WordPress – a legnépszerűbb tartalomkezelő
Amennyiben rendelkezel egy weboldallal, egészen pontosan 34% az esély rá, hogy az WordPress keretrendszerre épül.
Ez jelenleg (illetve már egy jó ideje) a legnépszerűbb tartalomkezelő rendszer. Egészen pontosan a CMS-ek (Drupal, Joomla, stb.) piacának majd’ 60%-át birtokolja. Elképesztő egyeduralom, és hogy ezt érzékeltessük, itt egy szám:
75,000,000 – ennyi oldal épül jelenleg WordPress-re, bár ezek nagyjából fele a .com (a blog), és a másik fele az ún. Self-hosted (.org) verzió.
Érthető is, hogy miért:
- Ingyenes (nevezzük freemiumnak)
- Könnyen kezelhető (ha használtál MS Word-ot, ezt is tudod kezelni)
- Szinte bármit felépíthetsz a használatával
Az igazság azonban az, hogy a népszerűsége teszi igazán sebezhetővé.
Ami akkor igazán rémisztő, ha kiderül, hogy Te erről nem is tudtál.
WordPress biztonság
Vegyünk egy példát:
Hogyan lépsz be egy WordPress weboldal admin felületére?
Egyszerűen a domain mögé írod, hogy /wp-admin ugye?
Szerinted ezt hányan tudják még rajtad kívül?
Tehát, a népszerűsége teszi igazán sebezhetővé, ami egyrészről azt jelenti, hogy mindenki aki használja (és sokan azok közül is, akik nem), tudja hol lehet belépni – ez egy hívogató, félig behajtott kapu sokak számára.
És akkor még nem beszéltünk a sok százezer bővítményről és sablonról, amelyeknek egy része nem követi a megfelelő kódolási standardokat, valamilyen megkérdőjelezhető forrásból jutottál hozzá (a jelenlévők kivételek), nem frissítette a készítője, vagy (amennyiben ő igen) Te feledkeztél meg az új verzió telepítéséről.
Ezek pedig mind-mind biztonsági kockázatot jelentenek, amit mások ki akarnak használni.
– De az én weboldalamat nem akarják feltörni! – vethetnéd közbe jogosan.
– De igen, csak Te nem tudsz róla. – válaszolnám én.
Nézd meg az egyik ügyfelem statisztikáit, akinek szintén nem akarták feltörni az oldalát:
840 bejelentkezési kísérlet, 740 sikertelen, 63 megakadályozva.
7 nap alatt.
Pedig semmi izgalmas nincs az oldalon, és kiemelkedő látogatottsággal sem büszkélkedhet.
Az most mindegy, hogy unatkozó tizenévesek szórakoznak, vagy valaki aki céllal teszi mindezt. A végeredmény ugyanaz. A legrosszabb esetben lemondhatsz a weboldaladról.
Vagy a felhasználóid adatairól (persze, itt még pénzbüntetésre is számíthatsz, de az csak a cseresznye a torta habjának tetején).
Mindezt csak azért, mert a minimális törődést sem adod meg a weboldaladnak.
Persze, lehet hogy csak azért, mert senki nem mondta, hogy ilyenekkel neked, mint tulajdonosnak foglalkozni kellene. Még szerencse, hogy most ezt a bejegyzést olvasod, igaz?
Pedig igazán egyszerűen tehetsz ellene azzal, hogy megtanulsz néhány egyszerű dolgot, vagy keresel valaki olyat, aki ezt megcsinálja helyetted.
Helyezkedj egy kicsit a ‘rosszak’ helyébe:
Egy biciklitárolóban találsz 10 biciklit, és azokból csak három van lezárva. Melyiket viszed el? Nyilván nem a lezártakkal állsz le szórakozni, ugye?
WordPress weboldalak esetében ennél valószínűleg rosszabb az arány, tehát 10-ből 9 oldalon nagy valószínűséggel nincs semmilyen védelem.
Viszont, ha az alább felsorolt dolgoknak csak egy részét megteszed, már sokkal jobb helyzetben vagy, mint a weboldal-tulajdonosok nagy része!
Alapvető WordPress biztonság
- Mindig tartsd a WordPress keretrendszert, a bővítményeket és a sablonokat a legfrissebb (stabil) verzión
- Ne használj ‘admin’ felhasználónevet és ne félj egy erős jelszót kitalálni
- Tréfából létrehozhatsz egy admin nevű felhasználót feliratkozói jogkörrel és egy nagyon bonyolult jelszóval, hadd szórakozzanak vele
- Legyen az oldalon SSL tanúsítvány
- Lehetőség szerint változtasd meg a belépési oldal címét
- Költöztesd az oldalad biztonságos szerverre
- Használj tűzfalat
- Telepíts malware védelmet
- Készíts biztonsági mentéseket (lehetőleg ne arra a szerverre, ahol az oldal van)
Tökéletes biztonság azonban nincs, és aki ezt mondja, az hazudik.
De ha teszel érte, hogy az oldalad biztonságosabb legyen, mint a weboldalak nagy része, már sokkal jobb eséllyel védheted meg azt – mi pontosan ezért ajánljuk fel az ügyfeleinknek a karbantartás csomag részeként a biztonság növelését.
Ha még mindig azon gondolkozol, szükséged van-e neked ilyesmire, tedd fel magadnak a kérdést:
Mennyi időt / pénzt veszíthetek azzal, ha a weboldalam nem elérhető akár csak egy napig?
Ezt csak Te tudod, de ha erre a kérdésre olyan választ adsz magadnak, amitől nem leszel boldog, gondolkozz el a fent leírtakon, és gondolj úgy a WordPress karbantartásra, mint egy biztosításra. Amit sokáig csak nyűgnek tartasz, de nagyon örülsz amikor ott van, ha kell.
Tehát itt az ideje megtanulni, hogyan védd meg a weboldalad. Ha ezzel nem tudsz, vagy nem akarsz foglalkozni, keresd meg azt, aki az oldalt készítette és kérdezd meg, vállal-e ilyesmit, vagy nézz szét a neten, ki tudna segíteni.
Ha magadtól kezdenél neki, nyugodtan vágj bele az alábbi eszközök segítségével:
MalCare – WordPress biztonsági bővítmény és malcare eltávolítás
BlogVault – MalCare + Biztonsági mentés csomag (Woocommerce esetén akár azonnali mentés lehetősége)