A digitális világban, ahol a kiberfenyegetések egyre összetettebbé és kifinomultabbá válnak, a WordPress webhely biztonságban tartása kritikus fontosságú. Akár személyes blogot, akár e-kereskedelmi áruházat vagy vállalati webhelyet üzemeltet, a behatolók, hackerek és rosszindulatú programok elleni védelemnek az első számú prioritásnak kell lennie.
A statisztikák elkeserítőek: a WordPress Stats szerint a platformra épített weboldalak közel 70%-át kiberbűnözők támadják meg. E támadások következményei katasztrofálisak lehetnek – a bizalmas adatok ellopásától a webhely tartalmának teljes törléséig. A pénzügyi veszteségek mellett ez helyrehozhatatlan károkat okozhat a márka hírnevében, és alááshatja az ügyfelek bizalmát.
Azonban ne ess kétségbe, mert vannak hatékony módszerek a WordPress webhely védelmére a potenciális fenyegetésekkel szemben. Megnézzük a legjobb gyakorlatokat és lépésről-lépésre történő útmutatásokat, hogyan javíthatod webhelyed biztonságát 2024-ben.
Megismerheti a kiberbiztonság legújabb trendjeit, a leggyakoribb támadásfajták – például a nyers erő, az injektálás, az elferdítés – elleni védekezés módszereit és még sok más dolgot. Kitérünk a megbízható tárhelyszolgáltatás kiválasztásának, a tűzfalak beállításának, a frissítések telepítésének és a rendszeres biztonsági mentések készítésének fontosságára is.
Telepítsen egy WordPress biztonsági mentési megoldást
A WordPress webhely rendszeres biztonsági mentése kritikus fontosságú az adatok biztonságának és integritásának biztosítása érdekében. Kibertámadás, rendszerhiba vagy a tartalom véletlen törlése esetén gyorsan visszaállíthatja webhelyét a biztonsági másolatból, így minimalizálva az adatvesztést és az állásidőt.
Fizetős és ingyenes WordPress biztonsági mentési megoldások egyaránt rendelkezésre állnak, mindegyiknek megvannak a maga előnyei és hátrányai. Néhány népszerű lehetőség a következő:
- AzUpdraftPlus egy hatékony ingyenes bővítmény, amely lehetővé teszi a weboldal, az adatbázisok, a bővítmények és a témák biztonsági mentését. Lehetővé teszi a másolatok mentését olyan felhőszolgáltatásokba, mint a Dropbox, a Google Drive vagy az Amazon S3.
- ABackupBuddy az iBackup prémium megoldása, amely megbízható biztonsági mentést, adatvisszaállítást és webhelymigrációt kínál. Számos tárolási lehetőséget és folyamatautomatizálást támogat.
- ABlogVault egy felhőalapú biztonsági mentési szolgáltatás, amely a WordPress biztonságára összpontosít. Automatikusan készít napi biztonsági mentéseket, és adattitkosítást biztosít.
A biztonsági mentési megoldás kiválasztásakor vegye figyelembe olyan tényezőket, mint például, hogy milyen gyakran szeretne biztonsági mentést készíteni, hol szeretné tárolni az adatait (helyben vagy a felhőben), mennyire automatizált a folyamat, és mennyire egyszerű az adatok visszaállítása.
Fordítson figyelmet a felhasználói véleményekre és a fejlesztő technikai támogatására.
Telepítsen egy megbízható WordPress biztonsági plugint
Az egyik leghatékonyabb módja a WordPress webhely biztonságának javítására egy speciális biztonsági bővítmény használata. Ezek a nagy teljesítményű eszközök számos biztonsági funkciót kínálnak, például sebezhetőségi vizsgálatot, nyers erővel történő védelmet, nem kívánt IP-címek blokkolását és még sok mást.
Íme néhány a legjobb WordPress biztonsági bővítmények közül, amelyeket érdemes megfontolni:
- AWordfence Security az egyik legnépszerűbb biztonsági bővítmény, beépített tűzfallal, kétlépcsős hitelesítéssel, valamint a sebezhetőségek és rosszindulatú programok rendszeres ellenőrzésével.
- ASucuri Security egy olyan átfogó megoldás, amely a webes alkalmazás tűzfalat (WAF), a sebezhetőségi szkennert, a DDoS-védelmet és a rosszindulatú programok felügyeletét egyesíti.
- AzAll In One WP Security & Firewall egy ingyenes bővítmény, amely számos funkcióval rendelkezik, többek között tűzfal, spam elleni védelem, fájlfigyelés és nem kívánt felhasználók blokkolása.
- AziThemes Security (korábbi nevén Better WP Security) egy hatékony biztonsági eszközkészlet testreszabhatósággal, kétlépcsős hitelesítéssel és rosszindulatú támadások elleni védelemmel.
A biztonsági bővítmény kiválasztásakor ügyeljen a funkcionalitásra, a könnyű használatra, a WordPress webhelyével való kompatibilitásra és a fejlesztő rendszeres frissítéseire.
A webes alkalmazás tűzfal (WAF) engedélyezése
A webalkalmazás tűzfal (WAF ) egy hatékony eszköz a WordPress webhely védelmére a különböző típusú támadásoktól, mint például a rosszindulatú kód befecskendezése, cross-site scripting (XSS), SQL injektálás és sok más. A WAF védőgátként működik webhelye és a rosszindulatú forgalom között, kiszűrve a potenciálisan veszélyes kéréseket.
Vannak önálló WAF bővítmények a WordPresshez és olyan teljes biztonsági megoldások, amelyek a WAF-ot az egyik funkcióként tartalmazzák. Íme néhány népszerű lehetőség:
- ANinjaFirewall (WP Edition) egy olyan bővítmény, amely átfogó WordPress-védelmet biztosít beépített WAF, malware-ellenőrző és egyéb biztonsági eszközökkel.
- ACloudFlare egy népszerű CDN-hálózat, amely ingyenes webalkalmazási tűzfalat kínál a nem kívánt forgalom kiszűrésére (ajánlom).
A WAF-megoldás kiválasztásakor figyeljen a teljesítményre, a WordPress-kompatibilitásra, a könnyű telepítésre és a technikai támogatásra. Fontos azt is figyelembe venni, hogy képes-e automatikusan frissíteni a szűrési szabályokat, hogy védelmet nyújtson a legújabb fenyegetések ellen.
SSL/HTTPS tanúsítvány létrehozása a WordPress webhelyhez
A WordPress webhely biztonságos HTTPS protokollra való átállításához érvényes SSL/TLS tanúsítványra van szükség. Ez a digitális tanúsítvány titkosítja a felhasználó böngészője és az Ön webkiszolgálója között továbbított adatokat, így védve az érzékeny információkat a behatolók általi lehallgatástól.
Több lehetőség is van arra, hogy SSL/TLS tanúsítványt szerezzen a WordPress webhelyéhez:
- 1. Vásároljon kereskedelmi SSL-tanúsítványt: A hostkoss-hoz hasonló cégek különböző szintű érvényesítési és érvényességi időszakokkal rendelkező fizetős SSL-tanúsítványokat kínálnak. Ezek a tanúsítványok a legtöbb böngésző és operációs rendszer által teljes mértékben megbízhatóak.
- 2. Használjon ingyenes SSL tanúsítványt a Let’s Encrypt-től: Let’s Encrypt egy nonprofit szervezet, amely ingyenes SSL/TLS tanúsítványokat biztosít automatikus megújítással. Tanúsítványaik csak 90 napig érvényesek, de minden modern böngésző támogatja őket.
- 3. SSL/TLS tanúsítvány a tárhelyszolgáltatótól: Sok tárhelyszolgáltató cég a tárhelyszolgáltatás részeként SSL-tanúsítványokat kínál. Ezek lehetnek kereskedelmi jellegűek, vagy a Let’s Encrypt-tel együttműködve ingyenes tanúsítványokat biztosítanak. A Let’s Encrypt SSL telepítése a cPanelben
Miután megkapta az SSL-tanúsítványt, azt megfelelően be kell konfigurálnia a WordPress webhelyéhez. A tárhelytől és a tanúsítvány típusától függően ezt manuálisan is megteheti a vezérlőpulton keresztül.
Az SSL/HTTPS tanúsítvány beállításakor fontos, hogy a webhelyen található összes oldal, kép, szkript és egyéb erőforrás biztonságos kapcsolaton keresztül töltődjön be megfelelően. A HTTPS-re való átállás után frissítenie kell a harmadik féltől származó erőforrásokra mutató linkeket is, és ellenőriznie kell a gyorsítótár, a bővítmények és más WordPress-funkciók működését. A HTTPS átirányítások használata a cPanelben
Az alapértelmezett rendszergazdai felhasználónév módosítása
Az alapértelmezett admin felhasználónév megváltoztatása a WordPressben egy egyszerű folyamat, amely nagyban javítja a webhely biztonságát.
Íme egy lépésről lépésre követhető útmutató, hogyan kell ezt megtenni:
- 1. Jelentkezz be a WordPress adminisztrációs felületére az alapértelmezettadmin fiókkal(admin).
- 2. Menjenaz oldalsó menüFelhasználók szakaszába, és válassza az Összes felhasználó menüpontot.
- 3. Keresse meg az„admin” nevű felhasználót a listában, és kattintson a fiókjára a profiljának megnyitásához.
- 4. A felhasználó profilszerkesztő oldalán változtassa meg aFelhasználónév mezőt egy új, egyedi és nehezen kitalálható névre.
- 5. A módosítások elvégzése után ne felejtsen el a Felhasználófrissítése gombra kattintani az új név mentéséhez.
Javaslom, hogy a rendszergazda felhasználónévhez nagy- és kisbetűk, számok és speciális karakterek hosszú kombinációját használja. Ez a lehető legellenállóbbá teszi a kitalálással szemben, és megvédi a webhelyét a behatolóktól.
Fontos, hogy ne felejtse el megváltoztatni a régi rendszergazdai névhez kapcsolódó egyéb fiókok jelszavait sem. Ez magában foglalja az e-mail fiókokat, a tárhelyfiókokat és minden más olyan szolgáltatást, amely a régi nevet használta.
A WordPress fájlok szerkesztésének letiltása
Ez a funkció lehetővé teszi, hogy a téma és a plugin fájlok forráskódját közvetlenül az admin panelen keresztül szerkessze, ami potenciális kockázatot jelenthet.
Alapértelmezés szerint a fájlok szerkesztésének lehetősége engedélyezve van a WordPressben, de biztonsági okokból javaslom ennek kikapcsolását. A kód nem szándékos módosítása sebezhetőségekhez vagy akár a webhely teljes meghibásodásához is vezethet. Ráadásul, ha a fiókját feltörik, a támadók saját belátásuk szerint módosíthatják a fájlokat.
A fájlszerkesztés letiltása a WordPressben egyszerű folyamat, amely mindössze néhány percet vesz igénybe:
1. Jelentkezzen be a WordPress adminisztrátori felületére rendszergazdaként.
2. Lépjen aBeállítások szakaszba, és válassza a Szerkesztés opciót.
3. Vegye ki a jelölőnégyzetet aFájlszerkesztés engedélyezése opcióból.
4. Kattintson a Változások mentése gombra.
A kódot a wp-config.php fájlba is beillesztheted
// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );
Miután elvégezte ezeket a lépéseket, többé nem lesz képes szerkeszteni a fájl kódját a WordPress admin panelen keresztül. Ez jelentősen csökkenti a véletlen vagy rosszindulatú változtatások kockázatát, amelyek megzavarhatják webhelyét.
Ha azonban időről időre változtatásokat kell eszközölnie a téma vagy a plugin fájljain, azt bármikor megteheti egy FTP-kliens vagy a tárhely fájlkezelője segítségével. Ez egy biztonságosabb módszer, amely teljes ellenőrzést biztosít a szerkesztési folyamat felett.
A PHP-fájlok végrehajtásának letiltása a WordPress könyvtárakban
A biztonság növelésének egyik leghatékonyabb módszere a PHP-fájlok végrehajtásának letiltása a WordPress webhely bizonyos könyvtáraiban.
Ez a technológia lehetővé teszi, hogy bizonyos könyvtárakban korlátozza a rosszindulatú PHP-kódok futtatásának lehetőségét. A támadók megpróbálhatnak szkripteket feltölteni a szerverére, hogy jogosulatlan hozzáférést és ellenőrzést szerezzenek a webes erőforrás felett. Ha azonban a PHP végrehajtása bizonyos mappák esetében le van tiltva, az ilyen kísérletek sikertelenek lesznek.
Javaslom, hogy tiltsa le a PHP végrehajtását a wp-content/uploads és a wp-includes könyvtárakban.
A PHP futtatásának letiltása meglehetősen egyszerű, és a WordPress webhely gyökérkönyvtárában található .htaccess fájlhoz speciális kód hozzáadásából áll. További információ: htaccess fájl: fő funkciók
Az alábbi sorokat kell hozzáadni:
<Files *.php>
deny from all
</Files>
Ez a kód azt mondja a kiszolgálónak, hogy ne hajtson végre semmilyen PHP-fájlt a megadott könyvtárban és annak alkönyvtáraiban. A .htaccess módosítását követően a támadók még akkor sem tudják majd végrehajtani a rosszindulatú PHP-skripteket, ha sikeresen letöltik azokat.
Bejelentkezési kísérletek korlátozása a WordPress adminisztrátorba
A bejelentkezési kísérletek számának korlátozása a WordPress webhelyen rendkívül fontos lépés a biztonság javítása és a rosszindulatú támadások elleni védelem érdekében.
Az egyik legegyszerűbb módszer az olyan speciális biztonsági bővítmények használata, mint a Wordfence Security vagy a Login LockDown. A bővítmény telepítése és aktiválása után beállíthatja az egyetlen IP-címről engedélyezett sikertelen bejelentkezési kísérletek maximális számát. Ha ezt a korlátot túllépi, az adott IP-cím ideiglenesen blokkolva lesz.
Emellett ezek a bővítmények gyakran további biztonsági funkciókat is kínálnak, például kétfaktoros hitelesítést vagy DDoS-védelmet.
A következő módszer az, hogy közvetlenül a WordPress .htaccess fájljában végezzen módosításokat. Bizonyos kódsorok hozzáadásával korlátozhatja a bejelentkezési kísérletek számát és beállíthatja a blokkolási időt. Ez a kód például 60 percen belül csak 5 sikertelen próbálkozást enged meg egy IP-címről:
order allow,deny
allow from all
deny from unix
# Білий список localhost:
allow from 127.0.0.1
# Невдалі спроби входу в систему:
<Files wp-login.php>
order allow,deny
allow from all
# Дозвольте не більше 5 спроб входу в систему з однієї й тієї самої IP-адреси кожні 60 хвилин:
<limit-logins>
disable-env=off
# Видаліть IP-адресу, коли доступ дозволено або заборонено:
enable-env=allow-logins-env
env=allow-logins-env
maxretries=5
findrate=60
</limit-logins>
</Files>
Miután hozzáadta ezt a kódot a .htaccess fájlhoz, újra kell indítania a webkiszolgálót a változások alkalmazásához.
Egyes tárhelyszolgáltatók szerverszinten is kínálnak egy brute-force támadásvédelmi funkciót, amely lehetővé teszi, hogy blokkolja a gyanús IP-címekről érkező bejelentkezési kísérleteket, mielőtt azok elérnék a webhelyet. Ellenőrizze a tárhelyszolgáltatónál, hogy ez elérhető-e.
Kétfaktoros hitelesítés (2FA) hozzáadása
A kétfaktoros hitelesítés megköveteli a felhasználóktól, hogy bejelentkezéskor két különböző lépést hajtsanak végre: egy felhasználónév és jelszó megadása, valamint egy további egyszeri kód vagy biztonsági token megadása. Ez a további ellenőrzés sokkal biztonságosabbá teszi a bejelentkezési folyamatot, még akkor is, ha valaki megtudja az eredeti hitelesítő adatokat.
Az egyik legnépszerűbb megoldás a 2FA WordPressben történő megvalósítására a WP 2FA plugin – Two-factor authentication for WordPress. Telepítése és aktiválása után lehetővé teszi a kétfaktoros hitelesítést a weboldalad bármely fiókjához, beleértve az adminisztrátort is.
Beállítási folyamat:
Mostantól kezdve minden alkalommal, amikor bejelentkezik a WordPress webhelyére, a hitelesítő adatok megadása mellett egy hatjegyű numerikus kódot is meg kell adnia a munkamenet érvényességének ellenőrzésére. A kód 30-90 másodpercenként változik.
Érdemes megjegyezni, hogy a 2FA csatlakoztatása után mentse el a biztonsági kódokat a vészhelyzeti bejelentkezésekhez arra az esetre, ha elveszítené az okostelefonját a hitelesítő alkalmazással.
Vannak más bővítmények is, amelyek lehetővé teszik a kétfaktoros hitelesítés beállítását a WordPressben, például a Duo Security és mások. Ezek további hitelesítési módszereket kínálhatnak, például SMS-t vagy telefonhívást.
A WordPress adatbázis előtagjának megváltoztatása
Alapértelmezés szerint a WordPress a szabványos„wp_” előtagot használja az adatbázisban lévő összes táblához. A támadók jól ismerik ezt az előtagot, ami kiszámíthatóbbá teszi az adatbázis elleni támadásokat. Ha az előtagot egyedi karakterkombinációra változtatod, sokkal nehezebbé teszed a potenciális hackerek dolgát.
Kérjük, vegye figyelembe: az adatbázis-előtag megváltoztatása problémákhoz vezethet a weboldalán, ha ezt a folyamatot helytelenül végzi el.
Az adatbázis-előtag megváltoztatása a WordPressben meglehetősen egyszerű, de óvatosságot igényel, mivel a helytelen műveletek adatvesztéshez vezethetnek.
Íme egy lépésről-lépésre történő útmutató:
- 1. Készítsen teljes biztonsági mentést az adatbázisáról és az összes WordPress-fájlról. Ez lehetővé teszi, hogy probléma esetén visszaállíthasd az oldaladat.
- 2. Szerkesszük meg a wp-config.php fájlt a $table_prefix = ‘wp_’; kezdetű sor megkeresésével. A „wp_” szót cserélje ki egy tetszőleges betű-, szám- és aláhúzáskombinációra. Például: $table_prefix = ‘my8ql_’;
- 3. Az adatbázis-adminisztrációseszközök (például a PhpMyAdmin) segítségével futtasson egy SQL-lekérdezést, hogy az összes meglévő WordPress-tábla előtagját az új értéknek megfelelően módosítsa.
- 4. Frissítse a .htaccess fájlokat és minden olyan fájlt, amely hivatkozásokat tartalmazhat a régi adatbázis-előtagra.
Íme egy minta SQL lekérdezés a „my8ql_” előtag megváltoztatásához:
RENAME TABLE `wp_users` TO `my8ql_users`;
RENAME TABLE `wp_usermeta` TO `my8ql_usermeta`;
... повторіть для всіх таблиць у вашій базі даних WordPress
E lépések elvégzése után a WordPress-adatbázisod egy új, egyedi előtagot fog használni. Ez sokkal nehezebbé teszi a támadók számára, hogy megpróbálják feltörni vagy befecskendezni az adatbázist.
Vegye figyelembe, hogy az adatbázis-előtag megváltoztatása visszafordíthatatlan művelet. Ha a jövőben frissítéseket vagy új WordPress bővítményeket tervez telepíteni, előfordulhat, hogy azok nem fognak megfelelően működni a szokatlan táblaelőtag miatt.
Az admin oldal és a WordPress bejelentkezés jelszavas védelme
Ez a lépés lehetővé teszi, hogy a wp-admin és a wp-login.php oldalt elrejtse egy további hitelesítési réteg mögé, és a felhasználóknak külön jelszót kell megadniuk, mielőtt hozzáférnének ezekhez a kritikus adminisztrációs területekhez.
Az egyik legegyszerűbb módja ennek a funkciónak a megvalósítására a cPanel használata.
Így kell csinálni:
Jelentkezzen be a cPanelbe:
- Írja be a cPanel címét a böngészőjébe, és jelentkezzen be a hitelesítő adatokkal.
Nyissa meg a Címtár jelszavas védelme részt:
- Menjen aFájlok szakaszba, és válassza a Címtár jelszóvédelem vagy a Címtár adatvédelem lehetőséget.
Keresse meg a wp-admin könyvtárat:
- Válassza ki a webhely fő könyvtárát (általában„public_html„), és keresse meg a wp-admin mappát.
Jelszóvédelem:
- Kattintson a wp-admin mappa nevére.
- Jelölje be a „Jelszóval védi ezt akönyvtárat” melletti négyzetet.
- Adja meg a védett könyvtár nevét (ez a név jelenik meg a felhasználók számára).
- Kattintson aMentés gombra.
Hozzon létre egy felhasználót:
- Adja meg felhasználónevét és jelszavát a biztonságos könyvtárhoz való hozzáféréshez.
- Kattintson aMentés vagy az Engedélyezett felhasználó hozzáadása/módosítása gombra.
Ezen beállítások után a wp-admin és a wp-login.php oldalak eléréséhez a felhasználóknak először egy speciális biztonsági jelszót kell megadniuk egy külön hitelesítési oldalon. Ez egy további akadályt jelent a behatolók számára, és segít biztosítani a webhely adminisztrációs paneljét.
Indexelés és könyvtárak böngészésének letiltása
Ez a funkció segít elrejteni a szerveren lévő fájlok és mappák szerkezetét a harmadik fél látogatók és a keresőmotorok elől. Így megvédi a bizalmas információkat, és biztonságban tartja weboldalát az illetéktelen hozzáféréstől.
Az indexelés és a könyvtárak feltérképezésének letiltása néhány sor kód hozzáadásával történik a webhely gyökérkönyvtárában található .htaccess fájlhoz. Íme egy lépésről-lépésre történő útmutató:
- 1. lépés: Egy FTP-kliens vagy a tárhelyszolgáltató fájlkezelője segítségével keresse meg a .htaccess fájlt a webhely gyökérkönyvtárában.
- 2. lépés: Nyissa meg a .htaccess fájlt szerkesztésre, és adja hozzá a következő kódsorokat a fájl végére:
Options -Indexes
IndexIgnore *
Ezek a sorok azt mondják a kiszolgálónak, hogy tiltsa le a mappa indexelési és böngészési funkcióját. Ez azt jelenti, hogy a könyvtárak tartalma el lesz rejtve a látogatók elől.
- 3. lépés (nem kötelező): Ha részletesebben szeretné ellenőrizni a könyvtárak védelmét, akkor hozzáadhat még egy sor kódot:
Options -Indexes -FollowSymLinks
Ez a kód letiltja a szimlinkek követésének lehetőségét is a szerveren, ami növeli a biztonságot.
- 4. lépés: Mentse a változtatásokat a .htaccess fájlba.
A módosítások alkalmazása után a jogosult felhasználókon kívül senki más nem lesz képes megtekinteni a webhely fájljainak és mappáinak szerkezetét. Ez segít megvédeni weboldalát a hackerektől és az illetéktelen hozzáféréstől.
Felhívjuk azonban a figyelmét, hogy egyes bővítmények vagy szolgáltatások megkövetelhetik az indexelési funkciót a megfelelő működéshez. Ha ez a helyzet, akkor a .htaccess kódot a megfelelő könyvtárakhoz való jogosultságok hozzáadásával módosíthatja.
Az XML-RPC letiltása a WordPressben
Az XML-RPC (Remote Procedure Call) egy olyan rendszer, amely lehetővé teszi az alkalmazások és szolgáltatások számára, hogy XML-kérések segítségével kommunikáljanak a WordPress-szel. Bár ez a funkció bizonyos célokra hasznos, nem megfelelő használat esetén potenciális biztonsági kockázatot is jelenthet. Ezért javaslom az XML-RPC letiltását a WordPressben, hogy növelje webhelye biztonságát.
Az XML-RPC letiltása nagyon egyszerű, és csak néhány sornyi kódot kell hozzáadni a WordPress webhely gyökérkönyvtárában található .htaccess fájlhoz.
Íme egy lépésről-lépésre történő útmutató:
- 1. lépés: Egy FTP-kliens vagy fájlkezelő segítségével nyissa meg a .htaccess fájlt a webhely gyökérkönyvtárában.
- 2. lépés: Adjuk hozzá a következő kódot a fájl végéhez:
# Вимкнути XML-RPC
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
Ez a kód arra utasítja a webszerverét, hogy blokkolja az xmlrpc.php fájlhoz való hozzáférést minden látogató számára, így gyakorlatilag letiltja az XML-RPC rendszert a webhelyen.
Az inaktív felhasználók automatikus kijelentkezése a WordPressben
Ez a funkció segít megakadályozni, hogy a nyitva hagyott munkameneteken keresztül illetéktelenek hozzáférjenek az adminisztrátori panelhez.
Alapértelmezés szerint a WordPress nem korlátozza a felhasználói munkamenet idejét, ami azzal a kockázattal jár, hogy a támadók a lezáratlan munkamenetet kihasználva hozzáférhetnek a rendszerhez. Az automatikus kijelentkezés bevezetésével egy bizonyos inaktivitási időszak után megvédi weboldalát az ilyen fenyegetésektől.
Az inaktív felhasználók automatikus kijelentkezésének beállítása nagyon egyszerű, ha a WordPress gyökérkönyvtárában lévő wp-config.php fájlba néhány sor kódot teszünk.
Íme egy lépésről-lépésre történő útmutató:
- 1. lépés: Az FTP-kliens vagy a tárhelyszolgáltató fájlkezelője segítségével nyissa meg a wp-config.php fájlt.
- 2. lépés: Adjuk hozzá a következő kódot a fájl elejére, a „Köszönjük, hogy nem törölte ezt” sort tartalmazó sor előtt:
// Автоматичний вихід із системи неактивних користувачів через 30 хвилин
define('AUTOSAVE_INTERVAL', 1800);
define('WP_SESSION_EXPIRATION', 1800);
Ez a kód a módosítások automatikus mentési idejét 30 percre, a munkamenet időtartamát pedig 30 percre állítja be. A 30 perces inaktivitás után a rendszer automatikusan leválasztja a felhasználókat a rendszerről.
Ha módosítani szeretné az inaktivitási időszakot, állítsa be az 1800-as értéket (másodpercben) az igényeinek megfelelően.
- 3. lépés: Mentse a változtatásokat a wp-config.php fájlban.
Ezt követően a WordPress automatikusan bezárja azokat a felhasználói munkameneteket, amelyek egy meghatározott ideig inaktívak voltak. Ez segít megelőzni azokat a helyzeteket, amikor valaki egy nyitva hagyott munkameneten keresztül hozzáférhet az adminisztrációs panelhez.
Az inaktivitási időszak kezelése segít megtalálni az egyensúlyt a biztonság és a használhatóság között. A túl rövid időtartam arra kényszerítheti a felhasználókat, hogy folyamatosan bejelentkezzenek, míg a túl hosszú időtartam növeli a kockázatokat. A 30 perc a legtöbb webhely esetében ésszerű kompromisszumnak számít.
A hostkoss csapat ajánlásai
Amikor a WordPress webhely biztonságáról van szó, óvatosnak kell lenned, és kiegyensúlyozottan kell megközelítened a bővítmények telepítését. A tárhelycsomag túlzott terhelése negatívan befolyásolhatja a webhely teljesítményét, és problémákat okozhat a rendelkezésre állással.
Hangsúlyozzuk, hogy nem szabad egyszerre telepíteni az összes elérhető biztonsági bővítményt. Ehelyett jobb, ha gondosan elemzi az aktuális igényeit, és csak a legszükségesebb eszközöket választja ki, amelyek illeszkednek a választott tárhelycsomagjához és annak erőforráskorlátozásaihoz.
A korlátozott erőforrásokkal rendelkező, olcsó tárhely -csomagokon üzemeltetett WordPress-oldalak esetében ajánlott az alapvető biztonsági intézkedésekkel kezdeni, például az adatbázis-előtag megváltoztatásával, erős jelszavak használatával, az inaktív felhasználók automatikus kijelentkezésének beállításával és minimális biztonsági bővítmény telepítésével. Ahogy a webhely erőforrásigénye növekszik, fokozatosan további biztonsági eszközöket adhat hozzá.
A magas biztonsági és teljesítményigényű projektgazdák számára javasoljuk, hogy vásároljon dedikált WordPress tárhelyet, amely nagy teljesítményű erőforrásokkal rendelkezik. Az ilyen díjcsomagok lehetővé teszik az átfogó biztonsági intézkedések végrehajtását a szerver túlterhelésének kockázata nélkül.
Javasoljuk, hogy olvassa el más cikkeinket is, ahol további tippeket és utasításokat talál. Az ezekhez vezető linkeket az alábbiakban csatoljuk:
- Hozzáférés a WordPress műszerfalhoz
- Mi az FTP? Előnyök és hátrányok
- Mik azok a naplófájlok és hogyan kell kezelni őket
- Hogyan építsünk egy WordPress oldalt 2024-ben
- Mi az a webtárhely? Hogyan működik
- Mi az az adatközpont?
- Mi az a céloldal és hogyan hozza létre azt
- HTTP státuszkódok: Mit jelentenek
- Mi a WordPress
Ha bármilyen kérdése vagy problémája van a weboldal biztonságának beállítása során, ne habozzon kapcsolatba lépni ügyfélszolgálatunkkal élő chat-en keresztül, vagy hozzon létre támogatási jegyeket. Mindig szívesen segítünk, és gondoskodunk arról, hogy WordPress webhelye biztonságos és stabil legyen.
Ezt a cikket Andrii Kostashchuk véleményezte.
Kérdések és válaszok a WordPress biztonságáról
A rendszeres frissítések védelmet nyújtanak a felfedezett sebezhetőségek ellen, és javítják a kódhibákat. A WordPress, a témák vagy bővítmények elavult verziói a támadók számára ismert sebezhetőségeket tartalmazhatnak, így webhelye támadásoknak és hackeléseknek lehet kitéve.
Az adminisztrátori panel védelme érdekében ajánlott az alapértelmezett admin felhasználónév megváltoztatása, erős és egyedi jelszavak használata, kétfaktoros hitelesítés beállítása, jelszóvédelem beállítása a bejelentkezési és adminisztrációs oldalakon, valamint a bejelentkezési kísérletek számának korlátozása.
A nem használt funkciók, például a fájlok szerkesztése az admin panelen, a PHP külön könyvtárakban történő futtatása vagy az XML-RPC letiltása csökkenti a potenciális támadási vektorokat és a sebezhetőség kihasználásának kockázatát.
A nyers erővel végrehajtott támadás a hitelesítő adatok kitalálásának módszere, amely a felhasználónevek és jelszavak különböző kombinációinak kipróbálásával történik. Az ellene való védekezés érdekében ajánlott korlátot szabni a bejelentkezési kísérletek számára, összetett és egyedi jelszavakat használni, valamint kétfaktoros hitelesítést beállítani.
A rendszeres szkennelés segít azonosítani a potenciális fenyegetéseket, például a rosszindulatú szoftvereket, a feltört szkripteket vagy az ismert kódsebezhetőségeket. Ez lehetővé teszi, hogy időben megtegye a szükséges intézkedéseket az észlelt problémák kijavítására, és javítsa WordPress webhelyének általános biztonságát.