Segítség feltörték a WordPress oldalam!

BlogComments are off for this post.

Főoldal » Segítség feltörték a WordPress oldalam!

A WordPress oldalak fokozottan ki vannak téve a támadásoknak. Aki elterjedt CMS tartalomkezelő rendszert használ, annak ismernie kell ezen kockázatokat is. A WordPress önmagában nem annyira sebezhető, de  rengeteg plugin és template tartalmazhat olyan kódrészletet, melyet ismerve a hackerek akár új felhasználót adhatnak hozzá az oldalhoz adminisztrátor szerepkörrel, vagy nem kívánt rosszindulatú kódokat helyezhetnek el az oldalon  base64 kódolással.

 

WordPress oldal védelme

A WordPress oldal védelméről gondoskodni kell már az első percben. Van néhány szabály melyet ha betartunk, megelőzhető a katasztrófa:

 

 

Biztonságos szerver használata

Szerver szolgáltató választásakor győződjünk meg róla, hogy a szolgáltató mindig a legfrissebb PHP verziót használja-e. Figyeljünk oda, hogy  megfelelően védik-e a saját szervereiket és saját adminisztrációs felületüket. Jól választják-e meg a mappák jogosultságait? Jól konfigurálták-e a saját tűzfalukat?

 

Biztonságos adminisztrátor felhasználónév választása

Az “admin” és “domaincím” felhasználónevek rendszeresen brute force támadások célpontjai. Ezek a felhasználónevek nem biztonságosak. Továbbá ne használjuk az administrator-t, superuser-t és társait. Az első telepítéskor megadott felhasználó – ha nem is használunk egyszerű felhasználónevet akkor is 1. sorszámú felhasználóvá válik. Ha tehetjük hozunk létre a telepítés után új felhasználót és az előzőt töröljük. A felhasználó sorszámozásnál már nem fogja újra az 1.-t kiadni. Ezzel lehetőségünk adódik a user enumeration scan jellegű, felhasználónév kitaláló botokat megakadályozni.

A legjobb felhasználónevek a valós névből betűkihagyásokkal és számok hozzátoldásával jönnek létre. Például: Minta János : M1nta-Jan0s

 

Miért ne használjunk gyári alap templatet?

A gyári template-ek elsődleges célpontjai a hackerek támadásainak. Az egyedileg programozott template működését nem ismerik,  valamint ha nem tesszük publikussá – akkor pedig mindenki számára ismeretlen lesz. A gyári template minden wordpress telepítéskor felkerül. Ha valaki ezt nem törli, vagy akár használja, a hacker elérhet olyan a template funkciókat, amelyekkel rést nyithat káros kódok telepítésére.

Tapasztalat: Jól programozott saját template mellett ott maradtak a wordpress saját templatjei is és azon keresztül törték fel az oldalt. A gyári template-ek törlése után erre már nem volt lehetőségük.

A template legyen szép, funkcionális és gyors. Biztonságos? Igen! Fontos a profi template készítésénél a biztonság is.

 

Mappa jogosultságok

Hacsak nem vagyunk tisztában a mappák jogosultságaival, ezeket a beállításokat ne módosítsuk, hagyjuk a beállításokat úgy, ahogyan a szerver szolgáltató (host) állítja. Ezzel a témával részletesen ebben a bejegyzésben nem szeretnénk foglalkozni, csak annyi, hogy a teljes írási/olvasási jogosultság (777) felesleges és nem biztonságos. Javasolt minimum 644-el kezdeni.

Érdemes elolvasni az alábbi részletes WordPress Support témakört: What should the permissions be? Really!

Erőltessük az erős jelszó használatát az adminisztrátoroknak.

Rengeteg ingyenes erős jelszó generátor áll rendelkezésre létrehozáshoz. Az erős jelszó használata nem elegendő, a jelszót ne tároljuk jegyzettömbben és ne küldjük el együtt a felhasználónévvel – ugyanis egy feltört e-mail fiók esetében máris jogosultságot adtunk a hackernek az admin felületünk eléréséhez.

 

 

WordPress oldal védelme pluginok segítségével

A WordPress oldalunk védelméről gondoskodhatunk plugin-ok segítségével. Például jól jöhet egy tűzfal, vagy egy fájl ellenőrző plugin ami átvizsgálja a teljes könyvtárat a rosszindulatú kódrészleteket keresve. Rengeteg lehetőség közül választhatunk. Ebben szeretnénk segítséget nyújtani. Ilyenek a :

  • Wordfence
  • Ninja Firewall
  • iThemes security

Ezzel a plugin hármassal biztonságosan meg lehet védeni a WordPress oldalunkat, de vigyázzunk a helyes telepítési sorrendre.

Tapasztalat: Amennyiben az iThemes security plugin-t telepítjük először, a Ninja Firewall telepítés nem tud végig futni, mert szükséges lenne létrehoznia egy .ini fájlt a WordPress gyökérkönyvtárában. Először Ninja Firewallt, majd iThemest érdemes telepíteni, mert ebben a sorrendben tökéletesen működnek egymás mellett.

WordFence

Az ingyenes verzióban is rendelkezésre áll a teljes fájlrendszer átvizsgálása, melybe beletartozik a WordPress fájlokon kívüli fájlok átvizsgálása is rosszindulatú kódrészletet keresve. Az ingyenes verzió azonban nem nyújt sok lehetőséget a hibák kijavítására.

Ninja Firewall

Az ingyenes verzió sajnos nem elegendő védelem – de rendkívül hasznos a fájlmódosulások nyomon követéséhez és néhány biztonsági rés befoltozására.

iThemes Security

Az egyik legjobb védelmi plugin a WordPress weboldalunkhoz. Segítségével biztonságban tudhatjuk az oldalt. Az ingyenes verzió is rengeteg funkciót és beállítást kínál.

 

WordPress Frissítés

No comment.

 

Biztonsági mentés

Az iThemes Security fizetős BackupBuddy -t ajánlja, de van lehetőség az adatbázist és a fájlokat más módon is menteni. Egy hacker támadás esetén legutóbbi működő – és nem feltört biztonsági frissítést megkeresve, majd offline, a hibákat kijavítva vissza lehet hozni a szétvert oldalt. Az automatikus biztonsági frissítéseken túl javasolt a webhost szolgáltatóval megállapodni, hogy ők is folyamatosan készítsenek biztonsági mentést a teljes webtárhelyünk tartalmáról, így komolyabb probléma esetén hozzájuk is fordulhatunk.

 

.htaccess

Az alábbi kódrészlet hozzáadásával elérhetetlené tehetjük a belépést az oldalra, minden olyan IP címre (akár támadó, akár látogató) akit nem adunk hozzá a listához. A listát bővíteni az Allow From xx.xxx rész másolásával és új IP címek felvitelével lehet. Javasolt nem sok IP-t hozzáadni. Sajnos a dinamikus IP -vel internetező kollégáknak ez nehézséget okozhat. Nekik beállíthatunk az iThemes security-ben időintervallumokat amikor elérik az admin felületet. (Ilyenkor nem használjuk az IP szűrést.)

<Files wp-login.php>
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
</Files>

 

Kétlépcsős hitelesítés

Magyarországon még főleg a bankok által használt biztonsági módszer a kétlépcsős hitelesítés. Ebben a bejegyzésben ezt nem szeretném részletesen tárgyalni. Használatával biztonságosabb oldalt tudunk létrehozni.

 

Saját számítógép védelme

Az ingyenes rendelkezésre álló lehetőségek között az egyik legjobb jelenleg az Avast, de egyéb nem fizetős és fizetős vírus irtók és tűzfalak használatára is van mód, ez a WordPress működését nem befolyásolja. Egy fertőzött gép esetében azonban a böngésző biztonsági réseit kihasználva – vagy FTP elérést szerezve az oldalhoz a hacker vagy bot fel tudja törni az oldalt.

 

Segítség feltörték a WordPress oldalam!

Amennyiben sajnálatos módon feltörték a WordPress oldalunkat, a fájlok egyenkénti átvizsgálásával, az adatbázis javításával meg lehet oldani a problémát. Legjobb természetesen egy teljesen új telepítéssel – hibákat kijavítva folytatni a munkát, de amennyiben erre nincs lehetőség marad a manuális javítás. Ez hosszadalmas és esetleg maradhatnak rosszindulatú kódrészletek a fájlokban, vagy maradhat olyan fájl ami nem WordPress fájl vagy plugin/template fájl,  hanem közéjük ékelődött ártalmas kód.

Ilyen ártalmas fájlok után kutassunk a plug-in fájljai között, a média fájlok között és a template-ekben. Sokszor megtévesztő nevekkel látják el ezeket a fájlokat, olyannal amiről nem következtethetünk a problémára, mint például: core.php; help.php … stb.

A PHP fájlok átvizsgálása során a jegyzettömbben kapcsoljuk be a hosszú sorok tördelését! Sok base64 kódot úgy írnak meg, hogy rengeteg üres teret hagynak az ártalmas kódrészlet előtt, ezért a notepad-ban megnyitott fájl látszólag rendben van.

 

Ha feltörték a WordPress oldalad és segítségre van szükséged keress minket bizalommal. Rövid határidővel teljesen megtisztítjuk az oldalt és biztonságba helyezzük.

Comments

Top