Egyre több a támadás a WordPress ellen – mit tehetünk?

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Az ingyenes, nyílt forráskódú tartalommenedzselő rendszerek, mint amilyen a WordPress, a Joomla, a Drupal, az e107 és még néhány, mindig is ki voltak téve a támadásoknak. Korábban a WordPress volt a legbiztonságosabb, de most, hogy piacvezetővé vált, és egyre több komoly, nagyforgalmú weboldal is használja, egyre gyakrabban kerül a hackerek célkeresztjébe.

Aki nem tesz meg mindent, hogy a weboldalát biztonságos állapotban tartsa, és kaput nyit a károkozóknak, az nemcsak a saját weboldalát, hanem a többiekét is veszélyezteti, akik vele egy szerveren vannak, és nemcsak a WordPress alapúakat, hanem az összeset, a szerver teljes működését. Márpedig ez – és ezt sokan nem tudják – a Büntető Törvénykönyvbe ütköző cselekedet, így rendkívül fontos a felelősségteljes magatartás, hiszen akár bűnvádi eljárás is lehet a figyelmetlenségből, nemtörődömségből.

Sokszor írtam már arról, hogy a megjelenő frissítéseket mindig azonnal le kell tölteni, mert ezek a felfedezett biztonsági réseket tömik be, de ezen kívül is rengeteget tehetünk weboldalunk megvédésre. Az alábbiakban összefoglalom a legfontosabb lépéseket.

1) Lépj be a WordPress oldalad Vezérlőpultjába, és ellenőrizd, van-e bármi, ami frissítésre szorul. Ha van, azt frissítsd, és ezt minimum heti szinten tedd meg.
(Gondot okoz számodra a frissítés? Bízz meg vele minket! »)

2) Futtass le egy vírusellenőrzést a weboldaladon: a domainedet például a http://sitecheck.sucuri.net/scanner/ ingyenes eszközével is ellenőrizheted.

3) Futtass le egy vírusellenőrzést a saját számítógépeden, illetve minden olyan számítógépen, amelyről be szoktál lépni a weboldaladra.

4) Semmiképpen ne legyen admin, admin1234 vagy hasonlóan egyszerű felhasználóneved. Ha ilyen, akkor hozz létre egy új Adminisztrátor felhasználót magadnak, lépj ki a Vezérlőpultból, lépj be újra az új névvel, és az eredetit töröld (az összes bejegyzésedet add át az új felhasználónak – törléskor erre rákérdez a WordPress).

5) Csak erős jelszavakat használj, és tartsd ezeket biztonságos helyen.

6) Olvasd el a WP-Suli “Biztonsági kérdések” című rovatát, és tartsd be, illetve vezesd be az ott leírtakat.

7) Kapcsold ki a Beállítások -> Interakció menüpontban a Trackback/Pingback funkciót, azaz vedd ki a pipát az oldal tetején a “Megpróbálja értesíteni a bejegyzésről az összes linkelt blogot.” és a “Jelzések fogadásának engedélyezése más blogokból (visszajelzés és visszakövetés)” funkciót. Ez egy több éve ismert probléma, de a WordPress fejlesztői semmit nem tesznek a megoldására.

Miért van a gond? Azért, mert ezen a funkción keresztül a támadók egy DDoS támadást tudnak indítani, és a weboldaladat egy botnetbe köthetik. Nem omlik össze tőle a weboldalad, “csak” zombivá válik, és amikor a támadó akarja, az összes, ily módon hálózatba kötött WordPress oldal egyszerre pingback hívásokat indít a cél-szerver felé, és ezzel megbéníthatja azt. További, részletes információt erről a kérdésről itt olvashatsz (angolul, de egy nagyon kifejező képpel is magyarázva).

Tehát a lényeg: kapcsold ki ezt a funkciót, és (FTP-vel vagy SFTP-vel a tárhelyedre belépve) töröld is le a xmlrpc.php nevű fájlt a WordPress telepítésed gyökérkönyvtárából.

8) Mivel a legtöbb támadás a WordPress belépési felületén keresztül éri a weblapokat, érdemes ezt alaposan megvédeni. Az első, hogy ne legyen egyszerűen kitalálható sem a felhasználóneved, sem a jelszavad, erről már írtam. Használj egy Captcha bővítményt, például a SI CAPTCHA nevűt. A wp-admin könyvtárat védd meg a “Biztos, ami biztos” című cikkben írtak szerint.

Megfontolandó a wp-login.php fájl átnevezése, hogy még egy erős védelmet építsünk a behatolók ellen. A fájlnév maga (és a benne lévő, szám szerint 13 hivatkozás erre a fájlnévre) átnevezhető lenne (lásd a WordPress support fórumán), csakhogy ez még nem oldja meg a problémát, hiszen ha azt írod be a böngésződ címsorába, hogy domainneved.hu/wp-admin és nem vagy bejelentkezve, akkor átirányít a domainneved.hu/wp-login.php oldalra. Vagyis ha a wp-login.php-t átnevezed mondjuk belepes.php-ra, akkor a domainneved.hu/wp-admin át fog irányítani a domainneved.hu/belepes.php -ra és ugyanott vagy, mintha nem csináltál volna semmit.

Ezt a problémát megoldja az, ha maga a wp-admin könyvtár is át van nevezve. Ez sem lehetetlen, a .htaccess fájlba kell beleírni, erről itt olvashatsz részletesen (angolul; a cikkből kimásolható a szükséges kód is).

9) Ha az előzőektől megijedsz, mert inkább csak felhasználóként kezeled a weboldaladat, akkor (de amúgy mindenkinek is) erősen javaslom a Limit Login Attempts nevű bővítmény használatát, amely korlátozza a belépési kísérletek számát. Ez a bővítmény úgy működik, hogy ha a beállított értéknél többször próbálkozik valaki (vagy inkább valami…) rossz jelszóval, akkor azt az IP-címet kitiltja, és onnan azután már nem lehet belépni. Ezzel a módszerrel a WordPress ellenáll a brute force* jellegű támadásoknak (amikor egy féreg megpróbál az összes lehetséges jelszóval belépni, és ezzel kvázi megbéníthatja a szervert).

10) Rendszeresen készíts biztonsági mentést a weboldaladról. Erről a “Frissítsünk, de okosan!” című cikkemben írtam részletesen, olvasd át újra.

* A  brute force támadás (szó szerint: “nyers erő”), más néven a teljes kipróbálás módszere – a titkosító rendszerekkel szemben alkalmazott támadási mód, amely elméletileg mindig eredményes. Lényege, hogy a rejtjelező rendszer ismeretében az összes lehetséges kulcsot kipróbálva határozza meg az alkalmazott kulcsot. Eredményességét csak a műszaki (informatikai) háttér és a rendelkezésre álló idő határozza meg. Gyors és nagy kapacitású hardverre (célhardverre) van szükség. A törési idő függ a lehetséges kulcsok számától, azaz a kulcs méretétől (hosszától) és bonyolultságától (a választható karakterek száma). A kulcs gyakori cseréjével a támadót folyamatos kulcskeresésre kényszeríthetjük. Vagy könnyen készíthetünk olyan kulcsot, amely feltörése akár több évet is igénybe venne, még ha a Föld összes személyi számítógépe annak feltörésén dolgozna is. Az ilyen titkosítást gyakorlatilag feltörhetetlennek hívjuk. (Forrás: Wikipédia.)

A jövőben a jelenleginél sokkal szigorúbban fogjuk ellenőrizni a szervereinken elhelyezett WordPress alapú weboldalakat. Aki nem tartja be a biztonsági előírásokat, és ezzel veszélyezteti a szerveren elhelyezett többi weboldal-tulajdonost is, az bűncselekményt követ el, ezért fokozottan kérlek, hogy tegyél meg mindent oldalad biztonsága érdekében – akár nálunk van a tárhelyed, akár nem.

Kiegészítés a szervereinknek otthont adó Silihost Kft (akiknek viszonteladói vagyunk) vezetőjétől:

A WordPress oldalak ellen öszetett támadás folyik. A legtöbb esetben a wp-login.php kapuoldalt támadják, igyekeznek jelszókombinációkkal feltörtni az adott rendszert. Ez a támadás – 48 órás statisztikákat figyelembe véve – több százas nagyságrendben folyik, eddig mintegy 6.000 támadó IP-cím lett bezonosítva. Ezt a támadási formát botnet-hálózatokkal hajtják végre, időszakosan, de visszatérő ciklikussággal. Több tízezres lehet a hálózatba kötött, fertőzött Windows-kliensek száma. Magyarországról nem észleltünk botnet támadó klienst, így ezt a listát felhasználva hamarosan elkezdjük tiltani ezeket az IP-címeket úgy, hogy az egész IP-tartományt blokkolni fogjuk. Ezzel a probléma súlyosságát csak csillapítani lehet, viszont némi szerencsével az adott botnet-hálózat által használt erőforrásokat hálózati szinten komoly mértékben lehet blokkolni. A honlaptámadások tehát igen sokrétűek, mind céljuk, mind módszerük, mind pedig az elkövetők tekintetében. Ennek okán az üzemzavar időtartama is változó szokott lenni.

Sajnos a WordPress – az igen rövid idő alatt elért népszerűsége miatt – a támadók elsődleges célpontjává vált. Tapasztalatból tudjuk, hogy eleddig csak a nem-frissített rendszerek okoztak komolyabb problémát, azonban az utóbbi időkben már a WordPress verziószámától függetlenül igyekeznek jelszótörési technikával behatolni a rendszerbe. Ezt a fajta, ún. brute force jelszótörési módszert ki lehet védeni azzal, ha átnevezzük a wp-login.php kapuoldalt. A legfrissebb támadási naplókat elemezve kijelenthető, hogy többfajta támadási technikával indult hadjárat a WordPress-oldalak ellen. A legnagyobb biztonságban azon felhasználók vannak, akik minden esetben gondoskodnak minden szükséges frissítésről, és igyekeznek egyéb védelmi megoldásokat is alkalmazni, mint például a jelen cikkben írtakat.

Antal Béla, Silihost Kft

FRISSÍTÉS (június 7.): a naplóban a Silihost Kft intézkedéseinek bevezetése óta kb 750 sor keletkezett 5 óra alatt; a korábbi, napi átlagban 40.000 támadási kísérlethez képest ez egészen biztató. Viszont más módokon is támadják a WordPresst: most éppen a tinymce (a szövegszerkesztő) helyesírás-ellenőrzőjén keresztül láttunk kísérleteket. Tegnap 2902 IP-címet tiltottunk ki, ma újabb 224-et, de folyamatosan jönnek az újabbak. A listavezető Ázsia, 13.265 feltörési kísérlettel, utána Japán (3.840), USA (2054) és Oroszország (1792). Mint látható, nem kicsi hálózat igyekszik befelé… (Adatok a Silihost Kft-től.)

Oszd meg ha hasznos volt:

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Ne maradj le semmiről, iratkozz fel hírlevelünkre!

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Generatepress Logo White Asset
GeneratePress
Divi 4.0
Divihello
Prémium támogatás és ajándék Divi licence
Adatvedelem.png
ADATVÉDELEM minta
Aszf.png
Webshop ÁSZF minta

“Egyre több a támadás a WordPress ellen – mit tehetünk?” bejegyzéshez 71 hozzászólás

  1. A legfontosabbak kimaradtak:
    1. Ne használj WordPress-t, ha nem értesz hozzá, hoppá, ehhez viszont elég sok tanulás szükséges így a WordPress már nem is ingyenes, hacsak nem vagy hivatásos munkanélküli.
    2. Ne használj nyílt forráskódú komponenseket, pluginokat, mert ezekben a legapróbb biztonsági rést is ki tudja játszani akár egy 10 éves is. (jómagam csak párat néztem meg és a hajam az égnek állt, csoda, hogy még csak itt tart a WP támadása, hiába biztonságos a WP, ha egy komponens kaput nyit a világra! :D)
    3. Ha egyszer feltörték a rendszered töröld és kezd az elejéről 0-ról újra felépíteni, mert nem tudhatod, hogy hova rakták a kártékony kódot. Ja, hogy így elveszett a munkád? Az Ingyenesség látszatának ára van.
    4. Ha ezt el akarod kerülni 1-2 naponta készíts biztonsági mentést mindenről, így pl egy szakértő meg tudja keresni a különbségeket vagy vissza tudod állítani azt a pontot amikor még nem törték fel, már ha tudod mikor volt ez.

    • 1. Épp azért van ez az oldal, hogy segítsen, tanítson, időt spóroljon Neked.
      2. Tartsd be a biztonsági előírásokat, és frissíts mindig. A WP-t ugyanis olyan sokan használják, hogy ha biztonsági rést észlelnek, hamar jön hozzá a javítás.
      3. Nem vész el a munkád, mert a munkádat nem a tárhelyeden lévő fájlok, hanem az adatbázis tartalmazza.
      4. Ha mindent lementesz, amikor a weboldalad technikailag készen van, akkor erre semmi szükség.

      Kérlek, nézz utána annak, amit írsz, mert a félretájékoztatás veszélyes, mások blogján pedig különösebben nem is etikus.

      Csak azt nem értem, miért olvasod a WP-Suli blogot, ha ennyire ellene vagy? Erre tényleg kíváncsi vagyok.

      • Értem, kijött már a frissítés? Nem?
        Elég kritikus ez a komponens főleg azoknak akiknek a keresőből jön a bevételük.
        Szóval, ha van benned bátorság akkor ezzel nyitod a honlapod, hogy jó a WP, de vigyázz, mert az olcsóságnak ÁRA van, néha nagyon súlyos ára.

        (amúgy mi is fejlesztünk WP, Joomla alá, de fel nem foghatom, hogy hogyan sikerült így elrontani egy komponenst.)

        És ne tájékoztass félre: A WP nem biztonságos, mert bármelyik plugin-je teljes hozzáférést adhat az egész rendszerhez és mivel ezeket bárki letöltheti és tanulmányozhatja így még a zárt forráskód előnyei sincsenek meg. Viszont pluginek nélkül nem jó semmire.

    • Ez itt nem a reklám helye, amúgy meg ha sehol nem találnék más szolgáltatót, akkor sem választanék olyat, aki mások “piszkálásával” akar úgy ügyfeleket szerezni.
      Bocs.

    • A 4. pontban leírtam, hogyan: hozz létre egy új Adminisztrátor felhasználót magadnak, lépj ki, lépj be újra az új névvel, és az eredetit töröld (az összes bejegyzésedet add át az új felhasználónak – törléskor erre rákérdez a WordPress).

      A “lépj ki, lépj be újra az új névvel” rész a cikkből kimaradt, elnézést, most pótoltam.

      • Milyen jó, hogy annak idején hallgattam rád, és már eleve nem ezzel a felhasználónévvel csináltam meg az adminisztrátort! 🙂
        Köszi!

  2. Sziasztok!

    Létrehoztam egy multi sit-ot. Persze a felhasználónév admin (no comment). 3 oldalt kezelek vele, ezek a .hu, a .hu/eng és a .hu/deu, tehát a nyelvi verziókat így oldottam meg. A problémám az, hogy a multi site miatt, az admin felhasználó superadmin jogosultsággal rendelkezik. Hiába hozok létre új felhasználót és adok annak is superadmin jogosultságot, az admin felhasználót nem engedi törölni és nem tudom a jogosultságát sem megváltoztatni. Olyan mintha bele lenne égetve. Kérdés, hogy hogyan tudom kitörölni??? Bele kell másznom az adatbázisba és ott kell kitörölnöm ???

    Üdv:
    János

  3. Köszi VICSAI ISTVÁNNAK … bementem, megtaláltam, TÖRÖLTEM … egyszerű mint a lapostányér 😀

    A lényeg, hogy aki multi site -al rendelkezik, annak nincsen más megoldása, mint, hogy kézzel törli!

    Üdv:
    János

      • Ezzel az oldallal meg lehet nézni, hogy az adott oldal WPress-e vagy sem, illetve az összes fontosabb infót megadja (sablon neve, plugin-ok, stb.):

        http://whatwpthemeisthat.com/

        Természetesen ezt sem kell “készpénznek venni”, de elvileg a CNN oldalán nem lehet találni WP-ADMIN és WP-CONTENT mappát sem.
        Ettől függetlenül még szintén lehet WordPress a motor, de akkor tényleg nagyon mélyen bele kellett nyúlni.

  4. Akkor ezt illő lenne törölni, mert a félretájékoztatás ugyebár 🙂
    És a CNN túl jó név ahhoz, hogy visszaéljünk vele.
    Illetve, ha a motort átírták akkor az már nem WP….

  5. Tisztelt Varga Zoltán Úr!

    Ez nem az a hely, ahol így beszélgetünk egymással. Úgy viselkedsz, mint egy gyerek akinek elvették a játékát.

    Mellesleg legalább vennéd a fáradságot és utána néznél a CNN-es “kacsának”.

    A teljesség igénye nélkül néhány oldal a CNN től wp alapokon
    http://politicalticker.blogs.cnn.com/
    http://news.blogs.cnn.com/
    http://marquee.blogs.cnn.com/

    itt a lista, nyugodtan mazsolázd át …
    http://edition.cnn.com/exchange/blogs/

    Köszönjük a mai sok építő jellegű hozzászólásodat

    Üdv:
    János

  6. A fentiek függvényében teljes mértékben igazat kell adnunk Moni-nak, ugyanis úgy látszik a CNN oldala egy nagy gyűjtemény, aminek nagy része tényleg WP alapú.

    Sorry a kérdés feltevése miatt, de nézd a jó oldalát: legalább felélénkült kicsit az oldal 🙂

  7. Móni! Telepítettem a Limit Login Attempts bővítményt, amit javasolsz. Az a kérdésem, hogy a direkt-elérés vagy elérés Reverse Proxy Serveren keresztül a jó beállítás? És ugye jól gondolom hogy a Cookie-n keresztüli bejelentkezést nem szabad engedélyezni?

    Köszönöm.
    Edit

  8. Ma reggelre 32 IP-t tiltott le a bovitmeny. Biztos, h brutalis probalkozasok folynak. Koszonjuk a tajekoztatast, a segitseget. Sajnalom azokat, akik kepesek idot, energiat fektetni abba, h negativ hozzaszolasaikkal bombazzanak.

      • Most néztem végig a naplót (azóta már 34 letiltás van), tanulságos. Minden próbálkozás kisbetűs, elsődleges természetesen az “admin” felhasználónév, második leggyakoribb a “suport” de próbálkoztak még adminisztrator és user1 felhasználónévvel is. Tehát érdemes a nagy és kisbetűket váltani, esetleg számokat is beletenni, hogy megnehezítsük a dolgukat 🙂

      • Kösz, hogy megosztod a tapasztalataidat, ez nagyon hasznos!

        Érdekes, nálam azóta nem volt sok próbálkozás, viszont elkezdték ezerrel támadni (egy másik botnetből) itt a blogomon a wp-comments-et. A hozzászólásokon háromféle védelmem van, így erősen remélem, hogy nem jutnak be, de azért ez is tanulságos…

    • Könnyen be lehet csapni az biztos, ez csak egy S.O.S. támpont ha megtetszik egy oldal és tudni akarod, hogy milyen sablont használt a készítő.
      Amit észrevettem, hogy a telepített bővítményekből csak az aktívakat jelzi ki és azokból sem mindet. (Gondolom csak azt, ami a főoldalon éppen aktív vagy valami ilyesmi. Nem másztam bele a témába)
      A CNN oldalra viszont már jó infót hoz, ha az aloldalak linkjét írom be, de onnan is csak azt lehet kideríteni, hogy ez egy WordPress oldal VIP felépítéssel és sablonnal.

      • Á nem kritizálni akartam, szeretem az ilyen teszteket. Más oldalaknál működik, az aktív bővítményeket tekintve igazad lehet.

  9. Kedves WordPress Móni!

    Letöltöttem a Limit Login Attempts bővítményt, az a kérdésem, hogy hogy állítsam be a próbálkozások számát, és mennyit javasolsz?

    köszi, Vali.

    • Hát köszönöm, már kaptam egy is értesítést, hogy 9 alkalommal akartak bejelentkezni. Először megijedtem, aztán rájöttem, hogy ilyen eddig is lehetett, és még ráadásul nem is tudtam. Huh.
      Szóval, köszi!
      Milyen bővítményeket is lehet még a nagyobb biztonság érdekében felrakni? 🙂

      • Website Defender és hasonlók, érdemes körülnézni a wordpress.org/extend/plugins oldalon.

        De azt semmi esetre se engedélyezd, hogy bármelyik is backupot csináljon a tárhelyedre, mert napok alatt betelik (sőt), és irgumburgum lesz 🙂

  10. Nem tudom, hogy bármilyen frissítéssel összefügghet-e, de még az is lehet…
    Azt tapasztaltam pár héttel ezelőtt, hogy eltűnt az admin felületemben a Megjelenés alól a Szerkesztő rész. Helyette viszont megjelent három új (lehet, hogy nem ugyanakkor, de most ott vannak): Mobile Theme, Mobile Widgets, Mobile Switcher.
    Szerencsére, ftp-ben megvannak a szerkesztéshez szükséges fájlok, de ott elég macerás szerkesztgetni.
    Moni, találkoztál már ilyesmivel, vagy van rá ötleted, hogyan lehetne visszavarázsolni a Szerkesztő részt a helyére?

    • A Mobile Theme, Mobile Widgets, Mobile Switcher menüpontok azért jelentek meg, mert egy mobilra is alkalmas sablont, vagy egy olyan bővítményt használsz, amely a mobil megjelenítést megvalósítja. Azt nem tudom, miért tűnt el a Szerkesztés menüpontod, de simán lehet, hogy valami összeakad valamivel… 🙂 Jelen esetben a “mobilosító” bővítmény a sablonnal vagy a WP-vel magával.

  11. Sziasztok,
    Nekem eddig a Login LockDown nevű bővítmény védte a bejelentkezési oldalt, de ki fogom próbálni a Limit Login Attempts nevűt. Előbbi nem értesít a kísérletekről, csak blokkol. Gondolom a kettőt egyszerre nem kellene futtatni, mert összeakadhatnak.
    T

    • Kösz a kiegészítést!

      Igen, elképzelhető, hogy összeakadnak – általában nem érdemes egy feladatra több bővítményt is bekapcsolva tartani. Sokszor nincs belőle gond, de időnként van, és időnként elsőre nem is világos, hogy mi okozza a bajt. Úgyhogy általánosságban egy feladatra egy bővítmény a javaslatom.

      • No kipróbáltam a Limit Login Attempts-t.
        Sorra jönnek az emilek, hogy hogyan próbálnak belépni az admin felhasználóval. 🙁 De nem jön össze nekik. 🙂

  12. Szia Moni!

    Hasznos ez a bejegyzésed nagyon.

    Én a Login Lock downt használom; éppen most néztem hogy a Limit Login Attempts bővítmény 3.3.2-es verzióig kompatibilis. Én viszont már a 3.5.1-es verziót használom. Gondolom ilyenkor nem túl jó azt feltelepíteni, mert lehet hogy nem fog jól működni.

    Ildikó

    • Lehet, hogy csak nem frissítették a leírást, mert én is a WP 3.5.1-hez használom a Limit Login Attemptset, és gond nélkül működik. Dolgozik is rendesen, azt írja a logban: 1236 kizárás az előző nullázás óta…

  13. Szia Móni,
    én most éppen a http://wordpress.org/plugins/wp-simple-firewall/ plugint nézegetem, ami egy nagyon komplex védelemnek tűnik, több plugint egyesít magában, az admin belépést 2 lépcsőssé teheted vele, tehát emailben kell megerősíteni hogy te vagy az, a hozzászólásokat is levédi a spamektől, lehet IP címeket fekete és fehér listára tenni, stb. rengeteg opció. Mindent végigolvastam, legalábbis próbáltam megérteni, de nem vagyok biztos benne, hogy mit hogyan kell beállítani, bár ban hozzá videó is, meg leírások. Ha van vele tapasztalatod, kérlek oszd meg velünk, ha nincs, szerintem akkor érdemes megnézned, mert nagyon jónak tűnik!

    Köszönöm

    • Szia!
      Köszönjük a kiegészítést! Én magam még nem használtam, de biztos nagyon jó. Ha van kedved írni a tapasztalataidról egy vendégcikket, szívesen felteszem a blogra, természetesen a weboldaladra mutató linkkel együtt.

    • Ha voltak pirosak, azokat azóta megoldottad 🙂 Ha a sárgákra gondolsz, azokkal ne foglalkozz, ez a Sucuri próbálkozása csak, hogy eladja Neked a saját szolgáltatásait.

    • Nem tudod kizárni magad. Biztosan nem írod be ötször egymás után hibásan a jelszavadat… De ha mégis, max törlöd a bővítményt FTP-n keresztül és kész.

  14. Sziasztok!

    Egy olyan kérdésem lenne, hogy tudtok-e olyan bővítményt, ami IP szerint szűri a bejelentkezőket, konkrétan az érdekelne, hogy meg lehet-e oldani azt, hogy csak Magyarországról férjen hozzá valaki az oldalhoz?
    Próbáltam a “Login IP & Country Restriction”, ahol ki is választottam a M.országot, de nem működik. Jelenleg is napi szinten 20-30 kamu regisztráció érkezik az oldalra, pedig captcha is van aktiválva.

  15. Egy kérdésem lenne mindenkihez, aki egy kicsit jobban belelát ebbe a “WordPress világba”.
    Adott egy weboldal, ami a támadosok középpontjává vált. Ha be van kapcsolva a Beállításoknál a “Bárki regisztrálhat” menüpont, akkor gyakorlatilag 2 percenként jönnek a kamu regisztrációk és a kamu üzenetek a webes robotoktól.
    Hiába a captcha, gyakorlatilag semmit nem ér.

    Ha ez a beállítás ki van kapcsolva, akkor természetesen semmi, de így a leendő valós user-ek is ki vannak zárva.

    Arra lennék kíváncsi, hogy ez hogyan lehetságes? Elképzelhető, hogy elhelyeztek egy kódot valahol az oldalon és ez alapján tudnak regisztrálni? (Felül is írtam direkt a teljes oldalt egy korábbi mentéssel, de semmi.)
    Esetleg magában az adatbázisban is lehet elrejteni ilyesmit?

    • Az adatbázisba nem tudnak bejutni. (Ehhez részletesebb magyarázat kellene, de most ennyi elég a megértéshez.) Viszont a Captchákat is ki lehet játszani.

      Miért szükséges a rgisztrációs lehetőség? Biztosan van értelme? Nagyon sok esetben ugyanis nincs. Mivel nem látom az oldalt, ezt nem tudom eldönteni, de érdemes lenne meggondolni.

      Lehetséges egy olyan megoldás, hogy ha valaki regisztrálni akar, átküldöd egy olyan űrlapra, ahol megadja az adatait és utána Te kézzel teszed be a Felhasználók közé. Én így csinálom a Klubtagjaimmal.

      Ha mindenképpen szükség van az automatikus regisztrációra, akkor javaslom kipróbálni a “Confirm User Registration” nevű bővítményt. Ez küld egy e-mailt, ha valaki regisztrálni akar, de addig nem engedi. A Felhasználók -> Confirm User Registration -> Settings menüpontban lehet beállítani a regisztrálónak a jóváhagyás után kimenő levél szövegét.

      • Köszi az észrevételeidet!

        Mivel Buddypress-es közösségi dologról van szó, így a regisztráció sajnos fontos dolog, a felhasználók közötti privát levelezés miatt.

        Az általad ajánlott bővítményt kipróbálom. Köszi!

  16. Sziasztok!
    Tudtok olyan bővítményt, ami egy megfertőzött adatbázisban lévő véletlenszerűen elhelyezett kamu linkeket (viagra, stb.) felismer és meg is tisztítja azt?

Szólj hozzá!

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..