biztonsági beállítás - WordPress Master

biztonsági beállítás

blank
2018.02.13.
wordpress-weboldal-keszites2.jpg

A weboldalak és kiemelten a webáruházak biztonságára egyre több figyelmet fordít a Google. A Google Chrome böngésző fejlesztése során ezt is figyelembe veszik. A webhelyek minősítésének fokozatos átalakításával abba az irányba terelik a fejlesztőket és a weboldal, webáruház tulajdonosokat, hogy álljanak át a biztonságos HTTPS protokoll használatára a látogatók biztonsága érdekében.

Kezdetekkor csak a biztonságos oldalak esetén jelent meg a bizalomépítő zöld lakat, aztán a 2017 januárjában kiadott, 56-os verziószámú Chrome böngésző már a “nem biztonságos” jelzéssel látta el azokat a weboldalakat, webáruházakat amelyek nem titkosított HTTP protokollon személyes adatokat kértek el a felhasználóktól.

A múlt héten napvilágot látott információk szerint a 2018 júliusában megjelenő 68-as verzió már minden olyan oldal esetén figyelmeztetést fog megjeleníteni, amely HTTP kapcsolaton keresztül kommunikál, attól függetlenül hogy éppen kér-e adatokat a látogatóktól.

 

Nagy valószínűséggel a többi böngésző is hasonlóan fogja a jövőben “minősíteni” a weboldalakat, webáruházakat.

 

Kasza Norbert
WordPress Szakértő
+36203536848
info@wpmaster.hu


blank
2017.06.16.
wordpress-honlap.png

Szeretnénk lerántani a leplet a WordPress weboldalakat övező városi legendákról, miszerint nem biztonságos rendszer és „bárki feltudja törni” a WordPress oldalunkat.

Most bemutatunk egy olyan bővítményt, amit bárki ingyenesen letölthet a WordPress bővítménytárból. A telepítésre most itt nem térnénk ki, remélhetőleg ez senkinek sem okoz gondot.

A bővítményünk, amit telepíteni fogunk az All In One WP Security plugin.

Lépjünk be a WP Security menübe, a kezdő képernyő, ami fog minket, egy összefoglaló oldal WordPress weboldalunk biztonsági beállításairól. Első ránézésre siralmas lesz a látvány, de néhány egyszerű beállítással jelentősen javíthatunk a helyzetünkön.

Nézzük is a beállításokat:

Lépjünk át a User Login almenüben, itt pipáljuk be a következő mezőket

  • Enable Login Lockdown Feature (engedélyezzük a belépési funkciók felülbírálatát)
  • Allow Unlock Requests (engedélyezzük a felhasználóknak a feloldási kérelmet)
  • Display Generic Error Message (letiltjuk a hibaüzenetek megjelenítését pl.: helytelen felhasználó név vagy jelszó)
  • Instantly Lockout Invalid Usernames (ismeretlen felhasználónév azonnali tiltása)

A gyári időzítések és próbálkozások száma általában elégséges, ezeket nem feltétlenül kell változtatni.

Következő menüponttal óvatosan bánjunk, ha oldalunkon regisztrálni lehet, mert ezzel megtiltjuk az oldalon a regisztációt!

Lépjünk be a User Registration almenübe és pipáljuk be a „Enable manual approval of new registrations” mezőt. Ezzel a beállítással elérjük, hogy csak jóváhagyás után tud a felhasználó belépni az oldalra.

Következő almenünk a „Database Security” mező.

Érdemes a biztonság kedvéért egy database backup-ot készíteni mielőtt ezt a biztonsági opciót is aktiváljuk. Ezzel átnevezzük a WordPress adatbázis tábla előtagját egy random karaktersorra.

Pipáljuk be a „Generate New DB Table Prefix” mezőt és mentsük el a beállítást. Ha minden rendben van, kapunk pár sor zöld pipás visszajelzést.

Térjünk át a fájlok védelmére. A „Filesystem Security” almenüben a tárhelyünk mappa jogait tudjuk módosítani (ha nem blokkolja ezek módosítását a tárhelyszolgáltatónk). Ma már elmondható, hogy a tárhelyszolgáltatót zöme helyesen kezeli alapértelmezetten ezeket a beállításokat, ha minden rendben van, akkor semmi tennivaló nincs.

Váltunk át a „PHP File Editing” mezőre és pipáljuk be a „Disable Ability To Edit PHP Files” mezőt. Ezzel az opcióval megtiltjuk, hogy illetéktelen személyek vagy programok módosításokat hajtsanak végre a php fájlainkban.

A következő tiltásunk a WordPress telepítési fájlainak kívülről történő elérésének tiltása. Menjünk át a „ WP File Access” fülre és pipáljuk be a „Prevent Access to WP Default Install Files” mezőt.

Következő két fő kategóriánk amit beállítunk a tűzfal és az admin felület elrejtése.

Beállítások a következők:

„Firewall” almenü, pipáljuk be az összes lehetőséget, amit felajánl a rendszer. Itt most nem térnék ki a „mi-micsodára”.

Tegyünk ugyan így a „Additional Firewall Rules”, „6G Blacklist Firewall Rules” és az „ Internet Bots” mezökkel is.

A wp-admin felület elérésével bánjuk körültekintően, mert ha elfelejtjük mire neveztük át az admin felületet, csak körülményesen tudjuk újra elérni. J

Nyissuk meg a „Brute Force” almenüt és pipáljuk be a „Enable Rename Login Page Feature” mezőt. Alatta találunk egy „Login Page URL” mezőt, ide kell beírnunk azt a nevet amire átszeretnénk nevezni a wp-admin linket. Csak nevet kell beírni, NEM KELL „/” jel!

Ezzel máris sokkal nagyobb biztonságban vagyunk az általános támadásokkal szemben, de hangsúlyozom, hogy a célzott támadások ellen ezek a beállítások nem jelentenek 100%-os védelmet!

 

Következő írásunkban megmutatjuk hogyan tudjátok a nem kívánatos országokat és botokat kitiltani az oldalatokról, ha a tárhelyszolgáltató nem teszi meg ezt helyettetek.

 

Kasza Norbert
WordPress Szakértő
+36203536848
info@wpmaster.hu


A weboldalon cookie-kat ("sütiket") használunk, hogy a legjobb felhasználói élményt nyújthassuk látogatóinknak. A cookie beállítások igény esetén bármikor megváltoztathatók a böngésző beállításaiban.

Adatvédelmi beállítások elmentve!
Adatvédelmi beállítások

Amikor meglátogat egy webhelyet az tárolhat vagy lekérhet információkat a böngészőben, főként sütik formájában. Itt beállíthatja személyes cookie szolgáltatásokat.

Ezek a cookie-k szükségesek ahhoz, hogy a webhely működjön, és nem kapcsolható ki a rendszerünkben.

Az oldal működtetéséhez az alábbi technikai cookie-ek szükségesek
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Összes tiltása
Összes engedélyezése