Alapvető biztonsági intézkedések Wordpress oladalakon
Úgy mondják kétféle weboldal létezik. Az amelyiket már feltörtek és az amelyiket fel fognak. Minden webfejlesztő, weboldal tulajdonos életében eljön a pillanat amikor ráébred, hogy feltörték, meghackelték az általa készített weboldalt. Rossz érzés! Az első pillanatokban dühös leszel majd jön a kétségbe esés. Mit tegyek?
Feltörték a weboldalam? - Az árulkodó jelek
A következő felsorolás közel sem teljes de tartalmazza a leggyakrabban észlelhető jeleket. Fontos, hogy rendszeresen ellenőrizd a web oldalad, így a lehető leghamarabb észlelheted a támadást és megtudod tenni a szükséges lépéseket. Mindig használj kontroll böngészőt és eszközt, hogy meggyőződj valóban a weboldaladdal történt valami!
- Nem tudsz bejelentkezni az admin felületre
- Ismeretlen fájlok a Wordpress könyvtáraiban. Leggyakrabban a /wp-content/ könyvtárban
- A weboldalunk nem töltődik be, helyette esetleg fehér képernyő vagy hibaüzenet jelenik meg
- A nyitóoldal helyett átirányításra kerülünk egy teljesen más (álltalában kéretlen tartalmat megjelenítő) weboldalra
- A nyitóoldalon megváltozott a tartalom esetleg egy üzenet látható “Hacked by XY team”
- Betölt ugyan az oldal, de bármilyen linkekre kattintva külső oldalra irányít át
- Felugró ablakok tünnek fel az weboldaladon
- Gyanús SPAM szövegek jelennek meg véletlenszerü helyeken
- A látogató számára láthatatlan, úgynevezett rejtett SEO SPAM linkek kerülnek beágyazásra az oldal forráskódjába
- A tárhelyszolgáltatód értesít, hogy a tárhelyedről túl sok a kimenő kéretlen e-mail üzenet
- A Google Webmaster Tools jelzi, hogy gyanús aktivitás történik a weboldaldaladon
- Tiltólistára kerül az IP címed, a domained alól küldött e-mailek nem érkeznek meg a címzetthez
- Hirtelen belassul a weboldalad, sokkal nagyobb sávszélességet használ
Hogyan állítsd helyre a feltört Wordpress weboldalad
A tárhelyed admin felületére belépve találsz statisztikákat. Tárhelyszolgáltatóént változó, hogy éppen mit, de látnod kell, hogy milyen IP címről jött a látogató, mit kért le. Ha értelmetlen, furcsa nevü php végződésű fájlt látsz, esetleg több IP címről kérik le, akkor gyanakodj és gyorsan nézd meg mi az a fájl (vagy fájlok). Szükség esetén ezeket törölnöd kell!
Mindent tölts le de csak tiszta forrásból!
- wordpress.org,
- Sablon - theme,
- Bővítmény - plugin
Ha egyedi fejlesztésű alkalmazásod, bővítményed van, akkor keresd meg az eredetit vagy újra kérd el a fájlokat a plugin készítőjétől.
Törlés, törlés, törlés
Mindent de ényleg mindent, könyvtárastól, a .htaccess, robots.txt, wp-config.php, sitemap, wp-content/uploads mappa kivételével.
Változtasd meg a jélszavaid
A következő, amit meg kell tenned az a jelszavak megváltoztatása! FTP, cPanel, minden, ami a weboldaladhoz köthető. A fertőtlenítés után természetesen meg kell változtatnod a WordPress adminisztrátor jelszavadat valamint is!
.htacces fájl ellenőrzése
Nyisd meg a .htaccess fájlt szerkesztésre és ellenőrizd a tartalmát. Alapesetben csak a következőket kell tartalmaznia:
# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress
A legjobb ha mindent törölsz és csak a fenti sorokat hagyod meg. Előfordulhat, hogy egyes pluginok előzetesen bejegyzést készíttettek a .htaccess fájlba de ne aggódj, törölj minden nem oda való sort! Mindössze annyi a teendőd, hogy a fertőtlenítés után újra el kell mentened a pluginek beállítását.
Adatbázis
Ha az adatbázis megsérült, akkor azt is vissza kell állítanod (legegyszerűbben PHPMyAdmin-on keresztül teheted ezt meg). Amennyiben nem sikerülne belépni vagy nem működne a régi jelszavunk, úgy ez a cikk segíthet a megoldásban: link
Fejléc fertőtlenítése
A meta generátort mindenképp szedd ki. Nem kell a hackernek segíteni még azzal is, hogy megmondod neki, melyik WordPress verzió fut a honlapodon.
Pluginok, theme-k
Mindenképp töröld azokat a bővítményeket, sablonokat amiket nem használsz (pl. kipróbáltad, de nem vált be). Bármelyikről kiderülhet, hogy sérülékenység van benne és máris törhető a honlapod.
További ellenőrzések a Wordpress admin felületén
Ha él az oldal és sikerült a belépés, akkor érdemes átnézni még a WordPress felhasználókat. Ha látsz gyanús adminisztrátor jogokkal rendelkező regisztrációt, akkor érdemes azonnal törölni. Jó ötlet még átnézni egyes posztok és oldalak tartalmát is a HTML nézetben, nehogy itt is megbújjanak kifelé mutató SPAM linkek vagy beágyazott kártékony Javascript kódok.
Generálj új keyt a wordpress.org-on: https://api.wordpress.org/secret-key/1.1/salt/
A generált kóddal cseréld ki a wp-config.php fájlban levőt.
Telepíts egy Wordpress biztonsági plugint. Az egyik legjobb az All in One Wordpress Security and Firewall plugin. Itt találsz egy részletes leírást a telepítéséhez és beállításához!
Minimális biztonsági intézkedések - Wordpress security, backup
Fontos! Mindig tartsd frissen a WordPress fájljait! Az oldalt nem lehet magára hagyni még hetekre sem! Folyamatosan ellenőrizd a linkeket, regisztrált felhasználókat, a fájlok forrás kódját.
Rendszeresen készíts biztonsági mentést. Az egyik legnépszerübb ingyenes backup plugin az UpdraftPlus.
Telepíts egy Wordpress biztonsági plugin-t. Ajánlom az All in One Wordpress Security and Firewall plugin. Itt találsz egy részletes leírást a telepítéséhez és beállításához!
Happy coding!GeorgeL - Kód Akadémia