Azzal, hogy a honlapunk védelme mindennél fontosabb, valószínűleg senkinek sem mondunk újat. Annak, aki weboldalkészítésre adja a fejét ez kell, hogy legyen az elsődleges kiindulópont. Lehetünk viszont bármilyen óvatosak, megtehetünk mindent a biztonságért, így is maradnak olyan biztonsági kockázatok, amelyek felett nem rendelkezünk befolyással. Amennyiben rendelkezünk honlappal, figyelnünk kell ezekre a kockázatokra, ha meg akarjuk őrizni honlapunk épségét. Az alábbiakban összefoglaljuk 10 pontban, hogy mit tehetünk ennek érdekében.
1. Ügyeljünk a biztonságos hosztingra
Nem mindegyik hoszting szolgáltató nyújt egyformán magas színvonalú szolgáltatást. Ami azt illeti a WordPress honlapok feltörésének nagy százaléka a hoszting szolgáltató sebezhetősége miatt következik be.
A hoszting szolgáltató kiválasztásánál ne az legyen a legfőbb szempontunk, hogy a lehető legolcsóbbat szerezzük meg. A legjobb, amit tehetünk az az, hogy utánajárunk a szolgáltatóknak, és amellett tesszük le a voksunkat, amelyikre a múltban jellemzőek voltak a stabil biztonsági megoldások.
Ez lehet, hogy megnöveli a költségeket, de hosszútávon mindenképpen kifizetődő, ha tudjuk, hogy a honlapunk biztos kezekben van.
2. Frissítsünk mindent
A WordPress minden egyes új verziója hasznos patch-eket és javításokat tartalmaz, amelyek kiküszöbölik az esetleges sebezhető pontokat. Ha elmulasztjuk a frissítést, akkor potenciális támadásoknak tesszük ki az oldalunkat.
A hackerek többsége kifejezetten a régebbi verziójú WordPress oldalakat célozza, mivel ezeknél már ismertek a biztonsági rések.
A fentiek érvényesek a pluginokra és a témákra is. Mindenképpen frissítsünk mindent, amint értesítést kapunk a frissebb verzió meglétéről. Ha ennek eleget teszünk, akkor szignifikánsan csökkenthetjük annak az esélyét, hogy feltörik az oldalunkat.
3. Erősítsük meg a jelszavunkat
Ahogy ez az infógrafika is mutatja, a feltörések 8%-a a gyenge jelszavak miatt következik be. Ha a WordPress adminisztrációs jelszavunk valami olyasmi, mint az „engedjbe”, „abc123”, vagy a „jelszó”, akkor sürgősen meg kell változtatnunk őket.
Ha nehezen tudunk olyan könnyen megjegyezhető jelszót találni, ami egyben biztonságos is, akkor a segítségünkre lehet egy jó jelszó recept.
Ha pedig feledékenyek vagyunk, akkor használhatunk olyan jelszó kezelő programokat, mint például a LastPass. Ezek megjegyzik helyettünk az összes jelszavunkat.
4. Soha ne használd az „admin”-t felhasználónévként
A tavalyi év elején történt egy komolyabb támadássorozat WordPress honlapok ellen. Ezeknek a támadásoknak az volt a közös nevezője, hogy az illetéktelen behatolók az admin felhasználónévvel és pár gyakran használt jelszóval próbáltak bejelentkezni, számos alkalommal sikeresen.
Ha az „admin” a felhasználónevünk és ezt még azzal is súlyosbítjuk, hogy gyenge jelszót választunk (lásd előző pont), akkor nagyon sebezhetőek vagyunk a rosszindulatú támadásokkal szemben.
A 3.0-ás verzióig a WordPress automatikusan az „admin” felhasználónévvel hozta létre az accountot, de ez megváltozott a 3.0-ás verzióval és már magunk választhatjuk meg a felhasználónevünket.
5. Rejtsük el a felhasználónevünket a szerzői archívum URL-jében
A potenciális támadó úgy is hozzá tud férni a felhasználónevünkhöz, ha megnézi a szerzői archívum oldalakat a honlapunkon.
A WordPress alapértelmezetten megjeleníti a felhasználónevet a szerzői archívum oldalának URL-jében. Például, ha a felhasználónevünk „gipszjakab”, akkor a szerzői archívumra mutató URL a következőképpen nézhet ki:
http://azenoldalam.com/author/gipszjakab
Ez a helyzet semmivel sem ideálisabb, mint az előző pontban ismertetett „admin” felhasználónév, ezért ajánlott az elrejtése. Ez úgy tudjuk megtenni, hogy megváltoztatjuk a user_nickname bejegyzést az adatbázisban. Itt egy kiváló leírás, hogy hogyan lehet ezt megtenni.