Websuli: így lesz biztonságos a weboldalad

|

Az alapvető védelmi mechanizmusok életbe léptetésén túl érdemes további intézkedéseket is bevezetni, ha feltörhetetlenné szeretnéd tenni honlapodat.

Sokféleképp bővítheted a WordPress-alapokon elkészített honlapodat, az installálható eszközök között szép számmal találsz olyan komponenseket, amelyek a védelmét hivatottak fokozni. Ez nem véletlen, a népszerű tartalomkezelő ugyanis a kiberbűnözők egyik kedvenc céltáblája, mivel elég egy apró sérülékenységre fényt deríteniük és máris honlapok milliói válnak támadhatóvá.

Persze a biztonságos környezet kialakításához nem kell azonnal kiegészítőket telepíteni, rengeteg olyan rejtett alapfunkció létezik, amelyeket villámgyorsan aktiválhatsz. Ha tudni szeretnéd, milyen intézkedésekre lesz szükséged ahhoz, hogy áthatolhatatlan falat emelj online felületed köré, tarts velünk.

Telepítés nélkül

Rengeteg védelmi mechanizmust beépíthetsz úgy is, hogy nem installálsz extra kiegészítéseket, ami már csak azért is előnyös, mert minden egyes telepített komponensre újabb biztonsági kockázatként kell tekintened, ezeken keresztül is támadhatóvá válik ugyanis az oldalad. Az egyik legfontosabb biztonsági intézkedés, hogy a honlap kezelőinek megfelelő jogosultságokat osztasz ki, ezzel megakadályozhatod, hogy az oldal alapvető struktúrájába egy olyan társad belenyúljon, aki egyébként csak a tartalmak feltöltéséért felel.

Szerencsére a WordPress képes jogosultságokat társítani az egyes felhasználókhoz, igaz, ezeket csupán manuálisan tudod szabályozni. A gyakorlatban mindössze annyi a teendőd ennek a védvonalnak a felállításához, hogy az új felhasználók hozzáadása során ügyelsz arra, kihez milyen szerepkört rendelsz. Mivel ezt az alapfunkciók között találod meg, így az adminisztrátori felületre belépve azonnal hozzá is láthatsz a jogosultságok kiosztásához. Érdemes lehet a saját, mindennapi ténykedésedhez is egy ilyen korlátozott fiókot használnod, mert az oldalon esetlegesen látható szerzőinformációk így nem árulják el a böngészőknek a teljes hozzáféréssel rendelkező adminisztrátori userhez tartozó felhasználónevet.

Ha pedig már kitértünk a korlátlan hatalmat kínáló admin szerepkörre, akkor fontos megemlíteni azt is, hogy a hozzákapcsolódó biztonsági lépcső felépítése során kell a leginkább körültekintően eljárnod. Az alapértelmezett jelszavakat, amint csak lehet, cseréld le valami biztonságosra (akár egy jelszókezelővel kreálhatsz is egy véletlenszerű karaktersorozatot, hogy a lehető legkomolyabb védelmet kapd), mivel ezekkel a belépési információkkal tényleges teljhatalmat kaphat az oldalad felett bárki. Fontos még, hogy tartózkodj az admin kifejezés használatától is, mert ha mégis így teszel, azzal már félig beengedted a támadókat az oldaladra. 

Áthelyezett admin

Úgy is megnehezítheted a honlapodra bejutni vágyó kiberbűnözők dolgát, ha áthelyezed az alapértelmezett bejelentkezési oldalt egy általad meghatározott címre. Ez azért fontos, mert a WordPress bejelentkezési menüjének eléréséhez csupán annyi a teendőd, hogy az oldal URL-je után biggyeszted a /wp-admin.php vagy a /wp-login.php végződést. Innentől pedig a tippelgetős jelszófeltöréstől kezdve a brute-force ostromig minden lehetőség nyitva áll a támadók előtt. Néhány egyszerű intézkedéssel azonban elrejtheted ezt a bejelentkezési képernyőt, és garantálhatod, hogy csak azok találjanak rá, akik jogosultak használatára.

Az első és legegyszerűbb módszer, ha már a telepítés során egy alkönyvtárban futtatod a tartalomkezelő installálását, ezzel kiszűröd azokat a botokat, akik csupán az oldalad címének végére biggyesztésével próbálnak rábukkanni a loginképernyőre. Ez természetesen nem a leghatékonyabb védekezés, de még mindig jobb, mintha semmit sem tennél.

Hasonló eredményre juthatsz pusztán azzal, ha átnevezed a wp-login.php állományt a tárterületeden valami másra. Ehhez annyi a teendőd, hogy komplett másolatot készítesz a fájlról, és a megfelelő helyeken kissé belenyúlsz a kódba úgy, hogy a wp-login.php kifejezés helyett az új bejelentkezési állomány nevét írod azokba a sorokba, ahol az eredeti szerepelt (a keresés és csere viszonylag gyorsan segít minden előfordulás leváltásában). Ha megvagy, töltsd fel szerveredre az új állományt, a régitől pedig (amint elkészítetted a biztonsági mentését) könnyes búcsút vehetsz.

Szintén nem kell telepítened semmit, csak az FTP tárhelyeden megkeresni a .htaccess állományt ahhoz, hogy egy következő "rejtőzködési" módszerrel is megpróbálkozhass. Nyisd meg a fájlt valamilyen szerkesztővel (érdemes a helyi lemezre átmásolni, és nem közvetlenül a szerveren dolgozni), majd a fájl első sorába gépeld be a következő utasítást: RewriteRule ^ujbejelentkezesioldal$ http://oldalad.hu/wp-login.php [NC,L].

Ezek után ments, és felülírhatod a szerveren található verziót. A frissen bevezetett szabálynak köszönhetően a loginoldal eléréséhez használhatod az ujbejelentkezesioldal kulcsszót is az URL megadása során. Ez a lépés persze nem maszkolja el ténylegesen oldaladat, mivel begépelése után látható lesz a wp-login.php, de megfelelő biztonsági intézkedésekkel kombinálva azért hasznos lehet.

Ezeknél egyszerűbb és sokkal inkább felhasználóbarát megoldást kínálnak a bővítmények. Közülük is kiemelkedik a Defender nevű kiegészítő, amely rendelkezik olyan funkcióval, amely képes elmaszkolni a loginfelületet, és rengeteg egyéb hasznos biztonsági szolgáltatást is felkínál. Installálását és aktiválását követően csupán annyi a teendőd, hogy az Advanced Tools alatt található Mask Login Areánál élesíted a szolgáltatást.

Ha szeretnéd alternatív helyre költöztetni oldalad bejelentkezési képernyőjét, a Defender bővítmény rengeteget segít ebben

Itt meg kell adnod az új URL-t, amelyen keresztül a belépési felületre jutsz. Az alapértelmezett oldalak megnyitása alkalmával a böngésző jelez a látogatónak, hogy letiltotta ezt az oldalt, ha azonban nem szeretnéd ezzel az üzenettel fogadni a korábbi bejelentkezési területre tévedőket, akkor opcionálisan arról is gondoskodhatsz, hogy az adott cím átirányítsa a felhasználókat (ebben szintén segít a Defender szolgáltatása). 

Átírt funkciók

Nem csak a .htaccess segítségével érhetsz el rejtett extra biztonsági kapcsolókat, a functions.php fájl módosítása is kínál néhány olyan eszközt, amelyekkel némiképp javíthatod weboldalad biztonságát. Első lépésként jó döntés, ha a bejelentkezést megkövetelő felületen arra kényszeríted a látogatókat, hogy a regisztráció során megadott nevüket használják az oldal eléréséhez, ezzel ugyanis meggátolhatod, hogy a digitális bűnözők e-mail-cím alapján próbáljanak meg betörni felületedre.

Ezt a funkciót a remove_filter('authenticate', 'wp_authenticate_email_password', 20 ); utasítás segítségével aktiválhatod. Ha úgy érzed, szükséged van rá, pusztán ennyit kell begépelned a .htaccess állomány egyik üres sorába. Hasonlóan érdemes megszabadulni a WordPress sokat mondó, alapértelmezett hibaüzeneteitől is. Egy általánosabban megfogalmazott információ lényegesen kevesebbet árul el arról, hogy miért nem sikerült a bejelentkezés (például nem tudja meg belőle a hacker, hogy az adott felhasználó létezik, csak a jelszó volt rossz).

Túlságosan sokat árul el egy sikertelen bejelentkezés során a WordPress alapértelmezett felülete

Megvalósításához nincs más teendőd, mint a parancsok listájába felvezetni a function no_wordpress_errors(){ return 'Hiba történt! ';} add_filter( 'login_errors', 'no_wordpress_errors' ); utasítást is. Ezekkel a lépésekkel pedig máris gondoskodtál arról, hogy kicsit biztonságosabb legyen az honlapod, mivel jelentősen megnehezítetted az illetéktelenek hozzáférését az oldal egyes funkcióihoz.

Hol is keresselek?

A .htaccess és a functions.php állomány eléréséhez és módosításához az online tárterületedet kell felkeresned. Az FTP-kapcsolat létrehozására számos céleszköz használható, de talán a legegyszerűbb, ha a Total Commander segítségével lépsz be a felületre. Nincs igazán elrejtve a könyvtárszerkezetben a .htaccess állomány, közvetlenül megtalálhatod WordPress oldalad gyökérkönyvtárában, és már módosíthatod is. A functions.php állomány felkutatása már trükkösebb, ez a fájl ugyanis az aktuálisan beállított oldalsablonod mappájában található.

A helyszín pontos meghatározásához ellenőrizd, hogy milyen témát használsz weblapodon, majd a tárhelyeden keresd meg a wp-content mappát. A belsejében lépj be a themesbe, itt pedig kattints az épp aktív sablonod nevét viselő alkönyvtárra. Ezzel el is jutottál a functions.php állományhoz, bátran szerkesztheted is.

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.helloworldonline.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.