Webprogramozás mindenkinek

Kód Akadémia

All in one WP Security and Firewall - A legjobb ingyenes biztonsági WordPress plugin

Facebook Tweet Tetszik
0
2017. november 22. - GeorgeL

all-in-one-wp-security.png

All in one WP Security and Firewall - Biztonsági plugin Wordpresshez

 

Azt hiszem nem kell hangsúlyozni, hogy milyen fontos a weboldalunk biztonsága. Sok sok időt és energiát fektetünk bele nap mint nap, hogy úgy nézzen ki, úgy működjön ahogy azt megálmodtuk. Mintha a gyermekünk lenne! És az embernek semmi sem fáj jobban mintha a gyermekét bántják! Márpedig a csúnya, gonosz hacker bácsik ott portyáznak a hálón és keresik, kutatják a könnyű prédát.

Éppen ezért mindenképpen meg kell tennünk legalább az alapvető biztonsági intézkedéseket a weboldalunk védelme érdekében. Mint Wordpress felhasználók abban a szerencsés helyzetben vagyunk, hogy számos biztonsági plugin áll a rendelkezésünkre, akár ingyen is! Ezek közé tartozik az egyik legnépszerűbb Wordpress biztonsági plugin az All in One Security and Firewall.

A plugin fejlesztői: Tips and Tricks HQ, WPSolutions, Peter Petreski, Ruhul Amin, MBRSolution, és Chesio. A több mint 600 ezres letöltéssel és a 4.8/5 átlaggal ez az egyik legnépszerűbb biztonsági plugin Wordpress-hez.

Jellemzők:

  • Erős jelszavak generálása
  • Ha a látogatóid admin felhasználónévvel próbálnak regisztrálni a plugin észleli az ilyen felhasználói nevet és azonnal megváltoztatja azokat
  • Kiszűri a gyanús felhasználóneveket amiket esetleges támadásra használhatnak
  • Rögzíti az összes felhasználói fiók felhasználónevét, IP-címét, bejelentkezési dátumát / időpontját és kijelentkezési dátumát / időpontját
  • Captcha-t rendelhetsz a WordPress bejelentkezési űrlapjához, a WordPress komment űrlapjának elfelejtett jelszavához.
  • Ha egy felhasználó érvénytelen felhasználónévvel próbál bejelentkezni, a plugin automatikusan bezárja a felhasználó IP-címét
  • Automatikus biztonsági másolatok készítésének ütemezése
  • Felügyeli a PHP kód biztonságát
  • Blokkolja a hamis Google botokat a weboldal feltérképezésében
  • Naplózza az összes 404 eseményt a weboldaladon
  • Brute force bejelentkezési támadások blokkolása
  • A legnépszerűbb WordPress pluginekkel minden gond nélkül együtt működik

 

All in one WP Security telepítése 2 lépésben

 

  1. Lépj a Wordpress oldalad admin felületére. Menj a Plugins -> New plugin. A keresőbe írd be All in One WP Security & Firewall.

all-in-one-wp-security-wordpress-plugin-setup1.png

  1. Kattints az Install Now majd a telepítés befejezése után az Activate gombra. Az aktiválás után meg fog jelenni a WP Security ikon az admin felület baloldali menüjében.

all-in-one-wp-security-wordpress-plugin-setup39.png

A telepítés és aktiválás után végezzük el a szükséges alapvető beállításokat.

 

All in One WP Security and Firewall

Dashboard - Vezérlő pult

Telepítés utánn a Dashboardon rögtön ellenőrízheted a web oldalad jelenlegi biztonsági szintjét.

security-points-score-system.png

A beállítások elvégzése után feltétlenül nézd meg mennyit javult a Wordpress web oldalad biztonsága.

 

Critical Security Feature Status Notification - Kritikus biztonsági beállítások állapota

critical-security-feature-status.jpg

Megmutatja a legfontosabb biztonsági beállítások jelenlegi állapotát. Valamint lehetővé teszi aktiválásukat.

 

Az All in One WP Security beállítása

Mielőtt bármilyen módosítást végeznél, követve a legjobb gyakorlatot, készíts biztonsági másolatot az adatbázisodról, .htaccess és a wp-config.php-rol.

all-in-one-wp-security-wordpress-plugin-setup2.png

Amennyiben a biztonsági beállítások után bármilyen rendellenes működést, nem kívánatos eseményt tapasztalsz, könnyen kikapcsolhatsz minden módosítást valamint a tűzfalat is. Ehhez csak kattints a Disable All Security Features és a Disable All Firewall Rules gombokra.

 

all-in-one-wp-security-wordpress-plugin-setup3.png

És most vegyük sorba a beállítási lehetőségeket illetve, hogy melyek azok az alapvető funkciók amiket érdemes bekapcsolni.

 

User Accounts - Felhasználói fiókok

Change Admin Username - Az Admin felhasználónév megváltoztatása

Meglepő, de az egyik leggyakrabban használt username az Admin. Feltehetőleg kevesen változtatják meg, illetve nem is tudják, hogy megváltoztathatják és mivel ez az alapból beállított username ez kerül elmentésre az adatbázisban a Wordpress telepítésekor. Sajnos ez remek támadási felületet biztosít a rosszindulatú hackerek számára. Erősen ajánlott tehát az Admin, mint username használatának tiltása. Itt kapsz figyelmeztetést ha esetleg még nem változtattad meg a username-det.

 

all-in-one-wp-security-wordpress-plugin-setup5.png

Mindenképpen érdemes beállítanod az úgynevezett display name-t. Ha nem adtál meg külön display nevet a login neved fog megjelenni minden új bejegyzésed alatt és  hozzászólásodnál, ami biztonsági szempontból nem jó gyakorlat.

 

all-in-one-wp-security-wordpress-plugin-setup6.png

A következő tab-on ellenőrízheted milyen erős a jelszavad. Mondanom sem kell minél erősebb annál jobb! Amennyiben jelenlegi jelszavad nem elég erős mindenképpen változtasd meg!

all-in-one-wp-security-wordpress-plugin-setup7_1.png

 

User Login - Bejelentkezés


A User Login alatt a következőket tudod beállítani: 

  • Enable Login Lockdown - Lehetőséget ad az alább beállított felhasználók kizárására
  • Allow Unlock Request - Engedélyezi, hogy a kizárt felhasználó kérvényezhesse az oldalra való bejelenkezés tiltásának feloldását
  • Max Login Attempts - A maximális probálkozás a bejelentkezésre mielőtt a felhasználó az IP címe alapján letiltásra kerül
  • Login Retry Time Period - Megadhatod, hogy a sikertelen bejelentkezések után a  felhasználó mennyi perc elteltével próbálkozhat újra a bejelentkezéssel
  • Time length of Lockout - Ez a beállítás mutatja, hogy hány percre zárja ki a rendszer a felhasználót
  • Display Generic Error Message - Ha bekapcsolod, hiba üzenetet mutat az érvénytelen bejelentkezés után
  • Instantly Lockout Invalid Usernames - Bekapcsolásakor a rendszerben nem regisztrált felhasználó névvel, bejelentkezni próbáló user azonnali kizárása
  • Instantly Lockout Specific Usernames - Ebben az ablakban adhatsz meg olyan felhasználóneveket amelyeket tiltani akarsz az oldaladon. Pl. obszcén tartalmúakat
  • Notify By Email - A lentebb megadott email címre értesítést kapsz ha egy felhasználót kizár a rendszer

 

all-in-one-wp-security-wordpress-plugin-setup8.png

 

Force logout - Kényszerített kiléptetés

all-in-one-wp-security-wordpress-plugin-setup9.png

 

  • Enable Force WP user Logout - Felhasználó automatikus kijelentkeztetésének engedélyezése
  • Logout the WP user After XX Minutes - Mennyi perc múlva jelentkeztesse ki automatikusan a felhasználót

Force logout, vagyis ha ezt engedélyezed a percben megadott idő letelte után a felhasználónak újra be kell jelentkeznie. Így biztos lehetsz benne, hogy ha bejelentkezve is maradtál az adminfelületedre, egy olyan eszközön amit nem csak te használsz, suliban, munkahelyen, stb., a beállított idő leteltével kiléptet az oldal.

 

User Registration - Felhasználó regisztráció

Manual Approval - Személyes jóváhagyás

all-in-one-wp-security-wordpress-plugin-setup10.png

 

Enable manual approval of new registrations - A regisztráció kézi jóváhagyásának engedélyezése

Bekapcsolva nem engedélyezi a közvetlen regisztrációt az oldaladra a felhasználónak. A felhasználó regisztrációját neked, az adminnak, kell jóváhagyni minden felhasználó esetében.

Registration Captcha - Regisztráció ellenőrzése Captcha-val

all-in-one-wp-security-wordpress-plugin-setup11.png

 

A Captcha tulajdon képen egy teszt aminek segítségével meglehet  állapítani, hogy a regisztráló felhasználó egy személy vagy egy automatizált program, internetes bot. Képekeket kell megjelölni amelyeken egy bizonyos objektum szerepel vagy képen mutatott szám- illetve betüsort kell begépelni.

 

Database Security - Adatbázis biztonság

DB Prefix - Adatbázis tábláinak előtagja

all-in-one-wp-security-wordpress-plugin-setup12.png

 

  • Current DB Table Prefix - A jelenlegi előtagja a táblázatoknak
  • Generate New DB Table Prefix - Automatikus előtag generálása
  • Choose your Own prefix - Saját egyedi előtag megadása

 

A Wordpress telepítésekor az adatbázis tábláinak előtagját (prefix) automatikusan wp_-re állítja. Ez biztonsági szempontból sebezhetőségre ad lehetőséget, így érdemes megváltoztatni őket. Generálhatsz véletlen szerű előtagot illetve megadhatsz egy általad választottat is.

 

DB backup - Adatbázis biztonsági mentése

all-in-one-wp-security-wordpress-plugin-setup13.png

 

  • Enable Automated Scheduled Backups - Automatikus biztonsági mentés engedélyezése
  • Backup Time Interval - Milyen időközönként készüljön mentés
  • Number of Backup Files To Keep - Mennyi biztonsági mentést tartson meg az előző mentések közül
  • Send Backup File Via Email - Az elkészült biztonsági mentés elküldése a megadott email címre

 

Filesystem Security - Fájl rendszer biztonság

File Permissions - Fájl hozzáférési engedélyek

all-in-one-wp-security-wordpress-plugin-setup14.png

 

Minden fájlnak és könyvtárnak van úgynevezett permission-ja. Ez három szám ami meghatározza a fájlhoz, könyvtárhoz való hozzáférés jogosultsági szintjét.  A Wordpress a fájlokhoz a 664, könyvtárakhoz a 775 és a wp_config.php fájl 660 jogosultsági szintet javasolja. Ettől eltérni csak nagyon indokolt esetben ajánlott.

Az All In One WP Security ellenőrzi a jelenlegi szinteket és amennyiben nem a Wordpress által javasolt felajánlja a megváltoztatásukat.

 

PHP File Editing - A php féjlok szerkesztése

all-in-one-wp-security-wordpress-plugin-setup15.png

 

  • Disable Ability To Edit PHP Files - A PHP fájlok szerkesztésének tiltása
  • Mivel a Wordpress PHP alapú rendszer, támadási felületet nyújt ha engedélyezett a PHP fájlok online szerkesztése. Mindenképpen javasolt a tiltásuk!

 

WP File Access - Wordpress forrás fájlok hozzáférése

all-in-one-wp-security-wordpress-plugin-setup16.png

  • Prevent Acces to WP Default Install Files - A Wordpress alapértelmezett telepítő fájljaihoz való hozzáférés tiltása

 

Host System Logs - Rendszer napló

 

all-in-one-wp-security-wordpress-plugin-setup37.png

 

Megnézheted a rendszer naplót az előfordult hibákról, kitiltott felhasználókról, letiltott IP címekről, stb.

 

WHOIS LOOKUP

 

all-in-one-wp-security-wordpress-plugin-setup38.png

 

Információt ad a megadott IP vagy webcímről.

 

Blacklist Manager - Tiltó lista

 

all-in-one-wp-security-wordpress-plugin-setup17.png

 

  • Enable IP or User Agent Blacklisting - IP cím és kiszolgáló tiltásának engedélyezése
  • IP címeket és kiszolgálókat tehetsz tiltó listára.

 

Figyelem!

Ha a plugin nem rendeltetésszerűen működik az oldaladon kizárhatod magad az admin felületről! Csak nagyon körültekintően használd vagy inkább hagyd kikapcsolva ezt az opciót!

 

Firewall - Tűzfal

 

all-in-one-wp-security-wordpress-plugin-setup18.png

 

Ezek egyszerű tűzfal beállítások. Mindet engedélyezheted.

 

Additional Firewall Rules - Kiegészítő tűzfal beállítások

 

all-in-one-wp-security-wordpress-plugin-setup19.png

all-in-one-wp-security-wordpress-plugin-setup20.png

 

Itt is engedélyezheted az összes opciót.

 

 

6G Blacklist Firewall Rules - 6G tűzfal

 

all-in-one-wp-security-wordpress-plugin-setup21.png

 

A 6G Firewall egy plusz tűzfal a Wordpress oldaladra. Segít elhárítani a rossz indulatú támadások, ezért engedélyezése mindenképpen javasolt. Itt olvashatsz róla bővebben.

 

Internet Bots

 

all-in-one-wp-security-wordpress-plugin-setup22.png

 

Az Internet Bot-ok olyan apró szoftverek amelyek automatikus feladatokat hajtanak végre az interneten. Információkat szereznek és továbbítanak a szerverek között. Lehetnek hasznosak és veszélyesek is egyaránt. Engedélyezd ezt az opciót a kártékony bot-ok kiszűrésére.

 

Prevent Hotlinking

 

all-in-one-wp-security-wordpress-plugin-setup23.png

 

Prevent Image Hotlink - A hotlink-elés tiltása

A hotlink közvetlen elérést ad a weboldalad vagy tárhelyed fájljához. Ezzel a módszerrel az oldaladon lévő képeket, videókat más oldalakra illeszthetik be anélkül, hogy bármilyen utalás lenne a forrásra azaz a te weboldaladra.

 

404 detection - 404 Az oldal nem található

 

all-in-one-wp-security-wordpress-plugin-setup24.png

A 404-es vagy Nem található hiba üzenet azt jelzi, hogy a kliens, azaz a látogatód böngészője, kapcsolatba tudott lépni a szerverrel, de a böngésző által kért állomány, azaz a weboldal, nem található.

 

Brute Force - “Nyers erő” támadás

 

all-in-one-wp-security-wordpress-plugin-setup25.png

A Brute Force, “Nyers erő”, támadás lényege, hogy kipróbálja az összes lehetséges kulcsot a helyes felhasználó név - jelszó páros megtalálására. Ez a támadás típus elvileg mindig sikerrel jár. Ám ehhez nagyon komoly technikai háttérre van szükség ami a legtöbb esetben meghaladja egy egyszerű támadó technikai támogatottságát.

 

Figyelem!

Ha a plugin nem rendeltetésszerűen működik az oldaladon kizárhatod magad az admin felületről! Csak nagyon körültekintően használd vagy inkább hagyd kikapcsolva ezt az opciót!

 

Rename login page - A bejelentkező oldal átnevezése

 

all-in-one-wp-security-wordpress-plugin-setup26.png

 

Az esetleges támadók így nehezebben vagy esetleg nem is találják meg az admin felületre szolgáló weboldalt.

Figyelem!

Ha a plugin nem rendeltetésszerűen működik az oldaladon kizárhatod magad az admin felületről! Csak nagyon körültekintően használd vagy inkább hagyd kikapcsolva ezt az opciót!

 

Login Captcha - Captcha a bejelentkezésnél

 

all-in-one-wp-security-wordpress-plugin-setup28.png

 

A Captcha-ról már ejtettünk pár szót fentebb. Itt engedélyezheted a Captcha-t a bejelenkező és a jelszó emlékeztető oldalán is.

 

Spam Prevention - Kéretlen üzenetek tiltása

Comment Spam - Komment spam-ek

all-in-one-wp-security-wordpress-plugin-setup31.png

 

Enable Captcha On Comment Forms - Captcha engedélyezése a kommentek hozzáadásánál

Block Spambots From Posting Comments - Automatikus kéretlen üzenetek tiltása

Engedélyezheted mind a két opciót.

 

Comment Spam IP Monitoring - Kéretlen üzenetek IP címének figyelése

 

all-in-one-wp-security-wordpress-plugin-setup32.png

 

Letilthatsz olyan IP címeket amelyekről a megadott darabszámú kéretlen üzenet érkezett. Az IP cím teljes kizárásra kerül ezért semmilyen hozzászólás nem engedélyezett számára.

 

Visitor Lockout - Látogató kizárása

 

all-in-one-wp-security-wordpress-plugin-setup33.png

 

Ha bármilyen probléma adódik a weboldaladon aminek kivizsgálása több időt kíván ezzel az opcióval kizárhatod a látogatókat, tulajdonképpen elérhetetlenné teszed az oldalad.

 

Miscellaneous - Vegyes

Copy Protection - Másolás védelem

 

all-in-one-wp-security-wordpress-plugin-setup34.png

 

Ez az opció nem engedi, hogy a látogató szöveges vagy képi tartalmat másoljon ki az oldaladról.

 

Frames - Beillesztés tiltása

 

all-in-one-wp-security-wordpress-plugin-setup35.png

 

Enable iFrame Protection - A weboldal iFrame-be történő beágyazásának tiltása

Az iFrame egy HTML tag aminek segítségével teljes weboldalakat lehet beágyazni más weboldalakba. Ennek megakadályozására kapcsold be ezt az opciót.

 

Users Enumeration - Felhasználó lekövetése

 

all-in-one-wp-security-wordpress-plugin-setup36.png

 

Disable Users Enumeration - A felhasználó lekövetésének tiltása

Letiltja a bejelentkezett felhasználó adatainak megszerzését az url segítségével. Kapcsold be nyugodtan.

 

Végezetül

 

Az All in One WP Securyti and Firewall biztonsági plugin Wordpresshez igazán hatékony védelmet képes nyújtani. A rengeteg szolgáltatás, a könnyü beállítás és kezelhetőség mind egy jó érv a használata mellett. Mivel a plugin ingyenes mindenképpen érdemes kipróbálni!

 

Happy coding!
GeorgeL - Kód Akadémia
Szólj hozzá!
Wordpress Web programozás Web fejlesztés Wordpress bitonság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://kod-akademia.blog.hu/api/trackback/id/tr2713294495

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása