pixel

WordPress biztonság – 15 kritikus lépés, amit azonnal meg kell tenned

A WordPress a világ legnépszerűbb tartalomkezelő rendszere, ami egyben a hackerek egyik fő célpontjává is teszi. Minden nap több mint 90 000 WordPress oldalt támadnak meg világszerte, és a sikeres támadások többsége egyszerű biztonsági hiányosságokból ered. Ez a részletes útmutató 15 kritikus lépést mutat be, amelyekkel azonnal megnövelheted WordPress oldalad biztonságát.

Miért olyan fontos a WordPress biztonság?

A WordPress oldalak sérülékenysége komoly következményekkel járhat: adatvesztés, SEO rangsorolás csökkenése, ügyfélbizalom elvesztése, vagy akár jogi következmények is felmerülhetnek. A statisztikák szerint a feltört WordPress oldalak 52%-a elavult core verzió miatt, 37%-a biztonsági rések miatt, 11%-a pedig gyenge jelszavak következtében kerül veszélybe.

1. Rendszeres frissítések – Az alap minden biztonsági stratégiában

A WordPress core, témák és pluginok folyamatos frissítése a legfontosabb biztonsági intézkedés. Az elavult szoftverekben található biztonsági rések a hackerek számára nyitott kapuként működnek.

Konkrét lépések:

  • Engedélyezd az automatikus frissítéseket a WordPress admin felületen
  • Ellenőrizd hetente az elérhető frissítéseket
  • Frissítés előtt mindig készíts teljes biztonsági mentést
  • Teszteld a frissítéseket staging környezetben, mielőtt éles oldalon alkalmaznád

A WordPress 5.5 verzió óta lehetőség van az automatikus plugin és téma frissítések bekapcsolására, ami jelentősen csökkenti a sebezhetőségi időt.

2. Erős jelszavak és kétfaktoros hitelesítés

A gyenge jelszavak a WordPress oldalak elleni brute force támadások fő célpontjai. Egy erős jelszó minimum 12 karakter hosszú, tartalmaz kis- és nagybetűket, számokat és speciális karaktereket.

Gyakorlati megvalósítás:

  • Használj jelszókezelő alkalmazást (LastPass, 1Password, Bitwarden)
  • Aktiválj kétfaktoros hitelesítést (2FA) pluginekkel, mint a Wordfence Login Security vagy a Google Authenticator
  • Kötelezővé teheted az erős jelszavakat a felhasználók számára
  • Cseréld le az alapértelmezett admin felhasználónevet

A kétfaktoros hitelesítés bevezetése önmagában 99%-kal csökkenti az automatizált támadások sikerességét.

3. Felhasználói jogosultságok helyes kezelése

A WordPress öt alapértelmezett felhasználói szerepkört kínál: Super Admin, Administrator, Editor, Author, Contributor és Subscriber. Minden felhasználónak csak annyi jogosultságot adj, amennyi a munkájához feltétlenül szükséges.

Jogosultsági szintek optimalizálása:

  • Limitáld az Administrator jogosultsággal rendelkező felhasználók számát
  • Tartalomkezelőknek Editor szerepkört adj
  • Vendégíróknak Author vagy Contributor jogosultságot állíts be
  • Rendszeresen auditáld a felhasználói fiókokat és távolítsd el az inaktívakat
  • Használj plugin-t a finomhangolt jogosultság-kezeléshez (User Role Editor)

4. SSL tanúsítvány telepítése és HTTPS kikényszerítése

Az SSL tanúsítvány titkosítja az oldal és a látogatók közötti adatforgalmat, megakadályozva a man-in-the-middle támadásokat. A Google 2014 óta rangsorolási tényezőként kezeli a HTTPS használatát.

SSL implementációs checklist:

  • Szerezz be ingyenes Let’s Encrypt tanúsítványt vagy vásárolj prémium SSL-t
  • Telepítsd a tanúsítványt a tárhelyszolgáltatónál
  • Kényszerítsd ki a HTTPS-t a .htaccess fájlban vagy plugin segítségével
  • Frissítsd az összes belső linket HTTPS-re
  • Ellenőrizd a vegyes tartalom (mixed content) hibákat

A Really Simple SSL plugin automatizálhatja ezt a folyamatot, mindössze pár kattintással.

5. Biztonsági pluginok telepítése és konfigurálása

A komplex biztonsági pluginok átfogó védelmet nyújtanak tűzfal, malware szkenner, bejelentkezési védelem és valós idejű monitoring formájában.

Ajánlott biztonsági pluginok:

Wordfence Security

Ez a legnépszerűbb WordPress biztonsági megoldás, amely tűzfalat, malware szkennert és bejelentkezési védelmet tartalmaz. Az ingyenes verzió is robusztus védelmet nyújt, míg a prémium verzió valós idejű veszélyforrás-adatbázist és országonkénti blokkolást is kínál.

Sucuri Security

A Sucuri kiemelkedik a malware észlelésben és eltávolításban. Fájlintegritás monitoringot, távoli malware szkennelést és biztonság erősítési lehetőségeket biztosít.

iThemes Security

Több mint 30 különböző módszert kínál a WordPress oldalak védelmére, beleértve a kétfaktoros hitelesítést, az adatbázis biztonsági mentéseket és a brute force támadások elleni védelmet.

Konfigurációs tippek:

  • Kapcsold be a tűzfalat és állítsd be a megfelelő szigorúságot
  • Ütemezz automatikus malware szkennelést hetente
  • Aktiváld az email értesítéseket gyanús tevékenységekről
  • Engedélyezd a bejelentkezési kísérletek korlátozását (rate limiting)

6. Adatbázis biztonságának megerősítése

A WordPress adatbázisa az oldal szíve, amely minden kritikus információt tárol. Az alapértelmezett wp_ prefix megváltoztatása megnehezíti az SQL injection támadásokat.

Adatbázis biztonsági intézkedések:

  • Változtasd meg az adatbázis táblák előtagját (prefix) telepítéskor vagy később
  • Használj egyedi adatbázis felhasználót minden WordPress telepítéshez
  • Korlátold az adatbázis felhasználó jogosultságait a minimálisra
  • Rendszeresen optimalizáld az adatbázist és töröld a revíziókat
  • Titkosítsd az adatbázis backup fájlokat

Az adatbázis prefix megváltoztatásához használhatod a WP-CLI eszközt vagy kézileg szerkesztheted a wp-config.php fájlt és futtathatod a megfelelő SQL utasításokat.

7. wp-config.php fájl védelme

A wp-config.php a WordPress konfigurációs fájlja, amely tartalmazza az adatbázis hozzáférési adatokat és biztonsági kulcsokat. Ez az egyik legérzékenyebb fájl az egész rendszerben.

Védelem megvalósítása:

  • Helyezd át a fájlt a gyökérkönyvtáron kívülre (egy szinttel feljebb)
  • Adj hozzá .htaccess szabályt a közvetlen hozzáférés megakadályozására
  • Állítsd be a megfelelő fájlhozzáférési jogosultságokat (400 vagy 440)
  • Generálj új biztonsági kulcsokat a WordPress.org salt generátorával
  • Tiltsd le a fájlszerkesztést az adminisztrációs felületen

Htaccess példa a wp-config.php védelmére:

<files wp-config.php>
order allow,deny
deny from all
</files>

8. Biztonsági mentések automatizálása

A rendszeres backup-ok biztosítják, hogy támadás vagy adatvesztés esetén gyorsan helyreállíthasd az oldaladat. A jó backup stratégia magában foglalja mind a fájlokat, mind az adatbázist.

Backup best practices:

  • Automatizáld a napi biztonsági mentéseket
  • Tárolj mentéseket külső helyszínen (cloud storage)
  • Tesztelj rendszeresen egy backup visszaállítást
  • Őrizz meg több generációt (legalább 30 napot)
  • Titkosítsd a backup fájlokat

Ajánlott backup pluginok: UpdraftPlus, BackWPup, Duplicator. Ezek a megoldások lehetővé teszik az automatikus ütemezést és a népszerű cloud szolgáltatásokkal való integrációt (Google Drive, Dropbox, Amazon S3).

9. Bejelentkezési oldal védelme

A wp-admin és wp-login.php fájlok a leggyakrabban támadott pontok a WordPress oldalakon. Ezek megerősítése jelentősen csökkenti a sikeres támadások esélyét.

Bejelentkezés biztonsági intézkedései:

  • Változtasd meg az alapértelmezett bejelentkezési URL-t
  • Korlátozd a bejelentkezési kísérleteket (pl. 3 próbálkozás 15 percenként)
  • Implementálj CAPTCHA-t vagy reCAPTCHA-t
  • Használj IP whitelist-et az admin területhez, ha lehetséges
  • Rejtsd el a bejelentkezési hiba üzeneteket, amelyek információt adnak a támadóknak

A WPS Hide Login plugin segítségével egyszerűen megváltoztathatod a bejelentkezési URL-t anélkül, hogy a core fájlokat módosítanod kellene.

10. Felesleges pluginok és témák eltávolítása

Minden inaktív plugin vagy téma potenciális biztonsági kockázatot jelent, még akkor is, ha nem aktívak. A hackerek gyakran keresnek sérülékenységeket ezekben az elavult komponensekben.

Tisztítási folyamat:

  • Töröld az összes nem használt témát (kivéve egy alapértelmezett WordPress témát)
  • Távolítsd el az inaktív pluginokat
  • Kerüld a nulled (kalóz) témák és pluginok használatát
  • Csak megbízható forrásokból telepíts új kiegészítőket (WordPress.org, hivatalos fejlesztői oldalak)
  • Rendszeresen auditáld a telepített komponenseket

Egy átlagos WordPress oldal 20-30 pluginnel működik, de a tapasztalat azt mutatja, hogy kevesebb, jól megválasztott plugin biztonságosabb és gyorsabb működést eredményez.

11. XML-RPC letiltása, ha nem szükséges

Az XML-RPC egy API, amely lehetővé teszi a távoli kapcsolatot a WordPress oldallal. Habár hasznos lehet bizonyos integrációkhoz, gyakran használják brute force és DDoS támadásokhoz.

XML-RPC kezelés:

  • Tiltsd le teljesen, ha nem használod mobilalkalmazásokat vagy külső szolgáltatásokat
  • Szűrd le .htaccess szabályokkal
  • Használj plugint a szelektív letiltáshoz (Disable XML-RPC)
  • Figyelj a szerver logokban az XML-RPC végpont elleni támadásokra

Ha olyan szolgáltatásokat használsz, mint a Jetpack, akkor az XML-RPC szükséges lehet, de ebben az esetben biztonsági rétegeket kell hozzáadni.

12. Fájlmódosítási jogosultságok beállítása

A helyes fájl és könyvtár jogosultságok megakadályozzák, hogy illetéktelen felhasználók módosítsák a kritikus WordPress fájlokat.

Ajánlott jogosultsági beállítások:

  • Könyvtárak: 755 vagy 750
  • Fájlok: 644 vagy 640
  • wp-config.php: 440 vagy 400
  • Soha ne használj 777 jogosultságot éles környezetben

Használhatod az alábbi parancsokat SSH-n keresztül a jogosultságok tömeges beállításához:

find /path/to/wordpress/ -type d -exec chmod 755 {} \;
find /path/to/wordpress/ -type f -exec chmod 644 {} \;

13. Biztonságos hosting választás

A tárhelyszolgáltató megválasztása kritikus fontosságú a WordPress biztonság szempontjából. Egy jó hosting biztosítja az alapvető biztonsági infrastruktúrát.

Mire figyelj hosting választásnál:

  • Szerverszintű tűzfal és DDoS védelem
  • Rendszeres szerver frissítések és biztonsági javítások
  • Automatikus malware szkenner
  • Ingyenes SSL tanúsítvány
  • Napi automatikus backup
  • PHP 8.0 vagy újabb verzió támogatása
  • Izolált fiók struktúra (nem shared hosting esetén)
  • 24/7 biztonságra specializálódott ügyfélszolgálat

A managed WordPress hosting szolgáltatók (WP Engine, Kinsta, Flywheel) további specializált biztonsági rétegeket kínálnak, bár magasabb áron.

14. Biztonság monitorozás és logolás

A proaktív monitoring lehetővé teszi a biztonsági fenyegetések korai észlelését, mielőtt jelentős károkat okoznának.

Monitoring eszközök és technikák:

  • Aktiválj tevékenység loggolást (Activity Log pluginekkel)
  • Figyelj a sikertelen bejelentkezési kísérletekre
  • Monitorozd a fájlváltozásokat
  • Állíts be értesítéseket kritikus eseményekre
  • Rendszeresen ellenőrizd a szerver logokat
  • Használj uptime monitoring szolgáltatást

A WP Activity Log vagy Simple History pluginok részletes naplót vezetnek minden adminisztrációs tevékenységről, ami megkönnyíti a gyanús tevékenységek azonosítását.

15. Biztonsági audit végrehajtása

A rendszeres biztonsági auditok segítenek azonosítani a sérülékenységeket, mielőtt a hackerek kihasználhatnák őket.

Audit checklist:

  • Futtass teljes malware szkennelést
  • Ellenőrizd a plugin és téma verziókat
  • Auditáld a felhasználói fiókokat és jogosultságokat
  • Tesztelj biztonsági réseket online eszközökkel (WPScan, Sucuri SiteCheck)
  • Ellenőrizd a szerver konfigurációt
  • Végezz penetration testing-et (ha lehetséges)
  • Dokumentáld a találatokat és készíts akciós tervet

A WPScan egy hatékony parancssori eszköz, amely több mint 18 000 ismert WordPress sérülékenységet képes azonosítani.

Összefoglalás – A biztonság folyamatos munka

A WordPress biztonság nem egyszeri feladat, hanem folyamatos folyamat. Ez a 15 kritikus lépés megteremti az alapokat egy biztonságos WordPress oldalhoz, de a rendszeres karbantartás, frissítések és monitorozás elengedhetetlen a hosszú távú védelem érdekében.

A biztonsági intézkedések hierarchiája szerint először az alapvető lépéseket kell megtenned (frissítések, erős jelszavak, SSL), majd haladhatunk a speciálisabb védelmi rétegek felé. Ne hagyd, hogy a feladat túlterhelő legyen – kezdd a legkritikusabb pontokkal és fokozatosan építsd ki a teljes biztonsági rendszert.

Következő lépések:

  1. Ellenőrizd a WordPress core, pluginok és témák frissítéseit még ma
  2. Telepíts egy átfogó biztonsági plugint (Wordfence vagy Sucuri)
  3. Aktiválj kétfaktoros hitelesítést
  4. Állíts be automatikus biztonsági mentéseket
  5. Végezz biztonsági auditot havonta

Ha nem érzed magabiztosnak magad a WordPress biztonság területén, vagy egyszerűen nincs időd ezekre a technikai feladatokra, a Professional IT Services szakértői segítenek professzionálisan biztonságossá tenni és folyamatosan karbantartani a WordPress oldaladat.

Professzionális WordPress biztonsági auditot szeretnél? Vedd fel velünk a kapcsolatot még ma, és szakértő csapatunk átfogó biztonsági ellenőrzést végez a WordPress oldalon, konkrét ajánlásokkal a sérülékenységek elhárítására.

Shopping Cart
Segíthetek?
Scroll to Top