Wordpress - hogyan lehet biztonságossá tenni?
A w3techs.com 2022-es adatai szerint a világ összes weboldalának mintegy 43%-át Wordpress működteti, ami nagyából 64%-os piaci részesedést jelent, ha csak a tartalomkezelő rendszerek használatához képest vizsgáljuk az arányokat.
Világos, hogy a Wordpress jelenleg megkerülhetetlen tényezője a webes világnak. Népszerűségéből adódóan azonban - mint minden népszerű szoftver esetében - sokan keresik benne a sebezhetőségeket, jó szándékkal és rosszindulatból egyaránt. Fontos kérdés tehát, hogy mennyire mondható biztonságosnak a Wordpress.
Mitől lesz biztonságos a Wordpress?
A Wordpress javításán, fejlesztésén egy nagyon aktív csapat dolgozik, a Wordpress saját oldalán közölt információk szerint csak a biztonsági csapat közel 50 főt számlál. Az új verziók kiadási ciklusai nagyjából 4 hónaposak, emellett a Wordpress a 3.7-es verzió óta képes a háttérben automatikusan firssítéseket telepíteni. Nagy hangsúlyt fektetnek továbbá a biztonsággal kapcsolatos dokumentációra is: meglehetősen részletes biztonsági tippeket, best practice-eket olvashatunk itt: Hardening Wordpress. Arról, hogy a Wordpress pontosan milyen támadásokkal szemben nyútj védelmet, itt található bővebb információ.
Mit tehetünk azért, hogy még biztonságosabb legyen?
Azonban egy weboldal esetében nem szabad kizárólag az oldal készítéséhez használt technológiát és keretrendszert vizsgálni. Legalább ennyire fontos, hogy a weboldalt milyen környezetben üzemeltetjük, illetve hogy a fejlesztők milyen megoldásokat alkalmaznak az oldal alaprendszere, esetünkben a Wordpress alap funkcionalitásának bővítésére.
Megfelelő szolgáltató
Egyszerűbben fogalmazva: egyrészt fontos, hogy jól válasszunk tárhely szolgáltatót. Egy jól elkésztett weboldalt is megtámadhatnak, ha a szolgáltató tárhelyét sikerül feltörni. Ez egyébként tapasztalataink szerint kimondottan ritkán történik meg, és a piacon jelen lévő szolgáltatók nagy része már nagy hangsúlyt fektet a biztonságra, ezért több szolgáltatót összehasonlítva egy átlagos árfekvésű tárhelynél szinte biztos, hogy nem lesz részünk kellemetlen meglepetésben. Azonban óvakodjunk a gyanúsan olcsó, átlag alatti árazású megoldásoktól.
Tudatos plugin használat
Másfelől szintén fontos, hogy legyünk nagyon válogatósak abban a tekintetben, hogy milyen, és mennyi plugint telepítünk. A sok plugin használata gyorsabb indulást eredményezhet, de nagy mértékben nehezítheti az oldal későbbi karbantartását. Minden egyes plugin új támadási felületet jelent, előfordult például, hogy egy szöveg formázó plugin fájlfeltöltés funkcióján keresztül sikerült kártékony kódot juttatni a szerverre, és megfuttatni azt. Tapasztalataink szerint érdemes a telepített plugin-ek számát a szükséges minimálison tartani. Ha például a webshopunkban a vásárlás véglegesítésekor a vevő adataihoz szeretnénk felvinni egy plusz, "adószám" mezőt, akkor erre a célra ha csak lehet, ne telepítsünk egy külön plugint, ez a feladat néhány sor kód megírásával megoldható.
Rendszeres karbantartás
A fentiek fényében elengedhetetlenül fontos, hogy Wordpress oldalunkat rendszeresen, legalább havi egy alkalommal karbantartásnak vessük alá: töltsük le és telepítsük az elérhető frissítéseket a Wordpress alaprendszeréhez, a plugin-ekhez, és a témákhoz.
Keressen minket, ha a fent említettek közül bármiben segítségre lenne szüksége weboldalához: egyedi Wordpress megoldások, karbantartás, vagy tárhely szolgáltatás.