A digitális világban, ahol a kiberfenyegetések egyre összetettebbé és kifinomultabbá válnak, a WordPress webhely biztonságban tartása kritikus fontosságú. Akár személyes blogot, akár e-kereskedelmi áruházat vagy vállalati webhelyet üzemeltet, a behatolók, hackerek és rosszindulatú programok elleni védelemnek az első számú prioritásnak kell lennie.

A statisztikák elkeserítőek: a WordPress Stats szerint a platformra épített weboldalak közel 70%-át kiberbűnözők támadják meg. E támadások következményei katasztrofálisak lehetnek – a bizalmas adatok ellopásától a webhely tartalmának teljes törléséig. A pénzügyi veszteségek mellett ez helyrehozhatatlan károkat okozhat a márka hírnevében, és alááshatja az ügyfelek bizalmát.

Azonban ne ess kétségbe, mert vannak hatékony módszerek a WordPress webhely védelmére a potenciális fenyegetésekkel szemben. Megnézzük a legjobb gyakorlatokat és lépésről-lépésre történő útmutatásokat, hogyan javíthatod webhelyed biztonságát 2024-ben.

Megismerheti a kiberbiztonság legújabb trendjeit, a leggyakoribb támadásfajták – például a nyers erő, az injektálás, az elferdítés – elleni védekezés módszereit és még sok más dolgot. Kitérünk a megbízható tárhelyszolgáltatás kiválasztásának, a tűzfalak beállításának, a frissítések telepítésének és a rendszeres biztonsági mentések készítésének fontosságára is.

Telepítsen egy WordPress biztonsági mentési megoldást

A WordPress webhely rendszeres biztonsági mentése kritikus fontosságú az adatok biztonságának és integritásának biztosítása érdekében. Kibertámadás, rendszerhiba vagy a tartalom véletlen törlése esetén gyorsan visszaállíthatja webhelyét a biztonsági másolatból, így minimalizálva az adatvesztést és az állásidőt.

Telepítsen egy WordPress biztonsági mentési megoldást

Fizetős és ingyenes WordPress biztonsági mentési megoldások egyaránt rendelkezésre állnak, mindegyiknek megvannak a maga előnyei és hátrányai. Néhány népszerű lehetőség a következő:

  • AzUpdraftPlus egy hatékony ingyenes bővítmény, amely lehetővé teszi a weboldal, az adatbázisok, a bővítmények és a témák biztonsági mentését. Lehetővé teszi a másolatok mentését olyan felhőszolgáltatásokba, mint a Dropbox, a Google Drive vagy az Amazon S3.
  • ABackupBuddy az iBackup prémium megoldása, amely megbízható biztonsági mentést, adatvisszaállítást és webhelymigrációt kínál. Számos tárolási lehetőséget és folyamatautomatizálást támogat.
  • ABlogVault egy felhőalapú biztonsági mentési szolgáltatás, amely a WordPress biztonságára összpontosít. Automatikusan készít napi biztonsági mentéseket, és adattitkosítást biztosít.

A biztonsági mentési megoldás kiválasztásakor vegye figyelembe olyan tényezőket, mint például, hogy milyen gyakran szeretne biztonsági mentést készíteni, hol szeretné tárolni az adatait (helyben vagy a felhőben), mennyire automatizált a folyamat, és mennyire egyszerű az adatok visszaállítása.

Fordítson figyelmet a felhasználói véleményekre és a fejlesztő technikai támogatására.

Telepítsen egy megbízható WordPress biztonsági plugint

Az egyik leghatékonyabb módja a WordPress webhely biztonságának javítására egy speciális biztonsági bővítmény használata. Ezek a nagy teljesítményű eszközök számos biztonsági funkciót kínálnak, például sebezhetőségi vizsgálatot, nyers erővel történő védelmet, nem kívánt IP-címek blokkolását és még sok mást.

Telepítsen egy megbízható WordPress biztonsági plugint

Íme néhány a legjobb WordPress biztonsági bővítmények közül, amelyeket érdemes megfontolni:

  • AWordfence Security az egyik legnépszerűbb biztonsági bővítmény, beépített tűzfallal, kétlépcsős hitelesítéssel, valamint a sebezhetőségek és rosszindulatú programok rendszeres ellenőrzésével.
  • ASucuri Security egy olyan átfogó megoldás, amely a webes alkalmazás tűzfalat (WAF), a sebezhetőségi szkennert, a DDoS-védelmet és a rosszindulatú programok felügyeletét egyesíti.
  • AzAll In One WP Security & Firewall egy ingyenes bővítmény, amely számos funkcióval rendelkezik, többek között tűzfal, spam elleni védelem, fájlfigyelés és nem kívánt felhasználók blokkolása.
  • AziThemes Security (korábbi nevén Better WP Security) egy hatékony biztonsági eszközkészlet testreszabhatósággal, kétlépcsős hitelesítéssel és rosszindulatú támadások elleni védelemmel.

A biztonsági bővítmény kiválasztásakor ügyeljen a funkcionalitásra, a könnyű használatra, a WordPress webhelyével való kompatibilitásra és a fejlesztő rendszeres frissítéseire.

A webes alkalmazás tűzfal (WAF) engedélyezése

A webalkalmazás tűzfal (WAF ) egy hatékony eszköz a WordPress webhely védelmére a különböző típusú támadásoktól, mint például a rosszindulatú kód befecskendezése, cross-site scripting (XSS), SQL injektálás és sok más. A WAF védőgátként működik webhelye és a rosszindulatú forgalom között, kiszűrve a potenciálisan veszélyes kéréseket.

A webes alkalmazás tűzfal (WAF) engedélyezése

Vannak önálló WAF bővítmények a WordPresshez és olyan teljes biztonsági megoldások, amelyek a WAF-ot az egyik funkcióként tartalmazzák. Íme néhány népszerű lehetőség:

  • ANinjaFirewall (WP Edition) egy olyan bővítmény, amely átfogó WordPress-védelmet biztosít beépített WAF, malware-ellenőrző és egyéb biztonsági eszközökkel.
  • ACloudFlare egy népszerű CDN-hálózat, amely ingyenes webalkalmazási tűzfalat kínál a nem kívánt forgalom kiszűrésére (ajánlom).

A WAF-megoldás kiválasztásakor figyeljen a teljesítményre, a WordPress-kompatibilitásra, a könnyű telepítésre és a technikai támogatásra. Fontos azt is figyelembe venni, hogy képes-e automatikusan frissíteni a szűrési szabályokat, hogy védelmet nyújtson a legújabb fenyegetések ellen.

SSL/HTTPS tanúsítvány létrehozása a WordPress webhelyhez

A WordPress webhely biztonságos HTTPS protokollra való átállításához érvényes SSL/TLS tanúsítványra van szükség. Ez a digitális tanúsítvány titkosítja a felhasználó böngészője és az Ön webkiszolgálója között továbbított adatokat, így védve az érzékeny információkat a behatolók általi lehallgatástól.

SSL/HTTPS tanúsítvány létrehozása a WordPress webhelyhez

Több lehetőség is van arra, hogy SSL/TLS tanúsítványt szerezzen a WordPress webhelyéhez:

  • 1. Vásároljon kereskedelmi SSL-tanúsítványt: A hostkoss-hoz hasonló cégek különböző szintű érvényesítési és érvényességi időszakokkal rendelkező fizetős SSL-tanúsítványokat kínálnak. Ezek a tanúsítványok a legtöbb böngésző és operációs rendszer által teljes mértékben megbízhatóak.
  • 2. Használjon ingyenes SSL tanúsítványt a Let’s Encrypt-től: Let’s Encrypt egy nonprofit szervezet, amely ingyenes SSL/TLS tanúsítványokat biztosít automatikus megújítással. Tanúsítványaik csak 90 napig érvényesek, de minden modern böngésző támogatja őket.
  • 3. SSL/TLS tanúsítvány a tárhelyszolgáltatótól: Sok tárhelyszolgáltató cég a tárhelyszolgáltatás részeként SSL-tanúsítványokat kínál. Ezek lehetnek kereskedelmi jellegűek, vagy a Let’s Encrypt-tel együttműködve ingyenes tanúsítványokat biztosítanak. A Let’s Encrypt SSL telepítése a cPanelben

Miután megkapta az SSL-tanúsítványt, azt megfelelően be kell konfigurálnia a WordPress webhelyéhez. A tárhelytől és a tanúsítvány típusától függően ezt manuálisan is megteheti a vezérlőpulton keresztül.

Az SSL/HTTPS tanúsítvány beállításakor fontos, hogy a webhelyen található összes oldal, kép, szkript és egyéb erőforrás biztonságos kapcsolaton keresztül töltődjön be megfelelően. A HTTPS-re való átállás után frissítenie kell a harmadik féltől származó erőforrásokra mutató linkeket is, és ellenőriznie kell a gyorsítótár, a bővítmények és más WordPress-funkciók működését. A HTTPS átirányítások használata a cPanelben

Az alapértelmezett rendszergazdai felhasználónév módosítása

Az alapértelmezett admin felhasználónév megváltoztatása a WordPressben egy egyszerű folyamat, amely nagyban javítja a webhely biztonságát.

Íme egy lépésről lépésre követhető útmutató, hogyan kell ezt megtenni:

  • 1. Jelentkezz be a WordPress adminisztrációs felületére az alapértelmezettadmin fiókkal(admin).
  • 2. Menjenaz oldalsó menüFelhasználók szakaszába, és válassza az Összes felhasználó menüpontot.
  • 3. Keresse meg az“admin” nevű felhasználót a listában, és kattintson a fiókjára a profiljának megnyitásához.
  • 4. A felhasználó profilszerkesztő oldalán változtassa meg aFelhasználónév mezőt egy új, egyedi és nehezen kitalálható névre.
  • 5. A módosítások elvégzése után ne felejtsen el a Felhasználófrissítése gombra kattintani az új név mentéséhez.

Javaslom, hogy a rendszergazda felhasználónévhez nagy- és kisbetűk, számok és speciális karakterek hosszú kombinációját használja. Ez a lehető legellenállóbbá teszi a kitalálással szemben, és megvédi a webhelyét a behatolóktól.

Fontos, hogy ne felejtse el megváltoztatni a régi rendszergazdai névhez kapcsolódó egyéb fiókok jelszavait sem. Ez magában foglalja az e-mail fiókokat, a tárhelyfiókokat és minden más olyan szolgáltatást, amely a régi nevet használta.

A WordPress fájlok szerkesztésének letiltása

Ez a funkció lehetővé teszi, hogy a téma és a plugin fájlok forráskódját közvetlenül az admin panelen keresztül szerkessze, ami potenciális kockázatot jelenthet.

Alapértelmezés szerint a fájlok szerkesztésének lehetősége engedélyezve van a WordPressben, de biztonsági okokból javaslom ennek kikapcsolását. A kód nem szándékos módosítása sebezhetőségekhez vagy akár a webhely teljes meghibásodásához is vezethet. Ráadásul, ha a fiókját feltörik, a támadók saját belátásuk szerint módosíthatják a fájlokat.

A WordPress fájlok szerkesztésének letiltása

A fájlszerkesztés letiltása a WordPressben egyszerű folyamat, amely mindössze néhány percet vesz igénybe:

1. Jelentkezzen be a WordPress adminisztrátori felületére rendszergazdaként.

2. Lépjen aBeállítások szakaszba, és válassza a Szerkesztés opciót.

3. Vegye ki a jelölőnégyzetet aFájlszerkesztés engedélyezése opcióból.

4. Kattintson a Változások mentése gombra.

A kódot a wp-config.php fájlba is beillesztheted

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Miután elvégezte ezeket a lépéseket, többé nem lesz képes szerkeszteni a fájl kódját a WordPress admin panelen keresztül. Ez jelentősen csökkenti a véletlen vagy rosszindulatú változtatások kockázatát, amelyek megzavarhatják webhelyét.

Ha azonban időről időre változtatásokat kell eszközölnie a téma vagy a plugin fájljain, azt bármikor megteheti egy FTP-kliens vagy a tárhely fájlkezelője segítségével. Ez egy biztonságosabb módszer, amely teljes ellenőrzést biztosít a szerkesztési folyamat felett.

A PHP-fájlok végrehajtásának letiltása a WordPress könyvtárakban

A biztonság növelésének egyik leghatékonyabb módszere a PHP-fájlok végrehajtásának letiltása a WordPress webhely bizonyos könyvtáraiban.

Ez a technológia lehetővé teszi, hogy bizonyos könyvtárakban korlátozza a rosszindulatú PHP-kódok futtatásának lehetőségét. A támadók megpróbálhatnak szkripteket feltölteni a szerverére, hogy jogosulatlan hozzáférést és ellenőrzést szerezzenek a webes erőforrás felett. Ha azonban a PHP végrehajtása bizonyos mappák esetében le van tiltva, az ilyen kísérletek sikertelenek lesznek.

Javaslom, hogy tiltsa le a PHP végrehajtását a wp-content/uploads és a wp-includes könyvtárakban.

A PHP futtatásának letiltása meglehetősen egyszerű, és a WordPress webhely gyökérkönyvtárában található .htaccess fájlhoz speciális kód hozzáadásából áll. További információ: htaccess fájl: fő funkciók

Az alábbi sorokat kell hozzáadni:

<Files *.php>
deny from all
</Files>

Ez a kód azt mondja a kiszolgálónak, hogy ne hajtson végre semmilyen PHP-fájlt a megadott könyvtárban és annak alkönyvtáraiban. A .htaccess módosítását követően a támadók még akkor sem tudják majd végrehajtani a rosszindulatú PHP-skripteket, ha sikeresen letöltik azokat.

Bejelentkezési kísérletek korlátozása a WordPress adminisztrátorba

A bejelentkezési kísérletek számának korlátozása a WordPress webhelyen rendkívül fontos lépés a biztonság javítása és a rosszindulatú támadások elleni védelem érdekében.

Az egyik legegyszerűbb módszer az olyan speciális biztonsági bővítmények használata, mint a Wordfence Security vagy a Login LockDown. A bővítmény telepítése és aktiválása után beállíthatja az egyetlen IP-címről engedélyezett sikertelen bejelentkezési kísérletek maximális számát. Ha ezt a korlátot túllépi, az adott IP-cím ideiglenesen blokkolva lesz.

Emellett ezek a bővítmények gyakran további biztonsági funkciókat is kínálnak, például kétfaktoros hitelesítést vagy DDoS-védelmet.

A következő módszer az, hogy közvetlenül a WordPress .htaccess fájljában végezzen módosításokat. Bizonyos kódsorok hozzáadásával korlátozhatja a bejelentkezési kísérletek számát és beállíthatja a blokkolási időt. Ez a kód például 60 percen belül csak 5 sikertelen próbálkozást enged meg egy IP-címről:

order allow,deny 
allow from all
deny from unix

# Білий список localhost:

allow from 127.0.0.1

# Невдалі спроби входу в систему:

<Files wp-login.php>
order allow,deny
allow from all

# Дозвольте не більше 5 спроб входу в систему з однієї й тієї самої IP-адреси кожні 60 хвилин:

<limit-logins>
disable-env=off

# Видаліть IP-адресу, коли доступ дозволено або заборонено:

enable-env=allow-logins-env
env=allow-logins-env
maxretries=5  
findrate=60  
</limit-logins>
</Files>

Miután hozzáadta ezt a kódot a .htaccess fájlhoz, újra kell indítania a webkiszolgálót a változások alkalmazásához.

Egyes tárhelyszolgáltatók szerverszinten is kínálnak egy brute-force támadásvédelmi funkciót, amely lehetővé teszi, hogy blokkolja a gyanús IP-címekről érkező bejelentkezési kísérleteket, mielőtt azok elérnék a webhelyet. Ellenőrizze a tárhelyszolgáltatónál, hogy ez elérhető-e.

Kétfaktoros hitelesítés (2FA) hozzáadása

A kétfaktoros hitelesítés megköveteli a felhasználóktól, hogy bejelentkezéskor két különböző lépést hajtsanak végre: egy felhasználónév és jelszó megadása, valamint egy további egyszeri kód vagy biztonsági token megadása. Ez a további ellenőrzés sokkal biztonságosabbá teszi a bejelentkezési folyamatot, még akkor is, ha valaki megtudja az eredeti hitelesítő adatokat.

Az egyik legnépszerűbb megoldás a 2FA WordPressben történő megvalósítására a WP 2FA plugin – Two-factor authentication for WordPress. Telepítése és aktiválása után lehetővé teszi a kétfaktoros hitelesítést a weboldalad bármely fiókjához, beleértve az adminisztrátort is.

Beállítási folyamat:

Mostantól kezdve minden alkalommal, amikor bejelentkezik a WordPress webhelyére, a hitelesítő adatok megadása mellett egy hatjegyű numerikus kódot is meg kell adnia a munkamenet érvényességének ellenőrzésére. A kód 30-90 másodpercenként változik.

Érdemes megjegyezni, hogy a 2FA csatlakoztatása után mentse el a biztonsági kódokat a vészhelyzeti bejelentkezésekhez arra az esetre, ha elveszítené az okostelefonját a hitelesítő alkalmazással.

Vannak más bővítmények is, amelyek lehetővé teszik a kétfaktoros hitelesítés beállítását a WordPressben, például a Duo Security és mások. Ezek további hitelesítési módszereket kínálhatnak, például SMS-t vagy telefonhívást.

A WordPress adatbázis előtagjának megváltoztatása

Alapértelmezés szerint a WordPress a szabványos“wp_” előtagot használja az adatbázisban lévő összes táblához. A támadók jól ismerik ezt az előtagot, ami kiszámíthatóbbá teszi az adatbázis elleni támadásokat. Ha az előtagot egyedi karakterkombinációra változtatod, sokkal nehezebbé teszed a potenciális hackerek dolgát.

Kérjük, vegye figyelembe: az adatbázis-előtag megváltoztatása problémákhoz vezethet a weboldalán, ha ezt a folyamatot helytelenül végzi el.

Az adatbázis-előtag megváltoztatása a WordPressben meglehetősen egyszerű, de óvatosságot igényel, mivel a helytelen műveletek adatvesztéshez vezethetnek.

Íme egy lépésről-lépésre történő útmutató:

  • 1. Készítsen teljes biztonsági mentést az adatbázisáról és az összes WordPress-fájlról. Ez lehetővé teszi, hogy probléma esetén visszaállíthasd az oldaladat.
  • 2. Szerkesszük meg a wp-config.php fájlt a $table_prefix = ‘wp_’; kezdetű sor megkeresésével. A “wp_” szót cserélje ki egy tetszőleges betű-, szám- és aláhúzáskombinációra. Például: $table_prefix = ‘my8ql_’;
Szerkessze a wp-config.php fájlt
  • 3. Az adatbázis-adminisztrációseszközök (például a PhpMyAdmin) segítségével futtasson egy SQL-lekérdezést, hogy az összes meglévő WordPress-tábla előtagját az új értéknek megfelelően módosítsa.
  • 4. Frissítse a .htaccess fájlokat és minden olyan fájlt, amely hivatkozásokat tartalmazhat a régi adatbázis-előtagra.

Íme egy minta SQL lekérdezés a “my8ql_” előtag megváltoztatásához:

RENAME TABLE `wp_users` TO `my8ql_users`; 
RENAME TABLE `wp_usermeta` TO `my8ql_usermeta`;

... повторіть для всіх таблиць у вашій базі даних WordPress

E lépések elvégzése után a WordPress-adatbázisod egy új, egyedi előtagot fog használni. Ez sokkal nehezebbé teszi a támadók számára, hogy megpróbálják feltörni vagy befecskendezni az adatbázist.

Vegye figyelembe, hogy az adatbázis-előtag megváltoztatása visszafordíthatatlan művelet. Ha a jövőben frissítéseket vagy új WordPress bővítményeket tervez telepíteni, előfordulhat, hogy azok nem fognak megfelelően működni a szokatlan táblaelőtag miatt.

Az admin oldal és a WordPress bejelentkezés jelszavas védelme

Ez a lépés lehetővé teszi, hogy a wp-admin és a wp-login.php oldalt elrejtse egy további hitelesítési réteg mögé, és a felhasználóknak külön jelszót kell megadniuk, mielőtt hozzáférnének ezekhez a kritikus adminisztrációs területekhez.

Az egyik legegyszerűbb módja ennek a funkciónak a megvalósítására a cPanel használata.

Így kell csinálni:

Jelentkezzen be a cPanelbe:

  • Írja be a cPanel címét a böngészőjébe, és jelentkezzen be a hitelesítő adatokkal.

Nyissa meg a Címtár jelszavas védelme részt:

  • Menjen aFájlok szakaszba, és válassza a Címtár jelszóvédelem vagy a Címtár adatvédelem lehetőséget.
A könyvtárak jelszavas védelme

Keresse meg a wp-admin könyvtárat:

  • Válassza ki a webhely fő könyvtárát (általában“public_html“), és keresse meg a wp-admin mappát.
public_html
keresse meg a wp-admin mappát.

Jelszóvédelem:

  • Kattintson a wp-admin mappa nevére.
  • Jelölje be a “Jelszóval védi ezt akönyvtárat” melletti négyzetet.
  • Adja meg a védett könyvtár nevét (ez a név jelenik meg a felhasználók számára).
  • Kattintson aMentés gombra.
Ez a név jelenik meg a felhasználók számára). Kattintson a Mentés gombra.

Hozzon létre egy felhasználót:

  • Adja meg felhasználónevét és jelszavát a biztonságos könyvtárhoz való hozzáféréshez.
  • Kattintson aMentés vagy az Engedélyezett felhasználó hozzáadása/módosítása gombra.

Ezen beállítások után a wp-admin és a wp-login.php oldalak eléréséhez a felhasználóknak először egy speciális biztonsági jelszót kell megadniuk egy külön hitelesítési oldalon. Ez egy további akadályt jelent a behatolók számára, és segít biztosítani a webhely adminisztrációs paneljét.

Indexelés és könyvtárak böngészésének letiltása

Ez a funkció segít elrejteni a szerveren lévő fájlok és mappák szerkezetét a harmadik fél látogatók és a keresőmotorok elől. Így megvédi a bizalmas információkat, és biztonságban tartja weboldalát az illetéktelen hozzáféréstől.

Az indexelés és a könyvtárak feltérképezésének letiltása néhány sor kód hozzáadásával történik a webhely gyökérkönyvtárában található .htaccess fájlhoz. Íme egy lépésről-lépésre történő útmutató:

  • 1. lépés: Egy FTP-kliens vagy a tárhelyszolgáltató fájlkezelője segítségével keresse meg a .htaccess fájlt a webhely gyökérkönyvtárában.
  • 2. lépés: Nyissa meg a .htaccess fájlt szerkesztésre, és adja hozzá a következő kódsorokat a fájl végére:
Options -Indexes
IndexIgnore *

Ezek a sorok azt mondják a kiszolgálónak, hogy tiltsa le a mappa indexelési és böngészési funkcióját. Ez azt jelenti, hogy a könyvtárak tartalma el lesz rejtve a látogatók elől.

  • 3. lépés (nem kötelező): Ha részletesebben szeretné ellenőrizni a könyvtárak védelmét, akkor hozzáadhat még egy sor kódot:
Options -Indexes -FollowSymLinks

Ez a kód letiltja a szimlinkek követésének lehetőségét is a szerveren, ami növeli a biztonságot.

  • 4. lépés: Mentse a változtatásokat a .htaccess fájlba.

A módosítások alkalmazása után a jogosult felhasználókon kívül senki más nem lesz képes megtekinteni a webhely fájljainak és mappáinak szerkezetét. Ez segít megvédeni weboldalát a hackerektől és az illetéktelen hozzáféréstől.

Felhívjuk azonban a figyelmét, hogy egyes bővítmények vagy szolgáltatások megkövetelhetik az indexelési funkciót a megfelelő működéshez. Ha ez a helyzet, akkor a .htaccess kódot a megfelelő könyvtárakhoz való jogosultságok hozzáadásával módosíthatja.

Az XML-RPC letiltása a WordPressben

Az XML-RPC (Remote Procedure Call) egy olyan rendszer, amely lehetővé teszi az alkalmazások és szolgáltatások számára, hogy XML-kérések segítségével kommunikáljanak a WordPress-szel. Bár ez a funkció bizonyos célokra hasznos, nem megfelelő használat esetén potenciális biztonsági kockázatot is jelenthet. Ezért javaslom az XML-RPC letiltását a WordPressben, hogy növelje webhelye biztonságát.

Az XML-RPC letiltása nagyon egyszerű, és csak néhány sornyi kódot kell hozzáadni a WordPress webhely gyökérkönyvtárában található .htaccess fájlhoz.

Íme egy lépésről-lépésre történő útmutató:

  • 1. lépés: Egy FTP-kliens vagy fájlkezelő segítségével nyissa meg a .htaccess fájlt a webhely gyökérkönyvtárában.
  • 2. lépés: Adjuk hozzá a következő kódot a fájl végéhez:
# Вимкнути XML-RPC

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Ez a kód arra utasítja a webszerverét, hogy blokkolja az xmlrpc.php fájlhoz való hozzáférést minden látogató számára, így gyakorlatilag letiltja az XML-RPC rendszert a webhelyen.

Az inaktív felhasználók automatikus kijelentkezése a WordPressben

Ez a funkció segít megakadályozni, hogy a nyitva hagyott munkameneteken keresztül illetéktelenek hozzáférjenek az adminisztrátori panelhez.

Alapértelmezés szerint a WordPress nem korlátozza a felhasználói munkamenet idejét, ami azzal a kockázattal jár, hogy a támadók a lezáratlan munkamenetet kihasználva hozzáférhetnek a rendszerhez. Az automatikus kijelentkezés bevezetésével egy bizonyos inaktivitási időszak után megvédi weboldalát az ilyen fenyegetésektől.

Az inaktív felhasználók automatikus kijelentkezésének beállítása nagyon egyszerű, ha a WordPress gyökérkönyvtárában lévő wp-config.php fájlba néhány sor kódot teszünk.

Íme egy lépésről-lépésre történő útmutató:

  • 1. lépés: Az FTP-kliens vagy a tárhelyszolgáltató fájlkezelője segítségével nyissa meg a wp-config.php fájlt.
  • 2. lépés: Adjuk hozzá a következő kódot a fájl elejére, a “Köszönjük, hogy nem törölte ezt” sort tartalmazó sor előtt:
// Автоматичний вихід із системи неактивних користувачів через 30 хвилин

define('AUTOSAVE_INTERVAL', 1800); 
define('WP_SESSION_EXPIRATION', 1800); 

Ez a kód a módosítások automatikus mentési idejét 30 percre, a munkamenet időtartamát pedig 30 percre állítja be. A 30 perces inaktivitás után a rendszer automatikusan leválasztja a felhasználókat a rendszerről.

Ha módosítani szeretné az inaktivitási időszakot, állítsa be az 1800-as értéket (másodpercben) az igényeinek megfelelően.

  • 3. lépés: Mentse a változtatásokat a wp-config.php fájlban.

Ezt követően a WordPress automatikusan bezárja azokat a felhasználói munkameneteket, amelyek egy meghatározott ideig inaktívak voltak. Ez segít megelőzni azokat a helyzeteket, amikor valaki egy nyitva hagyott munkameneten keresztül hozzáférhet az adminisztrációs panelhez.

Az inaktivitási időszak kezelése segít megtalálni az egyensúlyt a biztonság és a használhatóság között. A túl rövid időtartam arra kényszerítheti a felhasználókat, hogy folyamatosan bejelentkezzenek, míg a túl hosszú időtartam növeli a kockázatokat. A 30 perc a legtöbb webhely esetében ésszerű kompromisszumnak számít.

A hostkoss csapat ajánlásai

Amikor a WordPress webhely biztonságáról van szó, óvatosnak kell lenned, és kiegyensúlyozottan kell megközelítened a bővítmények telepítését. A tárhelycsomag túlzott terhelése negatívan befolyásolhatja a webhely teljesítményét, és problémákat okozhat a rendelkezésre állással.

Hangsúlyozzuk, hogy nem szabad egyszerre telepíteni az összes elérhető biztonsági bővítményt. Ehelyett jobb, ha gondosan elemzi az aktuális igényeit, és csak a legszükségesebb eszközöket választja ki, amelyek illeszkednek a választott tárhelycsomagjához és annak erőforráskorlátozásaihoz.

A korlátozott erőforrásokkal rendelkező, olcsó tárhely -csomagokon üzemeltetett WordPress-oldalak esetében ajánlott az alapvető biztonsági intézkedésekkel kezdeni, például az adatbázis-előtag megváltoztatásával, erős jelszavak használatával, az inaktív felhasználók automatikus kijelentkezésének beállításával és minimális biztonsági bővítmény telepítésével. Ahogy a webhely erőforrásigénye növekszik, fokozatosan további biztonsági eszközöket adhat hozzá.

A magas biztonsági és teljesítményigényű projektgazdák számára javasoljuk, hogy vásároljon dedikált WordPress tárhelyet, amely nagy teljesítményű erőforrásokkal rendelkezik. Az ilyen díjcsomagok lehetővé teszik az átfogó biztonsági intézkedések végrehajtását a szerver túlterhelésének kockázata nélkül.

Javasoljuk, hogy olvassa el más cikkeinket is, ahol további tippeket és utasításokat talál. Az ezekhez vezető linkeket az alábbiakban csatoljuk:

Ha bármilyen kérdése vagy problémája van a weboldal biztonságának beállítása során, ne habozzon kapcsolatba lépni ügyfélszolgálatunkkal élő chat-en keresztül, vagy hozzon létre támogatási jegyeket. Mindig szívesen segítünk, és gondoskodunk arról, hogy WordPress webhelye biztonságos és stabil legyen.

Ezt a cikket Andrii Kostashchuk véleményezte.

Kérdések és válaszok a WordPress biztonságáról

Miért fontos a WordPress, a bővítmények és a témák rendszeres frissítése?

A rendszeres frissítések védelmet nyújtanak a felfedezett sebezhetőségek ellen, és javítják a kódhibákat. A WordPress, a témák vagy bővítmények elavult verziói a támadók számára ismert sebezhetőségeket tartalmazhatnak, így webhelye támadásoknak és hackeléseknek lehet kitéve.

Hogyan védhető a WordPress adminisztrációs panelje?

Az adminisztrátori panel védelme érdekében ajánlott az alapértelmezett admin felhasználónév megváltoztatása, erős és egyedi jelszavak használata, kétfaktoros hitelesítés beállítása, jelszóvédelem beállítása a bejelentkezési és adminisztrációs oldalakon, valamint a bejelentkezési kísérletek számának korlátozása.

Miért fontos a nem használt WordPress funkciók letiltása?

A nem használt funkciók, például a fájlok szerkesztése az admin panelen, a PHP külön könyvtárakban történő futtatása vagy az XML-RPC letiltása csökkenti a potenciális támadási vektorokat és a sebezhetőség kihasználásának kockázatát.

Mi az a nyers erővel végrehajtott támadás, és hogyan védekezhetsz ellene?

A nyers erővel végrehajtott támadás a hitelesítő adatok kitalálásának módszere, amely a felhasználónevek és jelszavak különböző kombinációinak kipróbálásával történik. Az ellene való védekezés érdekében ajánlott korlátot szabni a bejelentkezési kísérletek számára, összetett és egyedi jelszavakat használni, valamint kétfaktoros hitelesítést beállítani.

Miért fontos, hogy rendszeresen ellenőrizze webhelyét rosszindulatú programok és sebezhetőségek szempontjából?

A rendszeres szkennelés segít azonosítani a potenciális fenyegetéseket, például a rosszindulatú szoftvereket, a feltört szkripteket vagy az ismert kódsebezhetőségeket. Ez lehetővé teszi, hogy időben megtegye a szükséges intézkedéseket az észlelt problémák kijavítására, és javítsa WordPress webhelyének általános biztonságát.

A szerzőről

Lenka Siker

Lenka tapasztalt programozó, aki tudja, hogyan kell eligazodni a különböző platformokon és rendszerekben. Több mint hároméves tapasztalattal felvértezve képes kezelni az olyan CMS-eket, mint a Drupal, a TYPO3 és a Concrete5, és jártas a WordPressben is, amely számtalan weboldalt működtet világszerte.

Minden cikk megtekintése