Hogyan növelhető a WordPress webhely biztonsága [útmutatás]

Útmutatás a WordPress webhely biztonságának növelésére, hogy védve legyen a káros szoftverektől és a hackerektől. Tegye biztonságossá webhelyét.

wordpress biztonság

A honlap biztonsága minden honlaptulajdonosnak fontos. A WordPress a legelterjedtebb CMS rendszer a világban, ezért a hackerek támadásának gyakori célpontja.

A WordPress webhely biztonsága

A jól biztosított honlap a vállalkozás számára is fontos. Ha a hackerek ellopják az információkat és a jelszavakat, telepítik a malwaret, akkor az az Ön honlapján keresztül az egészen az ügyfeleihez juthat.

Vegyük át az egyes lépéseket, melyeket be kellene tartania ahhoz, hogy a honlapja biztonságos legyen és maradjon is.

Biztonságos sablon kiválasztása

A sablon az egész honlap jelentős részét képezi. Számos funkciót biztosít és ezért az alapértelmezésben sok kódot tartalmaz. Fontos a hitelesített és minőségi sablon kiválasztása. Néhány még biztonsági ellenőrzést is megfizet és biztonsági tanúsítványt szerez.

💡 Tipp: Ajánlom a hitelesített Divi és Avada multifunkciós sablonok használatát. Kitűnő tapasztalataim vannak a StudioPress sablonokkal is.

Biztonságos tárhely kiválasztása

A WordPress oldal biztosításához fontos a minőségi tárhely kiválasztása. A tárhelynek rendelkeznie kellene SSL tanúsítávnnyal és 99,9%-os hozzáférést kellene garantálnia. Ezen felül bizonyosodjon meg róla, hogy az Ön által választott tárhely adminisztrációja HTTPS protokollal titkosítva van.

Használjon a WordPress oldalhoz alkalmas tárhelyet. Az ilyen tárhely kínálatában ott van a webhely biztonsági mentése, az automatikus WordPress frissítések és támogatja a webhelye biztonságát. Nem elhanyagolható előnye a minőségi technikai támogatás.

💡 Tipp: A gyors ⏱ WordPress webért kulcsfontosságú a megfelelő tárhely kiválasztása. A hitelesített minőséget javaslom használni ➡️ ATW vagy EZIT.

Állítsa be az adatmentést

Minden adatról biztonsági mentést kell végezni. Ne csak a tárhelyére használja. A biztonsági mentésre egy helyen van szükség. Használhatja a Dropboxot vagy az Amazont. Állítsa be a rendszert az egész adatbázis, az összes bővítmény és a használt sablon adatmentésére is. Az adatmentés után győződjön meg arról, hogy mentett adatok használhatók. Ezt a lépést ne hagyja ki.

Győződjön meg róla, hogy a mentett adatok használhatók. Az adatmentésre naponta legalább egyszer szükség van vagy rendszeres időközönként. Az adatmentés egy speciális bővítményben vagy a biztonsági bővítményben is beállítható.

💡 Tipp: én az adatmentésre a UpdraftPlus plugint használom.

Telepítsen biztonsági plugint

Sucuri bezpečnostný plugin

A WordPress webhely biztonsága egy biztonsági bővítmény telepítését is igényli. A népszerű Sucuri plugin megvédi Önt a gyakori támadásoktól. Hatékonyan védi webhelyét a mailwarektől. A telepítés után menjen végig az összes szükséges beállításon.

💡 Tipp: Hasonló, szabadon letölthető bővítmény a Wordfence Security vagy a prémium iThemes Security. Az utóbbi előnye a webhely adatainak automatikus mentése, amit a bővítmény akkor hoz létre, ha a webhelyét támadás éri.

Rendszeresen frissítse az oldalt

A sablon és az összes plugin rendszeres frissítése a WordPress oldal biztonságának fontos része. A WordPress fejlesztők folyamatosan a sablonok és a bővítmények javításán dolgoznak. A frissítéseik néhány biztonsági hiba elhárítását tartalmazhatják.

Ezt a lépést manuálisan végezze el. Az adminisztrátori menüben keresse meg a Faliújság részt és a frissítéseket. Ellenőrizze, hogy melyik plugineket kell frissíteni és frissítse azokat.

Ne használjon elévült pluginekat

Az Ön honlapjához megfelelő pluginek kiválasztásakor csak azokat használja, melyek az utóbbi időben frissítve voltak. Azokat a pluginek, amiket két éve nem frissítettek, ne használja. Nem csak az oldal biztonságát kockáztatja, de a plugin kompatibilitását is az Ön sablonjával.

Használjon erős jelszavakat

A WordPress webhely biztosításának fontos pontja az erős jelszavak használata. Ilyen jelszavakat kellene használnia a saját hozzáféréséhez, de más felhasználók hozzáféréséhez is. A hackerek leggyakoribb támadása éppen a jelszavak ellopására irányul. Önön múlik, hogy ezt megnehezítse nekik. Erős jelszavakat használjon a tárhelyhez is, az e-mailhez és az FTP portokhoz is.

Ne használja mindenütt ugyanazt a jelszót. A jelszónak nem szabadna tartalmaznia az Ön nevét, de egyszerű számsort és hasonlókat sem. Válasszon olyan jelszót, amiben váltakoznak a kis- és nagybetűk, számok és jelek. A legjobb az olyan jelszó, amit nem lehet megjegyezni.

Ahhoz, hogy Ön megjegyezze, használja a password managert. A Password manager segít erős jelszót kialakítani és mindet menti is. A jelszavakhoz a hozzáférést egyetlen jelszóval tudja biztosítani.

A WordPress webhely biztonságának növelése érdekében továbbá fontos, hogy az
adminisztrátori felülethez csak akkor adjon másnak hozzáférést, ha az elengedhetetlen. Fontos továbbá, hogy az, aki ezt a hozzáférést megkapja értse, hogy az oldal szerkesztésénél és karbantartásánál milyen jogkörei vannak. Az adminisztrátori menüben keresse meg a Faliújság részt és a frissítéseket.

SFTP titkosítás

A WordPress webhely biztonsága érdekében fontos, hogy szerkesztéskor az adatokat az FTP-re titkosítva küldje. Használjon SFTP titkosítást.

Biztosítsa be az SSL tanúsítványt

ssl

Az SSL (Secure Socket Layer) tanúsítvány garantálja a biztonságos, titkosított kommunikációt a szerverekkel. Ez a kommunikáció a jelszavát is érinti. SSL tanúsítvány nélkül a jelszavát a webhelyére nem titkosítva küldi.

Távolítsa el a szerverről a többlettartalmat

A tartalom, ami a webhelyen (FTP) van elhelyezve, kockázatot jelent. Kockázat lehet például az egész oldal adatmentése a wp-content/backup könyvtárban, ahol az oldal beállításai és az adatbázis tartalma van mente. A többlet-és kockázatos tartalmat a webhelyről ki kell törölni.

Módosítsa a prefixumot

A WordPress sablon telepítésekor a WordPress megkérdezi Önt, hogy milyen prefixumot akar használni. A WordPress alapértelmezett prefixumot használ. Ha az alapértelmezett wp_ prefixumot választja, akkor megkönnyíti a hackerek dolgát. Ezért azt javaslom, hogy bármi másra módosítsa.

Engedélyezze a Firewall (WAF) alklamazást

A WordPress oldal jobb biztosítása érdekében használjon Firewallt (WAF), ami még azelőttblokkolja a malwaret, hogy az Ön oldalához jutna. Erre a célra a Sucuri ajánlom használi. Garantálja a védelmet a malwaretől.

Ne használja az „admin” felhasználói nevet

A WordPress webhely biztonsága érdekében módosítani kell az alap felhasználói nevet. Hozzon létre egy új adminisztrátori számlát és távolítsa el az alapértelmezettet. Ezt azonnal a WordPress sablon telepítésekor tegye meg.

Olyan felhasználói nevet válasszon, amit nem lehet kitalálni. Ha már telepítette a WordPresst és az „admin” felhasználói nevet használja, azt is meg tudja változtatni. Alakítson ki egy új felhasználót és az eredetit törölje. Megoldás a felhasználói név módosítására szolgáló plugin is.

Kapcsolja ki a sablon és a pluginek szerkesztését

A WordPress tartalmaz egy beépített kódszerkesztő funkciót, amely lehetővé teszi a sablonok és bővítmények szerkesztését az adminisztrációs menüben. Azért, hogy ez a lehetőség ne kerüljön illetéktelen kezekbe, jobb kikapcsolni. Ezt a következő kód hozzáadásával teheti meg a wp-config.php fájlba:

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Ellenőrizze az oldalra feltöltött fájlokat

A honlapra csak olyan fájlokat töltsön fel, amelyek nem vírusosak. Víruskereső programmal rendszeresen ellenőrizze számítógépét.

Biztosítsa a bejelentkezést az adminisztrátori menübe

login-lockdown

A WordPress korlátlan bejelentkezési próbálkozást engedélyez az adminisztrációs menübe. A bejelentkezés biztosítására beállíthatja a maximális megengedett hibaarányt. Például három hibás bejelentkezést.

Ezen kívül időkorlátot is beállíthat a hibás bejelentkezésre – három bejelentkezés három perc alatt. Ha valaki negyedszer is hibásan jelentkezik be, akkor néhány percre blokkolva lesz az IP-címe. Tegye ezt meg a Login LockDown plugin telepítésével. Az aktiválása után menjen át a Beállítások»Login LockDown menübe.

Használjon kétlépcső ellenőrzést

Az egyik megbízható módja a WordPress oldal biztosításának a kétlépcsős ellenőrzés. Lehetővé teszi az oldalra való belépés védelmét jelszóval és telefonnal.

Rejtse el a bejelentkezési oldalt

A WordPress webhely biztonságát a bejelentkezési oldal elrejtése is növeli. A WordPress a adminisztrációba történő bejelentkezéshez a www.a domain-név/wp-admin vagy a www.a-domain-név/wp-login.php lehetőségeket használja. A WPS Hide Login plugin segítségével átnevezheti.

Vigyázat a komment SPAM-re

akismet

A SPAM-kommentár gyakran tartalmaz linkeket a malware programokat tartalmazó webhelyekre. Ha nem akarja letiltani az összes kommentet, akkor ellenőriznie kell őket. A kommentek ellenőrzésére a legismertebb eszköz az Akismet plugin, ami kiértékeli és megszűri a kommenteket.

Az Akismet minden WordPress sablonba telepítve van. A sablon menüjében keresse ki az Akismetet és pipálja ki az „aktiválni” mezőt.

Figyelem: az akismet plugin csak a nem kereskedelmi célú weboldal számára ingyenes.

Nem biztosított wifi-hálózatról ne jelentkezzen be

A WordPress oldal biztonsága érdekében fontos az is, hogy a bejelentkezéshez ne használjon nem biztosított wifi-hálózatot. A hacker, aki ugyanazt a hálózatot használja megszerezheti a bejelentkezési adatait vagy a sütiket (cookie) az állandó bejelentkezéshez.

A wp-config.php áthelyezése

A WordPress webhely biztonságának növelése érdekében ajánlom, hogy a wp-config.php fájlt helyezze egy mappával feljebb. Ezt a lépést csak akkor csinálja meg, ha az nem zavarja meg a honlapja működését és ha csak egy domain van a tárhelyen. Ebben a fájlban van mentve az adatbázis megnevezése, a jelszó és hasonlók. Áthelyezéssel elrejti a hackerek elől.

A jogok beállítása

A WordPress oldal biztonsága növelésének következő lépése a mappa- és fájlhozzáférési jogok beállítása. A honlaphoz a következő jogbeállítást kellene használnia:
Minden mappa — 755 vagy 750
Minden fájl — 644 vagy 640
wp-config.php — 600

Kapcsolja ki a PHP hibajelentés-küldést

A hibajelentés is megjelenítheti a fájlok elérési útját. Viszont letilthatja. A wp-config.php fájloz tegye hozzá:

@ini_set('display_errors','Off');
@ini_set('error_reporting',0);

Kapcsolja ki az XML-RPC Pingback-et

Az XML-RPC Pingback funkció lehetővé teszi, hogy az oldalt a trackbackekhez és a pingbacksekhez kapcsolja. Ugyanakkor ez egyben lehetőség a hackerek számára is. Az XML-RPC Pingback biztonságát például az iThemes Security plugin biztosítja.

A WordPress verziószámának eltávolítása

A WordPress forráskódjában van egy metatag a WordPress verziószámával. Ezt az információt a hackerek kihasználhatják. Könnyedén elrejtheti a Meta Generator and Version Info Remover bővítmény használatával vagy a functions.php fájlhoz a sablonban a következő kód hozzáadásával:

remove_action('wp_head', 'wp_generator');

Állítsa be a tétlen felhasználok automatikus kijelentkezését

Néhány felhasználó úgy áll fel a számítógéptől hosszabb időre, hogy bejelentkezve marad. A WordPress webhelye biztonságának növelése érdekében beállíthatja ezeknek a felhasználóknak az automatikus kijelentkezését. Talán már észrevette, hogy hasonló beállításokat használnak a bankok is. Ez azért van, mert a bejelentkezett felhasználó távollétében a hackerek módosításokat hajthatnak végre a jelszavakban és a számlákon.

A tételen felhasználók automatikus kijelentkezését az Inactive Logout bővítményen keresztül végezheti el.

A WordPress biztonsági tippek összefoglalása

A legfontosabbnak a minőségi tárhely kiválasztását tartom. A tárhelynek SSL tanúsítvánnyal kellene rendelkeznie. 

💡 Tipp: A gyors ⏱ WordPress webért kulcsfontosságú a megfelelő tárhely kiválasztása. A hitelesített minőséget javaslom használni ➡️ ATW vagy EZIT.

Továbbá ne feledjenek erős jelszavakat használni és telepíteni / beállítani néhány hitelesített biztonsági plugint – Sucuri, Wordfence Security vagy iThemes Security.

Segített Önnek ez a cikk? Kérem, egy megosztással támogasson. 👍

LEAVE A REPLY

Please enter your comment!
Please enter your name here