A mai naplóbejegyzés apropója nem hirtelen jött. Mindig is voltak biztonsági problémák a WordPress-es karbantartások esetében, viszont az elmúlt kb 1 évben látványosan megnőtt a számuk az ilyen incidenseknek.
Sajnos minden hónapra jut 1-2 eset, amikor betámadnak oldalakat akár az ügyfélkörből is. Még akkor is ha rendszeresen frissítve van, fut biztonsági szoftver, és minden óvintézkedést megteszünk.
Az viszont fura, hogy viszonylag sok saját WordPress alapú oldalunk van és azokat nem szokták érinteni ezek a problémák. Úgy értem, rendszeresen észlelünk próbálkozásokat különböző botnet hálózatokból, de konkrétan nem sikerült még bejutnia senkinek az oldalainkra (és ezt ne vedd felhívásnak, nem bízom annyira a WordPress-ben azért, hogy egy célzott, hackertámadást ki tudjon védeni :D).
A WordPress biztonsági problémáinak fő okozói
A WordPress népszerű célpont
Mivel egy renkívül elterjedt tartalomkezelő rendszerről van szó a WordPress esetében, nyilvánvaló miért olyan népszerű. A legtöbb támadás nem a célzott weboldalról szól, nem is annak a tulajdonosáról, mint ahogy azt sokan hiszik. Egyszerűen minél több weboldalt támadnak, annál többet sikerül is feltörni.
De miért? Például egy SEO hack miatt, amiről itt találsz egy esettanulmányt.
Túl könnyű
Nem kell ahhoz hardcore hackernek lennie senkinek, hogy egy elhanyagolt WordPress-t feltörjön. Ha tudsz angolul, meg tudod használni a keresőket (köztük a Google keresőjére is gondolok), könnyedén találhatsz módszert, eszközt ami segít bejutni egy elhanyagolt WordPressbe.
Sokszor nem is a Core rendszer, inkább a használt bővítmények, témák jelentik a gyenge pontok. Előfordult a közelmúltban hogy egy prémium bővítményben talált nyilvános sebezhetőségen keresztül jutottak be a támadók az oldalba. Na ezért kell rendszeresen karbantartani.
A tárhely is fontos
Ha azt gondolod a WordPress a hibás mindenért, tévedsz. Egy túl egyszerű, vagy kiszivárgott FTP jelszó, vagy egy feltört email cím is lehet gyenge pont. Ezen keresztül bejuttatnak valamit a WordPress-be onnantól meg nem kell jelszó sem hogy admin jogosultságokkal állítgathasd a rendszert.
WordPress biztonsági tippek
- Rendszeres karbantartás
- Erős jelszavak amiket időnként változtatsz is
- Változtasd meg az alapbeállításokat
- Fusson valamilyen biztonsági bővítmény és figyelj is oda rá időnként (pl Sucuri, Wordfence, de egyszerre csak egy)
- Ha több weboldalt is futtatsz a szerveren, akkor azok mindegyikére figyelj
- Tartsd biztonságos helyen minden tárhellyel kapcsolatos hozzáférésed (FTP, Email címek, weboldalhoz tartozó loginok)
- Jó ha maga a tárhely is rendelkezik valamilyen biztonsági megoldással