Bár a WordPress folyamatos frissítései többnyire igyekeznek kivédeni a legismertebb és legkritikusabb biztonsági hibákat, nem árt, ha az ember maga is megtesz minden tőle telhetőt, hogy később komoly fejfájástól kímélje meg magát. Rengeteg plugin és egyéb megoldás kering a neten azzal kapcsolatosan, hogy is lehet nekifogni a védelem legoptimálisabb beállításának – most néhány olyan apróbb trükköt osztok meg (többek között a wpbeginner cikke alapján), amelyek az adminisztrációs felület védelme érdekében tényleg egyszerűen, fájdalommentesen implementálhatók, és eredményesek is. A felsoroltak persze korántsem jelentik a téma kimerítését, csupán ízelítőt szeretnék adni arra nézvést, hogy a legismertebb pluginek (pl. Bad Behavior) mellett milyen alternatívák és kombinációk léteznek (és persze szívesen látom a kiegészítéseket is!).
1. Jelszó
Közhely persze, de nem árt itt kezdeni: nagyon erős jelszóra van szükség (ez persze nem csak a WP-re igaz, de nem árt itt is óvatosnak lenni)! A WP felületén a felhasználói beállításoknál a jelszó erősségét szép színes csíkkal szemlélteti a rendszer – addig tessék alakítgatni, amíg a legjobb eredményt el nem érjük – persze olyan jelszót találjunk ki, amire azért emlékezni is fogunk. Ezen felül nem árt időközönként megváltoztatni ezt a jelszót, amivel további védelmet generálhatunk. Az erős jelszó létrehozásához javallott néhány apróság: például az “a” betű helyett használjuk az ”@” karaktert, az “s” helyett a ”$”-t, vagy az “o” helyett a “0”-t, és persze véletlenül se legyen a jelszó része a születési dátumunk, pláne a felhasználónév vagy annak akár egy része. Ha nagyon paranoiásak vagyunk, akkor persze használhatunk minden belépésre új, csak arra az egy alkalomra érvényes jelszót is – ebben segít a One Time Password plugin.
2. Belépés
Aki valaha használt már WP-t, nagyon jól tudja, hogy az adminisztrációs felület elérése mindig /wp-login.php. Nincs is semmi baj ezzel önmagában, hiszen a tartalomkezelők többnyire ugyanezen logika alapján működő egységes belépési utat használnak, de a WP esetén hihetetlen könnyedén lehet trükközni ennek megváltoztatásával. Csupán a furmányos Stealth Login nevű pluginre van szükség, és máris kiagyalhatunk valami új belépési utat, akár olyan elvetemültet is, hogy /sohanemtudodmegholkellbelepni – amihez persze a kilépéskor minimum a /sohanemtudodmegholleptemki elérési út dukál. Ennek megfelelően a regisztrációhoz használatos szokványos WP-címet is át lehet írni, hogy teljes legyen a kép. Mindemellett talán az is hasznos, ha nem az admin felhasználónevet használjuk felhasználónévként: hozzunk létre egy tetszőleges felhasználót, amelyet felruházunk az adminisztrációs tevékenységgel, majd egyszerűen töröljük az admin-t.
3. Büntesd a rossz jelszót!
Előfordul, hogy a gonosz hacker egy script segítségével igyekszik megfejteni a jelszót a belépésnél, és addig kísérletezik, amíg el nem találja. Ennek kivédésére szolgál a Login Lockdown plugin, amellyel be lehet állítani, hányszor próbálkozhat a belépni óhajtó, vagyis hányszor ronthatja el a jelszó beírását. Előfordul persze, hogy az ember félreüt egy karaktert, vagy a Caps Lock kuncog a háttérben, ezért érdemes két-három próbálkozást engedélyezni, nehogy kint ragadjunk: ugyanis a megadott számú sikertelen próbálkozást követően a rendszer az általunk meghatározott ideig egyszerűen nem enged több próbát.
4. SSL belépés
Ha a szolgáltató lehetőséget ad rá, érdemes biztonságossá tenni a belépési utat a https:// használatával (ezt tehát egyeztetni kell a tárhelyszolgáltatóval, mielőtt valaki nekifogna a mutatványnak!). Nem kell mást tenni, mint kiegészíteni a wp-config.php fájlt ezzel: define(’FORCE_SSL_ADMIN’, true); – és máris minden belépés a https:// protokollon keresztül fog történni.
5. Tűzfal és vírusírtó
Hasonlóan ahhoz, ahogyan saját számítógépünket védjük, a WP védelmére is aktiválhatunk tűzfalat illetve vírus elleni plugint. A WordPress Firewall plugin a végrehajtandó fájlok észlelésére van kihegyezve, vagyis nem engedi, hogy valaki a védelmi vonalon túlról akár .exe, akár .php kiterjesztésű fájlok futattásával próbálkozzon. Ráadásul úgy is be lehet állítani, hogy első betöltésre kerülő pluginként információkat küldjön számunkra emailen keresztül a biztonsági helyzetről, így folyamatosan felügyelhetjük a WP installációnk tisztaságát is. Az AntiVirus plugin pedig a különböző spamek és egyéb rosszindulatú kódok ellen nyújt védelmet, és ismét csak ahogyan a saját gépünkön, itt is futatthatunk víruskeresést amellett, hogy a plugin folyamatosan vizsgálódik. Említésre méltó megoldás még az Exploit Scanner is, amely képes átvizsgálni a teljes WP-installációt, és egy kimerítően részletes jelentésben megjeleníteni a legapróbb biztonsági kockázati tényezőket is (itt azért észnél kell lenni, hiszen pl. a display: none; css-attribútumtól kezdve a shell_exec-ig mindent felvonultat, tehát nem érdemes vaktában nekiállni takarítani!).
6. Frissíteni, frissíteni, frissíteni!
Nem lehet elégszer hangsúlyozni, hogy a legalapvetőbb biztonsági lépés a WP-installáció naprakészsége! A WP programozói nem véletlen adják ki az egyes verziók biztonsági frissítéseit: enélkül alapvetően sebezhető marad kedves webhelyünk, és mivel manapság a frissítés egy kattintással elintézhető, még csak arra sem lehet hivatkozni, hogy túl nagy fáradtság lenne ezt alkalmanként elvégezni. Ugyanez vonatkozik a pluginekre is: itt is kötelező a naprakészség, és itt is egy kattintással megoldható az egész folyamat, tehát nincs kifogás!
