WordPress kisokos

Jótanácsok

  • Ha nem kell egy plugin, töröld le! Nem elég csak kikapcsolni.
  • Ha nem kell egy téma, töröld le!
  • Frissíts rendszeresen, akár naponta! (nem vicc) És ez igaz…
    • …a wordpress motorra
    • …a wordpress témákra
    • …a fordításokra
    • …a pluginekre tehát MINDENRE
  • Használj valamilyen MFA (Multi Factor Authentication) plugint és authentikátor eszközt telefont vagy yubikey-t Vedd meg https://mind-info.hu/ (ugye, Atom? :-)!
  • Ha egy plugin vagy téma átva lesz (kiveszik a wordpress-ből és már nem telepíthető illetve ha még ott van de már nem frissítik) akkor haladéktalanul cseréld le! Ez nagyon fontos! Sajnos a nem frissülő dolgok miatt könnyen betörnek.
  • Ne legyen admin nevű user, sőt érdemes direkt nem kitalálható nevű usereket használni, pl. “peter” helyett “p3t3r”. Ha már van admin nevű user, akkor nevezd át.
  • Ha nem kell, akkor tiltsd le a felhasználói regisztrációt és tegyél fel plugint, ami a regisztációt adminisztrátori jóváhagyáshoz köti.
  • Minden új wordpress telepítés utána wp-config.php-ben az összes salt-ot cseréld ki. Saltot itt ( https://api.wordpress.org/secret-key/1.1/salt/) lehet gyártani és így néz ki (viszont az összes PHP session emiatt megszakad és mindenkinek újra be kell lépni):

Erősen javasolt bővítmények

Change Username

Ha már van admin, akkor ezzel a pluginnel át tudod nevezni. Sajnos az admin nem törölhető, de a nevét ez a plugin meg tudja változtatni.

Disable comments

A legtöbb támadás commentben jön. Tiltsd le az összes kommentet, API-n is! Ha lehet, akkor sehol ne legyen kommentelés!!

WP Login Lockdown

Ha valaki többször elrontja a jelszavát, ez a plugin letiltja néhány percre (érdemes emelni rajta!) A 2FA-ban érdemes a CAPTCHA-t bekapcsolni. Sajnos csak az egyszerű matematikai műveletek, ami elérhető ingyen, de az sem rossz.

Wordfence

Érdemes a Login Lockdown helyett, de akár mellette a Wordfence-t telepíteni, van belőle ingyenes, de regisztrálni kell egy license kulcsért. A Wordfence szerintem sokkal fontosabb, mint a login lockdown és sokkal többet tud. Szerintem érdemes bekapcsolni a rendszeres scannelést illetve a Wordfence Firewall. Továbbá a következőket:

  • Két-faktoros authentikáció (2FA) minden felhasználóra.
  • IP-k blokkolása.
  • Ha egy felhasználó olyan felhasználó névvel jön, ami nincs a rendszerben, akkor azt az IP címet azonnal blokkoljuk.
  • Az upload könyvtárban ne lehessen PHP-t futtatni.
  • Rendszeres scannelés, amiről levelet küld.
  • Ha a scannelés talál valamit, akkor azt azonnal javítani kell! Szerencsére van napi mentés és 2 hétre visszamenőleg bármit vissza tudok állítani. Sőt régebbre is, csak nem minden napot. Csak szólj!
  • A wordfence szól, ha egy téma vagy plugin sérülékeny vagy elárvult ilyenkor azonnal cseréld le!

New User Approve

Ez kikapcsolja azt, hogy adminisztrátori jóváhagyás nélkül lehessen felhasználót regisztrálni. Eleve ha nem kell, akkor a beállításoknál legyen tiltva a regisztáció:

Easy-WP-SMTP

Hogy tudjon a wordpress levelet küldeni. Ehhez alapból jár a no-reply@sajatdomain user:

Easy HTTPS (SSL) Redirection

Mert van HTTPS alapból! 😀