Ha sikeresen beállította a PHP verziót a fenti két módszer egyikének segítségével, akkor ellenőrizze le honlapjának a működését. Ha esetleg valamelyik bővítmény nem megfelelően működik, akkor próbálja meg frissíteni azt, vagy utána járni, hogy mi lehet a probléma. Ha nincs hozzá javítás, akkor vagy kapcsolja ki a bővítményt, vagy keressen egy másikat helyette, ami működik és folyamatosan frissítik.

Tartalomjegyzék

• Kapcsolja ki a PHP fájlok futtatásának lehetőségét
• Kapcsolja ki az XML-RPC a WordPressben
• Rejtse el a wp-config.php és a .htaccess fájlokat
• Kapcsolja ki a PHP Error Riportokat

Előző posztjainkban bemutattunk néhány egyszerű lépést, amivel WordPress weboldalát biztonságosabbá teheti.

Jelenlegi posztunkban még tovább megyünk, és bemutatunk 4 haladó megoldást, amivel növelheti az oldalának a biztonságát.

1.Kapcsolja ki a PHP fájlok futtatásának lehetőségét

Ha egy hacker valahol rést talál a védelmén, és különböző kártékony php fájlokat és kódokat helyez el az oldalának könyvtárában, majd próbálja ezeket futtatni, akkor akár az egész oldalunkat is elveszíthetjük.

Erre jó megoldás, ha blokkoljuk a fájlok írásának a lehetőségét bizonyos WordPress könyvtárakban az oldalunkon. Csináljon egy üres .htacces fájl-t, majd töltse fel a könyvtárakba, mint például wp-includes vagy wp-content/uploads/ és írja bele a fájlba az alábbi kódot:

Files *.php
deny from all
/Files

2.Kapcsolja ki az XML-RPC a WordPressben

XML-RPC egy eljárás, ahogy a WordPress oldalak kommunikálnak egymással. XML-RPC-t könnyen használhatják arra, hogy brute force, DDoS módszerekkel támadják az oldalunkat.

Ahhoz, hogy kikapcsoljuk az XML-RPC-t írjuk hozzá a .htacces fájlunkhoz az alábbi sorokat:

files xmlrpc=”” php=””
order deny,allow
deny from all
allow from 123.123.123.123
/files

3.Rejtse el a wp-config.php és a .htaccess fájlokat

A wp-config.php és .htacces fájl elrejtése egy haladó szintű védelmi intézkedés védelmi intézkedés arra, hogy növelje az oldalának a biztonságát.

Először készítsen egy backupot az oldaláról, mert ha nem követi megfelelően a lépéseket, vagy bármilyen hibát követ el, akkor az oldala elérhetetlenné és láthatatlanná válhat.

1.Lépés: wp-config.php fájlba be kell szúrni az alábbi kódot:

files wp-config=”” php=””
order allow,deny
deny from all
/files
2.Lépés: .htaccess fájlba beszúrni a szükséges kódot:

order allow,
denydeny from all

4.Kapcsolja ki a PHP Error Riportokat

Amikor egy bővítmény vagy sablon nem működik megfelelően a WordPress oldalán, akkor a PHP Error riportok segítenek abban, hogy megtalálja a hibák okát. Amilyen hasznos is ez a funkciója a WordPressnek, olyan veszélyes is, hiszen minden PHP error riport magában foglalja a teljes szerver elérését a hibának, ezzel, olyan információk birtokába juttathatja a támadókat, amiket felhasználhatnak arra, hogy feltörjék az oldalát.

Könnyen megvédheti az oldalát ez ellen úgy, hogy az alábbi kódrészletet hozzáadja a wp-config.php fájlhoz:

define( ‘WP_DEBUG_DISPLAY’, false );
@ini_set( ‘display_errors’, 0 );

Tartalomjegyzék

• Rendszeresen készítsen biztonsági mentést az oldaláról
• Haszálnjon erős, komplex jelszót az adatbázishoz
• Használjon SSL Tanúsítványt az oldalán
• Kapcsolja ki a könyvtár listázást a .htaccess segítségével
• Kapcsolja ki a Sablonszerkesztőt és a Bővítményszerkesztőt
• Frissítse rendszeresen a WordPress oldalát
• Távolítsa el a nem használt bővítményeket és sablonokat az oldaláról
• Távolsítsa el a „powered By WordPress” és a WordPress verzió számot az oldaláról

A mostani posztunkban tovább megyünk, és mutatunk további néhány megoldást, amivel növelheti az oldalának a biztonságát.

1.Rendszeresen készítsen biztonsági mentést az oldaláról

Biztonsági mentés nem más, mint az oldal összes adatának egy másolata, amit egy biztonságos helyen tárolunk annak érdekében, hogyha bármi rossz történne, akkor vissza tudjuk állítani az oldalunkat biztonsági mentésből az eredeti állapotra, amikor még minden jól működött. Ez az egyik legfontosabb és leghasznosabb dolog, amit az oldala biztonsága érdekében tehet.

2.Haszálnjon erős, komplex jelszót az adatbázishoz

Használjon speciális karaktereket, számokat, kis és nagybetűket az adatbázis jelszavához. Továbbá hasznos lehet, ha az adatbázis neve és az adatbázis admin felhasználója is bonyolultabb és eltér az alapértelmezettől.

3.Használjon SSL Tanúsítványt az oldalán

Secure Socket Layer (SSL) minden weboldal számára ajánlott. Az SSL tanúsítvány biztosítja, hogy egy weboldalon a különböző kommunikációs folyamatok biztonságosan menjenek végbe, mint például egy fizetési folyamat.

A Google is felismerte az SSL tanúsítvány fontosságát, és azokat a weboldalakat, amelyek SSl tanúsítvánnyal rendelkeznek előrébb rangsorolja a találatok között. fontos szempont a keresési listában elfoglalt hely kiszámítása során.

Ezenkívül, ha SSL-t használ, nem csak az oldalának a biztonságát növeli, hanem a Google találataiban is előrébb kerül, hiszen a Google előnyben részesíti azokat az oldalakat, amelyek SSL-t használnak a találataiban.

SSL nélkülözhetetlen minden oldal számára, ahol kényes információk áramlanak, legyenek ezek jelszavak vagy bank kártya adatok.

SSL tanúsítvány nélkül az adatok a felhasználó böngészője és az ön webszervere között szimpla szövegként áramlanak. Ezt a hackerek könnyen eltudják olvasni. SSL használatával ezek a kényes információk titkosításra kerülnek mielőtt az adatokat a felhasználók a böngészője átküldi az ön webszerverének.

4.Kapcsolja ki a könyvtár listázást a .htaccess segítségével

Ha egy új könyvtárat csinálsz az oldaladon, és nem teszel a könyvtárba egy index.html fájlt, akkor az oldal látogatóija az egész könyvtár tartalmát megkaphatják, ha kilistázzák.

Például, ha létrehozol egy könyvtárart pl: „adatok” néven, akkor utána, ha beírod a böngésződbe a http://www.azenoldalam.hu/adatok címet, akkor láthatsz mindent abban a könyvtárban, anélkül, hogy bármilyen jelszót meg kéne adnod.

Ezt megelőzheti úgy, ha tiltja a könyvtár listázást, úgy, hogy hozzáírja a .htacces fájlodhoz, az alábbi sort:
Options All -Indexes

5.Kapcsolja ki a Sablonszerkesztőt és a Bővítményszerkesztőt

Miután elkészült a WordPress weboldalának a beállításával, fejlesztésével, és nyilvánossá tette az oldalát, akkor érdemes kikapcsolni a vezérlőpultban található Sablonszerkesztőt és Bővítményszerkesztőt. Ez a két szerkesztő lehetővé teszi, hogy módosítani tudja az oldalán használt bővítmények és a témák forráskódjait. Ha bekapcsolva hagyja a szerkesztőket, akkor ezzel veszélyezteti az oldalának a biztonságát. Hiszen, ha egy hacker feltöri a WordPress oldalát, és hozzáfér a WordPress admin felületéhez, akkor könnyedén tud különböző kártékony kódokat, scripteket hozzáadni a témák és a bővítmények forráskódjaihoz. Gyakran észre sem vesszük, amikor hozzáadták a kódokat csak, amikor már túl késő lesz.

A szerkesztők elérhetősége:
Vezérlőpult->Megjelenés->Sablonszerkesztő
Vezérlőpult->Bővítmények->Bővítményszerkesztő

Ahhoz, hogy kikapcsolja a lehetőségét, hogy módosítani lehessen a témák és a bővítmények kódjait egyszerűen csak be kell illesztenie az alábbi kódot a wp-config.php fájlba:
define(‘DISALLOW_FILE_EDIT’, true);

6.Frissítse rendszeresen a WordPress oldalát

Azzal, hogy naprakészen tartja a WordPress verzióját, növeli az oldalának a biztonságát. Ezenkívül érdemes a témáit és a bővítményeit is naprakészen tartania és folyamatosan frissítenie. Minden újabb verzióval fejlődik a WordPress biztonsága. Sok bugot és hibát javítanak ki minden egyes alkalommal, amikor egy-egy újabb verzió megjelenik.

7.Távolítsa el a nem használt bővítményeket és sablonokat az oldaláról

Minden felesleges, nem használt és elavult bővítmény és sablon biztonsági rést és támadási felületet jelent az oldala számára, ezért fontos, hogy ezeket eltávolítsa és törölje az oldaláról.

8.Távolsítsa el a „powered By WordPress” és a WordPress verzió számot az oldaláról

Az aktuális WordPress verziószáma az oldalának könnyen megtalálható. Azzal, hogy tudtára adjuk a hackereknek, hogy WordPress-t használunk megkönnyítjük a támadók dolgát. Érdemes eltávolítani az oldal láblécéből és minden más helyről a „Powered By WordPress” feliratot, továbbá érdemes eltávolítani a WordPress verziószámát az RSS feedből. Hiszen, ha az általunk használt WordPress verziónak biztonsági hibái vannak, akkor, ha a támadóknak tudtára adjuk a WordPress verziónk számát, akkor könnyeben feltörhetik az oldalunkat.

Ahhoz, hogy eltávolítsd a verzió számod, add hozzá az alábbi függvényt a functions.php fájlhoz:
function remove_wp_generator() {
return ”;
}
add_filter( ‘the_generator’, ‘remove_wp_generator’ );

Tartalomjegyzék

• Miért fontos a weboldalának a biztonsága?
• Használjon erős jelszót
• Változtassa meg az admin felhasználók nevét bonyolultabbra
• Minimalizálja az admin felhasználók számát
• Változtassa meg a WP-login URL-jét
• Korlátozza a bejelentkezési kísérletek számát
• Állítson be biztonsági kérdést a WordPress bejelentkezési oldalához
• Védje jelszóval a wp-admin könyvtárat

Miért fontos a weboldalának a biztonsága?

Egy feltört WordPress oldal ronthatja a vásárlók bizalmát a vállalkozása iránt. Továbbá, nem csak a vállalkozás jóhírét érheti csorba, hanem anyagi károkat is szenvedhet, hiszen bevételtől eshet el, amíg az oldala elérhetetlen vagy használhatatlan állapotban van a feltörés ideje alatt.

Ezenkívül költséges lehet a megfelelő szakemberek megfizetése is, akik helyrehozhatják az oldalában keletkezett károkat. Ha a feltört oldalára a hackerek különböző kémprogramokat és scripteket helyeznek el, akkor a Google könnyen fekete listára teheti az oldalát és így nem fog megjelenni a keresési találatok között.

Ebben a posztunkban néhány egyszerű és könnyen használható tippet akarunk mutatni, amivel növelheti az oldalának a biztonságát.

1.Használjon erős jelszót

A jelszó nagyon fontos része egy weboldal biztonságának, ennek ellenére gyakran elsiklanak felette az emberek. Használjon bonyolult, hosszú jelszavakat, minél több és különböző a karakterrel. Legyenek benne számok, kisbetűk, nagybetűk, speciális karakterek.

2.Változtassa meg az admin felhasználók nevét bonyolultabbra

Minél bonyolultabb felhasználónevet használ, annál nehezebb a támadóknak bruteforce támadással visszafejteniük a jelszavát, hiszen még a felhasználónevére se jöttek rá. Ha az alapértelemzett „Admin” felhasználó nevet használja, akkor könnyebben feltörhetik az oldalát, hiszen már a hackereknek a felhasználónevét nem kell visszafejteniük.

3.Minimalizálja az admin felhasználók számát

Minél több felhasználó rendelkezik admin jogosultságokkal az oldalán, annál több lehetőséget hagy a hackereknek, hogy feltörjék az oldalát. Ha csökkenti az admin felhasználók számát, ezzel csökkenti a kockázatot is, hogy feltörjék az oldalát, viszont érdemes legalább két admin felhasználót beállítania az oldalára, hiszen, ha az egyik felhasználóval történik valami, akkor még a másiakt tudja használni.

4.Változtassa meg a WP-login URL-jét

Minden WordPress weboldalon, ahhoz, hogy be tudjunk jelentkezni az admin felületre alapértelmezett így néz ki a címe, hogy: „azenoldalam.hu/wp-admin” vagy „azenoldalam.hu/wp-login.php”.

Ha ezt a címet alapértelmezetten hagyjuk és nem változtatjuk meg, akkor könnyen brute force támadásnak tehetjük ki az oldalunkat, ahol is megpróbálják a támadók kitalálni az ön felhasználónevét és jelszavát. Ezenkívül tovább növelheti az oldalának a biztonságát, ha további biztonsági kérdést tesz az admin bejelentkező oldalára.

5.Korlátozza a bejelentkezési kísérletek számát

Alapértelmezetten a WordPress megengedi a felhasználóknak, hogy annyiszor próbáljanak bejelentkezni ahányszor csak akarnak, ezzel újabb támadási felületet biztosítva a hackereknek. Így szintén brute force támadásnak lehet kitéve az oldala, amikor is a támadók megpróbálják feltörni és kitalálni a felhasználónevét és jelszavát.

Azzal, hogy korlátozza a bejelentkezési kísérletek számát, a felhasználóknak csak bizonyos számú bejelentkezési kísérlete lehet, majd ha ezt elérik, akkor átmenetileg blokkolja őket a rendszer.

Ehhez használhatja a WP Limit Login Attempts nevű bővítményt.

6.Állítson be biztonsági kérdést a WordPress bejelentkezési oldalához

Az egyik legjobb módszere annak, hogy megakadályozd a jogosulatlan hozzáférést az oldaladhoz, ha a bejelentkezési oldalon biztonsági kérdést használ, amire csak ön tudhatja a választ.
Ahhoz, hogy ezt hozzá tudja adni az oldalához telepítse fel a WP Security Question nevű bővítményt. Egyszerűen csak telepítse fel, és használjon bármilyen kérdést, amit csak akar.

7.Védje jelszóval a wp-admin könyvtárat

Népszerű módja annak, hogy még biztonságosabbá tegye a WordPress oldalát, és hogy megvédje a brute force támadások ellen, ha egy jelszót állít be a wp-admin könyvtár eléréséhez.
Így, bárki akar belépni a wp-admin oldalra az URL-n keresztül, először egy jelszót kell megadni, majd csak utána éri el a bejelentkezési címet.