A Wordpress-re leggyakrabban használt jelzők között biztosan szerepel ez a kettő: legelterjedtebb, nem túl biztonságos. Mondhatni, hogy a kettő kéz a kézben jár. Sajnos a nagy szabadság nagy kockázattal is jár, gondoljunk csak bele: alapértelmezetten adminfelületről még a sablonok, bővítvmények .php fájlai is szerkeszthetőek, sőt kiskapukkal a teljes forráskód is.

Fejlesztői checklist

Frissítsünk

Folyamatosan telepítsük a frissítéseket (ugyan ez már automatikus, de a bővítményekről és témákról nekünk kell gondoskoni).

Ne módosítsuk a core fájlokat

Ha bele akarunk nyúlni a WP működésébe, akkor írjunk plugint és használjuk a Plugin API-t.

Kapcsoljuk ki a beépített fájlszerkesztőt

Egy sor a wp-config.php-ben.

define('DISALLOW_FILE_EDIT', true);

Korlátozzuk a felhasználók jogait

Minden felhasználónak a lehető legkevesebb jogot adjunk (amennyi éppen kell a munkavégzéséhez). Az adminisztrátori jogokkal rendelkező felhasználónak ne legyen “admin” a neve, és ne publikáljunk vele tartalmat.

Szigorítsuk a belépés feltételein

A wp-login.php-nál korlátozzuk a belépések számát és rakjunk be kétlépcsős azonosítást.

Az adatbázisban használjuk alternatív tábla előtagot

Ez is csupán egy sor a wp-config.php-ben, viszont utána az adatbázisban is ügyeljünk a táblák frissítésére.

$table_prefix  = 'sampleprefix_';

Használjunk PROXY-t

Vagy valamilyen egyéb CDN-es biztonsági szolgáltatást, mint például egy sima ingyenes Cloudflare fiókot (ingyenes megosztott SSL-lel).

Állítsuk be a Google Search Console-t

Ez nem csak a keresőoptimalizálásban segít, hanem azt is jelzi, ha valamilyen rosszindulató kód futna az oldalunkon.

Ügyeljünk a mappákra

A mappáknak 755-ös, a fájloknak 644-es hozzáférési jogot állítsunk be és használjunk alternatív mappa struktúrát.

Korlátozzuk a fájlok külső forrásból való elérhetőségét

Korlátozzuk vagy jelszavazzuk le a /wp-admin mappát. A /wp-includes-ban olyan fájlokat tárolunk, amik a felhasználói oldal számára nem kellenek, így innen ne engedjünk futtetni semmit se. A .htaccess fájl, WP-s blokkján kívülre írjuk:

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
# BEGIN WordPress

Hozzunk létre az /uploads mappában is egy .htaccess-t, így elkerülve, a feltöltött fájlok futtatását:

# Kill PHP Execution
<Files *.php>
deny from all
</Files>

Válogassuk meg a bővítményeket és témákat

Csak megbízható forrásból (ellenőrzött fejlesztőtől) telepítsünk bővítményt és témát (és lehetőleg minél kevesebbet).

Ne spóroljunk a hostingon

Válasszunk megfelelő hosting szervert (nem árt ha van már tapasztalatuk WP-s oldallal) és legyen biztonsági mentésünk az adatbázisról és a fájlokról is.

Biztonsági pluginek

A fentiek nagy részét (sőt, még többet is) elintézhetunk speciális pluginekkel is. Érdemes közüllök többet is megnézni és a nyújtott szolgáltatások vagy a felület használhatósága alapján választani:

• Sucuri Scanner
• iThemes Security
• JetPack
• All In One WP Security and Firewall

Hivatkozások

• Wordpress Codex - Hardening Wordpress
• Wordpress Codex - Plugin API
• Wordpress Codex - Brute Force Attack
• Wordpress Codex - Editing Files
• Wpmudev - Ultimate Wordpress Security Checklist