Az olyan tartalomkezelő rendszerek mint a WordPress vagy Joomla igen elterjedt rendszerek, ezért kedvelt célpontjai a hackereknek, függetlenül a weboldalak tartalmától. Igyekszünk ebben a cikkben összegyűjteni mindazokat a biztonsági teendőket, amelyek elvégzése alapvetően fontos ahhoz, hogy ne törjék fel a weboldalad. Általános tudnivalókat a tárhely biztonságról itt olvashatsz. Ha pedig már megtörtént a baj, és ahhoz kell segítség, hogy a domained lekerüljön a Google tiltó listájáról, akkor pedig itt folytasd, miután a weboldalt lecserélted egy vírusmentes és naprakész verzióra.
Általában a következő módokon törhetik fel a weboldalt: FTP/cPanel jelszó megszerzésével a saját gépedre elhelyezett vírus segítségével, az oldalad adminisztrációs jelszavát megszerezve, vagy a weboldalad valamilyen biztonsági sérülékenységét kihasználva. Mi mindent elkövetünk szerverbiztonság terén, ezért be van állítva jelszó próbálgatás védelem a tűzfalunkban: a cPanelen vagy FTP-n való rossz jelszóval való belépési próbálgatás után kitiltja az IP-t a tűzfalunk. Ezt kiterjesztettük a nálunk hosztolt WordPress oldalakra is, hogy így is védjük felhasználóink admin oldalait. Ha nem látod a weboldaladat és a cpanelre sem tudsz belépni, mert a böngésző „time out”-tal megáll, akkor majdnem biztos, hogy az IP-det kitiltotta rendszerünk. Ilyenkor vedd fel velünk a kapcsolatot! Saját IP címedet a http://ipcimem.info oldalon tudod leolvasni.
A beállítások
- Használj biztonságos jelszót! Legyen minimum 8 karakter hosszú, tartalmazzon vegyesen kis- és nagybetűket és számokat esetleg speciális karaktereket. Korábbi cikkünk a témában.
- Különböző jelszavakat használj a cPanelhez, az adatbázisokhoz, és az admin felülethez
- Győződj meg arról, hogy a feltelepített template-ed naprakész, és nem tartalmaz vírust, vagy biztonsági kockázatot.
- Mindig legyen naprakész a rendszered, és a templatek is. Régi Joomla verzióról frissíts naprakész verzióra!
- Az admin felületre a belépéshez a felhasználó neved ne ‘admin’ legyen
- Változtasd meg az admin belépő linket. Joomlánál ez domainnev.hu/administrator, WordPressnél pedig domainnev.hu/wp-admin
- Ki kell kapcsolni a rendszerüzeneteket, amelyek jelzik, ha rossz jelszót adtál meg
- A konfigurációs fájlok jogosultságai a következők legyenek:
- Joomla-nál: configuration.php 440
- WordPressnél: wp-config.php: 440
- htaccess: 440
- Mindig használjunk .htaccess fájlt! Joomla esetén a htaccess fájl már előre el van készítve a telepítés után, csak át kell nevezni a telepítési könyvtárban lévő htaccess.txt -ről .htaccess-re. Ha ezután 500-as hibát adna az oldal, akkor ez a leírásunk segíteni fog
- Tovább növelheted a biztonságot, ha korlátozod, hogy milyen IP-ről lehessen kizárólag elérni az oldalad admin felületét. Kattints a leíráshoz!
Fontos
Legyen naprakész biztonsági másolat a tárhelyed tartalmáról!
Egyszerű .htaccess beállítás
Tovább növelheted Joomla vagy WordPress oldalad biztonságát, ha elhelyezel egy .htaccess fájlt az alább megjelölt helyekre:
- Joomla esetén: images/
- WordPress esetén: wp-contents/upload
A fájl tartalma pedig a következő legyen:
|
1 2 3 4 5 6 7 8 |
<Files ~ ".*..*"> Order Allow,Deny Deny from all </Files> <FilesMatch ".(jpg|jpeg|jpe|gif|png|tif|tiff)$"> Order Deny,Allow Allow from all </FilesMatch> |
2 Hozzászólás
Reizinger Zoltán
Limit Login Attempts plugin hasznos lehet a WordPress esetében:
http://wordpress.org/plugins/limit-login-attempts/
Misi A.
Kedves Endre! Arról szeretnék érdeklődni, hogy hogyan lehet rájönni, hogy ez történt, és mit lehet tenni ellene: „Általában kétféleképpen törhetik fel a weboldalt: FTP/cPanel jelszó megszerzésével a saját gépedre elhelyezett vírus segítségével,….”