WordPress – Alapvető biztonsági beállítások

By | 2015. augusztus 11.

A WordPress nem arról híres, hogy alapból nagyon biztonságos lenne… Éppen ezért _erősen_ ajánlott a default telepítés után néhány alapvető dolog beállítása és pár plugin beszerzése és azok konfigurálása, használata.

  1. XSS támadások elleni védekezés .htaccess-ben:
    <IfModule mod_headers.c>
      Header set X-XSS-Protection "1; mode=block"
      Header always append X-Frame-Options SAMEORIGIN
      Header set X-Content-Type-Options nosniff
    </IfModule>
  2. Ha valamilyen brute-force támadás jön az oldalra egy (vagy több) adott IP-ről, az alábbi pár sor a .htaccess-ben segít kitiltani az illetőt:
     Order Allow,Deny
     Deny from XXX.XXX.XXX.XXX
     Allow from all
  3. Cron műveletek tiltása. A wp-config.php file-ban adjuk hozzá ezt a sort:
    define('DISABLE_WP_CRON', true);
  4. Néhány biztonsági plugin telepítése (és természetesen a javaslatok áttekintése és az esetleges hibák javítása):
  5. A gyárni mail() helyett normális SMTP beállítások, saját SMTP loginnal, SSL-lel, authentikációval: WP-Mail-SMTP
  6. Kommentelés lehetőségének tiltása vagy pedig erős korlátozása. Ez lehet akár captcha vagy más technika bevezetése. Én javaslom a Disqus használatát és a beépített kommentelés kikapcsolását.
  7. Tartsuk naprakészen a WP-t. A frissítések hozzák a javításokat is az esetleges sebezhetőségekre.
  8. Szedjük ki a verziószámot a header-ből.
  9. Állítsuk be a kétlépcsős authentikációt. Vagy ez a cikk több opciót is tárgyal.
  10. Nevezzük át az admin belépési oldalt valami másra.
  11. Tiltsuk le az XML RCP pingback-et, amivel megelőzhetünk egy jó nagy DDOS támadást az oldal ellen.

Ezek azok az alap dolgok, amelyek egy WP oldalon mindenképpen kellenek, feltéve, ha nem szeretnénk magunkat elég gyorsan kirugatni a szolgáltató szerveréről egy esetleges 8000-15000 email/nap spamküldés miatt és egy agyonfertőzött oldal miatt.

Ha valaki tud a fentieken kívül még hasznos dolgot a témában, akkor ne tartsa magában! Jöhetnek kommentben az ötletek! Köszi!

 

 

Hasonló cikkek

Synology, MariaDB 10 és a kényszerített biztonság... Tavaly január óta jelen van egy olyan beállítás a Synology NAS-okon futtatott MariaDB 10-es szerveren, ami kiidegel... egész pontosan az, hogy ha felh...
PhpStorm és a Git Amióta Mac-et használok, mély fájdalommal kellett tudomásul vennem, hogy a hőn szeretett NuSphere által fejleszetett PhpED IDE fejlesztőkörnyezetemről...