Ezekre nagyon figyelj, ha nem akarod, hogy feltörjék a weboldalad!

Szerző: MilanDesign

Nem erről a témáról szerettem volna írni, de annyira aktuális és fontos, hogy inkább előre vettem, mert most vannak bennem a gondolatok.

Több ügyfelem is van, akik megkértek arra, hogy a már régebben használatban lévő weboldalukat vegyem át akár fejlesztésre, akár karbantartásra. Ez rendkívül megtisztelő, ugyanakkor azt látom, hogy szinte minden weboldalban egészen elképesztő biztonsági rések vannak. A leggyakoribbakkat gyűjtöttem össze, hogy Te ezeket már ne kövesd el!

A WordPressről van az a legenda, hogy könnyű feltörni. De az a helyzet, hogy feltörni bármit könnyű, ha az alap biztonsági követelményeket figyelmen kívül hagyjuk. Megfordítva a dolgot, ha van pár dolog amire odafigyelsz (és sajnos azt látom, hogy nagyon sokan nem figyelnek oda) akkor már nagyon sokat tettél az oldalad biztonságáért.

Miért kell, hogy biztonságos legyen az oldal? Mert ha valaki feltöri, leállíthatja, vírus linkekkel pakolhatja tele (Google és a SEO nem fog örülni, meg Te se), ellophatja a Te és ami még nagyobb baj, az ügyfeleid adatait, meg egy csomó más csúnya dolgot csinálhat.

Ebben az írásban most kimondottan a WordPress oldal biztonságossá tételéről lesz szó, azokról a lépésekről, amiket szerintem a weboldal fejlesztés, illetve a rendszeres karbantartás során kötelező megcsinálni. Nyilván be tudnak menni a tárhelyen keresztül is, de ebben nem szeretnék belemenni, ha ilyen történik, azt úgyis a tárhelyszolgáltatóddal kell intézni.

Vágjunk bele.

A login link

Ezzel a világból ki lehetne kergetni, mégis majdnem mindenhol így van (kivéve persze a MilanDesign által készített oldalaknál 😊) A WordPress alap login linkje a domained.hu/wp-admin. Ezt minden egyes fotel hacker tudja. Ha be akar jönni az oldaladra, szerinted hol keresi azonnal a login oldalt? Csak nem a wp-admin linken? Bingó. Ha a Te oldaladon ez a link, akkor most azonnal változtasd meg! Amikor elkezdek építeni egy új weboldalt, nálam az a legelső lépés, hogy érvénytelenné teszem ezt a linket és egy másikra átteszem a bejelentkezést.

Saját terv

Tűzfal

Friss történet (innen jött ennek a bejegyzésnek az ötlete): átvettem karbantartásra egy már régebb óta meglévő weboldalt, beállítottam a tűzfalat és első este elkezdtek záporozni az e-mailek a tűzfaltól, hogy Szingapúrból, Amerikából, meg fene tudja honnan próbálkoznak bejönni az oldalra (wp-admin link, ugye?) Nagyon gyakori még amúgy Vietnám, India, Oroszország, meg különféle kelet-ázsiai országok, de alapvetően bárhonnan jöhetnek. Ez garantáltan így volt egyébként korábban is, csak az oldal eredeti fejlesztője nem tett be tűzfalat, valószínűleg nem is tudtak róla, hogy ez történik, vagyis kb idő kérdése lett volna, hogy mikor tudnak bejönni egy brute force támadással.

A brute force lényege nagyon röviden kb az, hogy ráküldenek egy robotot az oldalra, ami megpróbálja kitalálni a jelszót úgy, hogy generál millió féle változatot és próbálgatja őket. Ha ez ellen nem teszel valamit, előbb-utóbb ki is fogja találni.

Mit tudsz tenni? Hát például elrejted a bejelentkező linket. Aztán beteszel egy tűzfalat. Nagyon lekorlátozod a belépési kísérletek számát. A wordpress ebben nagyon engedékeny valóban, de ha mondjuk beállítod, hogy 3 próbálkozás után vágja ki az okvetetlenkedőt, akkor megkeserítetted az életét, mert ha 12 óránként próbálkozhat három jelszóval, akkor nem fog valami hatékonyan működni. Ugyanez igaz a jelszóvisszaállítási kérelmekre is. Létezik olyan lehetőség is, hogy komplett országokat, vagy régiókat kizársz és akkor ezekből az országokból el sem érhető az oldal.

Ja, amúgy az se baj, ha Te vagy aki a karbantartással foglalkozik, tud arról, ha admin belépés történik az oldalra.

Felhasználónév, jelszó

Ez annyira alapnak kellene, hogy legyen, mégis beszélni kell róla még mindig. Nem, nem, bármennyire jól hangzik, soha, soha nem használjuk az admin, administrator meg ezek egyéb permutációit mint felhasználónév! 10-ből nyolc esetben ezzel akar bejönni a robot! A MilanDesign weboldalain be is van állítva, hogy ha valaki csak megpróbálkozik ezekkel, meg hasonlókkal, azonnal ki van tiltva, kérdés nélkül. Egyébként érdemes arra is ránézni időnként mivel próbálkoznak és ha van valami népszerű, azokat is kézzel kitiltogatni. Szerencsés amúgy, ha az oldalon megjelenő nicknév és a bejelentkezési azonosító is különbözik, legalább nem derül ki egy blogbejegyzésből, hogy mivel érdemes próbálkozni.

Ugyanez igaz a jelszóra is: mindig generáltatjuk a jelszót, tele speciális karakterekkel, had dolgozzon a hacker robot ha akar valamit és nem 123456 meg admin, meg ilyen jelszót adunk meg!

Állandó frissítések

Nagyon gyakran látom, hogy belépve egy régebben épült oldalra, hegyekben állnak az el nem végzett frissítések. Miért baj ez? Nem (csak) azért, mert egyes funkciók nem fognak működni rendesen, vagy valami újításhoz nem férsz hozzá, hanem mert ezek a frissítések tartalmazzák a felfedezett biztonsági rések javításait is! Gondolj bele, van mondjuk 8 hiányzó plugin frissítés, elmaradt a core WordPress frissítés telepítése meg mondjuk a theme sem a legfrissebb. Megszámoltam, ez kapásból 10 potenciális biztonsági rés. Gyakorlatilag amikor prémium bővítményt vásárolsz, akkor erről szól az éves díj: hogy ebből jövőre se legyen gondod, hiszen a fejlesztő folyamatosan foltozgatja azokat a hibákat, amiken keresztül a hackerek megpróbálhatnak bejutni. De ha nem frissíted le, semmit nem érsz el vele.

Jogtiszta szoftverek használata

A fentiekből következik, hogy ha kicsit is komolyan veszed a weboldalad (meg úgy az érzékeny adataid – bankkártyaszámok ugye) biztonságát, akkor csak és kizárólag jogtiszta forrásból szerzett bővítmények kerülhetnek be az oldalra és azokon a gépeken, ahonnan weboldalt kezelsz csak és kizárólag jogtiszta szoftverek futhatnak! Csinálhatsz te bármit, ha önként és dalolva telepítettél egy keyloggert (ami rögzíti a billentyűleütéseidet) vagy valaki tudtodon kívül rögzíti a képernyődön történteket, köszöni szépen, nem is kell neki nagyon erőlködni a belépési adataidért, úgy lép be a szép új weboldaladra, hogy észre sem veszed. Ezt egyébként én bele is írom a karbantartási szerződésbe, hogy sem az én, sem az ügyfél által használt gépen nem lehet tört szoftver!

Rendszeres biztonsági mentések

Ez is sokszor elmarad. Nem azt mondom, hogy minden nap foglalkozz ezzel (bár ha olyan tartalmad van, pl egy webshopban naponta frissülnek a termékek, még akár ez is szükséges lehet), de rendszeresen készüljön biztonsági mentés mind az oldalról, mind az adatbázisról ÉS ezek legyenek elmentve egy távoli, a weboldal tárhelyétől teljesen független helyen IS! Ugyanis ha feltörik az oldaladat és hozzáférnek a tárhelyedhez is, nagyon könnyen lehet, hogy használhatatlan lesz az ott tárolt biztonsági mentés is!

Érzékeny infók elrejtése

Van egy csomó minden, amit érdemes elrejteni a kíváncsiskodó szemek elől, ilyen a WP verzió, vagy letiltani külső forrásból a fájlok felülírásának lehetőségét, etc. Ezekbe nem megyek bele, ez haladó technika, a webesed jó esetben tudja.

Összegzés

Ez az írás nem teljes. Nem is lehet az, hiszen folyamatos versenyfutás megy a hackerek és az IT biztonsági szakemberek között és akikkel én beszélgettem, meséltek olyan trükköket, amiktől az állam leesett, eszedbe nem jutna, milyen kreatívak tudnak lenni ezek az emberek, ha valahova be akarnak jutni. Sem hacker, sem IT biztonsági szakember nem vagyok, viszont azt gondolom, hogy a fentieket mindenképpen meg kell követelned akár magadtól, akár a webesedtől és ezeket a rendszeres karbantartásnak minden körülmények között tartalmaznia kell. Ezekkel ugyanis radikálisan megnöveled a weboldalad biztonságát!