Hogyan tehetem biztonságosabbá a weboldalamat?

 

A népszerű keretrendszereket használó weboldalak (pl WordPress, Joomla, Drupal) nem csak a felhasználók, hanem a hackerek körében is közkedveltek. Mivel ezeket a rendszereket milliók használják, ha egyikben sikerül valamilyen sebehetőséget találni, akkor automatizáltan, rövid idő alatt sok oldal hozzáférései megszerezhetők, emiatt a népszerű tartalomkezelők gyakori célpontjai a feltörési kísérleteknek. Ezek jellemzően nem személyes indíttatású támadások, hanem automatizált próbálkozások, mindenféle preferencia nélkül.

Sok támadás azonban megelőzhető egészen egyszerű, rutinfeladatok elvégzésével. Az alábbiakban ehhez kínálunk néhány javaslatot és tippet.

A legfontosabb biztonsági óvintézkedések

Fontos, hogy ha WordPresst, vagy bármilyen hasonló tartalomkezelőt, esetleg webshopmotort használ, akkor az mindig a legfrissebb verzió legyen. Az oldal további összetevőit – témák, pluginok, modulok – szintén fontos rendszeresen frissíteni.

A témákat, pluginokat kizárólag megbízható forrásból szerezze be, mert az egyik legkínosabb biztonsági incidens, ha véletlen olyan kiegészítő kerül az oldalra, amely valójában egy jól álcázott kártevő, vagy kártékony fájlokat tartalmaz. Érdemes a használt pluginok számát is rendszeresen felülvizsgálni, és ami feleslegessé vált, azt eltávolítani.

Az alapfokú biztonság másik fontos eleme, hogy a standard „admin” vagy „administrator” helyett valamilyen más felhasználónevet választ. Jelszónak is javasolt olyat beállítani, ami legalább 8-10 karakter hosszú, tartalmaz kis – és nagybetűt, számot és speciális karaktert is.

Győződjön meg róla, hogy rendszeresen készül biztonsági mentés a weboldalról! Ha mégis megtörténik a baj, és feltörik az oldalt, a biztonsági mentéssel komoly adatvesztés is megelőzhető. Szerencsére a RackForestnél többféle biztonsági mentés funkció is elérhető, és automatikus biztonsági mentést is készítünk, amelyet egy hétre visszamenőleg megőrzünk.

Érdemes elrejteni az admin belépés címét is, hiszen az alapértelmezett cím kézenfekvő, mindenki ismeri; az egyedi címét viszont csak Ön ismeri, illetve azon személyek, akikkel megosztja a címet. A legtöbb tartalomkezelő rendszerhez elérhető a hivatalos plugin könyvtárból olyan kiegészítő, amellyel felhasználóként is egyszerűen megoldható ez a feladat. Ezzel máris csökkentjük az esélyét annak, hogy közvetlen az admin belépésen keresztül próbálkozzanak illetéktelenek a belépéssel.

+1 tipp: Használjon SSL tanúsítványt! Az SSL tanúsítvány biztosítja, hogy az adatok biztonságos kapcsolaton keresztül továbbítódnak a szerver felé. Ez különösen fontos olyan oldalakon, ahol bármilyen felhasználói belépés történik, vagy fizetési adatok beküldése történik!

 

Tippek haladó felhasználóknak

–          Védje az admin belépést külön jelszóval (.htpasswd), vagy Captchával. (re-Captchát javasoljuk, a klasszikus szám-betű beírásos captchák ma már könnyebben megkerülhetők robotok által)

–          Tiltsa le a rendszerfájlok külső elérését (htaccess-ből lehetséges letiltani)

–          A rendszermappák idexelhetőségét tiltsa le (cPanelen az Indexek opció segít)

–          A csak médiát tartalmazó mappákban a php fájlok futtatását is érdemes lehet letiltani

–          A sikertelen belépések számát is érdemes korlátozni (sok esetben létezik erre kialakított plugin)

–          Alkalmazzon legalább egy megbízható forrásból származó biztonsági plugint, amely probléma esetén jelez, illetve amely képes biztonsági beállításokat hozzáadni az oldalhoz.

–          A biztonsági pluginok telepítésekor mérlegelje, hogy a várható biztonsági előny és a nagyszámú kiegészítő használatából adódó kockázat hogyan viszonyul egymáshoz!

A fentiek követésével sok kényelmetlenség megspórolható, de ha mégis biztonsági incidenst tapasztal az oldalán, akkor sem lehetetlen az oldal megmentése. Erről hosszabban fogunk írni egy következő bejegyzésben!

Mondja el a véleményét