Kulcsszó - cms

Az alábbi cikk a Tárhely.EU blogjára írt cikkem átvett közlése.


Hogyan tehetjük biztonságosabbá honlapunkat, Wordpress és Joomla rendszerünket?

Egy 2016-ban készült statisztika szerint a világon körülbelül 37 ezer weboldalt fertőznek meg valamilyen káros kóddal naponta. Joggal merülhet fel a kérdés, mit lehet tenni, hogy minimalizáljuk az esélyt arra, hogy egyike legyünk az évente megfertőzött sokszázezer weboldal tulajdonosi társaságának. Az alábbiakban összegyűjtöttünk pár hasznos tippet, ami mögött sokéves üzemeltetői és fejlesztői tapasztalat áll.

Általános tanácsok

Jelszókezelés - Kiemelten fontos, hogy a tárhellyel létesített kapcsolatokhoz (pl. cPanel, FTP) erős jelszavakat használjunk. Amennyiben FTP kliensében elmenti a csatlakozási adatokat, úgy érdemes mesterjelszót beállítani a programban. Amennyiben levelet kapunk, melyben belépési adataink közül valamelyik megadására kérnek minket, járjunk el körültekintően, ignoráljuk a gyanús leveleket.
Csatlakozásra használt kliensek karbantartása - Érdemes rendszeresen vírusirtást végeznünk azokon az eszközökön, ahonnan menedzseljük tárhelyünket, valamint használjunk megfelelően beállított tűzfalat és kémprogramkeresőt számítógépünkön, telefonunkon, tabletünkön. Ezen lépések megtételével minimalizálhatjuk annak veszélyét, hogy jelszavaink kiszivárogjanak.

Keretrendszerek, tartalomkezelők

Becslések szerint a világon fellelhető weboldalak 50-70%-át valamilyen tartalomkezelő rendszer (CMS - Content Management System), például WordPress, Joomla vagy Drupal szolgálja ki. Ezen rendszerek előnye, hogy ingyenes, nyílt forráskódú, könnyen testreszabható, beüzemelését akár laikusok is el tudják végezni. Sajnos azonban ezen tulajdonságok miatt a CMS-ek által kiszolgált weboldalak a világhálón fellelhető rosszindulatú személyek egyik kedvenc támadható felülete lett.
  1. Keretrendszert csak megbízható forrásból

    Ahogy egy házat jó alapra épít a beruházó, úgy egy weboldal alapjának is stabilnak, megbízhatónak kell lennie. Éppen ezért fontos, hogy weboldalkészítésnél kizárólag az adott tartalomkezelő hivatalos oldaláról szerezzük be annak forráskódját.
    Ezek a következőek:
    WordPress: https://wordpress.com/
    Joomla: https://www.joomla.com/
    Drupal: https://www.drupal.org/
  2. Válasszuk meg a kiegészítőket, bővítményeket, témákat

    Ha ellenőriztük virtuális házunk alapját, arra is figyelmet fordítunk, milyen anyagokból épül az meg. Az előző pontban említett tanácsot érdemes megfogadni a bővítmények, modulok, témák feltelepítése előtt is - érdemes a hivatalos oldalakról beszerezni azokat. Ezenkívül egy bővítmény kiválasztása és telepítése előtt megvizsgálhatjuk az alábbi kérdéseket:
    • Mióta található meg a bővítmény a piacon? - Egy nagy múltra visszatekintő kiegészítőben jobban megbízhatunk.
    • Mennyien használják az adott bővítményt? - Jó mérőszám lehet, ha sokan megbíznak egy kiegészítőben.
    • Mikor frissült legutoljára az adott modul? - A rendszeres frissítés hiánya nem ad bizakodásra okot.

    Sok bővítmény, kiegészítő, vagy téma nem elérhető a CMS-ek hivatalos oldalán. Ilyen esetekben érdemes a következőket is számításba venni:
    • Jó benyomást kelt a bővítmény hivatalos weboldala?
    • Nyújtanak esetleg díjmentes, vagy fizetős támogatást, van lehetőség fórumok használatára az oldalukon?
    • Fel vannak tüntetve a készítők, meg van adva azok elérhetősége?
    • Mit mondanak mások?
  3. Biztonsági intézkedések

    Ha már elkezdtük megépíteni a virtuális házunkat, szeretnénk megvédeni a betolakodóktól, és a lehető leghosszabb ideig kívánjuk használni azt. Íme, néhány gyakorlati tanács!
    1. Védjük meg az adminisztrációs felületet az alábbiak szerint:
      • Erős jelszavak használata
        Ahogy egy új házon jó zárbetéteket használnánk, a jelszavaink is legyenek erősek - tartalmazzanak kis- és nagybetűt, számot, speciális karaktert, és lehetőleg ne alapuljanak szótári szavakon.
      • Rejtsük el a bejelentkezési felületet
        A legtöbb keretrendszer adminisztrációs felületének elérési útvonala állandó. Szerencsére a nyílt forrású keretrendszerek mögött dolgozó közösség gondolt erre a problémára, és különböző plugin-ekkel ma már lehetőség van módosítani a bejelentkezési felületek elérési útvonalát. Használatuk esetén a jelszókipörgető robotok egyszerűen nem fogják megtalálni az adminisztrációs felületet, és így a behatolási pontot sem. Az alábbi linkeken rákerestünk ilyen kiegészítőkre:
        Wordpress admin URL módosító modulhoz kattintson ide
        Joomla amdin URL módosító modulhoz pedig klikkeljen ide.
      • Tegyük még erősebbé a bejelentkezési felületet
        A felsoroltakon kívül más módokon is erősíthetjük a bejelentkezési felületet. A legtöbb CMS-hez elérhetőek olyan ingyenes plugin-ek, amik segítségével beállíthatunk kétfaktoros azonosítást (pl. Google Authenticator), vagy robotok ellen védő feladvány, captcha kitöltéséhez köthetjük a bejelentkezést (pl. Google reCAPTCHA).
    2. Távolítsuk el a felesleges kiegészítőket
      Az elmúlt időszakban azt tapasztaltuk, hogy néhány keretrendszer már telepítéskor több extra bővítményt feltesz. Amennyiben ezekre nincs szükség, érdemes eltávolítani azokat. Ezenkívül a nem használt témákat, bővítményeket is ajánlott törölni.
    3. Használjunk tűzfalat
      A tartalomkezelők elleni támadások igen szerteágazóak lehetnek - megpróbálhatják például kihasználni az esetleges szerverkonfigurációs hibákat, biztonsági réseket kereshetnek PHP és JavaScript fájlokban különböző manipulált kérések küldésével, visszaélhetnek rosszul beállított fájljogosultságokkal, a nyitott űrlapok segítségével igyekezhetnek kárt tenni a weboldalhoz tartozó adatbázisban és fájlokban. Ilyen és ehhez hasonló támadások kivédésére ajánlott valamilyen tűzfal modult feltelepíteni:
      Wordpress tűzfalakhoz kattintson ide
      Joomla tűzfalakhoz pedig klikkeljen ide
      A legtöbb modern tűzfalbővítmény automatikusan kitiltja a gyanús látogatókat, követi az adott weboldal fájlváltozásait és különböző internetes adatbázisok segítségével ellenőrzi azt, hogy virtuális házunk fertőzött-e.
    4. A látogatók által elérhető űrlapok számának csökkentése, védelme
      Az előző pontban már említésre került a nyitott űrlapok problémája. Mik lehetnek ezek? Nyitott fórum, hozzászólási vagy regisztrációs lehetőség, kapcsolatfelvételi űrlap. Tapasztalataink szerint sok problémát tudnak okozni az ilyen űrlapok. Robotok megtalálhatják ezeket, és megfelelő védelem hiányában hamis regisztrációk, fórumbejegyzések millióit tudják létrehozni, illetve nagyon sokszor spamelésre is használják azokat. Érdemes a nem szükséges űrlapokat eltávolítani, a megmaradtakat pedig extra védelemmel ellátni - például bejelentkezéshez, vagy captcha kitöltéséhez köthetjük azok használatát.
    5. Tartsuk naprakészen weboldalunkat
      A bevezetőben említett ingyenesség és nyílt forráskód miatt a rosszindulatú személyek könnyen és gyorsan feltérképezhetik egy-egy keretrendszer, modul, bővítmény, vagy téma gyenge pontját és azokat támadva számos oldalt megfertőzhetnek. A biztonsági hibákat éppen ezért rendszeresen javítják a felsorolt kódokban - a korrigálásnak azonban csak akkor látjuk hasznát, ha nem feledkezünk el a frissítésekről. A legtöbb keretrendszerhez lehetőségünk van telepíteni olyan bővítményt, mely automatikusan frissíti weboldalunkat, vagy emlékeztetőt küld nekünk emailben arról, hogy teendőnk van ezzel kapcsolatban.
  4. Készítsünk biztonsági mentést

    Előfordul, hogy minden tőlünk telhetőt megtettünk, mégis megfertőzik a weboldalunkat. Ilyen esetben a legbiztosabb az, ha biztonsági mentésből helyreállítjuk azt egy korábbi verzióra. Az alábbi linkeken olyan bővítményekre kerestünk rá, amik segítségével biztonsági mentéseket lehet készíteni egy-egy oldalról:
    Wordpress backup modulhoz kattintson ide
    Joomla backup modulhoz pedig klikkeljen az alábbi linkre