Hogyan jelenthetnek egy Wordpress weboldal számára biztonsági kockázatot a kikapcsolt bővítmények, illetve nem használt sablonok?
Több helyről hallottam ezt, illetve az Eszközöknél a "Webhely egészség" részben is olvastam ezt:
"A weboldal 1 kikapcsolt sablont tartalmaz, amelyik más, mint a twentytwentyone alapértelmezett sablon. A használatban lévő sablon: Astra. A weboldal biztonságának fokozása érdekében erősen ajánljuk a nem használt sablonok eltávolítását."
"A weboldalon 5 nem használt bővítmény található. A használaton kívüli bővítmények a támadók csábító célpontja. Amennyiben nem használjuk az ilyen bővítményeket, ajánlatos eltávolítani őket."
Én nem értek hozzá, nem is látom benne a logikát, de biztos vannak itt nagy szakik, akik elmondják :)
válasza:
válasza:Ha nem frissíted akkor hackerek támadási felülete, magyarán rés.
Ha nem használod akkor is frissítsd.
válasza:A nem használt (inaktív) bővítmények ugyanúgy a szerveren vannak. Ha valamelyikben sebezhetőség van, azt a hackerek akkor is kihasználhatják, ha az adott bővítmény inaktív, ezért ajánlott törölni.
Egyébként a WordPress alap beállítása nem elég biztonságos. Ajánlott egy security bővítményt is feltelepíteni, például az All In One WP Security & Firewall bővítményt: [link]
Ez sajnos nem tud Magyarul, továbbá alapértelmezés szerint ki vannak kapcsolva a védelmi funkciók, ezért telepítés után végig kell menni, és bekapcsolni, amiket szeretnénk használni.
Viszont cserébe elég sok beállítást tud, például többféle tűzfal, fájlvédelem, komment spamvédelem, bejelentekő oldal URL megváltoztatása, sikertelen bejelentkezési kísérletek naplózása stb.
Meglepő, de egy kisebb látogatottságú céges WordPress oldalnál is naponta 30-40 bejelentkezési kísérlet van admin névvel (ha feltesszük a fenti bővítményt, és nem írjuk át a bejelentkező oldal URL címét, ezt láthatjuk is). Gyakran használt jelszavakkal próbálkoznak, ezért könnyű jelszónál elég hamar feltörés áldozata lehet az oldalunk. Tehát még egy jó tanácsom van, ne admin legyen a felhasználónév (ugyanis 99%-ban admin névvel próbálnak belépni). Továbbá a megjelenített név se egyezzen az admin felhasználónevével, mert ezzel eláruljuk, milyen névvel próbálkozzanak belépni.
Ha jól van konfigurálva az All In One WP Security & Firewall bővítmény, és csak megbízható (népszerű) bővítményeket, meg sablont használunk, továbbá rendszeresen feltelepítjük a frissítéseket, akkor azt mondom, hogy elég biztonságos a WordPress. Jó pár oldalt tartok karban, és amiknél ezeket az előírásokat betartom, azoknál még nem volt probléma, viszont a nem megfelelően levédett, és nem frissített oldalakat könnyen feltörhetik.
Hú, köszönöm ezt a listát!
Amit már azonnal megcsináltam, hogy növeljem az oldal biztonságát:
1. Módosítottam az weboldal.hu/admin linket egy egyedi szövegre, ami egy közepesen erős jelszó is lehetne akár (még épp meg tudjuk jegyezni)
2. Beállítottunk Google Authenticatorral kétlépcsős azonosítást minden adminhoz.
3. A felhasználónév eddig ugyanaz volt mindenkinél, mint a nyilvánosan megjelenő név, így utóbbit módosítottuk.
4. Jelszónak egy számítógép által generált jelszót állítottunk be.
5. Beállítottunk egy alap tűzfalat
6. Beállítottunk pingback vulnerability protectiont (nem tudom mi ez, de be van állítva :D)
7. Debug log file hozzáférést tiltottuk
Így, hogy ezeket megcsináltuk, az 515-ből 70 pontot kaptunk azon a mérőműszeren ami az All in One WP Security & Firewall Dashboard-ján van, de legalább épp átbillent a "zöld" tartományba és már nem a piros-sárgában van :D
Van még munka a biztonságot illetően.
Vajon a Media Markt mennyire figyelt az oldal biztonságára? Vagy figyelt, csak olyan profi hackerek voltak, hogy nem volt elég?
válasza:Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!