Joomla és WordPress biztonsági teendők

Az olyan tartalomkezelő rendszerek mint a WordPress vagy Joomla igen elterjedt rendszerek, ezért kedvelt célpontjai a hackereknek, függetlenül a weboldalak tartalmától. Igyekszünk ebben a cikkben összegyűjteni mindazokat a biztonsági teendőket, amelyek elvégzése alapvetően fontos ahhoz, hogy ne törjék fel a weboldalad. Általános tudnivalókat a tárhely biztonságról itt olvashatsz. Ha pedig már megtörtént a baj, és ahhoz kell segítség, hogy a domained lekerüljön a Google tiltó listájáról, akkor pedig itt folytasd, miután a weboldalt lecserélted egy vírusmentes és naprakész verzióra.

Általában a következő módokon törhetik fel a weboldalt: FTP/cPanel jelszó megszerzésével a saját gépedre elhelyezett vírus segítségével, az oldalad adminisztrációs jelszavát megszerezve, vagy a weboldalad valamilyen biztonsági sérülékenységét kihasználva. Mi mindent elkövetünk szerverbiztonság terén, ezért be van állítva jelszó próbálgatás védelem a tűzfalunkban: a cPanelen vagy FTP-n való rossz jelszóval való belépési próbálgatás után kitiltja az IP-t a tűzfalunk. Ezt kiterjesztettük a nálunk hosztolt WordPress oldalakra is, hogy így is védjük felhasználóink admin oldalait. Ha nem látod a weboldaladat és a cpanelre sem tudsz belépni, mert a böngésző “time out”-tal megáll, akkor majdnem biztos, hogy az IP-det kitiltotta rendszerünk. Ilyenkor vedd fel velünk a kapcsolatot! Saját IP címedet a http://ipcimem.info oldalon tudod leolvasni.

A beállítások

  • Használj biztonságos jelszót! Legyen minimum 8 karakter hosszú, tartalmazzon vegyesen kis- és nagybetűket és számokat esetleg speciális karaktereket. Korábbi cikkünk a témában.
  • Különböző jelszavakat használj a cPanelhez, az adatbázisokhoz, és az admin felülethez
  • Győződj meg arról, hogy a feltelepített template-ed naprakész, és nem tartalmaz vírust, vagy biztonsági kockázatot.
  • Mindig legyen naprakész a rendszered, és a templatek is. Régi Joomla verzióról frissíts naprakész verzióra!
  • Az admin felületre a belépéshez a felhasználó neved ne ‘admin’ legyen
  • Változtasd meg az admin belépő linket. Joomlánál ez domainnev.hu/administrator, WordPressnél pedig domainnev.hu/wp-admin
  • Ki kell kapcsolni a rendszerüzeneteket, amelyek jelzik, ha rossz jelszót adtál meg
  • A konfigurációs fájlok jogosultságai a következők legyenek:
  • Joomla-nál: configuration.php 440
  • WordPressnél: wp-config.php: 440
  • htaccess: 440
  • Mindig használjunk .htaccess fájlt! Joomla esetén a htaccess fájl már előre el van készítve a telepítés után, csak át kell nevezni a telepítési könyvtárban lévő htaccess.txt -ről .htaccess-re. Ha ezután 500-as hibát adna az oldal, akkor ez a leírásunk segíteni fog
  •  Tovább növelheted a biztonságot, ha korlátozod, hogy milyen IP-ről lehessen kizárólag elérni az oldalad admin felületét. Kattints a leíráshoz!

Fontos

Legyen naprakész biztonsági másolat a tárhelyed tartalmáról!

Egyszerű .htaccess beállítás

Tovább növelheted Joomla vagy WordPress oldalad biztonságát, ha elhelyezel egy .htaccess fájlt az alább megjelölt helyekre:

  • Joomla esetén: images/
  • WordPress esetén: wp-contents/upload

A fájl tartalma pedig a következő legyen:

 

2 Hozzászólás

  • Reizinger Zoltán
    Posted 2013. 07 05. 18:45 0Likes

    Limit Login Attempts plugin hasznos lehet a WordPress esetében:
    http://wordpress.org/plugins/limit-login-attempts/

  • Misi A.
    Posted 2013. 07 16. 19:19 0Likes

    Kedves Endre! Arról szeretnék érdeklődni, hogy hogyan lehet rájönni, hogy ez történt, és mit lehet tenni ellene: “Általában kétféleképpen törhetik fel a weboldalt: FTP/cPanel jelszó megszerzésével a saját gépedre elhelyezett vírus segítségével,….”

Hozzászólás küldése

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..