Pár hete vasárnap az egyik közismert tárhelyszolgáltatót érte hacker-támadás, amelyet gyorsan észleltek és ki is javítottak. Az ilyen jellegű betörések ellen a szolgáltató védekezik, és ha valami mégis bejut a szerverre, akkor az ő dolguk a helyreállítás. Azonban ha csak a Te oldaladat törik fel, azaz a hiba nem általános, akkor a tárhelyszolgáltatónak nem kötelessége ezt sem vizsgálni, sem javítani. Ilyenkor a Te dolgod a rosszindulatú kódok felderítése, törlése, és a weboldalad helyreállítása.

Nem ez az első bejegyzésem a biztonsági kérdésekről, sőt – hiszen írtam már a belépési oldal megvédéséről, a saját biztonsági mentés készítéséről, valamint a helyes frissítés módszeréről is. Tisztában kell lenned vele, hogy a WordPress, mint nyílt forráskódú rendszer, az egyedi fejlesztéseknél jobban ki van téve a rosszindulatú támadásoknak, viszont mivel világszerte több millióan használják és több százan fejlesztik, ezért a biztonsági réseket hamar felfedezik és javítják. Ez azonban egy végtelen történet, akárcsak a bűnözőké és a rendőröké: mindig van új rés, arra új védekezés, és így tovább.

Legutóbb tavaly októberben volt egy nagyobb támadás a WordPress ellen, amely a korábbi, 2.9.2. és 3.0.1. verziójú motorokat érintette, ekkor nyomatékosan felhívtam a figyelmet a frissítések rendkívüli fontosságára, és azt is leírtam, mi egyebet tehetsz még a WordPress oldalad biztonsága érdekében. (Ez a bejegyzés ide kattintva olvasható.)

 

hirdetés
Online WordPress Tanfolyam - Hamarosan nyitunk!

Most a fenti gondolatokat folytatva a figyelmedbe ajánlok néhány bővítményt, amelyeket érdemes használnod, hogy megvédd a honlapodat, valamint kitérek arra is, mit tegyél, ha ennek ellenére feltörik az oldaladat.

WebsiteDefender WordPress Security

Remek bővítmény, amely ellenőrzi és védi a WordPress alapú weboldalakat (például hogy megvannak-e a szükséges .htaccess fájlok, törölted-e az admin felhasználót, az adatbázis tábla-előtagot megváltoztattad-e wp_-ről valami másra, eltünteti a kódból a verziószámot, és így tovább), sőt, ha regisztrálsz az online WebsiteDefender szolgáltatásra, akkor folyamatosan ellenőrzik a weboldaladat, és jelzik, ha bármi gond van.

Ettől függetlenül minden weblapodat érdemes beregisztrálni a Google Webmester Eszközök szolgáltatásába, mert ez is figyel és riaszt, sőt, figyelmeztet akkor is, ha egy ideig nem lépsz be a weboldaldra, és nem veszed észre, hogy új frissítés elérhető a motorhoz.

Limit Login Attempts

A támadás sokszor az admin felület belépési oldalán keresztül érkezik. A robotok ellen, amelyek jelszógenerátorral próbálnak bejutni, és akár másodpercenként többször is próbálkoznak, jó védekezés ez a bővítmény, amely korlátozza a belépési kísérletek számát.

Enforce Strong Password

Ha túl könnyű a belépési jelszó, az admin felületet nem nehéz feltörni. Ez a bővítmény csak az erős jelszavakat engedélyezi (a jelszóerősség-mérés ugyanazzal a módszerrel történik, mint amit a WordPress maga is használ).

A fenti bővítményeken kívül még néhányat a figyelmedbe ajánl a Tutorial.hu egyik cikke, illetve ott részletesebben olvashatsz a .htaccess alapú védekezésről is.

 

Mit tegyél, ha mégis feltörik az oldaladat?

Először is ne ess pánikba. Az adatbázisodat nagy valószínűséggel nem érte el a hacker, így a tartalmaid nem vesztek el. (Ha mégis, az már a tárhelyszolgáltató dolga, és bár adatvesztésért nem vállalnak felelősséget, de az egy nappal korábbi állapot bármikor visszakérhető.)

Ha megtetted az óvintézkedéseket (lásd a “Komoly támadás a WordPress ellen – frissíts!” című bejegyzést), akkor a sablonod és a bővítményeid, meg a feltöltött média-tartalmaid megvannak a saját számítógépeden is, a WordPress motor pedig bármikor letölthető. Így, ha nem mersz kotorászni a tárhelyeden, vagy nem tudod, mit kellene nézned, akár a teljes tárhelyedet nyugodtan törölheted, majd felmásolod újra a WordPress motort és a lementett fájlokat, és már mehet is tovább a munka.

Ha kíváncsibb és bátrabb vagy, keresd meg és töröld a fertőzött fájlokat a tárhelyeden – ehhez sokszor elég, ha a fájlok dátumát figyeled, vagy ha viszonylag gyakran jársz a tárhelyeden és ismered a szokásos fájlneveket, akár azonnal kiszúrhatod az idegeneket. Használd a Sucuri SiteCheck szolgáltatást weboldalad ellenőrzésére – ha valami gond van, ez kiírja, sőt, azt is megmondja, hogy hol kell keresned a támadó fájlokat.

Fontos: a pucolás után mindenképpen változtasd meg a tárhelyed hozzáférési jelszavát (azaz az FTP- vagy SFTP-jelszót) – ha ezt magad nem tudod megtenni, kérd a tárhelyszolgáltatód segítségét.

 

Azt talán mondanom sem kell, hogy milyen sokat számít a megbízható tárhelyszolgáltató, aki mindent megtesz a szerverek védelméért, baj esetén segít, és (ez ma már alapvető követelmény) legalább fél évre visszamenőleg (bár külön díjazás ellenében) bármikor vissza tudja állítani a fájljaid és az adatbázisod állapotát a támadás előtti, tiszta állapotra. (Ha most gondolkodsz tárhely vásárlásán, vagy szolgáltatóváltáson, nézd meg a mi ajánlatunkat is.)

 

Remélem, hasznodra válik ez a bejegyzés! És a végére egy kis reklám 🙂 Ha bármi gondod akadna a weblapod biztonsági mentésével vagy egy támadás elhárításával, kérd a segítségemet! »

De van egy még jobb ötletem.

Nincs időd vagy módod rá, hogy a frissítéseket, a mentéseket, a módosításokat elvégezd?

Tartasz tőle, hogy valamit elrontasz, és eltűnik, szétesik a weboldalad?

Akkor a WP-Suli Karbantartási szolgáltatását Neked találtuk ki!

A szolgáltatás keretében havonta egyszer belépünk a weblapodra, teljes mentést végzünk, ellenőrizzük a rendszert biztonsági és technikai szempontból, elvégezzük a frissítéseket, és javaslatokat teszünk az általunk szükségesnek ítélt változtatásokra. Ez utóbbi változtatásokat (külön díj ellenében) el is végezzük, amennyiben visszaigazolod őket.

Természetesen teljes garanciát vállalunk weboldalad sértetlenségére, így rendszered folyamatosan biztonságos és naprakész lesz, anélkül, hogy Neked ezzel foglalkoznod kellene. Ha a weboldaladat támadás éri, ez esetben díjmentesen letöröljük a rosszindulatú kódokat és helyreállítjuk az oldal működését.

A technikai, biztonsági ellenőrzésen kívül stratégiai, marketing és tartalmi karbantartást is vállalunk.

A karbantartási szolgáltatásról részletesebben itt olvashatsz »