Kedves Látogató! Tájékoztatjuk, hogy a honlap felhasználói élmény érdekében sütiket alkalmazunk.
“Tényleg veszélyes a WordPress?” – a válaszom tíz éve ugyanaz: a WordPress semmivel sem veszélyesebb vagy biztonságosabb, mint bármi más az interneten. Csak ésszel kell vele bánni. Tudni kell, hogy mik a szabályok, és azokat be kell tartani.
A május elejére ígért új, GDPR-kompatibilis WordPress 4.9.6. még mindig beta állapotban van, de most már muszáj volt megnéznem, mit tud. Itt olvashatod el.
“Kiszivárgott” valami: a WordPress legújabb nagyverziója, az 5.0 egy igen érdekes újdonságot fog tartalmazni 🙂 A másik érdekes és fontos hír pedig arról szól, hogy hogyan teljesíti majd a WordPress motor a GDPR előírásait, amelyet (mint mostanra már mindenki tudja, akinek online megjelenése van) május 25-étől kell alkalmaznunk.
Sokszor előfordul, hogy ügyfelek vagy érdeklődők felteszik nekem ezt a kérdést. Kit kell hibáztatniuk? A tárhely védelme gyenge? Maga a WordPress túl sebezhető? Vagy a weblap készítője követett el hibát? Ilyenkor nem lehet egy szóban válaszolni, hiszen a WordPress alapú (vagy bármilyen más alapú) weblapok biztonsága nagyon sok tényezőtől függ.
Nincs annál bosszantóbb, mint amikor a gondosan elkészített honlapodat vírusok, férgek, “malware”-ek (azaz rosszindulatú kódok) fertőzik meg. A legtöbb honlaptulajdonos nem is érti, mi a csudának van értelme az ő honlapját feltörni, hiszen ő csak blogol a cickányok nászáról, miért érdekes ez egy hackernek? Csakhogy a malware-ek (és azok fejlesztői) valójában nem a blogod fölött akarják átvenni az irányítást, hanem kapuként használják ahhoz, hogy a tárhelyszolgáltatód szerverének erőforrásait kihasználva támadást indítsanak egy érzékeny (például banki) weboldalhoz.
Az előző cikkemben röviden bemutattam, mi az az SSL tanúsítvány, mire való, és hogyan lehet hozzájutni. Azonban az még nem elég, ha be van kapcsolva a tanúsítvány a tárhelyeden – ha már létezik egy ideje a weboldalad, akkor meg kell tenned néhány további lépést, hogy “kizöldítsd” az egészet.
Az SSL tanúsítvány azt jelzi, hogy a weblap és a látogatója közötti adatforgalom titkosított csatornákon keresztül történik, és így illetéktelenek nem tudnak ebbe “belehallgatni”. Meglétét egy weblapra kívülről ránézve úgy látod, hogy a weblap linkje https-sel kezdődik sima http helyett, valamint egy kis zöld lakat és a “Biztonságos” szó is látszik a böngésző címsorában.
A WordPress alapértelmezésként hibaüzeneteket jelenít meg, ha a bejelentkezési adatok nem helyesek a Vezérlőpultra történő bejelentkezéskor. Ez igazán felhasználóbarát megoldás, de egyben segítséget is nyújt az oldalt feltörni kívánó hackerek számára. Légy résen, és nehezítsd meg a hackerek dolgát a hibaüzenetek beállításával! Ebben a bejegyzésben megtanulhatod, hogyan tudod ezt a legkönnyebben megtenni.
Az Envato Team bejelentette, hogy a WP Bakery által készített “húzd-és-vidd” bejegyzésszerkesztő (vagy ahogyan többen ismerik: page builder), a Visual Composer kódjában biztonsági hibát fedeztek fel. A 4.7.4. verzióban a hibát javították, tehát ha korábbi változatot használsz, akkor mindenképpen frissítsd a bővítményt.
Mint tárhelyszolgáltatónak (helyesebben tárhely viszonteladónak, hiszen az általunk használt szerver a Silihost Kft tulajdona) újra és újra szembe kell néznünk a WordPress elleni támadásokkal. Mostanra sajnos elmondható, hogy a WordPress népszerűsége a visszájára fordult: állandósult a brutális támadás a WordPress rendszerek ellen. Nem tehetünk mást, mindannyiunk érdekében kötelezővé kell tennünk a wp-login.php védelmét a tárhelyünkön, de mindenki másnak is, minden WordPress felhasználónak ugyanezt javasoljuk.
A blogok közötti visszajelzéseket (trackback/pingback) kezelő xmlrpc.php ellen, illetve azon keresztül kb három napja módszeres támadásokat észlelünk a szerverünkön. A támadások száma bőven felette lehet a napi milliós próbálkozásnak. Webmesterünknek újra kell írnia azt a speciális, WordPress elleni támadásokat elemző scriptjét, amely a mi szerverünket védi, mert a jelenlegi megoldás mellett egy normál számítógép, amely csak ezt csinálja, már nem tudja feldolgozni a percenkénti egyszer készülő logot – olyan mennyiségben támadnak.
Az egyetlen megoldás (ahogyan azt már sokszor megírtam) az, hogy törölni kell az xmlrpc.php fájlt a tárhelyed WordPress mappájából. Akinek karbantartási szerződése van, annak ezt mi folyamatosan elvégezzük, illetve ahová akármilyen egyéb okból belépünk, ott is töröljük. A gond az, hogy a fájl minden egyes WordPress motor frissítésnél újra felkerül a tárhelyre – tehát ha nem mi tartjuk karban a weboldaladat, akkor kérlek, ezt a fájlt minden frissítés után töröld ki újra!
“Köszönjük a WordPress 3.7 verzióra történt frissítést! Lehet, hogy nem is észrevehető, de a háttérben minden rendben van.” – ez a felirat fogad, ha elvégzed a frissítést a legújabb, 3.7-es WordPress verzióra. Hű, ez királyság, gondolod első pillanatban, többet nem kell vesződnöm a frissítésekkel! Nos, a helyzet azért nem javult (vagy romlott…) ennyire.
