Az elmúlt időszakban egyre több oldalon és szakértői csoportban is olvastam arról, hogy a WordPress admin felhasználón keresztül tudnak a legkönnyebben bejutni, ha a telepítő cég/személyen nem figyel az alapvető WordPress biztonsági szint megteremtésére.

Mit értek alapvető WordPress biztonsági szint alatt?

Ha létrehozzuk az admin felhasznlót, akkor azt ne “admin”-nak nevezzük el, mert az összes kártékony szoftver ezzel kezdi a támadást. A második gyenge pont a jelszó. Sokan tévhitben élnek és azt hiszik, hogy az ő oldaluk olyan kicsit, hogy ezzel nincs is értelme foglalkozni. DE tévednek, mindig van értelme foglalkozni.

Milyen jelszót válasszuk WordPress admin felhasználónkhoz?

Természetesen ne a top100 legrosszabb listáról válasszunk. Felejtsük el a következőket: 1111, 1234, admin, 12345 … De azt se higgyük el, hogy a speciális karakterek fogják távol tartani a robotokat. A bevihető karakterek száma véges, így tesztelésnél csak ebből korlátozott karakterkészletből építkezhet a kód feltörő alkalmazás.

  • This function executes the random_password filter after generating the password.
  • Normal characters: abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789
  • Special characters: !@#$%^&*()
  • Extra special characters: -_ []{}<>~`+=,.;:/?|'

Az admin jelszavunk nem a speciálistól lesz erős, hanem …

a jelszó hossza befolyásolja a feltörés idejét. Minél kevesebb a karakterszám, annál könnyebb feltörni, mert kevesebb a variációs lehetőség. Ahogy nő a karakterszám úgy tart egyre hosszabb ideig a variációk végigpörgetése, amely exponenciális növekedést mutat.

Mit tehetünk még a WordPress admin felhasználónk védelmében? Top5 tanács

  • Limitáljuk a belépésű próbálkozások számát 5-ben.
  • Használjunk Security plugint
  • Változtassuk az admin jelszavunkat havonta
  • A jelszavunk hossza legyen minimum 8 karakter hosszú
  • Legyen biztonsági mentésünk az adatbázisról és az ftp tartalmáról (ha megelőzni nem is tudjuk, de legyünk felkészülve az újrakezdésre)