All in one WP Security and Firewall - Biztonsági plugin Wordpresshez
Azt hiszem nem kell hangsúlyozni, hogy milyen fontos a weboldalunk biztonsága. Sok sok időt és energiát fektetünk bele nap mint nap, hogy úgy nézzen ki, úgy működjön ahogy azt megálmodtuk. Mintha a gyermekünk lenne! És az embernek semmi sem fáj jobban mintha a gyermekét bántják! Márpedig a csúnya, gonosz hacker bácsik ott portyáznak a hálón és keresik, kutatják a könnyű prédát.
Éppen ezért mindenképpen meg kell tennünk legalább az alapvető biztonsági intézkedéseket a weboldalunk védelme érdekében. Mint Wordpress felhasználók abban a szerencsés helyzetben vagyunk, hogy számos biztonsági plugin áll a rendelkezésünkre, akár ingyen is! Ezek közé tartozik az egyik legnépszerűbb Wordpress biztonsági plugin az All in One Security and Firewall.
A plugin fejlesztői: Tips and Tricks HQ, WPSolutions, Peter Petreski, Ruhul Amin, MBRSolution, és Chesio. A több mint 600 ezres letöltéssel és a 4.8/5 átlaggal ez az egyik legnépszerűbb biztonsági plugin Wordpress-hez.
Jellemzők:
- Erős jelszavak generálása
- Ha a látogatóid admin felhasználónévvel próbálnak regisztrálni a plugin észleli az ilyen felhasználói nevet és azonnal megváltoztatja azokat
- Kiszűri a gyanús felhasználóneveket amiket esetleges támadásra használhatnak
- Rögzíti az összes felhasználói fiók felhasználónevét, IP-címét, bejelentkezési dátumát / időpontját és kijelentkezési dátumát / időpontját
- Captcha-t rendelhetsz a WordPress bejelentkezési űrlapjához, a WordPress komment űrlapjának elfelejtett jelszavához.
- Ha egy felhasználó érvénytelen felhasználónévvel próbál bejelentkezni, a plugin automatikusan bezárja a felhasználó IP-címét
- Automatikus biztonsági másolatok készítésének ütemezése
- Felügyeli a PHP kód biztonságát
- Blokkolja a hamis Google botokat a weboldal feltérképezésében
- Naplózza az összes 404 eseményt a weboldaladon
- Brute force bejelentkezési támadások blokkolása
- A legnépszerűbb WordPress pluginekkel minden gond nélkül együtt működik
All in one WP Security telepítése 2 lépésben
- Lépj a Wordpress oldalad admin felületére. Menj a Plugins -> New plugin. A keresőbe írd be All in One WP Security & Firewall.
- Kattints az Install Now majd a telepítés befejezése után az Activate gombra. Az aktiválás után meg fog jelenni a WP Security ikon az admin felület baloldali menüjében.
A telepítés és aktiválás után végezzük el a szükséges alapvető beállításokat.
All in One WP Security and Firewall
Dashboard - Vezérlő pult
Telepítés utánn a Dashboardon rögtön ellenőrízheted a web oldalad jelenlegi biztonsági szintjét.
A beállítások elvégzése után feltétlenül nézd meg mennyit javult a Wordpress web oldalad biztonsága.
Critical Security Feature Status Notification - Kritikus biztonsági beállítások állapota
Megmutatja a legfontosabb biztonsági beállítások jelenlegi állapotát. Valamint lehetővé teszi aktiválásukat.
Az All in One WP Security beállítása
Mielőtt bármilyen módosítást végeznél, követve a legjobb gyakorlatot, készíts biztonsági másolatot az adatbázisodról, .htaccess és a wp-config.php-rol.
Amennyiben a biztonsági beállítások után bármilyen rendellenes működést, nem kívánatos eseményt tapasztalsz, könnyen kikapcsolhatsz minden módosítást valamint a tűzfalat is. Ehhez csak kattints a Disable All Security Features és a Disable All Firewall Rules gombokra.
És most vegyük sorba a beállítási lehetőségeket illetve, hogy melyek azok az alapvető funkciók amiket érdemes bekapcsolni.
User Accounts - Felhasználói fiókok
Change Admin Username - Az Admin felhasználónév megváltoztatása
Meglepő, de az egyik leggyakrabban használt username az Admin. Feltehetőleg kevesen változtatják meg, illetve nem is tudják, hogy megváltoztathatják és mivel ez az alapból beállított username ez kerül elmentésre az adatbázisban a Wordpress telepítésekor. Sajnos ez remek támadási felületet biztosít a rosszindulatú hackerek számára. Erősen ajánlott tehát az Admin, mint username használatának tiltása. Itt kapsz figyelmeztetést ha esetleg még nem változtattad meg a username-det.
Mindenképpen érdemes beállítanod az úgynevezett display name-t. Ha nem adtál meg külön display nevet a login neved fog megjelenni minden új bejegyzésed alatt és hozzászólásodnál, ami biztonsági szempontból nem jó gyakorlat.
A következő tab-on ellenőrízheted milyen erős a jelszavad. Mondanom sem kell minél erősebb annál jobb! Amennyiben jelenlegi jelszavad nem elég erős mindenképpen változtasd meg!
User Login - Bejelentkezés
A User Login alatt a következőket tudod beállítani:
- Enable Login Lockdown - Lehetőséget ad az alább beállított felhasználók kizárására
- Allow Unlock Request - Engedélyezi, hogy a kizárt felhasználó kérvényezhesse az oldalra való bejelenkezés tiltásának feloldását
- Max Login Attempts - A maximális probálkozás a bejelentkezésre mielőtt a felhasználó az IP címe alapján letiltásra kerül
- Login Retry Time Period - Megadhatod, hogy a sikertelen bejelentkezések után a felhasználó mennyi perc elteltével próbálkozhat újra a bejelentkezéssel
- Time length of Lockout - Ez a beállítás mutatja, hogy hány percre zárja ki a rendszer a felhasználót
- Display Generic Error Message - Ha bekapcsolod, hiba üzenetet mutat az érvénytelen bejelentkezés után
- Instantly Lockout Invalid Usernames - Bekapcsolásakor a rendszerben nem regisztrált felhasználó névvel, bejelentkezni próbáló user azonnali kizárása
- Instantly Lockout Specific Usernames - Ebben az ablakban adhatsz meg olyan felhasználóneveket amelyeket tiltani akarsz az oldaladon. Pl. obszcén tartalmúakat
- Notify By Email - A lentebb megadott email címre értesítést kapsz ha egy felhasználót kizár a rendszer
Force logout - Kényszerített kiléptetés
- Enable Force WP user Logout - Felhasználó automatikus kijelentkeztetésének engedélyezése
- Logout the WP user After XX Minutes - Mennyi perc múlva jelentkeztesse ki automatikusan a felhasználót
Force logout, vagyis ha ezt engedélyezed a percben megadott idő letelte után a felhasználónak újra be kell jelentkeznie. Így biztos lehetsz benne, hogy ha bejelentkezve is maradtál az adminfelületedre, egy olyan eszközön amit nem csak te használsz, suliban, munkahelyen, stb., a beállított idő leteltével kiléptet az oldal.
User Registration - Felhasználó regisztráció
Manual Approval - Személyes jóváhagyás
Enable manual approval of new registrations - A regisztráció kézi jóváhagyásának engedélyezése
Bekapcsolva nem engedélyezi a közvetlen regisztrációt az oldaladra a felhasználónak. A felhasználó regisztrációját neked, az adminnak, kell jóváhagyni minden felhasználó esetében.
Registration Captcha - Regisztráció ellenőrzése Captcha-val
A Captcha tulajdon képen egy teszt aminek segítségével meglehet állapítani, hogy a regisztráló felhasználó egy személy vagy egy automatizált program, internetes bot. Képekeket kell megjelölni amelyeken egy bizonyos objektum szerepel vagy képen mutatott szám- illetve betüsort kell begépelni.
Database Security - Adatbázis biztonság
DB Prefix - Adatbázis tábláinak előtagja
- Current DB Table Prefix - A jelenlegi előtagja a táblázatoknak
- Generate New DB Table Prefix - Automatikus előtag generálása
- Choose your Own prefix - Saját egyedi előtag megadása
A Wordpress telepítésekor az adatbázis tábláinak előtagját (prefix) automatikusan wp_-re állítja. Ez biztonsági szempontból sebezhetőségre ad lehetőséget, így érdemes megváltoztatni őket. Generálhatsz véletlen szerű előtagot illetve megadhatsz egy általad választottat is.
DB backup - Adatbázis biztonsági mentése
- Enable Automated Scheduled Backups - Automatikus biztonsági mentés engedélyezése
- Backup Time Interval - Milyen időközönként készüljön mentés
- Number of Backup Files To Keep - Mennyi biztonsági mentést tartson meg az előző mentések közül
- Send Backup File Via Email - Az elkészült biztonsági mentés elküldése a megadott email címre
Filesystem Security - Fájl rendszer biztonság
File Permissions - Fájl hozzáférési engedélyek
Minden fájlnak és könyvtárnak van úgynevezett permission-ja. Ez három szám ami meghatározza a fájlhoz, könyvtárhoz való hozzáférés jogosultsági szintjét. A Wordpress a fájlokhoz a 664, könyvtárakhoz a 775 és a wp_config.php fájl 660 jogosultsági szintet javasolja. Ettől eltérni csak nagyon indokolt esetben ajánlott.
Az All In One WP Security ellenőrzi a jelenlegi szinteket és amennyiben nem a Wordpress által javasolt felajánlja a megváltoztatásukat.
PHP File Editing - A php féjlok szerkesztése
- Disable Ability To Edit PHP Files - A PHP fájlok szerkesztésének tiltása
- Mivel a Wordpress PHP alapú rendszer, támadási felületet nyújt ha engedélyezett a PHP fájlok online szerkesztése. Mindenképpen javasolt a tiltásuk!
WP File Access - Wordpress forrás fájlok hozzáférése
- Prevent Acces to WP Default Install Files - A Wordpress alapértelmezett telepítő fájljaihoz való hozzáférés tiltása
Host System Logs - Rendszer napló
Megnézheted a rendszer naplót az előfordult hibákról, kitiltott felhasználókról, letiltott IP címekről, stb.
WHOIS LOOKUP
Információt ad a megadott IP vagy webcímről.
Blacklist Manager - Tiltó lista
- Enable IP or User Agent Blacklisting - IP cím és kiszolgáló tiltásának engedélyezése
- IP címeket és kiszolgálókat tehetsz tiltó listára.
Figyelem!
Ha a plugin nem rendeltetésszerűen működik az oldaladon kizárhatod magad az admin felületről! Csak nagyon körültekintően használd vagy inkább hagyd kikapcsolva ezt az opciót!
Firewall - Tűzfal
Ezek egyszerű tűzfal beállítások. Mindet engedélyezheted.
Additional Firewall Rules - Kiegészítő tűzfal beállítások
Itt is engedélyezheted az összes opciót.
6G Blacklist Firewall Rules - 6G tűzfal
A 6G Firewall egy plusz tűzfal a Wordpress oldaladra. Segít elhárítani a rossz indulatú támadások, ezért engedélyezése mindenképpen javasolt. Itt olvashatsz róla bővebben.
Internet Bots
Az Internet Bot-ok olyan apró szoftverek amelyek automatikus feladatokat hajtanak végre az interneten. Információkat szereznek és továbbítanak a szerverek között. Lehetnek hasznosak és veszélyesek is egyaránt. Engedélyezd ezt az opciót a kártékony bot-ok kiszűrésére.
Prevent Hotlinking
Prevent Image Hotlink - A hotlink-elés tiltása
A hotlink közvetlen elérést ad a weboldalad vagy tárhelyed fájljához. Ezzel a módszerrel az oldaladon lévő képeket, videókat más oldalakra illeszthetik be anélkül, hogy bármilyen utalás lenne a forrásra azaz a te weboldaladra.
404 detection - 404 Az oldal nem található
A 404-es vagy Nem található hiba üzenet azt jelzi, hogy a kliens, azaz a látogatód böngészője, kapcsolatba tudott lépni a szerverrel, de a böngésző által kért állomány, azaz a weboldal, nem található.
Brute Force - “Nyers erő” támadás
A Brute Force, “Nyers erő”, támadás lényege, hogy kipróbálja az összes lehetséges kulcsot a helyes felhasználó név - jelszó páros megtalálására. Ez a támadás típus elvileg mindig sikerrel jár. Ám ehhez nagyon komoly technikai háttérre van szükség ami a legtöbb esetben meghaladja egy egyszerű támadó technikai támogatottságát.
Figyelem!
Ha a plugin nem rendeltetésszerűen működik az oldaladon kizárhatod magad az admin felületről! Csak nagyon körültekintően használd vagy inkább hagyd kikapcsolva ezt az opciót!
Rename login page - A bejelentkező oldal átnevezése
Az esetleges támadók így nehezebben vagy esetleg nem is találják meg az admin felületre szolgáló weboldalt.
Figyelem!
Ha a plugin nem rendeltetésszerűen működik az oldaladon kizárhatod magad az admin felületről! Csak nagyon körültekintően használd vagy inkább hagyd kikapcsolva ezt az opciót!
Login Captcha - Captcha a bejelentkezésnél
A Captcha-ról már ejtettünk pár szót fentebb. Itt engedélyezheted a Captcha-t a bejelenkező és a jelszó emlékeztető oldalán is.
Spam Prevention - Kéretlen üzenetek tiltása
Comment Spam - Komment spam-ek
Enable Captcha On Comment Forms - Captcha engedélyezése a kommentek hozzáadásánál
Block Spambots From Posting Comments - Automatikus kéretlen üzenetek tiltása
Engedélyezheted mind a két opciót.
Comment Spam IP Monitoring - Kéretlen üzenetek IP címének figyelése
Letilthatsz olyan IP címeket amelyekről a megadott darabszámú kéretlen üzenet érkezett. Az IP cím teljes kizárásra kerül ezért semmilyen hozzászólás nem engedélyezett számára.
Visitor Lockout - Látogató kizárása
Ha bármilyen probléma adódik a weboldaladon aminek kivizsgálása több időt kíván ezzel az opcióval kizárhatod a látogatókat, tulajdonképpen elérhetetlenné teszed az oldalad.
Miscellaneous - Vegyes
Copy Protection - Másolás védelem
Ez az opció nem engedi, hogy a látogató szöveges vagy képi tartalmat másoljon ki az oldaladról.
Frames - Beillesztés tiltása
Enable iFrame Protection - A weboldal iFrame-be történő beágyazásának tiltása
Az iFrame egy HTML tag aminek segítségével teljes weboldalakat lehet beágyazni más weboldalakba. Ennek megakadályozására kapcsold be ezt az opciót.
Users Enumeration - Felhasználó lekövetése
Disable Users Enumeration - A felhasználó lekövetésének tiltása
Letiltja a bejelentkezett felhasználó adatainak megszerzését az url segítségével. Kapcsold be nyugodtan.
Végezetül
Az All in One WP Securyti and Firewall biztonsági plugin Wordpresshez igazán hatékony védelmet képes nyújtani. A rengeteg szolgáltatás, a könnyü beállítás és kezelhetőség mind egy jó érv a használata mellett. Mivel a plugin ingyenes mindenképpen érdemes kipróbálni!
Happy coding!GeorgeL - Kód Akadémia