Ezt a bejegyzést nem tart tovább 10 percnél elovasni!

All in one WP Security and Firewall – Biztonsági plugin WordPresshez

Azt hiszem nem kell hangsúlyozni, hogy milyen fontos a weboldalunk biztonsága. Sok sok időt és energiát fektetünk bele nap mint nap, hogy úgy nézzen ki, úgy működjön ahogy azt megálmodtuk. Mintha a gyermekünk lenne! És az embernek semmi sem fáj jobban mintha a gyermekét bántják! Márpedig a csúnya, gonosz hacker bácsik ott portyáznak a hálón és keresik, kutatják a könnyű prédát.

Éppen ezért mindenképpen meg kell tennünk legalább az alapvető biztonsági intézkedéseket a weboldalunk védelme érdekében. Mint WordPress felhasználók abban a szerencsés helyzetben vagyunk, hogy számos biztonsági plugin áll a rendelkezésünkre, akár ingyen is! Ezek közé tartozik az egyik legnépszerűbb WordPress biztonsági plugin az All in One Security and Firewall.

A plugin fejlesztői: Tips and Tricks HQ, WPSolutions, Peter Petreski, Ruhul Amin, MBRSolution, és Chesio. A több mint 600 ezres letöltéssel és a 4.8/5 átlaggal ez az egyik legnépszerűbb biztonsági plugin WordPress-hez.

Jellemzők:

  • Erős jelszavak generálása
  • Ha a látogatóid admin felhasználónévvel próbálnak regisztrálni a plugin észleli az ilyen felhasználói nevet és azonnal megváltoztatja azokat
  • Kiszűri a gyanús felhasználóneveket amiket esetleges támadásra használhatnak
  • Rögzíti az összes felhasználói fiók felhasználónevét, IP-címét, bejelentkezési dátumát / időpontját és kijelentkezési dátumát / időpontját
  • Captcha-t rendelhetsz a WordPress bejelentkezési űrlapjához, a WordPress komment űrlapjának elfelejtett jelszavához.
  • Ha egy felhasználó érvénytelen felhasználónévvel próbál bejelentkezni, a plugin automatikusan bezárja a felhasználó IP-címét
  • Automatikus biztonsági másolatok készítésének ütemezése
  • Felügyeli a PHP kód biztonságát
  • Blokkolja a hamis Google botokat a weboldal feltérképezésében
  • Naplózza az összes 404 eseményt a weboldaladon
  • Brute force bejelentkezési támadások blokkolása
  • A legnépszerűbb WordPress pluginekkel minden gond nélkül együtt működik

All in one WP Security telepítése 2 lépésben

  1. Lépj a WordPress oldalad admin felületére. Menj a Plugins -> New plugin. A keresőbe írd be All in One WP Security & Firewall.

All-in-one-WP-security-WordPress-plugin-setup1

  1. Kattints az Install Now majd a telepítés befejezése után az Activate gombra. Az aktiválás után meg fog jelenni a WP Security ikon az admin felület baloldali menüjében.

All-in-one-WP-security-WordPress-plugin-setup39

A telepítés és aktiválás után végezzük el a szükséges alapvető beállításokat.

All in One WP Security and Firewall

Dashboard – Vezérlő pult

Telepítés utánn a Dashboardon rögtön ellenőrízheted a web oldalad jelenlegi biztonsági szintjét.

security-points-score-system

A beállítások elvégzése után feltétlenül nézd meg mennyit javult a WordPress web oldalad biztonsága.

 

Critical Security Feature Status Notification – Kritikus biztonsági beállítások állapota

critical-security-feature-status

Megmutatja a legfontosabb biztonsági beállítások jelenlegi állapotát. Valamint lehetővé teszi aktiválásukat.

Az All in One WP Security beállítása

Mielőtt bármilyen módosítást végeznél, követve a legjobb gyakorlatot, készíts biztonsági másolatot az adatbázisodról, .htaccess és a wp-config.php-rol.

All-in-one-WP-security-WordPress-plugin-setup2

Amennyiben a biztonsági beállítások után bármilyen rendellenes működést, nem kívánatos eseményt tapasztalsz, könnyen kikapcsolhatsz minden módosítást valamint a tűzfalat is. Ehhez csak kattints a Disable All Security Features és a Disable All Firewall Rules gombokra.

 

All-in-one-WP-security-WordPress-plugin-setup3

És most vegyük sorba a beállítási lehetőségeket illetve, hogy melyek azok az alapvető funkciók amiket érdemes bekapcsolni.

User Accounts – Felhasználói fiókok

Change Admin Username – Az Admin felhasználónév megváltoztatása

Meglepő, de az egyik leggyakrabban használt username az Admin. Feltehetőleg kevesen változtatják meg, illetve nem is tudják, hogy megváltoztathatják és mivel ez az alapból beállított username ez kerül elmentésre az adatbázisban a WordPress telepítésekor. Sajnos ez remek támadási felületet biztosít a rosszindulatú hackerek számára. Erősen ajánlott tehát az Admin, mint username használatának tiltása. Itt kapsz figyelmeztetést ha esetleg még nem változtattad meg a username-det.

 

All-in-one-WP-security-WordPress-plugin-setup5

Mindenképpen érdemes beállítanod az úgynevezett display name-t. Ha nem adtál meg külön display nevet a login neved fog megjelenni minden új bejegyzésed alatt és  hozzászólásodnál, ami biztonsági szempontból nem jó gyakorlat.

 

A következő tab-on ellenőrízheted milyen erős a jelszavad. Mondanom sem kell minél erősebb annál jobb! Amennyiben jelenlegi jelszavad nem elég erős mindenképpen változtasd meg!

All-in-one-WP-security-WordPress-plugin-setup7

 

User Login – Bejelentkezés


A User Login alatt a következőket tudod beállítani:

 

Enable Login Lockdown – Lehetőséget ad az alább beállított felhasználók kizárására

Allow Unlock Request – Engedélyezi, hogy a kizárt felhasználó kérvényezhesse az oldalra való bejelenkezés tiltásának feloldását

Max Login Attempts – A maximális probálkozás a bejelentkezésre mielőtt a felhasználó az IP címe alapján letiltásra kerül

Login Retry Time Period – Megadhatod, hogy a sikertelen bejelentkezések után a  felhasználó mennyi perc elteltével próbálkozhat újra a bejelentkezéssel

Time length of Lockout – Ez a beállítás mutatja, hogy hány percre zárja ki a rendszer a felhasználót

Display Generic Error Message – Ha bekapcsolod, hiba üzenetet mutat az érvénytelen bejelentkezés után

Instantly Lockout Invalid Usernames – Bekapcsolásakor a rendszerben nem regisztrált felhasználó névvel, bejelentkezni próbáló user azonnali kizárása

Instantly Lockout Specific Usernames – Ebben az ablakban adhatsz meg olyan felhasználóneveket amelyeket tiltani akarsz az oldaladon. Pl. obszcén tartalmúakat

Notify By Email – A lentebb megadott email címre értesítést kapsz ha egy felhasználót kizár a rendszer

 

All-in-one-WP-security-WordPress-plugin-setup8

 

Force logout – Kényszerített kiléptetés

All-in-one-WP-security-WordPress-plugin-setup9

 

Enable Force WP user Logout – Felhasználó automatikus kijelentkeztetésének engedélyezése

Logout the WP user After XX Minutes – Mennyi perc múlva jelentkeztesse ki automatikusan a felhasználót

Force logout, vagyis ha ezt engedélyezed a percben megadott idő letelte után a felhasználónak újra be kell jelentkeznie. Így biztos lehetsz benne, hogy ha bejelentkezve is maradtál az adminfelületedre, egy olyan eszközön amit nem csak te használsz, suliban, munkahelyen, stb., a beállított idő leteltével kiléptet az oldal.

 

User Registration – Felhasználó regisztráció

Manual Approval – Személyes jóváhagyás

All-in-one-WP-security-WordPress-plugin-setup10

 

Enable manual approval of new registrations – A regisztráció kézi jóváhagyásának engedélyezése

Bekapcsolva nem engedélyezi a közvetlen regisztrációt az oldaladra a felhasználónak. A felhasználó regisztrációját neked, az adminnak, kell jóváhagyni minden felhasználó esetében.

Registration Captcha – Regisztráció ellenőrzése Captcha-val

All-in-one-WP-security-WordPress-plugin-setup11

 

A Captcha tulajdon képen egy teszt aminek segítségével meglehet  állapítani, hogy a regisztráló felhasználó egy személy vagy egy automatizált program, internetes bot. Képekeket kell megjelölni amelyeken egy bizonyos objektum szerepel vagy képen mutatott szám- illetve betüsort kell begépelni.

 

Database Security – Adatbázis biztonság

DB Prefix – Adatbázis tábláinak előtagja

All-in-one-WP-security-WordPress-plugin-setup12

 

Current DB Table Prefix – A jelenlegi előtagja a táblázatoknak

Generate New DB Table Prefix – Automatikus előtag generálása

Choose your Own prefix – Saját egyedi előtag megadása

 

A WordPress telepítésekor az adatbázis tábláinak előtagját (prefix) automatikusan wp_-re állítja. Ez biztonsági szempontból sebezhetőségre ad lehetőséget, így érdemes megváltoztatni őket. Generálhatsz véletlen szerű előtagot illetve megadhatsz egy általad választottat is.

 

DB backup – Adatbázis biztonsági mentése

All-in-one-WP-security-WordPress-plugin-setup13

 

Enable Automated Scheduled Backups – Automatikus biztonsági mentés engedélyezése

Backup Time Interval – Milyen időközönként készüljön mentés

Number of Backup Files To Keep – Mennyi biztonsági mentést tartson meg az előző mentések közül

Send Backup File Via Email – Az elkészült biztonsági mentés elküldése a megadott email címre

 

Filesystem Security – Fájl rendszer biztonság

File Permissions – Fájl hozzáférési engedélyek

All-in-one-WP-security-WordPress-plugin-setup14

 

Minden fájlnak és könyvtárnak van úgynevezett permission-ja. Ez három szám ami meghatározza a fájlhoz, könyvtárhoz való hozzáférés jogosultsági szintjét.  A WordPress a fájlokhoz a 664, könyvtárakhoz a 775 és a wp_config.php fájl 660 jogosultsági szintet javasolja. Ettől eltérni csak nagyon indokolt esetben ajánlott.

Az All In One WP Security ellenőrzi a jelenlegi szinteket és amennyiben nem a WordPress által javasolt felajánlja a megváltoztatásukat.

 

PHP File Editing – A php féjlok szerkesztése

php_editining

 

Disable Ability To Edit PHP Files – A PHP fájlok szerkesztésének tiltása

Mivel a WordPress PHP alapú rendszer, támadási felületet nyújt ha engedélyezett a PHP fájlok online szerkesztése. Mindenképpen javasolt a tiltásuk!

 

WP File Access – WordPress forrás fájlok hozzáférése

All-in-one-WP-security-WordPress-plugin-setup16

Prevent Acces to WP Default Install Files – A WordPress alapértelmezett telepítő fájljaihoz való hozzáférés tiltása

 

Host System Logs – Rendszer napló

All-in-one-WP-security-WordPress-plugin-setup37

 

Megnézheted a rendszer naplót az előfordult hibákról, kitiltott felhasználókról, letiltott IP címekről, stb.

 

WHOIS LOOKUP

All-in-one-WP-security-WordPress-plugin-setup38

 

Információt ad a megadott IP vagy webcímről.

 

Blacklist Manager – Tiltó lista

All-in-one-WP-security-WordPress-plugin-setup17

 

Enable IP or User Agent Blacklisting – IP cím és kiszolgáló tiltásának engedélyezése

IP címeket és kiszolgálókat tehetsz tiltó listára.

 

Figyelem!

Ha a plugin nem rendeltetésszerűen működik az oldaladon kizárhatod magad az admin felületről! Csak nagyon körültekintően használd vagy inkább hagyd kikapcsolva ezt az opciót!

 

Firewall – Tűzfal

All-in-one-WP-security-WordPress-plugin-setup18

 

Ezek egyszerű tűzfal beállítások. Mindet engedélyezheted.

 

Additional Firewall Rules – Kiegészítő tűzfal beállítások

All-in-one-WP-security-WordPress-plugin-setup19

All-in-one-WP-security-WordPress-plugin-setup20

 

Itt is engedélyezheted az összes opciót.

 

 

6G Blacklist Firewall Rules – 6G tűzfal

All-in-one-WP-security-WordPress-plugin-setup21

 

A 6G Firewall egy plusz tűzfal a WordPress oldaladra. Segít elhárítani a rossz indulatú támadások, ezért engedélyezése mindenképpen javasolt. Itt olvashatsz róla bővebben.

 

Internet Bots

all_in_one

 

Az Internet Bot-ok olyan apró szoftverek amelyek automatikus feladatokat hajtanak végre az interneten. Információkat szereznek és továbbítanak a szerverek között. Lehetnek hasznosak és veszélyesek is egyaránt. Engedélyezd ezt az opciót a kártékony bot-ok kiszűrésére.

 

Prevent Hotlinking

All-in-one-WP-security-WordPress-plugin-setup23

 

Prevent Image Hotlink – A hotlink-elés tiltása

A hotlink közvetlen elérést ad a weboldalad vagy tárhelyed fájljához. Ezzel a módszerrel az oldaladon lévő képeket, videókat más oldalakra illeszthetik be anélkül, hogy bármilyen utalás lenne a forrásra azaz a te weboldaladra.

 

404 detection – 404 Az oldal nem található

All-in-one-WP-security-WordPress-plugin-setup24

A 404-es vagy Nem található hiba üzenet azt jelzi, hogy a kliens, azaz a látogatód böngészője, kapcsolatba tudott lépni a szerverrel, de a böngésző által kért állomány, azaz a weboldal, nem található.

Brute Force – “Nyers erő” támadás

All-in-one-WP-security-WordPress-plugin-setup25

A Brute Force, “Nyers erő”, támadás lényege, hogy kipróbálja az összes lehetséges kulcsot a helyes felhasználó név – jelszó páros megtalálására. Ez a támadás típus elvileg mindig sikerrel jár. Ám ehhez nagyon komoly technikai háttérre van szükség ami a legtöbb esetben meghaladja egy egyszerű támadó technikai támogatottságát.

 

Figyelem!

Ha a plugin nem rendeltetésszerűen működik az oldaladon kizárhatod magad az admin felületről! Csak nagyon körültekintően használd vagy inkább hagyd kikapcsolva ezt az opciót!

 

Rename login page – A bejelentkező oldal átnevezése

All-in-one-WP-security-WordPress-plugin-setup26

 

Az esetleges támadók így nehezebben vagy esetleg nem is találják meg az admin felületre szolgáló weboldalt.

Figyelem!

Ha a plugin nem rendeltetésszerűen működik az oldaladon kizárhatod magad az admin felületről! Csak nagyon körültekintően használd vagy inkább hagyd kikapcsolva ezt az opciót!

 

Login Captcha – Captcha a bejelentkezésnél

All-in-one-WP-security-WordPress-plugin-setup28

 

A Captcha-ról már ejtettünk pár szót fentebb. Itt engedélyezheted a Captcha-t a bejelenkező és a jelszó emlékeztető oldalán is.

 

Spam Prevention – Kéretlen üzenetek tiltása

Comment Spam – Komment spam-ek

 

Enable Captcha On Comment Forms – Captcha engedélyezése a kommentek hozzáadásánál

Block Spambots From Posting Comments – Automatikus kéretlen üzenetek tiltása

Engedélyezheted mind a két opciót.

 

Comment Spam IP Monitoring – Kéretlen üzenetek IP címének figyelése

All-in-one-WP-security-WordPress-plugin-setup32

 

Letilthatsz olyan IP címeket amelyekről a megadott darabszámú kéretlen üzenet érkezett. Az IP cím teljes kizárásra kerül ezért semmilyen hozzászólás nem engedélyezett számára.

 

Visitor Lockout – Látogató kizárása

 

Ha bármilyen probléma adódik a weboldaladon aminek kivizsgálása több időt kíván ezzel az opcióval kizárhatod a látogatókat, tulajdonképpen elérhetetlenné teszed az oldalad.

 

Miscellaneous – Vegyes

Copy Protection – Másolás védelem

 

Ez az opció nem engedi, hogy a látogató szöveges vagy képi tartalmat másoljon ki az oldaladról.

 

Frames – Beillesztés tiltása

 

Enable iFrame Protection – A weboldal iFrame-be történő beágyazásának tiltása

Az iFrame egy HTML tag aminek segítségével teljes weboldalakat lehet beágyazni más weboldalakba. Ennek megakadályozására kapcsold be ezt az opciót.

 

Users Enumeration – Felhasználó lekövetése

 

Disable Users Enumeration – A felhasználó lekövetésének tiltása

Letiltja a bejelentkezett felhasználó adatainak megszerzését az url segítségével. Kapcsold be nyugodtan.

 

Végül

Az All in One WP Securyti and Firewall biztonsági plugin WordPresshez igazán hatékony védelmet képes nyújtani. A rengeteg szolgáltatás, a könnyü beállítás és kezelhetőség mind egy jó érv a használata mellett. Mivel a plugin ingyenes mindenképpen érdemes kipróbálni!

 

Happy coding!

Forrás: weblogsetup.com