Nem győzöm eleget hangoztatni a frissítések fontosságát. Nemcsak azért jönnek ki újabb és újabb verziók a WordPress motorból és a bővítményekből, hogy szebb, okosabb legyen a weboldalunk, hanem nagyon sokszor biztonsági réseket tömnek be ezek a frissítések. Ezen a hétvégén komoly támadás érte a WordPress weblapokat, úgy néz ki, hogy Kínából, Tajvanból, Litvániából és máshonnan jönnek, de tárhelyszolgáltatónk, a Silihost is megerősítette, hogy kizárólag a nem frissített, 2.9.2. és 3.0.1. verziójú WordPress oldalak voltak és vannak veszélyben.
Ez a két verzió már több, mint egy éve volt friss, így nagyon remélem, hogy a Te weboldaladon már réges-régen ennél újabb motor fut. A mostani támadás a wp-comments-post.php és a wp-login.php fájlok ellen irányult elsősorban. Általános szabály, hogy ha valami kisebb támadás van, amit talán nem is veszel észre azonnal, ha felmész a tárhelyedre és körülnézel a fájlok között, az utolsó módosítási dátumból azonnal kiugrik, ha valami nem az, aminek lennie kellene.
FRISSÍTÉS: Farkas Anikó mutatott egy oldalt, ahol egy hackelést felderítő php scriptet mutatnak be: http://www.tutorial.hu/honlap-hackelest-felderito-script/ Próbáld ki, igen hasznos apróság! (Csak egy “apró” gond van vele: ha frissíted a WP-t vagy valamelyik bővítményt, akkor azokat is “új fájl”-ként érzékeli. Ilyenkor kénytelen vagy “szemmel” átnézni a kapott fájl-felsorolást, és ha azt látod, hogy az összetartozó fájlok dátuma ugyanaz, akkor nincs probléma…)
Korábban is írtam már néhányszor a WordPress alapú weboldalak esetében követendő biztonsági szabályokról, illetve megjelent itt a blogon szintén tárhelyszolgáltatónk, a Silihost cikke alapján, hogy hogyan tudjuk IP-cím alapján megvédeni a WordPress alapú weboldalunkat az illetéktelen behatolástól. A Haladó Tanfolyam keretében pedig egy egész lecke foglalkozik nagyon részletesen a biztonsági kérdésekkel.
Foglaljuk össze a leglényegesebb tennivalókat!
1. Az egyik része a védekezésnek, hogy a saját számítógépünket nagyon tisztán, védetten tartjuk. Sokéves tapasztalat alapján ajánlom az ESET Smart Security (NOD32 néven is közismert) rendszerét, amely a háttérben észrevétlenül dolgozva megvédi a számítógépünket a vírusoktól és a kémprogramoktól, amelyek például ellophatják az FTP jelszavunkat, és így hozzáférhetnek a tárhelyünkhöz. Az ESET-nek viszonteladói vagyunk, a saját ügyfeleinknek nagyon kedvező konstrukciókat tudunk kínálni – ha ez érdekel, kérlek, keress meg az ajanlatkeres [@] pagonymedia [.] hu címen.
2. Mindig tölts le és telepíts minden frissítést, amelyet az operációs rendszered és a használt programjaid automatikusan felkínálnak. Nemcsak a nyílt forráskódú rendszereket érik támadások, a fizetős szoftverekben is találnak biztonsági réseket időről időre, így nagyon fontos, hogy ezeket a frissítéseket elvégezd.
3. Tegyél meg mindent, hogy a WordPress beállításaid a lehető legbiztonságosabbak legyenek. Miről is beszélek?
- telepítéskor a wp-config.php fájlban adj meg valamilyen más tábla-előtagot, ne hagyd meg az alapértelmezett wp_-t;
- ha régebbi telepítésű rendszered van, az admin nevű felhasználót cseréld le, és természetesen használj erős jelszót a belépéshez;
- védd meg a belépési oldaladat az IP-cím illetve -tartomány korlátozásával (kérd a tárhelyszolgáltatód segítségét, ha egyedül nem megy);
- és a legfontosabb: mindig tölts le minden frissítést a WordPress motorhoz és a sablonokhoz, bővítményekhez is!
Természetesen időről időre készíts teljes mentést a weboldaladról a saját számítógépedre: töltsd le a wp-content könyvtárad tartalmát, és exportáld is a tartalmaidat a Vezérlőpulton az Eszközök -> Exportálás menüpontban -, különösen frissítés előtt. (Ne felejtkezz el a widgetjeidről sem…) Ha a tárhelyszolgáltatódnál (mint például nálunk is) alapszolgáltatás a napi biztonsági mentés távoli szerverekre, az nagy nyugalmat ad, de ne felejtsd el, hogy egy mentésből való visszaállítás azért mindig kényelmetlenséget és költséget jelent, erre lehetőleg inkább ne kerüljön sor.
Nem kell folyamatosan aggódnod, hogy vajon mikor omlik össze az egész weblapod, és vész kárba minden eddigi munkád, ha a fenti szabályokat betartod.
Ha van még ötleted, módszered, amellyel az oldaladat védeni szoktad, oszd meg velünk a hozzászólások között!
