Ezt a bejegyzést nem tart tovább 4 percnél elovasni!

Alapvető biztonsági intézkedések WordPress oladalakon

Úgy mondják kétféle weboldal létezik. Az amelyiket már feltörtek és az amelyiket fel fognak. Minden webfejlesztő, weboldal tulajdonos életében eljön a pillanat amikor ráébred, hogy feltörték, meghackelték az általa készített weboldalt. Rossz érzés! Az első pillanatokban dühös leszel majd jön a kétségbe esés. Mit tegyek?

 

Feltörték a weboldalam? – Az árulkodó jelek

A következő felsorolás közel sem teljes de tartalmazza a leggyakrabban észlelhető jeleket. Fontos, hogy rendszeresen ellenőrizd a web oldalad, így a lehető leghamarabb észlelheted a támadást és megtudod tenni a szükséges lépéseket. Mindig használj kontroll böngészőt és eszközt, hogy meggyőződj valóban a weboldaladdal történt valami!

 

  • Nem tudsz bejelentkezni az admin felületre
  • Ismeretlen fájlok a WordPress könyvtáraiban. Leggyakrabban a  /wp-content/ könyvtárban
  • A weboldalunk nem töltődik be, helyette esetleg fehér képernyő vagy hibaüzenet jelenik meg
  • A nyitóoldal helyett átirányításra kerülünk egy teljesen más (álltalában kéretlen tartalmat megjelenítő) weboldalra
  • A nyitóoldalon megváltozott a tartalom esetleg egy üzenet látható “Hacked by XY team”
  • Betölt ugyan az oldal, de bármilyen linkekre kattintva külső oldalra irányít át
  • Felugró ablakok tünnek fel az weboldaladon
  • Gyanús SPAM szövegek jelennek meg véletlenszerü helyeken
  • A látogató számára láthatatlan, úgynevezett rejtett SEO SPAM linkek kerülnek beágyazásra az oldal forráskódjába
  • A tárhelyszolgáltatód értesít, hogy a tárhelyedről túl sok a kimenő kéretlen e-mail üzenet
  • A Google Webmaster Tools jelzi, hogy gyanús aktivitás történik a weboldaldaladon
  • Tiltólistára kerül az IP címed, a domained alól küldött e-mailek nem érkeznek meg a címzetthez
  • Hirtelen belassul a weboldalad, sokkal nagyobb sávszélességet használ

 

Wordpress_Security_-_Prevent_your_WordPress_Website_from_Getting_Hacked

 

Hogyan állítsd helyre a feltört WordPress weboldalad

A tárhelyed admin felületére belépve találsz statisztikákat. Tárhelyszolgáltatóént változó, hogy éppen mit, de látnod kell, hogy milyen IP címről jött a látogató, mit kért le. Ha értelmetlen, furcsa nevü php végződésű fájlt látsz, esetleg több IP címről kérik le, akkor gyanakodj és gyorsan nézd meg mi az a fájl (vagy fájlok). Szükség esetén ezeket törölnöd kell!

 

Mindent tölts le de csak tiszta forrásból!

  • wordpress.org,
  • Sablon – theme,
  • Bővítmény – plugin

 

Ha egyedi fejlesztésű alkalmazásod, bővítményed van, akkor keresd meg az eredetit vagy újra kérd el a fájlokat a plugin készítőjétől.

 

Törlés, törlés, törlés

Mindent de ényleg mindent, könyvtárastól, a .htaccess, robots.txt, wp-config.php, sitemap, wp-content/uploads mappa kivételével.

 

Változtasd meg a jélszavaid

A következő, amit meg kell tenned az a jelszavak megváltoztatása! FTP, cPanel, minden, ami a weboldaladhoz köthető. A fertőtlenítés után természetesen meg kell változtatnod a WordPress adminisztrátor jelszavadat valamint is!

 

.htacces fájl ellenőrzése

Nyisd meg a .htaccess fájlt szerkesztésre és ellenőrizd a tartalmát. Alapesetben csak a

következőket kell tartalmaznia:


# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
<span data-mce-type="bookmark" style="display: inline-block; width: 0px; overflow: hidden; line-height: 0;" class="mce_SELRES_start"></span>

 

A legjobb ha mindent törölsz és csak a fenti sorokat hagyod meg. Előfordulhat, hogy egyes pluginok előzetesen bejegyzést készíttettek a .htaccess fájlba de ne aggódj, törölj minden nem oda való sort! Mindössze annyi a teendőd, hogy a fertőtlenítés után újra el kell mentened a pluginek beállítását.

 

Adatbázis

Ha az adatbázis megsérült, akkor azt is vissza kell állítanod (legegyszerűbben PHPMyAdmin-on keresztül teheted ezt meg). Amennyiben nem sikerülne belépni vagy nem működne a régi jelszavunk, úgy ez a cikk segíthet a megoldásban: link

 

Fejléc fertőtlenítése

A meta generátort mindenképp szedd ki. Nem kell a hackernek segíteni még azzal is, hogy megmondod neki, melyik WordPress verzió fut a honlapodon.

 

Pluginok, theme-k

Mindenképp töröld azokat a bővítményeket, sablonokat amiket nem használsz (pl. kipróbáltad, de nem vált be). Bármelyikről kiderülhet, hogy sérülékenység van benne és máris törhető a honlapod.

 

További ellenőrzések a WordPress admin felületén

Ha él az oldal és sikerült a belépés, akkor érdemes átnézni még a WordPress felhasználókat. Ha látsz gyanús adminisztrátor jogokkal rendelkező regisztrációt, akkor érdemes azonnal törölni. Jó ötlet még átnézni egyes posztok és oldalak tartalmát is a HTML nézetben, nehogy itt is megbújjanak kifelé mutató SPAM linkek vagy beágyazott kártékony Javascript kódok.

 

Generálj új keyt a wordpress.org-on: https://api.wordpress.org/secret-key/1.1/salt/
A generált kóddal cseréld ki a wp-config.php fájlban levőt.
Telepíts egy WordPress biztonsági plugint. Az egyik legjobb az All in One WordPress Security and Firewall plugin. Itt találsz egy részletes leírást a telepítéséhez és beállításához!

 

WordPress-Security-Plugins-660x400

 

Minimális biztonsági intézkedések – WordPress security, backup

Fontos! Mindig tartsd frissen a WordPress fájljait! Az oldalt nem lehet magára hagyni még hetekre sem! Folyamatosan ellenőrizd a linkeket, regisztrált felhasználókat, a fájlok forrás kódját.
Rendszeresen készíts biztonsági mentést. Az egyik legnépszerübb ingyenes backup plugin az UpdraftPlus.

Telepíts egy WordPress biztonsági plugin-t. Ajánlom az All in One WordPress Security and Firewall plugin. Itt találsz egy részletes leírást a telepítéséhez és beállításához!

 

Happy coding!