A következő tanfolyam indul

2017. július 20.
1

Honnan tudjuk, hogy biztonságban van a weboldalunk? – Innen!

Webdesignerként nem feltétlenül az az elsődleges feladatunk, hogy biztonságossá tegyük a kezünk alatt készülő, formálódó weboldalt. Azonban akár a saját, akár a Megrendelőnk oldalán dolgozunk, néhány fogással már sokat tehetünk azért, hogy biztonságban tudjuk a weboldalt, biztonságos honlapot adjunk át, biztonságos weboldalt vessünk be élesben. Természetesen ennek a területnek is meg vannak a szakemberei, a webfejlesztő, a rendszergazda, nem mellesleg erre szakosodott cégek is sokat tudnak tenni az ügy érdekében, de amíg magunkra vagyunk utalva, addig is foglalkoznunk kell a weboldal biztonságossá tételével.

A Webdesign tanfolyam során a WordPress tartalomkezelő rendszerrel dolgozunk, mely nyílt forráskódú, tehát az oldal már csak ezért is állandó veszélynek van kitéve. A weboldal karbantartásához az is hozzátartozik, hogy lépéseket teszünk az esetleges támadások ellen, a biztonsági kockázatok csökkentéséért, mindezzel a honlap megfelelő működéséhez és stabil eredmények eléréséhez is hozzájárulunk.

Egy listát állítottunk össze, ennek segítségével leellenőrizhetjük, hogy mindent megtettünk-e a weboldal biztonsága érdekében? Íme a lista, és a tennivalók:

Biztonsági mentések

Aranyszabály, hogy a készülő/elkészült weboldalról biztonsági mentéseket készítünk. Mentsük a tárhelyen lévő fájlokat, exportáljuk az adatbázist és mentsük le az alkalmazott bővítményeket, beállításokat is – mindezt rendszeresen ismételjük meg! Így ha bármi történne (ne történjen!:) ), vissza tudjuk állítani az egész weboldalt.

Hogyan készítsünk biztonsági mentést a weboldalunkról? – erről is írtunk.

Megjegyzés: Jobb esetben a tárhelyszolgáltatónk is készít biztonsági mentést a weboldalról, azonban ne elégedjünk meg ennyivel! Gondoljunk csak bele egy nagyon sarkalatos példába – bármilyen ok miatt becsődöl a tárhelyszolgáltatónk, letiltják a szervert, stb, nem csak az oldalunkat, de a biztonsági mentést sem fogjuk elérni. Ápropó, tárhelyszolgáltató: a tárhelyszolgáltató is legyen megbízható, tehát ne csak az árakat nézzük meg, hanem a minőséget is, és persze az általa biztosított szakértői tudást és segítségnyújtást is.

 

Frissítések

A weboldalak kapcsán a másik aranyszabály az az, hogy rendszeresen frissítsük magát a CMS tartalomkezelő rendszert (a mi esetünkben a WordPress-t), a használatban lévő sablont (szigorúan csak az általunk nem módosított fájljait!), valamint az alkalmazott bővítményeket! Frissítésre nemcsak az újdonságok (pl. WP adminfelület megváltozása, bővítményben új funkció megjelenése, stb) miatt van szükség, hannem éppen a biztonsági rések csökkentése érdekében.

Hogyan frissítsük a weboldalunkat? – erről is írtunk.

 

Belépési adatok

További nagyon fontos szabály, hogy biztonságos belépési adatokat adjunk meg a különböző felületekhez.

WordPress weboldalra belépés:
  • Ne legyen a felhasználónévben az admin szó (ha támadják az oldalt, ezzel kezdik), ne az alapértelmezettként felkínált „admin” felhasználót használjuk!
  • Ne szerepeljen a felhasználónévben a domain név, a vállalkozás neve, vagy egyéb, a vállalkozáshoz kapcsolódó, könnyen kitalálható név!
  • Álljon a jelszó kis- és nagybetűkből, tartalmazzon számokat és különleges karaktereket, legyen elég hosszú!
  • Változtassuk meg a jelszót bizonyos időközönként!
  • Hozzunk létre más jogosultságú felhasználót – ha van olyan személy, aki csak bejegyzéseket ír az oldalra, akkor neki csak szerkesztői jogosultságot adjunk, ne adjunk neki adminisztrátori hozzáférést!
  • Ne lépjünk be nyilvános hálózatról a weboldal admin felületére, ne nyitott wifi hálózaton álljunk neki a weboldalt kezelni, menedzselni – ezzel az adatlopás veszélyének tesszük ki az oldalt!
Egyéb felületekre belépés:

A WordPress oldalra való belépés mellett a legfőbb szabályok a tárhely belépési adataira, az FTP hozzáférésekre, az adatbázis adataira, valamint a MySQL  és a phpMyAdmin felületekre való belépésekre is vonatkoznak!

Megjegyzés: Egy jól karbantartott weboldal egyre kevesebb biztonsági rést szolgáltat a hackerek számára, a biztonság és a felelős védekezés kérdése egyre inkább a felhasználókra kezd átterelődni. Ugyanis jellemző, hogy a támadók már nem a szerveren keresztül törik fel a weboldalt, hanem igyekeznek a felhasználók belépési adatait megszerezve, vagy a honlap esetleges hibáit kihasználva bejutni az oldalra, és úgy elvégezni a káros tevékenységeiket. Tartsuk tehát páncélszekrényben a belépési adatokat! :)

2

 

Biztonsági bővítmény

Egy több funkciót is megvalósító biztonsági bővítménnyel igazán hatékonyan védekezhetünk a nem kívánt támadások ellen. Célszerű olyan plugint választani, amely kezeli a legfontosabb kockázati tényezőket, úgy mint pl. a belépési próbálkozások számának korlátozását, a belépési URL egyedivé változtatását (tehát az URL ne “…/wp-admin” végződésű legyen), a tűzfal beállításait, a regisztrációs oldalra és a bejelentkezési oldalra captcha (beírandó kódsor) elhelyezését, továbbá figyeli a fájlrendszert, a vírusokat, kiszűri a támadásokat, stb.

Megjegyzés: természetesen találhatunk ezen funkciókat külön is megvalósító bővítményeket.

WP biztonsági bővítmények, például:

All In One WP Security & Firewall

iThemes Security (elődje: Better WP Security))

AntiVirus

Acunetix WP Security

BulletProof Security

 

Mit tehetünk MÉG a weboldal biztonsága érdekében?

  • Megbízható helyről szerezzük be a WP sablont! Célszerű közvetlenül a készítő, gyártó oldaláról letölteni/megvásárolni a weboldal-sablont, továbbá érdemes leellenőrizni a hozzá tartozó szerződést is. Mindig legális sablonnal dolgozzunk, a sablon ne legyen feltört sem, ugyanis ebben lehetnek rejtett beállítások, spam linkek, valamint elrejtett hátsó ajtók, melyeken keresztül a hackerek később hozzá tudnak férni az oldalhoz és adatokat tudnak lopni, vagy más káros dolgot művelni. A megbízható forrásból szerzett/vásárolt sablonokhoz tartozik ügyfélszolgálat (support), fórumokon, bejegyzésekben is olvasgathatunk a sablon beállításairól, felmerült problémák elhárításáról, továbbá  rendelkezésre állnak frissítések, a készítők folyamatosan fejlesztik a sablonokat, ezzel is csökkentik a biztonsági kockázatokat.
  • Megbízható helyről szerezzük be a bővítményeket is!
  • Töröljük az oldalról a nem használt sablon(oka)t, mert ezek is biztonsági réseket jelenthetnek.
  • Töröljük az oldalról a nem használt bővítményeket, mert ezek is biztonsági kockázatok lehetnek, és az oldal működését is lassíthatják!
  • Ha új sablont/bővítményt/kiegészítőt szeretnénk tesztelni, azt ne az éles weboldalon tegyük, ugyanis ezzel is az oldal biztonságát veszélyeztethetjük!
  • Ne akarjunk a WordPress rendszerfájlaiba belenyúlni, azokat módosítani, mert így vagy nem lehet frissítéseket végrehajtani vagy minden frissítés után elvesznek a változtatások!
  • És bizony a sablon fájlaira is ugyanez igaz! (Ha mégis változtatásokra van szükség, akkor csak átgondoltan nyúljunk bele a fájlokba, hajtsuk végre a kívánt módosításokat!)
  • Óvjuk számítógépünket is a vírusoktól, ugyanis könnyen kerülhet vírus vagy jelszólopó program a gépre!

3

 

Amihez – webdesignerként – már esetleg segítséget is kell kérnünk:

  • A jelenleg használt WP verzió elrejtése – ha a behatoló megtudja, hogy milyen verziójú a rendszer, akkor tudja, hogy milyen biztonsági réseket keressen.
  • Felesleges fájlok törlése a szerverről (readme, licence, sample fájlok, telepítő fájl) – ezekből is nyerhetnek információkat a támadók.
  • Fájl jogosultságok beállítása – feleslegesen ne adjunk írási vagy végrehajtási jogokat.
  • Fájlelérések tiltása – az admin és a plugin fájlok letiltása a Google robotok elől.
  • A wp-config.php és a .htaccess elérésének tiltása.
  • Könyvtártallózás letiltása.
  • Az uploads és az includes mappában a php futtatás letiltása.

 

Legyen biztonságban a weboldalunk! A támadások ellen legfőbb a megelőzés! :)

Hozzászólások