozzájutni. Azonban az még nem elég, ha be van kapcsolva a tanúsítvány a tárhelyeden – ha már létezik egy ideje a weboldalad, akkor meg kell tenned néhány további lépést, hogy “kizöldítsd” az egészet. (A tanúsítvány telepítéséről és bekapcsolásáról itt nem írok – ha a tárhelyszolgáltatód nem csinálja meg Neked, akkor nézd meg a cPaneles beállításról ezt a videót.)

Az SSL tanúsítványról röviden és egyszerűen

Az SSL tanúsítvány azt jelzi, hogy a weblap és a látogatója közötti adatforgalom titkosított csatornákon keresztül történik, és így illetéktelenek nem tudnak ebbe “belehallgatni”. Meglétét egy weblapra kívülről ránézve úgy látod, hogy a weblap linkje https-sel kezdődik sima http helyett, valamint egy kis zöld lakat és a “Biztonságos” szó is látszik a böngésző címsorában (lásd pl https://uk.godaddy.com/).

Hogyan nehezítsd meg a hackerek dolgát?

A WordPress alapértelmezésként hibaüzeneteket jelenít meg, ha a bejelentkezési adatok nem helyesek a Vezérlőpultra történő bejelentkezéskor. Ez igazán felhasználóbarát megoldás, de egyben segítséget is nyújt az oldalt feltörni kívánó hackerek számára.
Légy résen, és nehezítsd meg a hackerek dolgát a hibaüzenetek beállításával! Ebben a bejegyzésben megtanulhatod, hogyan tudod ezt a legkönnyebben megtenni.

Ismét brutális WordPress elleni támadás az xmlrpc.php fájlon keresztül – töröld a tárhelyedről!

A blogok közötti visszajelzéseket (trackback/pingback) kezelő xmlrpc.php ellen, illetve azon keresztül kb három napja módszeres támadásokat észlelünk a szerverünkön. A támadások száma bőven felette lehet a napi milliós próbálkozásnak. Webmesterünknek újra kell írnia azt a speciális, WordPress elleni támadásokat elemző scriptjét, amely a mi szerverünket védi, mert a jelenlegi megoldás mellett egy normál számítógép, amely csak ezt csinálja, már nem tudja feldolgozni a percenkénti egyszer készülő logot – olyan mennyiségben támadnak.
Az egyetlen biztos megoldás jelenleg (ahogyan azt már sokszor megírtam) az, hogy törölni kell az xmlrpc.php fájlt a tárhelyed WordPress mappájából. Akinek karbantartási szerződése van, annak ezt mi folyamatosan elvégezzük, illetve ahová akármilyen egyéb okból belépünk, ott is töröljük. A gond az, hogy a fájl minden egyes WordPress motor frissítésnél újra felkerül a tárhelyre – tehát ha nem mi tartjuk karban a weboldaladat, akkor kérlek, ezt a fájlt minden frissítés után töröld ki újra!

Életbevágó apróságok

Múltkor már írtam hasznos apróságokról (klubtagoknak), a maiak viszont egyenesen életbevágóak lehetnek (no persze nem a Te életedet veszélyeztetik, annál inkább a honlapodét). Az alább felsoroltak mind olyan hibák, illetve olyan hibát okoznak, amelyektől a honlapod (vagy a Vezérlőpultod) egy szép, üres, fehér oldallá változhat, jobb esetben egyszerűen nem fog működni valami, vagy nem jelenik meg, pedig látszólag ott van.

A WordPress és a tárhelyszolgáltatás

A múlt héten gyakorlatilag semmi másra nem volt időm, mint levelezni – a tárhelyszolgáltatóval, amelynek viszonteladói vagyunk, a tárhely-ügyfelekkel, akiknek szolgáltatunk, és a WP-Suli meg a Facebook-oldalunk olvasóival, akik követnek minket és hallgatnak ránk a WordPress rendszerrel kapcsolatos kérdésekben.
Elsősorban szeretnék köszönetet mondani mindazoknak, akik a támogatásukról, az együttérzésükről biztosítottak minket, vagy éppen a segítségüket ajánlották fel. Hálás vagyok együttműködésükért és türelmükért.
Érdekes volt azonban néhány ügyfelünk illetve olvasónk reakciója, amelyet a legtöbb esetben az ismeretek hiánya okozott. Hoax, túlzott aggodalmaskodás, sőt, paranoia (ilyen szavakat használtak a kételkedők), vagy valóban nagyobb veszélyben vannak a WordPress alapú oldalak, mint más rendszerek?

All-In-One-SEO-Pack: nem biztonsági rés, “csak” egy szerver-riasztást kiváltó script van benne

Megkaptuk a hivatalos választ az All-In-One-SEO-Pack bővítmény fejlesztőitől. A lényeg az, hogy az a script, amely az egyik szerverünkön a riasztást kiváltotta, nem biztonsági rés, hanem egy olyan memórialimit-emelési kérés a szerver felé, amely “bizonyos körülmények között” fellép – azt nem írták meg, hogy melyek ezek a körülmények, és azt sem, hogy miért van szükség a memórialimit emelésére. Mindenesetre még egy kis türelmet kérünk a tárhely-ügyfeleinktől: hamarosan újra engedélyezzük az All-In-One-SEO-Pack használatát a szerverünkön.
De mi is ez a memórialimit-emelési kérés?

Egyre több a támadás a WordPress ellen – mit tehetünk?

Az ingyenes, nyílt forráskódú tartalommenedzselő rendszerek, mint amilyen a WordPress, a Joomla, a Drupal, az e107 és még néhány, mindig is ki voltak téve a támadásoknak. Korábban a WordPress volt a legbiztonságosabb, de most, hogy piacvezetővé vált, és egyre több komoly, nagyforgalmú weboldal is használja, egyre gyakrabban kerül a hackerek célkeresztjébe.
Aki nem tesz meg mindent, hogy a weboldalát biztonságos állapotban tartsa, és kaput nyit a károkozóknak, az nemcsak a saját weboldalát, hanem a többiekét is veszélyezteti, akik vele egy szerveren vannak, és nemcsak a WordPress alapúakat, hanem az összeset, a szerver teljes működését. Márpedig ez – és ezt sokan nem tudják – a Büntető Törvénykönyvbe ütköző cselekedet, így rendkívül fontos a felelősségteljes magatartás, hiszen akár bűnvádi eljárás is lehet a figyelmetlenségből, nemtörődömségből.
Sokszor írtam már arról, hogy a megjelenő frissítéseket mindig azonnal le kell tölteni, mert ezek a felfedezett biztonsági réseket tömik be, de ezen kívül is rengeteget tehetünk weboldalunk megvédésre. Az alábbiakban összefoglalom a legfontosabb lépéseket.

Betöltés...

Ne maradj le, iratkozz fel!

Kérlek, válaszd ki, hogy napi egy, vagy
heti egy blogértesítőt
kérsz.

Ha elfogadod, hogy egyéb hírleveleket is küldjek WordPress és webdesign témában, illetve szintén témába vágó ajánlatokat, akkor kérlek, ezt is jelöld be.

A feliratkozáshoz mindenképpen el kell fogadnod az Adatkezelési tájékoztatót (a hírlevelet azonban nem kötelező kérned).

Tartalomjegyzék

Válassz a bejegyzések közül az alábbi témák szerint, vagy használd a keresőt!

Kiemelt ajánlat

Itt vegyél Divi sablont :)
X affiliate link, jutalékot kapunk belőle

WordPress tárhely

A WordPress igényeire optimalizált tárhely
X affiliate link, jutalékot kapunk belőle

Csatlakozz Facebookon!

Rajongóink speciális ajánlatokat kapnak, és elsőként értesülnek újdonságainkról.
 

Szeretettel várunk!

 
Csatlakozz Facebookon!

Ajánlott sablonok, bővítmények

X affiliate linkek, jutalékot kapunk belőlük