Biztonságos Wordpress?
A Wordpress-re leggyakrabban használt jelzők között biztosan szerepel ez a kettő: legelterjedtebb, nem túl biztonságos. Mondhatni, hogy a kettő kéz a kézben jár. Sajnos a nagy szabadság nagy kockázattal is jár, gondoljunk csak bele: alapértelmezetten adminfelületről még a sablonok, bővítvmények .php fájlai is szerkeszthetőek, sőt kiskapukkal a teljes forráskód is.
Fejlesztői checklist
Frissítsünk
Folyamatosan telepítsük a frissítéseket (ugyan ez már automatikus, de a bővítményekről és témákról nekünk kell gondoskoni).
Ne módosítsuk a core fájlokat
Ha bele akarunk nyúlni a WP működésébe, akkor írjunk plugint és használjuk a Plugin API-t.
Kapcsoljuk ki a beépített fájlszerkesztőt
Egy sor a wp-config.php
-ben.
Korlátozzuk a felhasználók jogait
Minden felhasználónak a lehető legkevesebb jogot adjunk (amennyi éppen kell a munkavégzéséhez). Az adminisztrátori jogokkal rendelkező felhasználónak ne legyen “admin” a neve, és ne publikáljunk vele tartalmat.
Szigorítsuk a belépés feltételein
A wp-login.php
-nál korlátozzuk a belépések számát és rakjunk be kétlépcsős azonosítást.
Az adatbázisban használjuk alternatív tábla előtagot
Ez is csupán egy sor a wp-config.php
-ben, viszont utána az adatbázisban is ügyeljünk a táblák frissítésére.
Használjunk PROXY-t
Vagy valamilyen egyéb CDN-es biztonsági szolgáltatást, mint például egy sima ingyenes Cloudflare fiókot (ingyenes megosztott SSL-lel).
Állítsuk be a Google Search Console-t
Ez nem csak a keresőoptimalizálásban segít, hanem azt is jelzi, ha valamilyen rosszindulató kód futna az oldalunkon.
Ügyeljünk a mappákra
A mappáknak 755-ös, a fájloknak 644-es hozzáférési jogot állítsunk be és használjunk alternatív mappa struktúrát.
Korlátozzuk a fájlok külső forrásból való elérhetőségét
Korlátozzuk vagy jelszavazzuk le a /wp-admin
mappát. A /wp-includes
-ban olyan fájlokat tárolunk, amik a felhasználói oldal számára nem kellenek, így innen ne engedjünk futtetni semmit se. A .htaccess
fájl, WP-s blokkján kívülre írjuk:
Hozzunk létre az /uploads
mappában is egy .htaccess
-t, így elkerülve, a feltöltött fájlok futtatását:
Válogassuk meg a bővítményeket és témákat
Csak megbízható forrásból (ellenőrzött fejlesztőtől) telepítsünk bővítményt és témát (és lehetőleg minél kevesebbet).
Ne spóroljunk a hostingon
Válasszunk megfelelő hosting szervert (nem árt ha van már tapasztalatuk WP-s oldallal) és legyen biztonsági mentésünk az adatbázisról és a fájlokról is.
Biztonsági pluginek
A fentiek nagy részét (sőt, még többet is) elintézhetunk speciális pluginekkel is. Érdemes közüllök többet is megnézni és a nyújtott szolgáltatások vagy a felület használhatósága alapján választani: