Biztonságos-e a WordPress?

Szerző: | jan 14, 2018

A WordPress-es weboldalakkal kapcsolatban az egyik leggyakoribb kérdés, hogy biztonságosak-e. Biztos, hogy hallottál már történeteket feltört weboldalakról, vagy olvastál olyan véleményeket, amelyek szerint a WordPress egy hulladék, nem biztonságos és komoly cég nem használja.

Több bejegyzést fogok szentelni a WordPress biztonság témájának, először azt járom körül, hogy miért célpontok a WordPress-es oldalak, melyek a leggyakoribb támadási módszerek, és válaszolok néhány kérdésre, amelyet szinte biztos, hogy te is feltettél már, ha hackerek áldozata lett a honlapod.

A népszerűség átka

Statisztikák szerint a világ összes weboldalának 28.5%-a WordPress-es, míg a tartalomkezelő rendszerek (CMS) között 60%-os a részesedése. A világ top 100 weboldalának 14,7%-a nyugszik WordPress alapokon.

Ha olyan nagy vállalatok számára, mint a CNN, NBC vagy az NFL, megfelel a WordPress, szerintem, egy hazai kisvállalkozás számára is jó megoldást jelent.

Joggal kérdezheted, miért írom ezeket a statisztikákat? Azért, hogy megértsd, ilyen piaci részesedésnél egyszerűen megéri támadni ezeket az oldalakat, ahogy a Windows-ra is vírusokat írni. Sokan használják, rengeteg embert lehet elérni. A gyakori támadások, nem jelentik azt, hogy maga a rendszer rossz.

A nyílt forráskód előnye és hátránya

A WordPress nyílt forráskódú rendszer, közösség fejleszti, a kódja pedig bárki számára hozzáférhető. Ez részben előny, részben pedig hátrány. Hátrány, mert a hackerek is hozzáférhetnek a forráskódhoz, és ha találnak egy biztonsági rést, akkor tömegesen támadhatják a WordPress-t használó oldalakat. Ugyanakkor előny is, mert a hibákra gyorsan reagál a közösség, és elkészíti a hibajavítást.

Miért törik fel a weboldalakat?

A hackerek motivációja sokféle lehet. Előfordul, hogy pusztán a kihívás kedvéért törnek fel egy weboldalt, szórakozásból. Kézzel foghatóbb célok, az adatok (pl. email címek, jelszavak, bankkártya adatok) megszerzése, spamek küldése, vagy a feltört weboldalon keresztül a szerverhez és más weboldalakhoz való hozzáférés is.

Miért az én honlapomat törték fel?

A támadások során részben a weboldal vagy a szerver sebezhetősége, részben pedig az oldal látogatottsága alapján választanak célpontot hackerek. A nagy látogatottságú oldalak a sok megszerezhető értékes adat miatt lehetnek vonzó célpontok, a kis látogatottságú, nem karbantartott oldalak pedig könnyű célpontot jelentenek, és megnyithatják az utat a szerver és a szerveren lévő többi weboldal felé is.

A WordFence statisztikája szerint percenként 90,978 támadás történik WordPress-es oldalak ellen függetlenül attól, hogy kicsi vagy nagy látogatottságú weboldalról van szó.

Gyakran a támadások teljesen automatizáltan történnek, tehát nem arról van szó, hogy a rosszakaród megkért valakit, hogy törje fel a weboldalad.

Melyek a leggyakoribb támadási módszerek?

Az egyik leggyakoribb módszer a terheléses támadás (Brute Force Attack). A támadás során „automatizálva” próbálnak bejutni a WordPress admin felületére. A tömeges belépési próbálkozások lelassítják a weboldalt, és túlterhelés esetén, a szolgáltató le is kapcsolhatja az oldalt.

Szintén gyakori támadási mód a fájl beszúrás, ilyenkor kártékony kódot tartalmazó .js vagy .php fájlt töltenek fel a tárhelyre, amely lefuttatva hozzáférést biztosít a honlap tartalmához.

A támadók kedvelt célpontja az adatbázis is. Az SQL Injection egy olyan támadási módszer, mely során idegen SQL parancsot futtatnak, és ezáltal, törölnek, vagy hozzáadnak egy lekérést, vagy felhasználót az adatbázishoz. A hozzáadott felhasználó segítségével, szabadon garázdálkodhatnak az oldaladon.

A rosszul megírt, sebezhető bővítmények a kártékony kódok futtatására kínálnak remek lehetőséget (Cross-Site Scripting XSS), ezért fontos, hogy csak megbízható, rendszeresen frissített bővítményeket használj.

A malware (jelszó lopó) támadás szintén gyakori, olyannyira, hogy a Google hetente 20.000 weboldalt tesz fekete listára malware, és 50.000 oldalt adathalászat miatt. A malware támadás során, a megszerzett jelszavak birtokában, ártalmas kódokat helyeznek el a weboldal kódjában.

Milyen károkat okoz a honlap feltörése?

Veszíthet a weboldal a látogatottságából, ami bevételszerző tevékenység esetén a bevétel csökkenését eredményezheti.

Amíg az oldalt nem állítod helyre, és nem vizsgálja felül a Google, addig a honlapodra látogatókat, nem biztonságos weboldal figyelmeztető szöveg fogadja majd. Ez rossz benyomást kelt, ahogy a hackerek által tartalmilag módosított honlap is.

Az ellopott bizalmas adatok visszaélésekre adnak lehetőséget, és az adatokat kezelő weboldal tulajdonosba vetett bizalmat is megingatja egy ilyen ügy.

Ha spammelésre használják a feltört honlapot, egyrészt sok embernek okoznak kellemetlenséget a kéretlen levelek, másrészt, akár tiltólistára is kerülhet az e-maileket küldő szerver.

A honlapod biztonsága nemcsak a te érdeked!

Korábban már említettem, hogy a feltört oldal, utat nyit a szerverhez és más weboldalakhoz is, lényegében ugródeszkaként szolgál. Azt gondolom nem nehéz belátni, hogy a honlapod biztonsága nem csak a saját érdeked, hanem közös érdek is.

Ráadásul, ha a te weboldalad segíti hozzá a hackereket egy komolyabb támadáshoz, akár a hatósági ügy is lehet belőle.

Ha az előbb felsoroltakat végiggondolod, azt hiszem nem kell tovább nyomatékosítanom, mennyire fontos foglalkozni a WordPress biztonsággal, és megtenni mindent, a feltörés megelőzéséhez.

Konklúzió

A bejegyzésnek a „Biztonságos-e a WordPress?” címet adtam, így mindenképpen állást kell foglalnom a kérdésben. Igyekeztem elmagyarázni miért kedvelt célpontok a WordPress-es oldalak, és összefoglaltam mi a támadások mögötti motiváció, hogyan és milyen károkat képes okozni a weboldalad feltörése. Nem akartam szépíteni a helyzetet.

Ezt a bejegyzést végigolvasva nem lepne meg, ha az a kép alakult volna ki benned, hogy a WordPress nem biztonságos rendszer. A WordPress biztonságos, de ezért tenni kell.

A WordPress-es weboldal egyszer elkészítve, majd évekig magára hagyva, rendszeres frissítések nélkül tökéletes célpont a hackerek számára. 100%-os biztonság nincs, azonban a biztonsági szempontokat szem előtt tartva elkészített, és rendszeresen karbantartott oldal, nehezen feltörhető.

A következő bejegyzésben részletesen leírom, mit tehetsz azért, hogy minimálisra csökkentsd a weboldalad feltörésének esélyét.

Felhasznált források:

99 Incredible WordPress Stats and Facts

Egyre több a támadás a WordPress ellen – mit tehetünk?

A legkisebb weboldal is lehet célpont

WordPress oldal és a biztonság fokozása

5 leggyakoribb támadási módszer WordPress oldalak ellen

Linképítés: Így válassz linképítési szolgáltatást!

Linképítés: Így válassz linképítési szolgáltatást!

A linképítés egy olyan területe a keresőoptimalizálásnak, amit itthon kevesen végeznek igazán magas színvonalon, azonban töménytelen mennyiségű ajánlatot találsz a Google-ben kutatva. Ebből a kínálatból, nem könnyű kiszűrni az igazán eredményes és biztonságos...

Látogatószerzés: Így szerezz látogatókat az új weboldaladra!

Látogatószerzés: Így szerezz látogatókat az új weboldaladra!

Biztos vagyok benne, hogy rengetegszer hallottad és olvastad, hogy ma már egy vállalkozás, nem lehet sikeres és nyereséges weboldal nélkül. Önmagában azonban egy weboldal nem sokat ér. Ahhoz, hogy az elkészített honlapod pénzt termeljen a vállalkozásod számára,...

Keresőbarát honlapkészítés – Mit jelent pontosan?

Keresőbarát honlapkészítés – Mit jelent pontosan?

Az interneten böngészve számos olyan ajánlattal találkozhatsz, mely keresőoptimalizált honlapkészítést, keresőbarát weboldal készítést ígér számodra. Ha megnézed a weboldal készítés csomag ajánlataimat láthatod, hogy én is nagy hangsúlyt fektetek rá, hogy az általam...

Copy link