Szeretnénk lerántani a leplet a WordPress weboldalakat övező városi legendákról, miszerint nem biztonságos rendszer és „bárki feltudja törni” a WordPress oldalunkat.
Most bemutatunk egy olyan bővítményt, amit bárki ingyenesen letölthet a WordPress bővítménytárból. A telepítésre most itt nem térnénk ki, remélhetőleg ez senkinek sem okoz gondot.
A bővítményünk, amit telepíteni fogunk az All In One WP Security plugin.
Lépjünk be a WP Security menübe, a kezdő képernyő, ami fog minket, egy összefoglaló oldal WordPress weboldalunk biztonsági beállításairól. Első ránézésre siralmas lesz a látvány, de néhány egyszerű beállítással jelentősen javíthatunk a helyzetünkön.
Nézzük is a beállításokat:
Lépjünk át a User Login almenüben, itt pipáljuk be a következő mezőket
- Enable Login Lockdown Feature (engedélyezzük a belépési funkciók felülbírálatát)
- Allow Unlock Requests (engedélyezzük a felhasználóknak a feloldási kérelmet)
- Display Generic Error Message (letiltjuk a hibaüzenetek megjelenítését pl.: helytelen felhasználó név vagy jelszó)
- Instantly Lockout Invalid Usernames (ismeretlen felhasználónév azonnali tiltása)
A gyári időzítések és próbálkozások száma általában elégséges, ezeket nem feltétlenül kell változtatni.
Következő menüponttal óvatosan bánjunk, ha oldalunkon regisztrálni lehet, mert ezzel megtiltjuk az oldalon a regisztációt!
Lépjünk be a User Registration almenübe és pipáljuk be a „Enable manual approval of new registrations” mezőt. Ezzel a beállítással elérjük, hogy csak jóváhagyás után tud a felhasználó belépni az oldalra.
Következő almenünk a „Database Security” mező.
Érdemes a biztonság kedvéért egy database backup-ot készíteni mielőtt ezt a biztonsági opciót is aktiváljuk. Ezzel átnevezzük a WordPress adatbázis tábla előtagját egy random karaktersorra.
Pipáljuk be a „Generate New DB Table Prefix” mezőt és mentsük el a beállítást. Ha minden rendben van, kapunk pár sor zöld pipás visszajelzést.
Térjünk át a fájlok védelmére. A „Filesystem Security” almenüben a tárhelyünk mappa jogait tudjuk módosítani (ha nem blokkolja ezek módosítását a tárhelyszolgáltatónk). Ma már elmondható, hogy a tárhelyszolgáltatót zöme helyesen kezeli alapértelmezetten ezeket a beállításokat, ha minden rendben van, akkor semmi tennivaló nincs.
Váltunk át a „PHP File Editing” mezőre és pipáljuk be a „Disable Ability To Edit PHP Files” mezőt. Ezzel az opcióval megtiltjuk, hogy illetéktelen személyek vagy programok módosításokat hajtsanak végre a php fájlainkban.
A következő tiltásunk a WordPress telepítési fájlainak kívülről történő elérésének tiltása. Menjünk át a „ WP File Access” fülre és pipáljuk be a „Prevent Access to WP Default Install Files” mezőt.
Következő két fő kategóriánk amit beállítunk a tűzfal és az admin felület elrejtése.
Beállítások a következők:
„Firewall” almenü, pipáljuk be az összes lehetőséget, amit felajánl a rendszer. Itt most nem térnék ki a „mi-micsodára”.
Tegyünk ugyan így a „Additional Firewall Rules”, „6G Blacklist Firewall Rules” és az „ Internet Bots” mezökkel is.
A wp-admin felület elérésével bánjuk körültekintően, mert ha elfelejtjük mire neveztük át az admin felületet, csak körülményesen tudjuk újra elérni. J
Nyissuk meg a „Brute Force” almenüt és pipáljuk be a „Enable Rename Login Page Feature” mezőt. Alatta találunk egy „Login Page URL” mezőt, ide kell beírnunk azt a nevet amire átszeretnénk nevezni a wp-admin linket. Csak nevet kell beírni, NEM KELL „/” jel!
Ezzel máris sokkal nagyobb biztonságban vagyunk az általános támadásokkal szemben, de hangsúlyozom, hogy a célzott támadások ellen ezek a beállítások nem jelentenek 100%-os védelmet!
Következő írásunkban megmutatjuk hogyan tudjátok a nem kívánatos országokat és botokat kitiltani az oldalatokról, ha a tárhelyszolgáltató nem teszi meg ezt helyettetek.
Kasza Norbert
WordPress Szakértő
+36307337871
info@wpmaster.hu
