Tudásbázis

A legtöbb tartalomkezelő (pl. WordPress, Joomla, Drupal stb) számtalan kényelmi funkciót biztosít a használójának, gyorssá és viszonylag egyszerűvé teszi a weblap létrehozását és kezelését. Ugyanakkor érdemes a karbantartására is időt szánni, hogy a nagy gonddal felépített weblapokat megóvja az illetéktelen személyektől és a kártékony tevékenységektől.

Tartalomkezelő rendszer használata esetén az alábbiak okozhatnak hibát, kompromittálódást:

• nem naprakész CMS-rendszer
• nem naprakész aktívan használt sablon
• nem naprakész aktívan használt kiegészítők
• nem használt, inaktív, feleslegesen a CMS adminban mégis elérhető sablonok és kiegészítők
• hibás backdoorral rendelkező kiegészítők és sablonok
• védelemmel nem (megfelelően) bővített .htaccess
• gyenge jelszó és admin felhasználó páros
• nem rendszeresen frissített slider, képkezelő, szövegszerkesztő és/vagy feltöltő, továbbá levélküldő kiegészítő vagy script
• hibás, nem karbantartott adatbázis
• nem hivatalos forrásból beszerzett kiegészítők (sablon, kiegészítő, script, módosítás, stb)
• kevéssé pontozott, nem használt, népszerűtlen, ismeretlen sablonok, kiegészítők

Következőket javasolt tenni a nagyobb biztonság érdekében:

Egyszerűbb megoldások - a kis lépések is sokat számítanak!

1. A CMS rendszer mindig legyen napra kész, friss verziójú
2. Ne módosítsa a rendszer alapfájljait
3. A bővítmények, kiegészítők mindig legyenek naprakészek, friss verziójúak
4. Inaktív vagy felesleges bővítmények, kiegészítők, kinézetek (sémák, template-ek) kerüljenek kitörlésre
5. A használt kinézetek (séma, template) mindig legyenek naprakészek, friss verziójúak
6. A kinézetek (séma, template), bővítmények, kiegészítők és scriptek minden esetben csak hivatalos, megbízható forrásból legyenek lementve és kerüljenek használatra
7. Megfelelő, CMS-rendszereket is támogató hosting-szolgáltató kiválasztása (Nálunk CXS rendszer vigyázza a fájlokat, sérülékenység esetén karanténba helyezi őket; A hibás belépések esetén az IP-ket blokkoljuk)
8. Lehetőleg a legfrissebb PHP verzió legyen használatban a weboldalhoz
9. Az "admin" felhasználó lehetőség szerint ne "admin" névvel létezzen, kerüljön az módosításra, átírásra
10. Mindig megfelelő erősségű jelszavak legyenek használatban
11. Ne legyen a kiválasztott jelszó többször is megadva máshol, legyen az egyedi, bonyolult (tartalma: kisbetű, nagybetű, szám, speciális karakter)
12. A jelszó ne kerüljön egyszerű szöveges tartalomként tárolásra (ne forogjon titkosítatlan emailben, ne legyen elmentve txt-be vagy docx-be, stb)
13. Csak megbízható hálózatban tartózkodva kerüljön frissítésre rendszerünk, freewifi zone-ok esetén tartózkodjunk a frissítésekről
14. Helyi vírusirtó fusson számítógépünkön, laptopunkon (akár okos eszközeinken) is, ezzel védve fájljainkat a kompromittálódástól, esetleges offline szerkesztés esetén
15. Regisztráljon a Google Search Console rendszerébe, így egyből értesülhet ha probléma lép fel az oldalával, sok esetben ajánlásokat is kaphat a felületen (továbbá a javítást is itt kell jelezni, gyorsítani az oldal indexelésének újraküldésével).
16. CMS-rendszerekhez ajánlott Security plugint telepíteni, a megfelelő konfigurálást a dokumentáció szerint elvégezni, elvégeztetni
17. Készítsen Ön is rendszeresen biztonsági mentéseket, készüljön fel az esetleges visszaállításra (rendszerünk JetbackupManager kiegészítőjével pár klikkeléssel visszaállíthatja backupját, készíthet egyedi időpontokban újakat, Alkalmazás telepítő rendszerünk is képes a weboldalak backupolására a beállított időközönként)

Összetettebb megoldások a haladóbb felhasználók részére:

1. Belépés-számlálás. CMS-rendszerek esetén különböző DDoS-támadáshoz hasonló sérülékenységek kezelésére használjon belépés-számlálót (WordPress-Limit Login Attempts; Joomla-Failed Login Attempts/Brute ForceStop; Drupal-"Flood" tábla használata adatbázisban)
2. Kétfaktoros beléptetés. Ennek segítségével egy fix, és egy időkorláttal lejáró jelszó/autentikáció segítségével férhet hozzá a belépési felülethez.
3. Fájlok és könyvtárak jogosultságának ellenőrzése. A 0777-es jogosultság súlyosan kritikus!
4. Alapértelmezett tábla-előtag (prefix) értékét módosítsuk az adatbázisban, először erre keresnek a hackerek.
5. Egyes CMS-ek engedélyeznek "Secret Authentication Key" megadását (pl a WordPress a wp-config.php fájlban). Ha van rá lehetőség, állítsuk be ezeket!
6. Felmérés után a php-futtatás esetleges letiltása a .htaccess fájlban (egyes oldalak és funkciók crash-elhetnek, erőszakos megoldás de nagyon sikeres).
7. Több oldal esetén különböző adatbázisok használata javasolt, így például az SQL inject kiterjedése blokkolható, nehezebben fertőzheti meg egymást két weboldal.
8. Vizsgálja felül az adatbázis-felhasználók jogosultságait. Előfordulhat hogy a SELECT, INSERT, UPDATE, DELETE mellett nincs is másra szükség. Kompromittálódott felhasználó esetén ezzel is csökkenthetjük a károkozás mértékét.
9. Fájl-szerkesztés lehetőségének deaktiválása CMS-rendszerek esetén, kész weboldalnál nagyon hasznos opció.
10. Tiltsa le a konfigurációs és readme fájlok olvashatóságát.
11. WordPress CMS esetén az XMLRPC fájl deaktiválása, átnevezése, törlése ajánlott, hacsak nincs használatban (rengeteg támadás jön ezen fájlon keresztül)
12. Az error_log -olás futásán túl kikapcsolható a hibák kiíródása (cPanel login/Select PHP Version/Switch to PHP Options/display_errors érték legyen Off), ezzel védhetjük hiba esetén oldalunkat a további támadásoktól.
13. Szükség esetén, nagy látogatottság mellett használhatunk Tűzfalat is, mely telepíthető kiegészítő, bővítmény a CMS-rendszerekhez.
14. CDN-szolgáltatók által kínált Tűzfal is használható, ha CDN van használatban weblapunkon.
15. Logolás, Biztonsági logolás engedélyezése weboldalunk számára. cPanel esetén elérhetőek az általános logolások a cPanel login/Mutató/Nyers elérés menüpontban. CMS-rendszerek esetén bővítmények, kiegészítők is telepíthetőek.
16. A .htaccess fájl kibővítésével kizárhatjuk a fájlok listázását (ez a tárhelyen a Speciális/Indexek menüpontban is kikapcsolható), tilthatjuk a tőlünk való linkelést, a rosszindulatú botok látogatását és sok egyéb hasznos dolgot is.
17. Vírusírtó futtatható a tárhelyen is a cPanelben belépve a Speciális/Víruskereső menüpontban.