Mit tegyek, ha feltörték a WordPress oldalamat? (És hogyan lehet megelőzni?)

Pár hete vasárnap az egyik közismert tárhelyszolgáltatót érte hacker-támadás, amelyet gyorsan észleltek és ki is javítottak. Az ilyen jellegű betörések ellen a szolgáltató védekezik, és ha valami mégis bejut a szerverre, akkor az ő dolguk a helyreállítás. Azonban ha csak a Te oldaladat törik fel, azaz a hiba nem általános, akkor a tárhelyszolgáltatónak nem kötelessége ezt sem vizsgálni, sem javítani. Ilyenkor a Te dolgod a rosszindulatú kódok felderítése, törlése, és a weboldalad helyreállítása.

Nem ez az első bejegyzésem a biztonsági kérdésekről, sőt – hiszen írtam már a belépési oldal megvédéséről, a saját biztonsági mentés készítéséről, valamint a helyes frissítés módszeréről is. Tisztában kell lenned vele, hogy a WordPress, mint nyílt forráskódú rendszer, az egyedi fejlesztéseknél jobban ki van téve a rosszindulatú támadásoknak, viszont mivel világszerte több millióan használják és több százan fejlesztik, ezért a biztonsági réseket hamar felfedezik és javítják. Ez azonban egy végtelen történet, akárcsak a bűnözőké és a rendőröké: mindig van új rés, arra új védekezés, és így tovább.

Legutóbb tavaly októberben volt egy nagyobb támadás a WordPress ellen, amely a korábbi, 2.9.2. és 3.0.1. verziójú motorokat érintette, ekkor nyomatékosan felhívtam a figyelmet a frissítések rendkívüli fontosságára, és azt is leírtam, mi egyebet tehetsz még a WordPress oldalad biztonsága érdekében. (Ez a bejegyzés ide kattintva olvasható.)

 

Most a fenti gondolatokat folytatva a figyelmedbe ajánlok néhány bővítményt, amelyeket érdemes használnod, hogy megvédd a honlapodat, valamint kitérek arra is, mit tegyél, ha ennek ellenére feltörik az oldaladat.

WebsiteDefender WordPress Security

Remek bővítmény, amely ellenőrzi és védi a WordPress alapú weboldalakat (például hogy megvannak-e a szükséges .htaccess fájlok, törölted-e az admin felhasználót, az adatbázis tábla-előtagot megváltoztattad-e wp_-ről valami másra, eltünteti a kódból a verziószámot, és így tovább), sőt, ha regisztrálsz az online WebsiteDefender szolgáltatásra, akkor folyamatosan ellenőrzik a weboldaladat, és jelzik, ha bármi gond van.

Ettől függetlenül minden weblapodat érdemes beregisztrálni a Google Webmester Eszközök szolgáltatásába, mert ez is figyel és riaszt, sőt, figyelmeztet akkor is, ha egy ideig nem lépsz be a weboldaldra, és nem veszed észre, hogy új frissítés elérhető a motorhoz.

Limit Login Attempts

A támadás sokszor az admin felület belépési oldalán keresztül érkezik. A robotok ellen, amelyek jelszógenerátorral próbálnak bejutni, és akár másodpercenként többször is próbálkoznak, jó védekezés ez a bővítmény, amely korlátozza a belépési kísérletek számát.

Enforce Strong Password

Ha túl könnyű a belépési jelszó, az admin felületet nem nehéz feltörni. Ez a bővítmény csak az erős jelszavakat engedélyezi (a jelszóerősség-mérés ugyanazzal a módszerrel történik, mint amit a WordPress maga is használ).

A fenti bővítményeken kívül még néhányat a figyelmedbe ajánl a Tutorial.hu egyik cikke, illetve ott részletesebben olvashatsz a .htaccess alapú védekezésről is.

 

Mit tegyél, ha mégis feltörik az oldaladat?

Először is ne ess pánikba. Az adatbázisodat nagy valószínűséggel nem érte el a hacker, így a tartalmaid nem vesztek el. (Ha mégis, az már a tárhelyszolgáltató dolga, és bár adatvesztésért nem vállalnak felelősséget, de az egy nappal korábbi állapot bármikor visszakérhető.)

Ha megtetted az óvintézkedéseket (lásd a “Komoly támadás a WordPress ellen – frissíts!” című bejegyzést), akkor a sablonod és a bővítményeid, meg a feltöltött média-tartalmaid megvannak a saját számítógépeden is, a WordPress motor pedig bármikor letölthető. Így, ha nem mersz kotorászni a tárhelyeden, vagy nem tudod, mit kellene nézned, akár a teljes tárhelyedet nyugodtan törölheted, majd felmásolod újra a WordPress motort és a lementett fájlokat, és már mehet is tovább a munka.

Ha kíváncsibb és bátrabb vagy, keresd meg és töröld a fertőzött fájlokat a tárhelyeden – ehhez sokszor elég, ha a fájlok dátumát figyeled, vagy ha viszonylag gyakran jársz a tárhelyeden és ismered a szokásos fájlneveket, akár azonnal kiszúrhatod az idegeneket. Használd a Sucuri SiteCheck szolgáltatást weboldalad ellenőrzésére – ha valami gond van, ez kiírja, sőt, azt is megmondja, hogy hol kell keresned a támadó fájlokat.

Fontos: a pucolás után mindenképpen változtasd meg a tárhelyed hozzáférési jelszavát (azaz az FTP- vagy SFTP-jelszót) – ha ezt magad nem tudod megtenni, kérd a tárhelyszolgáltatód segítségét.

 

Azt talán mondanom sem kell, hogy milyen sokat számít a megbízható tárhelyszolgáltató, aki mindent megtesz a szerverek védelméért, baj esetén segít, és (ez ma már alapvető követelmény) legalább fél évre visszamenőleg (bár külön díjazás ellenében) bármikor vissza tudja állítani a fájljaid és az adatbázisod állapotát a támadás előtti, tiszta állapotra. (Ha most gondolkodsz tárhely vásárlásán, vagy szolgáltatóváltáson, nézd meg a mi ajánlatunkat is.)

 

Remélem, hasznodra válik ez a bejegyzés! És a végére egy kis reklám 🙂 Ha bármi gondod akadna a weblapod biztonsági mentésével vagy egy támadás elhárításával, kérd a segítségemet! »

De van egy még jobb ötletem.

Nincs időd vagy módod rá, hogy a frissítéseket, a mentéseket, a módosításokat elvégezd?

Tartasz tőle, hogy valamit elrontasz, és eltűnik, szétesik a weboldalad?

Akkor a WP-Suli Karbantartási szolgáltatását Neked találtuk ki!

A szolgáltatás keretében havonta egyszer belépünk a weblapodra, teljes mentést végzünk, ellenőrizzük a rendszert biztonsági és technikai szempontból, elvégezzük a frissítéseket, és javaslatokat teszünk az általunk szükségesnek ítélt változtatásokra. Ez utóbbi változtatásokat (külön díj ellenében) el is végezzük, amennyiben visszaigazolod őket.

Természetesen teljes garanciát vállalunk weboldalad sértetlenségére, így rendszered folyamatosan biztonságos és naprakész lesz, anélkül, hogy Neked ezzel foglalkoznod kellene. Ha a weboldaladat támadás éri, ez esetben díjmentesen letöröljük a rosszindulatú kódokat és helyreállítjuk az oldal működését.

A technikai, biztonsági ellenőrzésen kívül stratégiai, marketing és tartalmi karbantartást is vállalunk.

A karbantartási szolgáltatásról részletesebben itt olvashatsz »

 

Oszd meg Te is:

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ezek is érdekesek lehetnek számodra: 

Ne maradj le semmiről, iratkozz fel hírlevelünkre!

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Generatepress Logo White Asset
GeneratePress
Divi 4.0
Divihello
Prémium támogatás és ajándék Divi licence
Adatvedelem.png
ADATVÉDELEM minta
Aszf.png
Webshop ÁSZF minta

“Mit tegyek, ha feltörték a WordPress oldalamat? (És hogyan lehet megelőzni?)” bejegyzéshez 9 hozzászólás

  1. A WordPress File Monitor plugint ajánlom még. Időről-időre (állítható) ellenőrzi azt, hogy a fájlok módosultak/törlődtek-e, vagy került-e fel új fájl a domained alá. Ha változást észlel, e-mailben értesít.

  2. Szia Móni!

    Nagyon szépen köszönöm ezt a klassz bejegyzést. Igazán hasznos információkat osztasz meg velünk, lelkes WP felhasználókkal. Biztos vagyok benne, hogy hamarosan ki fogom próbálni az Általad javasolt lehetőségeket.

    Még egyszer köszönöm, és ezúton is Kellemes Karácsonyi Ünnepeket kívánok Neked és Szeretteidnek, és természetesen minden Kedves WP-Suli.hu olvasónak! 😉

    Üdv,
    István

  3. Szia Móni!
    Nem rég kaptam egy e-mailt, egy WordPress értesítést, hogy
    Új felhasználói regisztráció a honlapon
    Felhasználónév: mdozd09
    Email: mirekowskijac@gmail.com
    Ez a regisztráció az admin felület Felhasználók oldalán történt. A felületet egyedül csak én használom, más nem férhet hozzá, elvileg. Viszont a jelek szerint, valaki még is elérte. A weboldalon van lehetőség feliratkozni hírlevélre, de az oda jelentkezők máshol tárolódnak. Kérlek, erősítsd meg, hogy ez valaki “betolakodó” lehet, ugye? Köszönettel: Gaál Zsuzsa

    • Szia!
      Igen, ez egy robot regisztráció volt. De nem történt támadás az oldalad ellen. Azért volt lehetséges, mert engedélyezett az oldaladon a regisztráció (nézd csak meg a belépő oldalt, ott van a linkje).
      A Beállítások oldalon kapcsold ki a “Tagság: Bárki regisztrálhat” lehetőséget (vedd ki a pipát előle), így máskor nem fordul elő ilyesmi.

      • Szia! Igazán köszönöm a segítséget. Nagyon szeretem a oldalad olvasgatni, nagyon sokat tanultam még így, hogy nem tudok tag lenni. Talán egyszer eljön az az idő is :). Kívánok további jó munkát.
        Zsuzsa

Szólj hozzá!

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..