WordPress biztonsági GYIK

A SOS tisztítás a választott WebShield csomaggal indul. SOS esetben a csomag díján felül 10.000 Ft + ÁFA sürgősségi díjat számítunk fel, ezért azonnal kezdjük a munkát. A pontos havi vagy éves díj attól függ, melyik csomagot választod és hány weboldalt szeretnél védeni.

Általában 1-2 óra alatt el lehet jutni a működő, megtisztított állapotig. A rekordunk 7 perc volt, de ez nem minden esetben reális elvárás. A gyorsaságot főleg az határozza meg, hogy fel tudják-e rakni a WebShield plugint, vagy az oldal előbb annyira sérült állapotban van, hogy FTP-n keresztül, kézzel kell működőképessé tenni.

A WebShield előfizetés ideje alatt nem egyszeri tisztításban gondolkodunk, hanem folyamatos védelemben. Ha újrafertőződés történik, a fejlett naplózás alapján megkeressük a kiindulási pontot, újra megtisztítjuk az oldalt, és célzottan lezárjuk azt az útvonalat, amin keresztül a támadás visszajött.

Egy biztonsági plugin önmagában csak eszköz. A WebShield menedzselt szolgáltatás: a plugin mellett naplózás, tűzfal, mentés, frissítési kontroll, riasztás, szakértői elemzés, tisztítás és helyreállítás is tartozik hozzá. Nem csak jelez, hanem van mögötte emberi beavatkozás is, amikor szükség van rá.

Ha a megbízó be tud lépni a WordPress adminba, és tudja telepíteni a WebShield bővítményt, akkor nincs szükségünk semmilyen hozzáférésre. Ha az admin felület nem érhető el, az oldal hibára fut vagy a fertőzés blokkolja a működést, akkor FTP/SFTP, tárhelypanel vagy adatbázis-hozzáférés is kellhet a kézi helyreállításhoz.

Nem önmagában. A mentés nagyon fontos, de nem akadályozza meg a feltörést, és nem mindig derül ki belőle, mikor kezdődött a fertőzés. Jó mentés kell, de mellé szükség van frissítési kontrollra, tűzfalra, jogosultságkezelésre, kártevő-ellenőrzésre és riasztásra is.

Attól függ, milyen gyorsan változik az oldal. Egy ritkán frissülő bemutatkozó oldalnál napi mentés is elég lehet, de webshopnál, ajánlatkérő rendszernél vagy aktív tartalmi oldalnál óránkénti vagy 2 óránkénti mentés az életszerű. A cél az, hogy incidens esetén ne napokat veszíts.

Kiindulásnak jó, de üzleti oldalnál nem mindig elég. Fontos tudni, milyen gyakran készül mentés, meddig őrzik meg, milyen gyors a visszaállítás, tartalmazza-e az adatbázist és a fájlokat, illetve kérhető-e célzott visszaállítás. Kritikus oldalnál érdemes saját, független mentési réteget is használni.

Néha segít, de nem megbízható módszer. A támadók módosíthatják vagy elrejthetik az időbélyegeket, és a fertőzés adatbázisban, cache-ben, feltöltési könyvtárban vagy legitim fájlnak álcázva is lehet. A fájldátum csak jelzés, nem bizonyíték és nem teljes vizsgálat.

Lehet, hogy ideiglenesen eltűnik a tünet, de ettől még a belépési pont megmaradhat. A fertőzés gyakran több fájlt, adatbázis-bejegyzést, admin fiókot vagy sérülékeny plugint érint. Tisztítás után meg kell találni és zárni az okot is, különben az oldal újrafertőződhet.

Gyakori jel a furcsa átirányítás, spam oldalak megjelenése, Google figyelmeztetés, hirtelen lassulás, ismeretlen admin felhasználó, megváltozott fájlok, gyanús cron feladatok vagy szokatlan szerverterhelés. Sok fertőzés viszont csendben működik, ezért rendszeres ellenőrzés kell.

Általában azért, mert csak a látható kártevőt törölték, de a belépési pont megmaradt. Ilyen lehet egy sérülékeny plugin, gyenge jelszó, régi sablon, elhagyott admin fiók, rossz fájljogosultság vagy a tárhelyen lévő másik fertőzött oldal. A WebShield fejlett naplózási rendszere segít megmutatni, honnan indult a fertőzés, így nem csak tünetet kezelünk, hanem a kiindulási pontot is célzottan tudjuk lezárni.

A frissítés fontos, de nem minden. Egy már fertőzött oldal frissítése nem feltétlenül távolítja el a kártevőt, és sok támadás nem közvetlenül pluginhibán keresztül érkezik: gyakori belépési pont az XML-RPC, az admin felület vagy egy kiszivárgott jelszó. Emellett nem mindegy, hogy a plugin megbízható-e, aktívan karbantartják-e, szükség van-e rá, és kompatibilis-e az oldal többi részével. A WebShield menedzselt frissítési rendszere figyeli, ha egy frissítés után lehal az oldal, és szükség esetén vissza tudja állítani a korábbi működő verziót.

Sok esetben hasznos, mert gyorsan zár ismert sérülékenységeket. Üzleti oldalon viszont érdemes kontrolláltan kezelni: mentés, kompatibilitási ellenőrzés és visszaállítási lehetőség mellett. A biztonsági frissítések halogatása nagyobb kockázat, mint maga a frissítés.

Nincs ideális darabszám, de minden plugin növeli a támadási felületet és a karbantartási terhet. A kérdés inkább az, hogy szükséges-e, megbízható-e, frissül-e, és hozzáfér-e érzékeny adatokhoz. A nem használt pluginokat törölni kell, nem csak kikapcsolni.

Nem automatikusan. A prémium plugin mögött gyakran jobb támogatás és aktív fejlesztés van, de sérülékenység bármelyikben lehet. A döntésnél a fejlesztő megbízhatósága, frissítési előzmények, telepítésszám, jogosultságigény és ismert sérülékenységek számítanak.

Az admin jog teljes hozzáférést jelent: plugin telepítés, fájlmódosítás, felhasználók kezelése, beállítások módosítása. Ha egy admin fiók kompromittálódik, az egész oldal veszélybe kerül. Mindenkinek csak azt a jogosultságot érdemes adni, amire tényleg szüksége van.

Igen, erősen ajánlott. A kétfaktoros azonosítás sok jelszólopásból, adathalászatból vagy újrahasznált jelszóból eredő támadást megfog. Különösen fontos admin, szerkesztő, ügynökségi és fejlesztői fiókoknál.

Legyen egyedi, hosszú, ne legyen újrahasznált, és lehetőleg jelszókezelőből származzon. Admin fiókoknál érdemes kétfaktoros azonosítással kombinálni, a régi felhasználókat pedig rendszeresen felülvizsgálni.

A tárhelyszintű védelem hasznos, de nem lát mindent alkalmazásszinten. Egy WordPressre optimalizált tűzfal jobban érti a tipikus WordPress támadási mintákat, plugin útvonalakat, belépési kísérleteket és gyanús kéréseket. A két védelem nem kizárja, hanem kiegészíti egymást.

A gyakorlatban azt jelenti, hogy a rendszer nem csak statikus szabályok alapján figyel, hanem mintázatokat, szokatlan viselkedést és gyanús változásokat is értékel. Ettől gyorsabban észlelhető lehet olyan támadás vagy fertőzés, ami nem illeszkedik pontosan egy ismert szignatúrára vagy mintára.

Legyenek naplók, riasztások, jelentések és ellenőrizhető események. Ha egy plugin csak telepítve van, de nem küld jelzést, nem látszanak blokkolások, nincs fájlváltozás-figyelés és nincs tesztelt helyreállítási folyamat, akkor nehéz bizonyítani, hogy érdemi védelmet ad.

Legalább az admin belépéseket, sikertelen belépési kísérleteket, plugin- és sablonváltozásokat, felhasználói jogosultságmódosításokat, fájlváltozásokat, kritikus beállításmódosításokat, biztonsági riasztásokat és a HTTP kéréseket. A HTTP forgalom naplózása azért fontos, mert így szűrhető, ha furcsa mintázat, szokatlan kérés vagy támadásra utaló forgalom jelenik meg.

Sokszor igen, de nem azonnal és nem minden problémára. Mire Google figyelmeztetés érkezik, a fertőzés már üzleti kárt okozhatott. A Search Console fontos jelzőrendszer, de nem helyettesíti a folyamatos biztonsági monitorozást.

Ne kezdj véletlenszerű törölgetésbe. Készíts állapotmentést a vizsgálathoz, korlátozd a hozzáféréseket, változtass jelszavakat, nézd meg a naplókat, kapcsold be a karbantartási módot, ha szükséges, és vonj be szakértőt. Fontos, hogy a bizonyítékok és a belépési pont ne vesszenek el.

Egyszeri tisztítás után is kell védelem. Ha valaki egyszer megtisztítja az oldalt, majd jövő héten kiderül, hogy valamelyik plugin frissítésében biztonsági rés volt, akkor újra jöhet a fertőzés. Ilyenkor mindenki rosszul jár: a tulajdonos azért, mert pénzt adott ki és úgy érzi, nem oldották meg a problémát, aki tisztította, az pedig azért, mert nem hisznek neki. Ezért mi addig garantáljuk a biztonságot, amíg az előfizetés tart: tisztítás után frissítés, jogosultság-rendezés, tűzfal, mentés, riasztás és rendszeres ellenőrzés is kell.

A staging gyakran kevésbé védett, mégis ugyanazokat az adatokat, pluginokat vagy hozzáféréseket tartalmazhatja, mint az éles oldal. Ha a staging nyitva marad vagy indexelhető, támadási ponttá és adatvédelmi kockázattá válhat.

Legyen egységes frissítési, mentési, jogosultságkezelési és incidenskezelési folyamat. Fontos a központi áttekintés, a külön ügyfélhozzáférések, a rendszeres riport, a gyors visszaállítás és az, hogy ne egyetlen közös admin jelszón múljon minden ügyféloldal biztonsága.

Aktív üzleti oldalnál legalább negyedévente érdemes átnézni a hozzáféréseket, pluginokat, mentéseket és naplókat. Nagyobb változtatás, kampány, új integráció vagy incidens után külön ellenőrzés javasolt.

Akkor kritikus, ha az oldal kiesése bevételkiesést, ügyfélvesztést, reputációs kárt, adatvédelmi incidenst vagy működési fennakadást okoz. Ilyenkor nem elég reaktívan javítani: előre megtervezett védelemre, mentésre és helyreállítási folyamatra van szükség.