A wordpress biztonsági checklist legfontosabb lépései: frissítsd a rendszert, pluginokat és sablonokat, használj erős jelszót és kétlépcsős azonosítást, módosítsd az admin URL-t, telepíts tűzfalat és biztonsági plugint, készíts rendszeres mentést, és kerüld a nulled bővítményeket. Ez a 15 pontos wordpress biztonsági checklist megvédi az oldalad a legtöbb támadástól.
WordPress biztonsági checklist – 15 dolog, amit be kell állítanod (ha nem akarod, hogy feltörjék az oldalad)
Ha csak 10 percet szánsz a weboldalad biztonságára, ez a lista lehet az egyik legfontosabb dolog, amit valaha elolvasol. Nem túlzás. Tapasztalataim szerint a legtöbb WordPress oldal úgy megy ki élesbe, hogy az alapvető biztonsági beállítások sincsenek rendben. Ez a wordpress biztonsági checklist pont azért született, hogy ezt megváltoztassa.
Miért nincs a helyén a biztonság a legtöbb WordPress oldalnál?
Sok vállalkozónál látom ugyanazt a mintát. Az oldal elkészül, mindenki örül, aztán jön az éles indítás. A biztonság pedig valahogy mindig „majd később” kerül sorra. Részben azért, mert senki nem mondta el, mi mindent kellene beállítani. Másrészt azért, mert elsőre bonyolultnak tűnik, illetve mert addig nem fáj, amíg valóban nem törik fel az oldalt.
A probléma az, hogy a WordPress a világ legnépszerűbb tartalomkezelő rendszere. Ez azt is jelenti, hogy a támadók folyamatosan, automatizáltan pásztázzák az internetet sebezhető oldalak után. Nem személyes, nem célzott. Csak szisztematikus. Ha az oldalad nincs megfelelően védve, előbb-utóbb sorra kerül. Ha érdekel, hogyan törik fel a WordPress oldalakat, ott részletesebben is leírtam, mi zajlik a háttérben.
A 15 pontos WordPress biztonsági checklist
Ez a lista nem elméleti. Minden pont egy konkrét tennivaló, amit el lehet végezni. Nézzük sorban.
1. WordPress rendszer frissítése
A WordPress core frissítések nagy része biztonsági javítást tartalmaz. Ha nem frissítesz, ismert biztonsági réseket hagysz nyitva. Ezt a legegyszerűbb megtenni, mégis sokan hagyják el. A WordPress frissítés elhanyagolása komoly következményekkel jár, külön cikkben írtam róla. A WordPress core frissítéseket a Vezérlőpult → Frissítések menüben találod. Ha elérhető újabb verzió, egy kattintással telepítheted.
2. Pluginok frissítése
A bővítmények a WordPress egyik legnagyobb biztonsági kockázata. Egy elavult plugin önmagában elég ahhoz, hogy az egész oldalad veszélybe kerüljön. Rendszeres frissítés kötelező.
A Vezérlőpult → Frissítések oldalon a telepített bővítmények frissítése is elvégezhető egyszerre, az „Összes frissítése” gombbal. Azt javaslom, hogy elavult, régen nem frissített, vagy már nem használt pluginokat törölj ki teljesen, ne csak deaktiváld, mert a kód akkor is jelen marad a szerveren.
3. Sablonok frissítése
A témafájlok ugyanúgy tartalmazhatnak biztonsági réseket, mint a pluginok. Ez különösen igaz, ha régi, elhagyott sablont használsz.
A telepített témákat ugyanitt, a Frissítések oldalon frissítheted. Ha olyan sablont használsz, amelyet a fejlesztő már nem tart karban, érdemes aktívan keresni egy alternatívát. Különösen igaz ez, ha az oldal WooCommerce-alapú.
4. Erős jelszó használata
Ez magától értetődőnek hangzik, de rengeteg feltörés ma is egyszerű, kitalálható jelszó miatt történik. Az admin fiók jelszava legalább 16 karakter legyen, vegyes karakterekkel. A WordPress Felhasználók → Adatlap menüjében tudod megváltoztatni a jelszót. A beépített jelszógenerátor automatikusan erős kombinációt javasol, ezt használd.
5. Kétlépcsős azonosítás bekapcsolása
A kétlépcsős azonosítás az egyik leghatékonyabb védelmi lépés, mert még akkor is megvéd, ha a jelszó kiszivárog. Ez közvetlenül kapcsolódik a brute force támadás elleni védekezéshez.
Ehhez a Wordfence plugint ajánlom, amely ingyenesen elérhető. Telepítés és aktiválás után menj a Wordfence → Bejelentkezési védelem → Kétlépcsős hitelesítés fülre. Olvasd be a QR-kódot a Google Authenticator vagy az Authy alkalmazással, add meg a generált 6 jegyű kódot, majd mentsd a backup kódokat is. Ezzel védekezel a brute force támadások ellen.
6. Login próbálkozások limitálása
Ha korlátlan számban lehet próbálkozni a bejelentkezéssel, az automatizált támadások percek alatt kipróbálják a leggyakoribb jelszókombinációkat. Egy egyszerű plugin megakadályozza ezt.
A Wordfence ezt alapból kezeli: Wordfence → Tűzfal → Brute Force Védelem alatt beállíthatod, hány sikertelen próbálkozás után blokkolja az IP-t. Ha nem Wordfence-t használsz, a Limit Login Attempts Reloaded plugin ugyanezt nyújtja önállóan, ingyenesen. Alapértelmezésként 5 próbálkozás után 20 perces tiltást érdemes beállítani.
7. Admin URL módosítása
A WordPress alapértelmezett bejelentkezési oldala minden támadó számára ismert. Ha módosítod az admin URL-t, máris megnehezíted a dolgukat. Telepítsd a WPS Hide Login plugint a Bővítmények → Új bővítmény menüben. Aktiválás után menj a Beállítások → Általános menübe, görgess le, és a „Login URL” mezőbe írd be az új, egyedi elérési utat (például: /belepes-2026). A régi /wp-admin és /wp-login.php URL-ek automatikusan átirányítanak egy általad megadott oldalra. Mentsd el az új URL-t, mert a régi megszűnik működni. Erről bővebben olvashatsz a WordPress admin védelem cikkben.
8. Biztonsági plugin telepítése
Egy dedikált security plugin alapvető védelmet ad: tűzfal, fájlintegritás-ellenőrzés, bejelentkezési védelem. Nem helyettesít mindent, de alapnak kiváló.
A legelterjedtebb ingyenes megoldás a Wordfence Security. Telepítés után az első beállítási varázslón végigvezet, és azonnal aktiválja az alap tűzfalat, a fájlintegritás-ellenőrzést és a bejelentkezési védelmet. Alternatíva a Solid Security (iThemes Security), amely szintén népszerű és könnyebben kezelhető kezdőknek.
9. Tűzfal használata
A Wordfence beépített tűzfala a Wordfence → Tűzfal menüben kapcsolható „Kiterjesztett Védelem” módra, amelyhez egy rövid, automatikus .htaccess módosítást kell jóváhagyni. Ez a beállítás azt biztosítja, hogy a tűzfal a WordPress betöltése előtt szűrje a forgalmat.
Ha azt érzed, hogy ez a lista kezd komolynak tűnni, és nem akarod mindezt egyedül kezelni, nézd meg a HelloShield webshop és weboldal karbantartás szolgáltatást. Ez egy kiszervezett megoldás, amely 14 900 Ft/hónap áron tűzfalvédelmet, napi mentést, frissítéskezelést, víruskeresést és 24 órás felügyeletet ad. Nem kell egyesével konfigurálnod semmit.
10. Rendszeres backup rendszer
Ha mégis baj van, a mentés az egyetlen visszaút. Napi mentés, legalább heti tárolással. Ezt soha ne hagyd ki.
A UpdraftPlus plugin az egyik legjobb ingyenes mentési megoldás. Telepítés után a Beállítások → UpdraftPlus menüben beállíthatod az automatikus napi mentést, a tárolási helyet (Google Drive, Dropbox, S3 stb.) és a megőrzési időt. A mentési fájlokat soha ne csak a szerveren tárold, mindig legyen külső másolat is.
11. SSL tanúsítvány
Az SSL ma már nem opció, hanem alap. Biztonságos adatátvitelt garantál, és a Google is előnyben részesíti az HTTPS oldalakat a keresési találatokban.
Ellenőrizd, hogy az oldalad https:// protokollon érhető-e el. Ha nem, a tárhelykezelőben (pl. cPanel) általában egy kattintással aktiválható az ingyenes Let’s Encrypt tanúsítvány. WordPress oldalon ezután a Really Simple SSL plugin automatikusan átirányítja a http forgalmat https-re, és javítja a vegyes tartalom hibákat.
12. Nulled pluginok kerülése
Ez nem plugin-beállítás, hanem tudatos döntés. Soha ne tölts le WordPress bővítményt vagy sablont ismeretlen, ingyenes forrásból, ha az eredetileg fizetős. Ezek a fájlok szinte mindig rejtett backdoor kódot tartalmaznak. Ha ellenőrizni szeretnéd a meglévő fájlokat, a Wordfence Scan funkciója képes gyanús kódrészleteket azonosítani. Bővebben a WordPress sebezhetőségek cikkben.
13. Felhasználói jogosultságok kezelése
Ne adj admin jogot mindenkinek, akinek hozzáférés kell az oldalhoz. Szerkesztőnek szerkesztői jog, szerzőnek szerzői jog. A minimális jogosultság elve csökkenti a kockázatot.
A Felhasználók → Összes felhasználó menüben láthatod, kinek milyen szintű hozzáférése van. A szerkesztőknek „Szerkesztő”, a bloggereknek „Szerző” szerepkört adj, admin jogot csak annak, akinek valóban szükséges. Ha régi, már nem aktív felhasználók vannak az adatbázisban, azokat töröld ki. A User Role Editor plugin segít, ha egyedi szerepköröket szeretnél létrehozni.
14. Tárhely minősége
A biztonság nem csak rajtad múlik. Egy gyenge tárhely szerver szinten sebezhető lehet. Válassz megbízható, WordPress-barát tárhelyet, amelyik aktívan figyeli a szerver biztonságát. Ha bizonytalan vagy, milyen tárhelyet válassz wordpress weboldaladhoz, erről is írtam korábban.
15. Rendszeres ellenőrzés
A Wordfence → Scan funkcióval havonta egyszer futtass teljes vizsgálatot, amely ellenőrzi a fájlok integritását, az elavult szoftvereket és az ismert sebezhetőségeket. Az Activity Log plugin segítségével pedig nyomon követheted, ki mit módosított az oldalon, ez különösen hasznos, ha többen szerkesztik a tartalmat. Ha ezt folyamatosan és automatizáltan szeretnéd, a HelloShield webshop és weboldal karbantartás keretein belül ez is benne van a 14 900 Ft/hónapos csomagban, emberi odafigyeléssel. A wordpress vírusvédelem cikkben részletesebben is leírtam, mit jelent ez a gyakorlatban.
Amit kevesen mondanak el
Eddig 15 pontot soroltam fel. Láthatod, hogy ezek nem egymástól független beállítások. Ezek egy rendszer részei. Ha az egyiket kihagyod, a többi hatékonysága is csökken. A tűzfal mit sem ér, ha egy elavult pluginon keresztül bejutnak. A mentés mit sem ér, ha már fertőzött állapotot mentesz vissza.
Ezért mondják sokan tévesen, hogy „telepítettem egy security plugint, kész vagyok”. Ez nem igaz. A WordPress biztonság egy folyamatosan fenntartandó állapot, nem egy egyszeri pipálás.
Ha ezt komolyan szeretnéd kezelni, de nem akarsz minden héten ezzel foglalkozni, a HelloShield webshop és weboldal karbantartás pontosan erre a problémára ad megoldást. A szolgáltatás kiszervezett karbantartást jelent, benne frissítésekkel, víruskezeréssel, napi mentéssel, jelszófeltörés elleni védelemmel, robot regisztrációk tiltásával és hibás e-mail cím ellenőrzéssel. Mindez 14 900 Ft/hónap áron, bármilyen tárhelyen.
Mi történik, ha nem csinálod meg?
A következmények sajnos nagyon valósak. Egy feltört weboldal nem csak adatvesztést jelent. A Google feketelistára teheti a domained, amit hónapokig nem töröl le. Az ügyfeleid adatai veszélybe kerülhetnek. Az oldal akár vírust terjeszthet a látogatók gépére. A reputáció pedig nehezen épül vissza.
Sok ügyfélnél látom, hogy ezek a következmények mindig meglepetésként érkeznek, holott a megelőzés töredéke annak a munkának, amit egy feltörés helyreállítása igényel.
„Csináld magad” vagy kiszervezés: melyiket válaszd?
Ha van időd, technikai érzéked és kedved hozzá, a fenti 15 pontot te magad is végig tudod csinálni. Ez teljesen legitim út. A DIY megközelítés akkor működik jól, ha aktívan figyeled a WordPress biztonság híreit, és hetente szánsz rá az időt.
Ha viszont vállalkozóként a fő fókuszod az üzlet, nem a szerver adminisztráció, akkor egy kiszervezett rendszer sokkal értelmesebb döntés. A HelloShield webshop és weboldal karbantartás nem azért jó, mert kényelmes, hanem azért, mert folyamatos és rendszerszerű védelmet nyújt ott, ahol a manuális megközelítés általában lyukakat hagy.
Végezetül
A wordpress biztonsági checklist nem egy egyszeri feladatlista. Ez egy működési keretrendszer. Az alapok beállítása fontos, de önmagában nem elég. Ami igazán véd, az a folyamatos figyelem, a rendszeres frissítés és egy olyan háttérrendszer, ami akkor is dolgozik, amikor te nem.
Ha elindultál ezen az úton és még csak most ismerkedsz a témával, érdemes megnézni, hogyan törik fel a WordPress oldalakat, hogy értsd, mi ellen védekezünk pontosan.
GYIK – WordPress biztonsági checklist
1. Milyen gyakran kell elvégezni a WordPress biztonsági checklist pontjait?
A frissítéseket és a backup ellenőrzést hetente érdemes elvégezni. A teljes audit, beleértve a felhasználói jogosultságok és a fájlrendszer ellenőrzését, havonta ajánlott. A rendszeres karbantartás drasztikusan csökkenti a feltörés kockázatát.
2. Elég egy security plugin a teljes védelemhez?
Nem. Egy biztonsági plugin alapvető védelmet ad, de a checklist többi pontját ettől függetlenül el kell végezni. A plugin nem helyettesíti a rendszeres frissítést, az erős jelszókezelést vagy a megbízható tárhelyet.
3. Mi az a brute force támadás és miért fontos a checklist?
A brute force támadás során automatizált programok próbálják kitalálni a jelszót próbálgatással. A login limitálás és a kétlépcsős azonosítás közvetlenül véd ellene. Erről bővebben olvashatsz a brute force támadás cikkben.
4. Kell-e SSL tanúsítványért fizetni?
Ma már nem szükséges. Az ingyenes Let’s Encrypt tanúsítvány a legtöbb tárhelyszolgáltatónál elérhető. Ha mégsem lenne aktív az oldalon, a HelloShield karbantartás keretein belül ezt is rendezik.
5. Mi az a nulled plugin és miért veszélyes?
A nulled plugin egy feltört, ingyenesen terjesztett prémium bővítmény. Szinte mindig tartalmaz rejtett kártékony kódot, ami backdoor hozzáférést biztosít a támadóknak. Soha ne telepíts ilyet.
6. Mit tegyek, ha már feltörték az oldalamat?
Azonnal állítsd le a nyilvános elérést, értesítsd a tárhelyszolgáltatót, állítsd vissza a legutóbbi tiszta mentést, és vizsgáld meg a fájlrendszert kártékony kód után. Ha nincs mentésed, egy szakember segítségére lesz szükséged.
7. Mikor éri meg kiszervezni a WordPress karbantartást?
Akkor, ha nem tudod hetente megoldani az ellenőrzéseket, ha nincs technikai háttértudásod, vagy ha az oldalad üzletileg kritikus, például webshop. A kiszervezett megoldás, mint a HelloShield webshop és weboldal karbantartás, ebben az esetben sokkal gazdaságosabb, mint egy feltörés utólagos kezelése.
