Honlap biztonság és speciális WordPress védekezések

Mit is jelent?

Wordpress biztonsági tippekÖsszefoglalom a napi rutin részét képező teendőket és a preventív hosting lépéseket, amelyek néhány biztonsági résen keresztüli támadást meggátolnak, és jelenthetővé válnak a behatolási próbálkozások (támadások), mivel a támadók általában egy már betörés áldozatává lett szerveren ügyködnek.

spéci .htaccess Apache-hoz

# ha esetleg állna a lehetőség, akkor se mutassa a könyvtárlistát;
# webszerver azonosító elrejtése
Options -Indexes
ServerSignature Off
# alap WordPress fájl elrejtések
<FilesMatch "^(licenc\.txt|license\.txt|olvasdel\.html|readme\.html|wp-config\.php|wp-config-sample\.php|\.htaccess)$">
    Order allow,deny
    Deny from all
</FilesMatch>
#egyéb bot-ok és biztonsági rést próbáló kérések tiltása (SQL, PHP)
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ^EC2LinkFinder [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (<|%3c|>|%3e|'|%27|%00) [NC,OR]
 
RewriteCond %{HTTP_REFERER} (<|%3c|>|%3e|'|%27|%00) [NC,OR]
RewriteCond %{QUERY_STRING} (<|%3c).*(script|iframe|src).*(>|%3e) [NC,OR]
RewriteCond %{QUERY_STRING} union.*select [NC,OR]
RewriteCond %{QUERY_STRING} (eval|concat|delete|right|ascii|left|mid|version|substring|extractvalue|benchmark|load_file).*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} base64 [NC,OR]
RewriteCond %{QUERY_STRING} (into.*outfile) [NC,OR]
RewriteCond %{QUERY_STRING} (having.*--) [NC]
RewriteRule .*  - [F,L]
</IfModule>

A WordPress “# BEGIN WordPress” rész ezek után jöjjön a .htaccess-ben.

robots.txt

A WordPress magától létrehoz robots.txt-t. Egy bővítmény (a bővítmény keresőbe írja be “robots”) segítségével újabb sorokat adhat hozzá. A robots.txt-t csak azok a botok olvassák és tartják be, amelyek nem támadni jönnek.

WebsiteDefender és regisztráció

A WebsiteDefender bővítmény egy sor dolgot megvizsgál és kivéd a WordPress honlapon. Például nézi, hogy friss-e a motor, megvannak-e a .htaccess fájlok, törölték-e az admin nevű felhasználót. A WordPress admin felületéről leveszi a verziószámot (bár csak Javascripttel), hogy még a felhasználók se tudjanak róla, illetve a <meta> részből is kihagyja a WordPress verzió kiírását. Regisztrálni is lehet ingyen az oldalukra, ilyenkor távolról ellenőrzik a honlapot és havonta egyszer a fájlokat is.

6scan

Ezt a WordPress bővítményt egy olyan csapat írja, akik naponta vizsgálja a WordPress motort, és a legkisebb felfedezett biztonsági rést is javítják. Ezt a bővítményt nem tartom bekapcsolva, mivel elegendő, ha egy WordPress installáción fut, a többinek is ugyanaz lesz a hibája.

Limit Login Attempt

Ez a bővítmény egy nagyon nagy WordPress hibát küszöböl ki: a WordPress-be korlátlan számú alkalommal lehet megpróbálni beléni. Telepítés után már több rétegben lehet védekezni a sokszor másodpercenként kétszer belépni próbálkozók ellen.

Enforce Strong Password

Az előzőhöz hasonló probléma, hogy a WordPress felhasználók és szerkesztők akár az 12345 jelszót is választhatják. Ezt korlátozza ez a bővítmény: csak erősnek minősített jelszót állíthat be magának a felhasználó.

Error 404 figyelő

Ez a bővítmény nincs fent a WordPress plugin-ok között, de innen letölthető az Error 404 (mirror). Ez kizárólag betörés naplózó bővítmény. A nem létező WordPress oldalak (ha felhasználóbarát URL-t állít be az ember) letöltésekor nem keletkezik hibanapló bejegyzés nem úgy, mint ahogyan egy statikus oldalakat tartalmazó Apache-on futó honlapon. Első sorban a nem létező oldalak lekérését naplózza, másodsorban a két // jellel kezdődő biztonsági rés fürkészéseket (pldául //wp-content/uploads).

Ezeknek a naplózásoknak akkor van értelme, ha fut a webszerveren olyan napló figyelő mint például a fail2ban. Az ilyen programokat be lehet úgy állítani, hogy ha percenként 12-nél több hibás lekérést végez egy IP címről érkező látogató vagy robot, akkor tiltsa ki 10 percre vagy egy napra. Nagyon hasznos ez mert a webszerver összes site-ján egyszerre számolja a percenkénti hibákat. Ez a modern és körültekintő bot-okat is hamar kitiltja.

PHP Enkoder

Ez abővítmény a honlapon megjelenő e-mail címeket titkosítja, hogy az e-mail cím gyűjtő bot-ok ne értsék meg, tudniillik többszörös rekurzióval Javascript-tel (eval) titkosítja.

Hozzászólás és e-mail spam – kéretlen üzenet

A Stop Spammer Registrations bővítmény több világméretű hozzászólás és e-mail spam ellenes hálózatból (StopForumSpam, Project Honeypot, BotScout) kérdezi le a regisztrálni vagy hozzászólni kívánó látogatókat, bot-okat. Ha ez a lekérdezésnek az eredménye meghalad bizonyos szintet, akkor csak egy üzenetet kapnak a honlap tényleges tartalma helyett. Az Akismet szervereit is le tudja kérdezni, de azok csak otthoni használatra ingyenesek.

modmark – fájl változás vizsgálat

Ha van az embernek webszervere vagy SSH hozzáférést kap a webszerverhez, akkor érdemes egy fájl változás vizsgáló linux shell szkriptet futtatni naponta, ami jelzi a webes fájlok változását. Ennek a megírása egy betörés után történt.

Google Webmaster Tools

Minden olyan honlapot, aminek az üzemeltetését végzi az ember, érdemes beregisztrálni a Google Webmester eszközökbe. Ez az eszköz segít a honlap “egészségi” állapotáról képet kapni, a keresési forgalmat figyelni és a honlap optimalizálást végezni.

Hosting

Ha ilyen hosting szolgáltatásra van szüksége, kérem keressen fel a kapcsolat oldalon.

Minden jót kívánok!

4 HOZZÁSZÓLÁS

  1. A leghasznosabb információ volt eddig, amit találtam a neten, az angol oldalakat is beleértve…

    Köszönöm..

  2. Kedves “Cooper”!

    Újra olvasva ezt a cikket, nagyon korábban keveset tudtam a WP biztonságról.
    Két féle WP honlap, téme, plugin stb. létezik: a populáris, és az üzleti.
    A populáris csak távolról nézve működik megfelelően, viszont az üzleti – kézzel készült – szoftver termékek belülről is rendezettek, optimalizáltak, és persze nagyon sokat kell tanulni és gyakorolni a megírásukhoz. Persze sokan adnak el olyan terméket, ami a populáris szintet sem éri el, mégis drága, és “üzelti”-nek mondott.

    Mostanában így védekezek a behatolások ellen:
    https://github.com/szepeviktor/wordpress-plugin-construction/tree/master/wordpress-fail2ban
    fail2ban program nélkül is nagyon hasznos, mert legalább leállítja a HTTP kéréseket. A fail2ban programhoz egy VPS-t kell bérelni, és karbantartani. A bérlés igen olcsó, pl a FORPSI felhőben csak 1500/hó, de a karbantartáshoz sok év tapasztalat és sok ráfordított óra szükséges.
    Minden jót kívánok neked!

HOZZÁSZÓLOK A CIKKHEZ

Kérjük, írja be véleményét!
írja be ide nevét