Biztonságos a WordPress?

security-265130_1920

Sok embertől hallani, hogy a WordPress nem biztonságos. Vannak olyan ügyfeleim akik már eleve így is keresnek meg. Ők nem akarnak WordPresses weboldalt, mert feltörik. Ez nekem nyilván csak jót jelent: több munka, több pénz. De vajon tényleg megalapozottak a vádak a WordPressel szemben?

Az egyik érv ami miatt sokan azt mondják, hogy könnyen törhetőek a wordpresses weboldalak az az, hogy nyíltforráskódú. Félig-meddig igaz is az állítás. Hiszen a forráskódot tanulmányozva a profik találhatnak olyan réseket, amiket kihasználva az oldalad törhetővé válik. Viszont a wordpress fejlesztő csapata sem tétlenkedik. Ha tudomásukra jut egy hiba, akkor ezt igyekeznek is a lehető leghamarabb javítani. Hogy honnan jut tudomásukra? Van jó néhány biztonsági cég, akik arra szakosodtak, hogy a wordpress és bővítményeik biztonsági réseit keresik. Sőt megoldást is igyekeznek kínálni a kivédésükre. Ilyen például a Wordfence bővítmény fejlesztő csapata is. Magában a wordpress motorban lévő réseket viszonylag hamar javítják. Így neked csak annyi a teendőd, hogy folyamatosan frissítesz a legfrissebb verzióra. A nagyobb problémát a bővítmények szokták okozni. Ott már közel sem élvez prioritást a biztonságosság. Sokszor évekkel ezelötti az utolsó frissítés. Ez különösen az ingyenes bővítményekre igaz. Szóval igyekezzjól megválogatni a bővítményeidet. Ha olyan bővítményt használsz amit már évek óta nem frissítettek, akkor lehetséges, hogy veszélynek teszed ki az oldalad. Lehetőség szerint a bővítményeidet is frissítsd amikor csak lehetséges. Biztonsági mentés viszont minden esetben csinálj az oldalról előtt. Előfordulhat, hogy egy-egy bővítmény frissítése hibát okoz az oldal működésében.

A folyamatos frissítés megoldás minden biztonsági problémára?

Nem egészen. Nagyon fontos hogy megfelelő jelszót válassz a felhasználóidnak. Találkoztam már olyannal, hogy azért törték fel valakinek az oldalát mert admin/admin volt a felhasználónév és a jelszó. Hihetetlenül hangzik de tényleg van ilyen. A wordpress oldalak feltörését már robotok végzik. Járják az internetet és ha egy wordpress weboldalra bukkannak, akkor végig próbálják az ismert hibákat és ha valamelyik bejön, akkor elvégzik a feladatuk. Általában ezek a botok spamelésre szakosodtak. Így kerülhet szépen az oldalad spam listára. Ezt pedig te sem szeretnéd.

Ha már megtörtént a baj, akkor a következő lépéseket érdemes tenned:

  • megtisztítani az oldalad vagy visszatölteni egy korábbi biztonsági mentést
  • megváltoztatni minden jelszót (ftp, admin jelszó)
  • frissíteni mindent amit csak lehet
  • felrakni egy biztonsági bővítményt mint pl. a Wordfence

Biztonsági mentést elvileg csinál a tárhely szolgáltatód is. De közel sem olyan gyakran mint ahogy szeretnéd. Ha gyakran változik az oldalad, akkor érdemes manuálisan is biztonsági mentést csinálni mind a fájlokról, mind az adatbázisról. Az adatbázis lementéséhez használd ezt a bővítményt. Ha éppen nem használod nyugodtan kapcsold ki a bővítményt.

A Maxer Hosting-nál van egy egész jó kis funkció. Site Protection-nek hívják. Ha bekapcsolod ezt a funkciót, akkor az oldal fájljainak a változásáról valós időben értesülsz egy email formájában. Ha fél órán belül nem hagyod jóvá a módosításokat, akkor visszaállítja a korábbi verziót. Ez tök jól eltüntetheti a feltört oldaladból a károkozókat, viszont ha nem teszel lépéseket a feltörés ellen, akkor végtelenségig fog zajlani ez a kör: feltörik az oldalad, majd eltakarítja a kártékony kódot a szolgáltató.