A WordPress nem arról híres, hogy alapból nagyon biztonságos lenne… Éppen ezért _erősen_ ajánlott a default telepítés után néhány alapvető dolog beállítása és pár plugin beszerzése és azok konfigurálása, használata.
- XSS támadások elleni védekezés .htaccess-ben:
<IfModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" Header always append X-Frame-Options SAMEORIGIN Header set X-Content-Type-Options nosniff </IfModule>
- Ha valamilyen brute-force támadás jön az oldalra egy (vagy több) adott IP-ről, az alábbi pár sor a .htaccess-ben segít kitiltani az illetőt:
Order Allow,Deny Deny from XXX.XXX.XXX.XXX Allow from all
- Cron műveletek tiltása. A wp-config.php file-ban adjuk hozzá ezt a sort:
define('DISABLE_WP_CRON', true);
- Néhány biztonsági plugin telepítése (és természetesen a javaslatok áttekintése és az esetleges hibák javítása):
- Sucuri Security
- Exploit Scanner (sok a false positive risztás, de azért látni lehet az eredményben, hogy ha egy file-ban tényleg gáz van…)
- TAC
- Anti-malware and Brute-Force Security
- Wordfence SecurityAntiVirus vagy All In One WP Security & Firewall
- A gyárni mail() helyett normális SMTP beállítások, saját SMTP loginnal, SSL-lel, authentikációval: WP-Mail-SMTP
- Kommentelés lehetőségének tiltása vagy pedig erős korlátozása. Ez lehet akár captcha vagy más technika bevezetése. Én javaslom Disqus használatát és a beépített kommentelés kikapcsolását.
- Tartsuk naprakészen a WP-t. A frissítések hozzák a javításokat is az esetleges sebezhetőségekre.
- Szedjük ki verziószámot a header-ből.
- Állítsuk be a kétlépcsős authentikációt. Vagy ez cikk több opciót is tárgyal.
- Nevezzük át az admin belépési oldalt valami másra.
- Tiltsuk le az XML RCP pingback-et, amivel megelőzhetünk egy jó nagy DDOS támadást az oldal ellen.
Ezek azok az alap dolgok, amelyek egy WP oldalon mindenképpen kellenek, feltéve, ha nem szeretnénk magunkat elég gyorsan kirugatni a szolgáltató szerveréről egy esetleges 8000-15000 email/nap spamküldés miatt és egy agyonfertőzött oldal miatt.
Ha valaki tud a fentieken kívül még hasznos dolgot a témában, akkor ne tartsa magában! Jöhetnek kommentben az ötletek! Köszi!