Komoly támadás a WordPress ellen – frissíts!

Nem győzöm eleget hangoztatni a frissítések fontosságát. Nemcsak azért jönnek ki újabb és újabb verziók a WordPress motorból és a bővítményekből, hogy szebb, okosabb legyen a weboldalunk, hanem nagyon sokszor biztonsági réseket tömnek be ezek a frissítések. Ezen a hétvégén komoly támadás érte a WordPress weblapokat, úgy néz ki, hogy Kínából, Tajvanból, Litvániából és máshonnan jönnek, de tárhelyszolgáltatónk, a Silihost is megerősítette, hogy kizárólag a nem frissített, 2.9.2. és 3.0.1. verziójú WordPress oldalak voltak és vannak veszélyben.

Ez a két verzió már több, mint egy éve volt friss, így nagyon remélem, hogy a Te weboldaladon már réges-régen ennél újabb motor fut. A mostani támadás a wp-comments-post.php és a wp-login.php fájlok ellen irányult elsősorban. Általános szabály, hogy ha valami kisebb támadás van, amit talán nem is veszel észre azonnal, ha felmész a tárhelyedre és körülnézel a fájlok között, az utolsó módosítási dátumból azonnal kiugrik, ha valami nem az, aminek lennie kellene.

FRISSÍTÉS: Farkas Anikó mutatott egy oldalt, ahol egy hackelést felderítő php scriptet mutatnak be: http://www.tutorial.hu/honlap-hackelest-felderito-script/ Próbáld ki, igen hasznos apróság! (Csak egy “apró” gond van vele: ha frissíted a WP-t vagy valamelyik bővítményt, akkor azokat is “új fájl”-ként érzékeli. Ilyenkor kénytelen vagy “szemmel” átnézni a kapott fájl-felsorolást, és ha azt látod, hogy az összetartozó fájlok dátuma ugyanaz, akkor nincs probléma…)

Korábban is írtam már néhányszor a WordPress alapú weboldalak esetében követendő biztonsági szabályokról, illetve megjelent itt a blogon szintén tárhelyszolgáltatónk, a Silihost cikke alapján, hogy hogyan tudjuk IP-cím alapján megvédeni a WordPress alapú weboldalunkat az illetéktelen behatolástól. A Haladó Tanfolyam keretében pedig egy egész lecke foglalkozik nagyon részletesen a biztonsági kérdésekkel.

Foglaljuk össze a leglényegesebb tennivalókat!

1. Az egyik része a védekezésnek, hogy a saját számítógépünket nagyon tisztán, védetten tartjuk. Sokéves tapasztalat alapján ajánlom az ESET Smart Security (NOD32 néven is közismert) rendszerét, amely a háttérben észrevétlenül dolgozva megvédi a számítógépünket a vírusoktól és a kémprogramoktól, amelyek például ellophatják az FTP jelszavunkat, és így hozzáférhetnek a tárhelyünkhöz. Az ESET-nek viszonteladói vagyunk, a saját ügyfeleinknek nagyon kedvező konstrukciókat tudunk kínálni – ha ez érdekel, kérlek, keress meg az ajanlatkeres [@] pagonymedia [.] hu címen.

2. Mindig tölts le és telepíts minden frissítést, amelyet az operációs rendszered és a használt programjaid automatikusan felkínálnak. Nemcsak a nyílt forráskódú rendszereket érik támadások, a fizetős szoftverekben is találnak biztonsági réseket időről időre, így nagyon fontos, hogy ezeket a frissítéseket elvégezd.

3. Tegyél meg mindent, hogy a WordPress beállításaid a lehető legbiztonságosabbak legyenek. Miről is beszélek?

  • telepítéskor a wp-config.php fájlban adj meg valamilyen más tábla-előtagot, ne hagyd meg az alapértelmezett wp_-t;
  • ha régebbi telepítésű rendszered van, az admin nevű felhasználót cseréld le, és természetesen használj erős jelszót a belépéshez;
  • védd meg a belépési oldaladat az IP-cím illetve -tartomány korlátozásával (kérd a tárhelyszolgáltatód segítségét, ha egyedül nem megy);
  • és a legfontosabb: mindig tölts le minden frissítést a WordPress motorhoz és a sablonokhoz, bővítményekhez is!

Természetesen időről időre készíts teljes mentést a weboldaladról a saját számítógépedre: töltsd le a wp-content könyvtárad tartalmát, és exportáld is a tartalmaidat a Vezérlőpulton az Eszközök -> Exportálás menüpontban -, különösen frissítés előtt. (Ne felejtkezz el a widgetjeidről sem…) Ha a tárhelyszolgáltatódnál (mint például nálunk is) alapszolgáltatás a napi biztonsági mentés távoli szerverekre, az nagy nyugalmat ad, de ne felejtsd el, hogy egy mentésből való visszaállítás azért mindig kényelmetlenséget és költséget jelent, erre lehetőleg inkább ne kerüljön sor.

Nem kell folyamatosan aggódnod, hogy vajon mikor omlik össze az egész weblapod, és vész kárba minden eddigi munkád, ha a fenti szabályokat betartod.

Ha van még ötleted, módszered, amellyel az oldaladat védeni szoktad, oszd meg velünk a hozzászólások között!

 

Oszd meg Te is:

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ezek is érdekesek lehetnek számodra: 

Iratkozz fel hírlevelünkre!

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Generatepress Logo White Asset
GeneratePress
Divi 4.0
Divihello
Prémium támogatás és ajándék Divi licence
Adatvedelem.png
ADATVÉDELEM minta
Aszf.png
Webshop ÁSZF minta

“Komoly támadás a WordPress ellen – frissíts!” bejegyzéshez 15 hozzászólás

  1. Köszönöm Móni!
    Egy részét már korábban megcsináltam, de már nagyon régóta nem frissítettem. Most legyőztem a lustaságot, és gyorsan megcsináltam a mentéseket és a frissítéseket!
    Így már jobban néz ki a vezérlőpult is. Mondjuk aludni eddig is tudtam, csak lehessen végre! 🙂
    Üdv:Kati

  2. A Bővítménybe is beépíthető például jelszó mentő és elküldö script, ha jól gondolom. És akkor elmondhatjuk, hogy csak a biztonsági szempontból tesztelt Bővítményt szabad feltenni. Hányat ellenőriznek és honnan tudjuk, hogy nincs e hátsó szándéka a Bővítményt készítőknek? Elvégre nem lehet mindenki becsületes és tisztességes.

  3. Nagyon jók az ilyen figyelmeztetések.

    Ugyanakkor szerintem pont azokhoz nem jut el, akikhez kellene.
    Ha valaki több, mint egy éve nem frissítette az oldalát, az valószínűleg az ilyeneket sem olvassa el.

    Automatikus napi backuphoz javaslom az xcloner-t. http://www.xcloner.com
    Az ingyenes verziója tud mindent, amit kell. Ráadásul költözésnél is segít.
    A beállítás nem a legegyszerűbb, de utána nyugodtan alhatunk.

    Az IP cím védelemmel vitatkoznék. Ha valaki dinamikus IP címet használ (a magyar netezők nagy részének az van), könnyen kizárhatja magát az oldalról, amint pl. a UPC új címet oszt ki.

  4. Ez megint csak nagyon hasznos összefoglaló, köszi érte!

    Egy kérdés.
    A wp-config.php fájlban a tábla előtagokat a telepítés után is le lehet cserélni? Ha igen, ez mennyire bonyolult?

  5. Szia Móni!

    Egy ideje kéretlen hozzászólásokat kapok angolul a blogomban, melyeket spamnak minősítek, és azt szeretném kérdezni, hogy hogy lehetne esetleg ezeket előre letiltani. Írsz valahol erről a blogban? Köszönöm

    • Szia!

      Ha használod az Akismetet, az “tanítható”, így ezeket megjegyzi, és a hasonlóakat később már nem fogja beengedni. Ezenkívül a Beállítások -> Interakció menüpontban is állítsd be, hogy ha a linkek száma egynél több, az eleve menjen a spambe, illetve letilthatsz akár szavakat is.

  6. Szia Móni!

    Nem túl szigorú a linkek számát 1-re korlátozni spam-szűréshez? Mert email szinten nézve, akkor a legtöbb, sőt szinte minden szabályos hírlevél is már a szemetesben fog landolni. A Te hírleveled szinte az a kivételes, ahol a leiratkozási lehetőséget, és a hírlevélben megjelölt céloldal elérést is az autoresponder kezeli.
    A legtöbb hírlevélben a céloldalt direktben adják meg, aminek azért előnyei is vannak, mint pl. vírus-ellenőrizhetjük -ha kedvünk, és óvatosságunk úgy tartja (ld. pl. aktuális fejezetcím)- mielőtt rálépnénk. Ekkor a linkek száma 2-re bővül. Ha emellett a Facebook-on is jelen vannak, és azt is megadják, ez így már a 3. link.
    Emellett vannak “gyönyörű” spam-ek, ahol nincsenek is link formátumban a linkek, az áldozat majd bemásolja a böngésző keresősorába alapon.
    Igazából blogok vonatkozásában sem látom a linkek 1-ben maximálásának nagyszerűségét. Kitudnád fejteni, hogy miért jó az 1, és nem a 0, 2 vagy 3?

    • Ez nem az e-mailekre vonatkozik, hanem a spam hozzászólásokra, a WordPress blogbejegyzések esetében. Ha valódi hozzászólás jön, abban lehet egy link (pl valaki ajánl egy bővítményt), de ha több van, az legtöbbször (a tapasztalatok szerint, és ez nem az én tapasztalatom, hanem az általános tapasztalat) – spam. Ha mégis több link is van egy hozzászólásban, még mindig el lehet fogadni, hiszen a rendszer csak megjelöli moderálásra, nem törli eleve.

Szólj hozzá!

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..