Közkeletű tévedés, hogy napjaink méltán legnépszerűbb CMS rendszere, a WordPress telepítése után nincsen sok dolgunk, csupán a tartalmak feltöltése. De rossz hírünk van: nem dőlhetsz hátra, ha elkészült az oldalat. Rendszeres, hozzáértő karbantartás (wordpress üzemeltetés) nélkül a legrosszabb pillanatban hagyhat bennünket cserben a WordPress oldalunk. Ma megmutatjuk, mire ügyelj tulajdonosként, hogy weblapod, látogatóid és organikus helyezéseid is biztonságban legyenek.
A biztonság szintjei
A legtöbben ma már tudják, hogy mik azok a minimális alapok, amiket a WordPress igényel ahhoz, hogy biztonságosan futhasson. Ezeket Te is megteszed?
Szívünk szerint kihagynánk a témát, de afféle nulladik lépésként mégis ide kívánkozik, hogy mielőtt még a WordPresshez nyúlnál, gondoskodj róla, hogy a webcímedhez és szerveredhez van helyesen beállított és élő SSL tanúsítvány. Az SSL ma már alapvető minden olyan oldal esetén, ami adatokat (például egy regisztrációs űrlap tartalmát) továbbít a látogató gépe és a website között. SSL nélkül ezek az információk egyszerűen elfoghatóak és elolvashatóak. Az SSL arra van, hogy titkosítja a forgalmat (még akkor is, ha az nyilvános hálózaton történik, például egy gyorsétterem wifijén). Ha valamiért nem lehet SSL-ed, mindenképp használj később valamilyen alternatív WP biztonsági csomagot.
WordPress alapú oldalunk története ott kezdődik, hogy ha magad telepíted a WP-det, akkor megbízható forrásból tedd azt. Sok netes csalás épül arra, hogy rosszindulatú szoftverekkel eleve megfertőzött telepítőcsomagokat kínálnak (akár alaprendszert, akár pluginokat), és már akkor biztonsági kockázatod van, amikor az oldalad még el sem indult. Ezért mindig ellenőrizd, honnan van a telepítő vagy a plugin.
A boldog békeidőkben a hackerek olyan friss vagy régi WordPress alapú weboldalakat kerestek, ahol a telepítés után nem törölték az install fájlokat. Ezeknek a szerveren hagyásával műveleteket lehetett futtatni és akár az adatbázishoz is hozzá lehetett férni. Azóta sokat fejlődött a szoftver, ahhoz azonban, hogy mindig a lehető legnagyobb biztonságban legyünk, érdemes az admin felületen felkínált frissítéseket mindig telepíteni.
WordPress frissítése
A rendszeres frissítés az az egyszeregy, amivel minden összetett szoftver sebezhetőségeit kezelheted. Amikor telepítesz egy WP-t, az használatba veszi a szerver erőforrásait, ami – többek között – futtatja a php kódokat, teljesíti a látogatók lekéréseit, kezeli az oldalad tartalmát egy adatbázisban, stb. Ezek önmagukban is bonyolult szoftverek, amikben folyamatosan találnak biztonsági réseket, és frissítik is őket. Sok sebezhetőség azonban magasabb szintű: magában a WordPressben fordul elő. Ha a WordPresst nem frissíted, hátsó kapukat hagysz nyitva a támadók előtt.
Ahogy a WordPress maga php-ra, adatbázisra és más szoftverekre épül, úgy a letölthető pluginok magára a WordPressre alapozódnak. Mivel ezek hozzáférnek a rendszerünkhöz, probléma, ha biztonsági hibákat (vagy szándékos kiskapukat) tartalmaznak. Ezért ezek frissítése is éppen olyan fontos, mint az alaprendszeré.
Nem csak a frissítések ténye, de a rendszerességük is kritikus. Ha sokáig nem lépsz főverziót, akkor előfordulhat, hogy egy nagyobb updatet követően a létfontosságú pluginjaid (akár a webshop-pluginod, ami a bevételeidet generálja) összeomlanak, és a látogatókat kiváló ajánlatok helyett hibaüzenetek fogadják.
Minden frissítés kockázattal jár, akkor is, ha azokat rendszeresen teszed. Az egyes beépülő modulok egymással összeköttetésben működnek, és minél több ilyennel dolgozol (minél több a módosítás és bővítés az alap WordPress rendszerben), annál nagyobb az esélye annak, hogy valamilyen nem várt vagy nem ismert gubanc lesz. Ezért
- egyrészt kritikus, hogy GIT verziókezelt mentést futtass frissítés előtt, hogy végszükség esetén visszaállíthass egy korábbi, működő verziót,
- másrészt hogy a frissített oldaladat előbb a szerveren, local-ban futtasd és teszteld, és hibamentesség esetén engedd ki élesben is, a látogatóid szeme elé.
A legnagyobb kockázat te magad vagy
Ha úgy gondolod, hogy technikai oldalról mindent megtettél oldalad biztonsága érdekében, még mindig van egy óriási kockázati tényező, amit nem kezeltél: te.
Az emberek csodálatos lények, de hajlamosak figyelmetlenek lenni vagy hibázni. A legtöbb számítógépes bűncselekmény nem a rendszerek feltörésére alapoz, hanem az egyéb úton megszerzett hozzáférésekre. Ezek pedig emberi hibából fakadóan kerülnek a támadók kezébe.
Kétlépcsős hitelesítés
Sokat segíthet a helyzeten, ha a WordPressed kétlépcsős hitelesítést használ. A 2FA megoldást bekapcsolva az esetleges támadóknak nem elég megszerezni mondjuk a jelszavad: OTP (one time password) vagy más, további hitelesítési mód is szükséges a belépéshez, ami a telefonodhoz vagy az e-mail fiókodhoz kötődik. Alapesetben ezekhez nem férnek hozzá, így önmagában a jelszavad ellopása kevés ahhoz, hogy beléphessenek az oldalad adminjába.
Felhasználók kezelése
Ha az oldaladon lehetséges a regisztráció, és kezelhető/átlátható mennyiségű felhasználód van, ezeket érdemes időről időre átnézni. A botnetek sokszor találnak módot arra, hogy a captcha ellenőrzéseket (amik az emberi és gépi regisztrációkat különítik el és szűrik) kikerüljék vagy megoldják, és zombifiókok áraszthatják el az oldaladat. Ezt követően aztán a legkisebb kellemetlenség az lesz, ha “csak” spam kommentekkel lepik el a felületeidet, bár sok aloldal esetén ez is komoly fejtörést okozhat.
A gyanús fiókok törlése nagyon fontos, mert sok feltörési kísérlet alapszintű, regisztrált fiókokról indul. Itt minden furcsának számít, ami nem természetes: a szia.lajos@gmail.com e-mail cím vélhetően egy valódi emberhez tartozik, de a naomi45673745345134@cgeefa.com már ránézésre is problémásnak tűnik. Ha rövid idő alatt sok azonos szerkezetű e-mail címről jönnek a regisztrációk, szintén feltételezheted, hogy nem a feliratkozó anyagod sikerült jól, csak megtalálta az oldaladat egy botnet.
Annak érdekében, hogy a botnetes regisztrációkat vagy a brute force (nyers erő: amikor számítógépek probálkoznak az oldalad feltörésével hibákat keresve) próbálkozásokat elkerülhesd, oldalad alapértelmezett bejelentkezési felületét érdemes megváltoztatni vagy elrejteni. Sok oldalnál (még azoknál is, amikről elsőre nem is sejted, hogy wordpress siteok) az admin belépés az url/wp-admin.php címen marad, így a támadóknak nagyon könnyű a dolga, amikor a feltörhető kapukat keresik.
Megeshet, hogy te magad vagy a gond okozója, amikor úgy döntesz, hogy valamit változtatsz a rendszer működésében. Frissítesz egy fájlt vagy módosítasz a kódon, és máris leáll az egész rendszered. Ilyen esetekben az első védelmi vonal a biztonsági mentés, amit a WP admintól függetlenül, rendszerszinten is beállíthatsz vagy kérhetsz. Minél sűrűbb a mentés, annál kisebb az esélye annak, hogy helyrehozhatatlan vagy költséges kárt okozol.
Optimalizáld a teljesítményt
Mint minden összetett rendszernek, a WordPressnek is szüksége van néha megfiatalodásra. Az elöregedett, felesleges sejteket érdemes a testéből eltávolítani, hogy működése gyorsabb és hatékonyabb lehessen.
Ennek egyik módja a rendszeres adatbázis-karbantartás futtatása. Oldalad tartalmát adatbázis-táblákban tárolja a rendszer (ez a DB, database). Ide sok olyasmi is bekerül, amikre később nincsen szükség (törölt állományok, ideiglenes információk, stb.), a napi rutinok azonban nem ürítik őket. Egy nagy karbantartás segít átnézni a táblákat és nagyban csökkentheti a méretüket, amikor kisöpri azokat a részeket, amik biztosan feleslegesek.
A nem használt pluginok lekapcsolása és/vagy törlése szintén javítja a rendszer teljesítményét, illetve biztonsági kockázatokat is megszüntetsz vele. A nem frissített, magukra hagyott pluginokat már csak azért is érdemes eltávolítani (vagy másikra cserélni), mert idővel inkompatibilitási problémákat, rendszerleállásokat okozhatnak.
Általában igaz a multimédiás tartalmakra, hogy azok mérete felel az oldalbetöltési idők javáért. Régebbi anyagokban használt nagyméretű videókat, képeket érdemes időről időre átnézni és szükség esetén jobb tömörítésű, kisebb méretű változatokra cserélni. Ezzel nem csak a felhasználói élmény javul, de a page load is rövidül, így a keresőrobotok is előrébb sorolják majd az oldalunkat.
Ha mégis beüt a baj, tudj róla
WordPress oldalad, mint bármelyik másik weboldal is, akkor is bajba kerülhet, ha a fenti karbantartásokat és biztonsági lépéseket megteszed. Leállhat az azt futtató szerver vagy olyan bűnözők áldozatául eshet, akik túljártak a felkészült üzemeltetők eszén is.
Ahhoz, hogy a biztonsági mentésekkel helyrehozhasd a károkat, előbb tudnod kell a problémáról, ezért érdemes oldaladra uptime robotot állítani, ami 5 percenként megnézi, hogy az elérhető-e, működik-e. Ezek a robotok weboldal vagy applikáció formájában is elérhetőek, és a kívánt módon riasztanak, ha gond van az oldalunkkal. Segítségükkel nagyon sok kellemetlenség elkerülhető, például a péntek este leállt webshop, amit csak hétfő reggel vesznek észre (miután két napnyi forgalom esett ki a kasszából).
Fontos, hogy ne ess pánikba, ha problémát érzékelsz. Ha van rendszeres biztonsági mentésed, az olyan, mint a kötél a bungee jumpingnál: egy ideig még esel, de aztán biztosan megmenekülsz. A lényeg, hogy ha nem te magad kezeled az oldaladat, akkor tudd, hogy ki felelős érte, vagy ha szerver szintű a baj, akkor hogyan érheted el a szolgáltatódat. Ezek afféle üzleti ICE kontaktok, amiket tárolj el rossz időkre.
WordPress üzemeltetés: kiszervezés vagy házon belül?
Mint a fentiekből már láthatod, a számítástechnika és a fejleszés minden más területéhez hasonlóan még az olyan ingyenes szoftverek üzemeltetése is nagy hozzáértést igényel, mint a WordPress. Különösen nagy a tét akkor, ha WP oldalad egyben bevételi forrásod is.
Nincsen ökölszabály arra vonatkozóan, hogy a kiszervezés vagy a házon belüli üzemeltetés-e a jobb, hiszen ez tevékenységi területtől és cégmérettől is függ. Az olyan vállalkozások, amik elég nagyok ahhoz, hogy saját informatikusuk vagy fejlesztőjük legyen, többnyire házon belül tartják a WordPress üzemeltetését.
A legtöbb KKV azonban nem engedheti meg magának azt a luxust, hogy maga fejleszti és üzemelteti wordpresses oldalát. Erre általában sem ember, sem tudás nincsen, ráadásul amint a rendszert össze kell kötni külső szolgáltatásokkal (API-n keresztül más levelező, banki fizetés, statisztika, stb.), már nem elég az alap szintű WP ismeret vagy az automata frissítések futtatása. Ezzel szemben ha külső szerződött partnerünk van, az felel a biztonságért (hibajavítások, SSL telepítések, stb.), a frissítésért, a rendelkezésre állásért és tartja a kapcsolatot az oldalunkat hostoló szerverszolgáltatóval is.
Egy jó üzleti terv (akár kiszervezés, akár in-house megoldás) esetén eleve tartalmazza az “ingyenes” WordPressel kapcsolatos összes költséget is, amikkel bizony kalkulálnod kell.
Bármilyen üzemeltetési konstrukciót is választasz, az alábbiakat mindig tartsd szem előtt WP oldalad kapcsán:
- érvényes SSL megléte a domainhez és szervezhez
- megbízható forrásból telepített WordPress és pluginok
- telepítés után törölt felesleges/veszélyes fájlok
- rendszeres, automatikus biztonsági mentés
- adatbázis folyamatos karbantartása
- bejelentkezési alapértelmezések megváltoztatása
- gyanús felhasználók törlése
- kétlépcsős hitelesítés bekapcsolása
- rendszeres frissítések az oldalra és a pluginokra is (verziókövetés)
- régi/nem használt pluginok törlése
- oldal folyamatos ellenőrzése uptime robotokkal
- baj esetén ismert kontaktok rendszergazdához/szakemberhez