A WordPress és a tárhelyszolgáltatás

A múlt héten gyakorlatilag semmi másra nem volt időm, mint levelezni – a tárhelyszolgáltatóval, amelynek viszonteladói vagyunk, a tárhely-ügyfelekkel, akiknek szolgáltatunk, és a WP-Suli meg a Facebook-oldalunk olvasóival, akik követnek minket és hallgatnak ránk a WordPress rendszerrel kapcsolatos kérdésekben.

Elsősorban szeretnék köszönetet mondani mindazoknak, akik a támogatásukról, az együttérzésükről biztosítottak minket, vagy éppen a segítségüket ajánlották fel. Hálás vagyok együttműködésükért és türelmükért.

Érdekes volt azonban néhány ügyfelünk illetve olvasónk reakciója, amelyet a legtöbb esetben az ismeretek hiánya okozott. Hoax, túlzott aggodalmaskodás, sőt, paranoia (ilyen szavakat használtak a kételkedők), vagy valóban nagyobb veszélyben vannak a WordPress alapú oldalak, mint más rendszerek?

Először is néhány tény a múlt hétfői (június 3-i), az egyik szerverünket ért támadásról.

1. Nem konkrétan a szervert támadták, nem a szerver volt veszélyben, hanem a WordPress weboldalak. Csak a WordPress alapú weboldalakat érte a támadás.

2. A szolgáltató technikai személyzete megvédte a szervert és a WordPress alapú weboldalakat, egyes oldalak esetében kb húszperces leállás volt, de a legtöbb ügyfelünk nem is vett észre semmit az egészből.

3. A támadást jelző “riasztórendszer” (valószínűleg nem ez a jó kifejezés rá, viszont talán így a legérthetőbb) elsőként azt naplózta, hogy az All-In-One-SEO-Pack nevű bővítmény a megszokottól eltérően viselkedik, ezért a technikai személyzet (akiknek nem feladatuk ismerni a WordPresst, pláne nem kódszinten) azt látta, hogy ezt a bővítményt tiltaniuk kell, hogy megvédjék a szerveren lévő weboldalakat, WordPress alapúakat és egyebeket egyaránt.

4. A következő napokban folyamatosan figyelték, hogy mi történik a szerveren, hogy a lehető legjobb intézkedéseket léptethessék életbe. A naplózási adatok soha azelőtt nem tapasztalt méretű botnet támadását mutatták, a számadatokat pénteken (június 7-én) közöltem is az előző napi bejegyzésem végén.

5. A WordPress oldalak elleni támadás azóta is tart. Mivel a támadók IP-címe kivétel nélkül külföldi szervereket mutat, ezért a tárhelyszolgáltató megkezdte ezeknek az IP-cím tartományoknak a letiltását. Mára többezer IP-címet tiltottak ki.

6. Nem volt elég az All-In-One-SEO-Pack memóriafoglalási kísérlete (amiről utólag kiderült, hogy nem szokatlan, na de honnan tudhatta volna ezt a szerver naplója?), de ezzel egyidőben óriási hálózat szállt rá a WordPress oldalak belépési felületére, a wp-login.php fájlt támadták többtízezer “zombi” gép segítségével (erről már részletesen írtam csütörtökön, lásd elsősorban a 7. és 8. pontokat, valamint a Silihost Kft hozzászólását).

Paranoiásak vagyunk?

Hozzá kell tennem, hogy én viszonteladója vagyok a tárhelynek, nem üzemeltetője, nem tudom, hogy pontosan mi történik szerveroldalon, és nem is értek hozzá. Ezért mindig meg kell kérdeznem a technikai személyzetet, és azt írom le, amit ők mondanak. Ha ők azt mondják, sőt, naplóbejegyzésekkel és számadatokkal is bizonyítják, hogy a WordPress oldalak ellen állandó, nagyszámú behatolási kísérletet tapasztalnak, akkor el kell hinnem nekik, végtére is ez az ő szakmájuk.

 

Azonban néhány dolgot tisztáznunk kell a tárhelyszolgáltatással kapcsolatban.

1. A tárhelyszolgáltatónak (beleértve itt a partneremet, valamint saját magamat is) általában véve nem feladata, nem tiszte a tárhelyen elhelyezett kódok vizsgálata, és azok alapján a megoldás megkeresése. Tárhelyszolgáltatóként a feladatunk az, hogy megvédjük a szervert, bármi áron. Ez megtörtént. A szerveren nemcsak az én ügyfeleim vannak, hanem további többszáz weboldal is, amelyeket meg kell védenünk. Megtettük. (A többes szám első személy rájuk fizikailag, rám csak jogilag vonatkozik 🙂 )

2. Tudomásul kellene végre venni, hogy ha valaki ingyenes rendszert használ, az bizonyos kockázatokkal jár: nem kaphat hozzá azonnali technikai támogatást. Ha a szerverrel lett volna baj, azt a mi dolgunk elhárítani. Csakhogy nem a szerverrel volt a baj, mert kizárólag a WordPress alapú oldalakat támadták. Az viszont nem a tárhelyszolgáltató dolga, hogy kiderítse, mi a WordPress baja, hanem meg kell védenie az összes ügyfelét, azokat is, akik nem WordPress alapú oldalt használnak. A technikai támogatást jelen esetben a WordPress, és/vagy a szóban forgó WordPress-bővítmény fejlesztőitől kellett volna megkapnunk, ez azonban – éppen az ingyenesség miatt – sajnos nem minden esetben érkezik gyorsan, és elfogadható módon.

3. Tudomásul kellene végre venni, hogy ha valaki nyílt forráskódú rendszert használ, az bizonyos kockázatokkal jár: könnyebben esik támadások áldozatául. Különösen, ha az a bizonyos rendszer piacvezetővé válik. Korábban a WordPress volt a legbiztonságosabb, mostanra sajnos ez elmúlt. Ezt a helyzetet azonban kezelni kell és lehet, sőt, megelőzni is kell és lehet. Éppen ezért szedtem össze a legfontosabb biztonsági intézkedéseket, amelyeket minden WordPress felhasználónak ismernie kell, és ezért írtam erről egy átfogó bejegyzést csütörtökön (most linkelem be harmadszor 🙂 ).

Vajon miért van az, hogy a WP-Suli több, mint 3.000 olvasója közül, akik e-mailben is kaptak értesítést erről az igen fontos bejegyzésről, a mai napig mindössze 197-en vették a fáradtságot, hogy elolvassák a cikket?

“Nekem az furcsa, hogy Titeket nagyon gyakran érintenek a felfedezett biztonsági rések” – írta egy kollégám. Igen: mi ugyanis elmondjuk, hogy minket érintenek! Van olyan ügyfelem, akinek én csináltam a weboldalát, de nem nálam van a tárhelye, és elmondta, hogy az ő szerverüket is érte támadás, az ő oldala is leállt (nagyjából ugyanakkor, mint nálunk), de a tárhelyszolgáltató nem szólt egy szót se, sőt, amikor rákérdezett, hogy mi történt, először majdnem egy napig semmit nem válaszoltak, azután sunnyogni kezdtek. Egy másik ügyfelem esetében pedig a tárhelyszolgáltatója minden előzetes figyelmeztetés nélkül letiltotta a wp-login.php fájlját illetve a wp-admin felületét, így most nem tud belépni, hogy szerkessze a weboldalát.

Mi a jobb: ha azonnal szólunk, hogy baj van, együttműködést és türelmet kérünk, aztán megoldjuk a problémát, és ezt folyamatosan kommunikáljuk – vagy az, ha agyonhallgatjuk a támadást, és nem válaszolunk a kérdésekre?

Másrészt: azért érintenek minket gyakran a felfedezett biztonsági rések, mert nálunk rengeteg (több, mint ötszáz!) WordPress alapú oldal fut. Nem tudom biztosan, de nagy valószínűséggel a legtöbb, vagy az egyik legtöbb WordPress-oldalt futtató szerver a miénk Magyarországon. Ezért érintenek minket fokozottan a WordPress biztonsági hibái, de ezért is reagálunk rájuk gyorsan és szakszerűen, nem pedig elhallgatva a problémákat.

Azt is írta még a kolléga: “fura dolog, hogy 14 milliónál is több letöltéssel bír az AIOSEOP, és pont nálatok jön ki olyan dolog, amit támadásnak vesz a szerver”. No igen. Mindig van egy első eset. Nem?

A múlt heti tapasztalatok nyomán most teljesen átalakítjuk a tárhelyszolgáltatásunkat. Dedikált szervert állítunk üzembe, ahol kizárólag WordPress alapú weboldalak kapnak helyet, és más feltételek lesznek érvényben, mint a többi weboldal esetében. Erről időben fogok tudósítani, és úgy gondolom, hogy egy kiváló, és a maga nemében egyedülálló szolgáltatás bevezetésének leszel majd tanúja.

 

Oszd meg Te is:

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn

Ezek is érdekesek lehetnek számodra: 

Ne maradj le semmiről, iratkozz fel hírlevelünkre!

Javasolt eszközök:

Banner250x250.png
Elementor Pro
Generatepress Logo White Asset
GeneratePress
Divi 4.0
Divihello
Prémium támogatás és ajándék Divi licence
Adatvedelem.png
ADATVÉDELEM minta
Aszf.png
Webshop ÁSZF minta

“A WordPress és a tárhelyszolgáltatás” bejegyzéshez 23 hozzászólás

  1. Moni!

    “Mi ugyanis elmondjuk, hogy minket érintenek!” – mi is elmondjuk, ha érint valakit egy fenyegetettség.

    De tény, hogy sok szolgáltatót nem érdekli az ügyfelei weboldalának sorsa.

    További szép napot!

    Szűcs Ádám

  2. Kedves Móni!
    A magam részéréről nagyon örülök, hogy áthoztuk hozzátok a tárhelyet!
    Rendkívüli biztonságérzetet ad, hogy az ilyen helyzetekben, mint ez a mostani is, tudom, hogy nem vagyok magamra hagyva a problémámmal, oldjam meg, ahogyan tudom.
    Nekünk a fő bevételi forrásunkat a honlapon érkező látogatók jelentik, a forgalom visszaesését a pénztárcánk is megérzi. Gondolom, nem kell ecsetelnem, hogy ez mit jelent, és miért fontos, hogy a szolgáltató megbízható legyen.
    Én inkább az ilyen túlzott védelem mellett teszem le a voksomat, minthogy egy szép napon arra ébredjek, hogy oda a honlap, amivel mellesleg évekig dolgoztam, mehetek a munkaügyi hivatalba segélyért. Jó, lehet, hogy túlzok, mindenesetre én nagyon köszönöm az odafigyelést.
    Csak megjegyzem, a régi szolgáltató a wp-vel kapcsolatos problémáimat úgy kezelte, hogy minek nekem ez a …. rendszer, csak a baj van vele.
    Amit tőled kapunk, egyáltalán nem a szolgáltatás része, (lásd 2.pont), akit zavar a “gyámkodásod”, nyugodtan levelezzen (angolul) a bővítmény fejlesztőjével, és keresse a kiutat egyedül az ismeretlen dzsungelben.
    Üdv! Kati

  3. A 3. ponthoz kapcsolódik hozzászólásom.

    “Tudomásul kellene végre venni, hogy ha valaki nyílt forráskódú rendszert használ, az bizonyos kockázatokkal jár: könnyebben esik támadások áldozatául. Különösen, ha az a bizonyos rendszer piacvezetővé válik.”

    A nyílt forráskód sokszor inkább biztonságossá teszi a rendszert. A kódon sok-sok feljesztő dolgozik, így előbb kiszűrhetik a hibákat. Ha pedig mégis kikerül egy hiba, akkor előbb befoltozzák azt. Példaként lehet említeni, hogy a zárt forráskódú Windows / Mac / stb rendszerek milyen “gyorsan” reagálnak a feltárt hibák esetén. A nyílt forráskódú Linux / BSD / stb viszont sokkal biztonságosabb.

    És hogy a szavaiddal éljek: “Tudomásul kellene végre venni…”, hogy a WordPress motorja nagyon jól megírt, stabil cucc. A támadási felületet nem a WordPress motor, hanem a gyatra minőségben megírt kiegészítők, illetve az admin/admin típusú jelszavak nyújtják.

    Így aztán sokkal inkább azt kell megnézni, hogy milyen kiegészítőket pakolunk fel.

    • “A nyílt forráskód sokszor inkább biztonságossá teszi a rendszert.” Igazad van, abból a szempontból, amit írtál: ha a WP motorban vagy egy bővítményben van a hiba, akkor ez valóban előny, mert hamar megvan rá a javítás. De sajnos a támadásoknak akkor is inkább célpontja egy nyílt forráskódú rendszer, mint egy másmilyen. Ezért fontos a védekezés, a megelőzés, a szabályok betartása. De amúgy egyetértek Veled.

  4. Az én tárhelyszolgáltatóm mindig küld értesítést arról, ha támadás éri a honlapjaimat. Sőt segítséget is nyújt ahhoz, hogy le tudjam védeni a honlapomat.
    Gyakran egy általuk készített programmal le is tisztítják a fertőzéseket a kevésbé védett honlapon.
    Azért is meg vagyok elégedve velük, mert van egy pluginom, ami a támadásokról értesítést küld. Előfordul, hogy sikeres támadás történik. Ekkor viszont egy gombnyomással helyre tudom állítani a támadás előtti állapotot. Szerintem nagyon fontos a tárhely szolgáltató és az általa nyújtott szolgáltatások.
    Egy másik tárhelyen viszont a szervert annyira levédték, hogy plugint telepíteni is csak FTP jelszóval tudok. Sajnos ott a képek feltöltése is macerás. Viszont emiatt pont a CMS előnyöket veszítem el. Emiatt nem tartom jó megoldásnak ezt.
    Szóval örök küzdelem ez… De vannak nagyon jó védelmi pluginok! Azóta amióta ezeket használom sikeres támadás még nem volt. Csak az a baj, hogy egy honlap bevédése akár egy-két órát is igénybe vesz.

  5. Kedves Móni:)

    Én elovastam cikket, sőt ki is nyomtattam, -megváltoztattam az a admin jelszót:nagyon hasznos volt köszönöm:)
    /az arány viszont …elgondolkodtató, és siralmas:mármint a 197/

  6. Szia Moni!

    A barátnőm ezt a levelet kapta a tárhelyszolgáltatójától:
    http://tarhelydomain.com/tudastar/webmester/wordpress/a-wp-login-php-atnevezese/

    Megvallom, kipróbáltam én is az általuk leírtakat (más szolgáltatónál vagyok)… nem működött, hibát jelzett. Valami gáz van a kóddal? Egyébként Te javasolnád ezt a megoldást (nekem ésszerűnek tűnt, tekintve, hogy rengeteg értesítést kapok naponta a limit login attempts bővítménytől, hogy hány IP-t tiltott ki).

    Szép napot, előre is köszönöm, üdv

  7. A “\” jel nem más, mint egy olyan jel, ami azt mondja, hogy az utána következő pontot tényleg pontként kéne értelmezni. E nélkül a “.” karakter azt jelentené, hogy bármilyen betű állhat ott.

    Tehát a “wp-login.php”-ra illeszkedne a “wp-loginAphp” is.
    A “\” pedig kikényszeríti, hogy az tényleg “.”

  8. Sziasztok!

    Mi a buktatója a WP által üzemeltetett tárhelynek? Ha nem tárhelyszolgáltatónál, hanem a magánál a központi wordpressnél bérelsz tárhelyet? Csak gyakorlásnak jó? Nincs napi mentés, vagy mi a hátulütője, amit nem mondanak, vagy én nem tudok kihámozni? Ti ismeritek? Köszönöm előre is a felvilágosítást! 🙂

    • Ha a “központi wordpressnél bérelsz tárhelyet”, akkor lényegében nem tárhelyet bérelsz, hanem feliratkozol egy blogszolgáltatásra, mint amilyen a blog.hu vagy a blogger.com. A hátránya a saját tárhelyre telepített WP-vel szemben, hogy nem tudsz saját bővítményeket és sablonokat feltenni, csak a már fent lévőket használhatod, és azokat sem tudod módosítani.

      Üzleti célra nem ajánlom, hobby oldalnak vagy gyakorlásra viszont kiváló.

Szólj hozzá!

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..