A WordPress az egyik legnépszerűbb tartalomkezelő rendszer a világon – és épp emiatt az egyik leggyakrabban támadott is. A jó hír az, hogy néhány alapvető beállítással és szokással jelentősen növelheted weboldalad biztonságát. Ebben a cikkben bemutatjuk a legfontosabb WordPress biztonsági lépéseket, amelyek minden weboldal-tulajdonos számára kötelezőek kellene, hogy legyenek.
Kétfaktoros hitelesítés (2FA)
A jelszavak önmagukban már nem elegendőek. A kétfaktoros hitelesítés (2FA) extra védelmi réteget ad a bejelentkezéshez: a jelszó megadása után még egy második, egyszeri kódra is szükség van (például a mobilodon futó hitelesítő alkalmazásból).
Ajánlott bővítmények:
- Wordfence Login Security
- WP 2FA
- Google Authenticator for WordPress
Kerüld az e-mailes 2FA-t, mert a levelezésed kompromittálása esetén az is támadható. Használj inkább mobilalkalmazást (pl. Authy, Google Authenticator, Aegis).
Rendszeres frissítések – a legolcsóbb biztonság
A legtöbb feltört WordPress oldal közös pontja: régi, elavult plugin vagy sablon. A hackerek folyamatosan keresik a biztonsági réseket, amiket a fejlesztők frissítésekkel javítanak – de ha nem frissítesz, ezek nyitva maradnak.
Frissíts rendszeresen:
- WordPress mag (core)
- Témák (themes)
- Bővítmények (plugins)
- PHP verzió (a tárhelyszolgáltatódnál)
Ha ritkán lépsz be az admin felületre, állíts be automatikus frissítéseket a kis kockázatú bővítményekhez, és időnként készíts manuális ellenőrzést.
Biztonsági bővítmények
A biztonsági pluginok segítenek felismerni, megelőzni és blokkolni a támadásokat.
A legjobb ingyenes vagy freemium megoldások:
- Wordfence Security: tűzfal, malware-szkenner, 2FA, IP-blokkolás
- iThemes Security: brute-force védelem, fájlvédelem, értesítések
- Sucuri Security: aktivitásnapló, tűzfal integráció, malware ellenőrzés
Ne telepíts több biztonsági plugint egyszerre, mert összeakadhatnak. Válassz egy megbízhatót, és konfiguráld körültekintően.
Biztonsági mentések – a végső biztosíték
Bármilyen biztonsági rendszer mellett megtörténhet a baj. Ha van friss biztonsági mentésed, percek alatt helyre tudod állítani az oldalad.
Ajánlott bővítmények:
- UpdraftPlus
- BlogVault
- All-in-One WP Migration
Tárold a mentéseket külső helyen (például Google Drive, Dropbox, Amazon S3), ne csak a tárhelyeden.
Megbízható tárhelyszolgáltató választása
A jó tárhelyszolgáltató az első védelmi vonal. Ellenőrizd, hogy a szolgáltatód kínálja-e:
- HTTPS / ingyenes SSL tanúsítvány (Let’s Encrypt)
- Tűzfal és DDoS-védelem
- Automatikus biztonsági mentések
- Friss PHP verziók
- Szigetelt (isolated) felhasználói környezet
Kerüld az olcsó, „megosztott” tárhelyeket, ahol más oldalak sebezhetősége is veszélyeztetheti a tiédet. Ha komolyan veszed a biztonságot, válassz VPS-t vagy felhőalapú tárhelyet.
Alapvető adminisztrációs beállítások
Néhány apró, de hatékony biztonsági lépés:
- Ne használd az „admin” felhasználónevet.
- Erős jelszavakat generálj, és használj jelszókezelőt (pl. Bitwarden).
- Tiltsd le a fájlszerkesztést az adminban:
define('DISALLOW_FILE_EDIT', true); - Korlátozd a bejelentkezési próbálkozásokat.
- Kapcsold ki a REST API-t és XML-RPC-t, ha nem használod őket.
HTTPS és biztonságos kapcsolat
Ha az oldalad még nem HTTPS-en fut, az sürgősen javítandó. Az SSL titkosítja az adatforgalmat, így a jelszavak és személyes adatok védve maradnak. A legtöbb tárhely ma már automatikusan biztosít Let’s Encrypt SSL-t, de győződj meg róla, hogy minden aloldal HTTPS-en keresztül elérhető.
Összefoglalás
A WordPress biztonsága nem egyetlen bővítményen múlik, hanem tudatos beállítások és rendszeres karbantartás kombinációján.
Ha figyelsz a következőkre:
✅ kétfaktoros azonosítás
✅ rendszeres frissítések
✅ biztonsági plugin használata
✅ napi mentések
✅ biztonságos tárhely
akkor máris a weboldalak legvédettebb 10%-ába tartozol.