Biztonságos WordPress weboldal készítése – Lépésről lépésre útmutató

A WordPress a világ legnépszerűbb tartalomkezelő rendszere, a weboldalak mintegy 43%-ának alapjául szolgál ezért fontosnak találtam összerakni ezt a WordPress útmutatót a biztonságos weboldal elkészítéséhez. Népszerűsége miatt azonban kedvelt célpontja a hackereknek is, naponta 12-14 millió internetezőt figyelmeztet a Google arra, hogy az általuk felkeresett weboldal esetleg rosszindulatú programot tartalmaz. Emellett naponta több mint 10 000 weboldalt tiltólistára kerül malware vagy adathalász tevékenység miatt. Egy sikeres támadás komoly károkat okozhat egy induló vállalkozásnak: bizalmas adatokat lophatnak el, kárt tehetnek a hírnévben és akár zsarolóvírusokkal tehetik elérhetetlenné az oldalt, váltságdíjat követelve a helyreállításért. Éppen ezért kulcsfontosságú, hogy már az új WordPress oldal indításakor gondoskodjunk a biztonságról. Az alábbiakban egy lépésről lépésre útmutatót olvashatsz arról, hogyan építhetsz biztonságos WordPress weboldalt – közérthetően, mégis szakmailag megalapozott tanácsokkal.

1. Erős jelszavak és kétlépcsős hitelesítés (2FA)

A belépési adatok védelme az első védelmi vonal a weboldaladnál. A WordPress feltörések jelentős része ellopott vagy gyenge jelszavak kihasználásával történik, ezért erős, egyedi jelszavakat kell használni minden fiókhoz (adminisztrátor, adatbázis, tárhely stb.). Egy erős jelszó legalább 12 karakter hosszú, és tartalmaz kis- és nagybetűket, számokat, valamint szimbólumokat. Ha nehezen jegyzed meg ezeket, használj jelszókezelő programot, így nem kell fejben tartanod a komplex jelszavakat.

A kétlépcsős hitelesítés (2FA) további biztonsági réteget ad a bejelentkezéshez. Ennek lényege, hogy a szokásos jelszó megadása után egy második azonosítási lépésre is szükség van, például egy egyszer használatos kódra, amit a telefonodon generál egy alkalmazás. Ezt a technológiát olyan nagy szolgáltatók is használják, mint a Google vagy a Facebook, és egy bővítmény segítségével WordPress alatt is könnyedén bekapcsolhatod.

Egy WordPress bővítmény (WP 2FA) beállításai kétlépcsős hitelesítéshez: a plugin egy QR-kódot generál, amit pl. a Google Authenticator mobilappal tudunk beolvasni.

Hogyan állítsd be a 2FA-t? Először telepíts egy kétfaktoros hitelesítést biztosító bővítményt (például a WP 2FA vagy a Wordfence biztonsági bővítményét, ami tartalmazza a 2FA funkciót is). A telepítés után a bővítmény varázslója végigvezet a beállításokon. Jellemzően kapsz egy QR-kódot, amit egy hitelesítő alkalmazással (pl. Google Authenticator, Authy, Microsoft Authenticator stb.) be kell olvasnod a telefonodon. Ezután a rendszer társítja a készülékedet a fiókhoz. Belépéskor innentől a jelszó megadása után a rendszer kérni fogja a telefonodon generált egyszeri kódot is, és csak ennek helyes megadása után enged be. Ezzel gyakorlatilag kizárhatod, hogy pusztán a jelszavad megszerzésével bejusson egy illetéktelen, hiszen a második faktor (a telefonod) nélkülözhetetlen a belépéshez.

2. HTTPS aktiválása (SSL tanúsítvány)

A HTTPS protokoll (SSL/TLS tanúsítvánnyal kiegészítve) gondoskodik arról, hogy a böngésző és a szerver között továbbított adatok titkosítva legyenek. Ez megakadályozza, hogy illetéktelenek “lehallgassák” a forgalmat – például ha valaki nyilvános wifin keresztül látogatja az oldalad, a titkosítás nélkül a beírt jelszavakat vagy űrlapadatokat könnyen elfoghatnák. A HTTPS használatakor a webcím http:// helyett **https://**-sel kezdődik, és a böngésző címsorában egy lakat ikon jelzi a biztonságos kapcsolatot.

Hogyan aktiváljuk? Ma már szerencsére ingyen is hozzájuthatunk SSL tanúsítványhoz. A Let’s Encrypt nevű nyílt tanúsítványkiadó projektnek köszönhetően a legtöbb tárhelyszolgáltató kínál díjmentes SSL-t, érdemes ellenőrizni a tárhely adminfelületén, aktiválható-e egy kattintással a Let’s Encrypt SSL. Ha nincs ilyen opció, vásárolhatunk kereskedelmi tanúsítványt is, de egy induló weboldalnak az ingyenes is megfelelő, mivel ugyanúgy biztosítja a titkosítást.

Miután a tanúsítványt telepítettük a szerverre, állítsuk át a WordPress URL-jeit https-re. Ezt WordPress-ben a Beállítások > Általános menüben a “WordPress cím (URL)” és “Honlap cím (URL)” mezőknél tehetjük meg, vagy használhatunk egy egyszerű bővítményt, például a Really Simple SSL-t, ami automatikusan elvégzi a szükséges átirányításokat és beállításokat. A tanúsítvány telepítése után teszteljük a weboldalt: ha mindent jól csináltunk, a böngészőben a lakat ikon megjelenik a címsorban, jelezve, hogy az oldal biztonságos kapcsolaton keresztül érhető el. (Figyelem: ha a lakat nem jelenik meg, mixed content probléma lehet, ilyenkor valamelyik betöltött erőforrás http-n keresztül érkezik. Ezt a Really Simple SSL segít orvosolni azáltal, hogy minden linket https-re cserél, ahol szükséges.)

3. Megbízható bővítmények és sablonok kiválasztása

A WordPress ereje a bővítményekben és sablonokban (theme-ekben) rejlik, de ezek a kiterjesztések komoly biztonsági kockázatot is jelenthetnek, ha nem megfelelő forrásból származnak vagy nincsenek karbantartva. Néhány alapelv a biztonságos választáshoz:

• Csak hivatalos forrásból telepíts bővítményeket és témákat: Lehetőleg a WordPress hivatalos tárházából (WordPress.org) szerezd be ezeket, vagy ismert fejlesztők honlapjáról. Az itt található bővítmények átmennek egy alapvető ellenőrzésen, és a felhasználói értékelések is segítenek a megbízhatóság megítélésében.
• Ellenőrizd a értékeléseket, frissítési gyakoriságot: Nézd meg, hány aktív telepítése van a bővítménynek, milyenek az értékelései, és mikor frissítették utoljára. Ha egy plugin évek óta nem kapott frissítést, vagy sokan jeleznek vele biztonsági problémát, inkább keress alternatívát.
• Kerüld a “nullázott” (warez) témákat és plugineket: Ezek olyan fizetős sablonok vagy bővítmények illegális, feltört verziói, amelyeket az interneten ingyen kínálnak. Soha ne telepíts ilyet! Gyakran tartalmaznak rejtett malware-t vagy hátsó kaput a hackerek számára. Megtörténhet, hogy elsőre pénzt spórolsz velük, de később sokkal nagyobb költség lesz a fertőzés eltávolítása és az oldal helyreállítása. Ráadásul az ilyen szoftverek használata jogilag is aggályos, és a fejlesztőket is megkárosítod vele.
• Távolítsd el az inaktív bővítményeket és témákat: Ami nincs használatban, azt érdemes törölni. Az elavult, de telepítve maradt pluginek és témák is támadási felületet jelenthetnek. Ha később szükség lesz rájuk, bármikor újra telepíthetők, de addig se foglaljanak helyet és ne jelentsenek kockázatot.

Tipp: A sablonok esetén is figyeljünk a forrásra. Rengeteg ingyenes és biztonságos theme elérhető. Ha egy fizetős sablont szeretnénk olcsóbban, keressünk akciókat vagy licenckedvezményeket, de ne a warez oldalakat böngésszük. Egy rosszindulatú kód a témában az egész site-ot kompromittálhatja.

Ha a weboldaladhoz megbízható, rendszeresen frissített keresel, érdemes megnézned a HelloPack megoldásait.
A HelloPack bővítmények kifejezetten WordPressre optimalizáltak, biztonságos kódolási elveket követnek, és a fejlesztők gyorsan reagálnak a támogatási kérésekre. Akár webáruházat üzemeltetsz, akár egy szolgáltatói honlapot, itt találsz olyan eszközöket, amelyek egyszerre növelik az oldal funkcionalitását és megőrzik a biztonságát.

4. Alapértelmezett felhasználónevek lecserélése

Sokan nem tulajdonítanak nagy jelentőséget a felhasználónév kérdésének, pedig az admin felhasználónév biztonsági szempontból kritikus. A korábbi időkben a WordPress alapértelmezett adminisztrátori felhasználóneve egyszerűen „admin” volt. A támadók ezt tudták, így a belépési adatok felét már ki is találták, és “csak” a jelszót kellett hozzá kitalálniuk egy brute force (jelszó-találgató) támadással. Ma már a WordPress telepítéskor egyedi felhasználónevet kér, de előfordulhat, hogy egyes automatikus telepítők (pl. a szolgáltatód “1-click install” szkriptje) mégis adminra állítják. Ha ilyet tapasztalsz, mindenképp változtasd meg!

Mivel a WordPress nem engedi felhasználónév közvetlen átírását, ezt a következőképpen teheted meg legegyszerűbben:

1. Lépj be a meglévő admin fiókkal, és hozz létre egy új felhasználót a Felhasználók menüben, Adminisztrátor jogosultsággal. Adj neki egy egyedi felhasználónevet (lehetőleg ne utaljon a cégnevedre egy az egyben, inkább egyedi kombináció vagy admin helyett a saját neved, beceneved).
2. Jelentkezz ki, majd lépj be az új admin felhasználóval.
3. Menj vissza a Felhasználók listára, és töröld a régi admin felhasználót. A törlésnél a rendszer megkérdezi, mi legyen a régi felhasználó által közzétett tartalmakkal, válaszd ki az új felhasználót a hozzárendeléshez, így semmilyen bejegyzésed nem vész el.
4. Mentsd a változtatást. Ezzel az admin felhasználónév többé nem létezik az oldalon, így a támadók hiába próbálkoznak ezzel a névvel.

Egyedi felhasználónevek használatával és erős jelszóval kombinálva jelentősen csökkented a brute force támadások esélyét. (Megjegyzés: ha valamiért nem akarod törölni a régi fiókot, használhatsz bővítményt is a nevének módosítására, pl. a Username Changer plugin – de az új fiók létrehozása és a régi törlése biztonságosabb módszernek számít)

5. WordPress és bővítmény-frissítések automatizálása

A weboldal szoftvereinek naprakészen tartása az egyik legegyszerűbb, mégis legfontosabb biztonsági lépés. A WordPress fejlesztői folyamatosan javítják a hibákat és biztonsági réseket, a kisebb “minor” frissítéseket a rendszer alapból telepíti magától, a nagyobb “major” verzióváltásokat viszont manuálisan kell elindítanunk a Vezérlőpulton. Ugyanígy a telepített bővítmények és sablonok készítői is rendszeresen adnak ki frissítéseket. Egy elavult plugin nem csak hibákat okozhat az új WP verzióval, de sebezhető is lehet, a hackerek célzottan keresik az olyan weboldalakat, ahol ismert sérülékenységű (de nem frissített) bővítmény fut.

Kapcsold be az automatikus frissítéseket: 2020 óta a WordPress lehetővé teszi, hogy a bővítményeknél és sablonoknál bekapcsold az automatikus frissítést. Ezt a Bővítmények menüben az egyes bővítmények mellett, illetve a Megjelenés > Sablonok alatt teheted meg (a “Automatikus frissítés engedélyezése” linkre kattintva). Ha ezt bekapcsolod, a WordPress magától telepíti a frissítéseket, amint elérhetők.

Frissítések a tárhelyszolgáltató oldalán: Bizonyos tárhelyek saját felületükön kínálnak lehetőséget a WordPress automatikus frissítésére. Például a Hostinger vezérlőpultján beállítható, hogy a rendszer csak a biztonsági frissítéseket telepítse, vagy teljes okos frissítési módot is kérhetünk. Nézd meg a szolgáltatód dokumentációját, hátha van ilyen opció – ez leveszi a válladról a terhet, hogy manuálisan ellenőrizd a frissítéseket.

Legyen frissítés előtti biztonsági mentés: Automatikus frissítésnél előfordulhat, hogy egy-egy bővítmény összeakad az új verzióval és hibát okoz. Emiatt fontos, hogy legyen rendszeres backup (erről alább még lesz szó). Ha gond adódik, a mentésből vissza tudsz állni az előző működő állapotra. A haladóbb megoldások (pl. egyes bővítmények prémium verziói vagy menedzselt WordPress hoszting) a frissítés előtt automatikusan készítenek egy pillanatképet (snapshot) az oldalról, és hiba esetén abból visszaállítanak – kezdőként azonban elég, ha te magad ügyelsz arra, hogy legyen friss mentés kéznél frissítés előtt.

A WordPress vezérlőpult „Frissítések” képernyője. Mindig telepítsük a core frissítéseket, valamint a bővítmények és témák új verzióit, hogy megszüntessük az ismert biztonsági réseket.

Összefoglalva: ellenőrizd hetente a WordPress Vezérlőpulton az Frissítések menüpontot, és telepítsd a rendelkezésre álló frissítéseket. Ha teheted, engedélyezd az automatikus frissítéseket a kritikus elemekhez. A folyamatos karbantartás az egyik legegyszerűbb módja annak, hogy lezárd a támadók által kihasználható kiskapukat.

6. WAF és biztonsági bővítmény telepítése (pl. Wordfence vagy Sucuri)

A Web Application Firewall (WAF) egy olyan védelmi pajzs, amely szűri a weboldalad felé irányuló forgalmat, és még azelőtt blokkolja a rosszindulatú kéréseket, hogy azok elérnék a webhelyedet. Képzelj el egy őrséget a weboldalad előtt: minden bejövő kérését ellenőrzi, és ha azt észleli, hogy egy hacker próbálkozás vagy gyanús tevékenység (pl. SQL injection, XSS támadás, brute force bejelentkezés) történik, még időben leállítja. Ezzel jelentősen csökkenthető annak esélye, hogy egyáltalán kárt tegyenek a webhelyedben.

A WAF megvalósítására két fő megközelítés van:

• Beépülő modul formájában (alkalmazásszintű tűzfal): Ilyen például a népszerű Wordfence bővítmény, amely telepítés után a saját szervereden futtat egy tűzfalat és malware szkennelőt. Előnye, hogy mély integrációt nyújt a WordPress-szel (közvetlenül a webhelyeden fut), és rengeteg konfigurálható védelmi beállítást ad. Hátránya, hogy a forgalom már a te szerveredet éri el, és csak ott szűrődik, tehát a támadó terhelheti a szervert valamelyest, mielőtt blokkolnád. Ennek ellenére a Wordfence ingyenes verziója is kiváló védelmet nyújt az ismert fenyegetések ellen, és több mint 5 millió webhelyen aktívan használják világszerte. A telepítés után érdemes rögtön lefuttatni egy malware szkennelést is vele, amely ellenőrzi a WordPress fájlokat, témákat és plugineket az esetleges fertőzések vagy gyanús módosítások után. Emellett a Wordfence tartalmaz bejelentkezés-védelmet (korlátozza a próbálkozások számát, 2FA lehetőséget ad), forgalmi naplót, IP tiltást és sok egyéb hasznos funkciót is.
• Felhő alapú (DNS-szintű) tűzfal szolgáltatás: Ilyen pl. a Sucuri Website Firewall (Sucuri Premium) vagy a Cloudflare. Ezek lényege, hogy a domain DNS-beállításain keresztül a forgalmat átirányítod a szolgáltató szerverein futó tűzfalon, így a rosszindulatú látogatók el sem jutnak a te tárhelyedig. A Sucuri például havi díjért cserébe nemcsak szűri a támadásokat, de garantálja, hogy ha mégis feltörnék az oldalad, ingyen megtisztítják azt a károktól. A Cloudflare ingyenes csomagja is ad egy alapvető WAF-ot és DDoS védelmet, plusz egy globális CDN-t, ami a sebességet növeli. Miután a WPBeginner évekig használta a Sucurit, végül a Cloudflare-re váltottak, mert nagyvállalati funkciókra volt szükségük – de a Sucuri addig havi 450 000 támadást blokkolt az oldaluk ellen, hatékonyan megvédve azt.

Biztonsági bővítmények: A tűzfal mellett érdemes egy átfogó biztonsági plugin telepítése is. Ilyen például a már említett Wordfence, vagy az iThemes Security, illetve a Sucuri Security ingyenes bővítménye. Ezek több funkciót egyesítenek: folyamatosan ellenőrzik a fájlok épségét, naplózzák a rendszereseményeket (pl. ki mikor lép be, ha valaki sikertelenül próbál belépni), figyelmeztetnek, ha gyanús változás történik, és javaslatot tesznek keményítési (hardening) lépésekre. A Sucuri ingyenes pluginjében például egyetlen gombnyomással engedélyezhető több alapvető biztonsági hardening opció (fájlengedélyek szigorítása, PHP futtatás tiltása bizonyos mappákban stb.). Ezek a pluginek nem váltják ki a WAF-ot, hanem kiegészítik azt: segítenek időben észrevenni, ha baj van, és megnehezítik a támadók dolgát.

Javaslat: Kezdőként jó megoldás lehet a Wordfence használata, mivel egyesíti a tűzfalat, a malware-vizsgálatot és több egyéb védelmi funkciót egyetlen könnyen kezelhető felületen. Alternatívaként az Sucuri plugin + Cloudflare páros is hatásos: a Cloudflare szűri a forgalmat, míg a Sucuri plugin jelez, ha valami gyanús történne a fájlokkal. Bármelyiket is használod, érdemes bekapcsolni az értesítéseket – így emailben figyelmeztetést kapsz például, ha túl sok sikertelen belépési kísérlet volt (ami brute force támadásra utalhat), vagy ha valamelyik pluginodat biztonsági okból kivonták a forgalomból a hivatalos tárházban.

A Wordfence biztonsági bővítmény áttekintő (Dashboard) felülete. Látható a tűzfal és a malware-szkenner állapota, a blokkolt támadások statisztikái és egyéb biztonsági beállítások. A Wordfence az egyik legnépszerűbb biztonsági megoldás, több mint 5 millió weboldalon aktív.

Végül, ne feledd: hiába a legjobb bővítmény vagy tűzfal, te magad is sokat tehetsz a biztonságért. Rendszeresen nézd át a naplókat (a Wordfence “Live Traffic” nézete mutatja a valós idejű forgalmat és blokkolt kísérleteket), és ha gyanús aktivitást látsz (pl. ismeretlen IP-címről túl sok próbálkozás), átmenetileg tiltsd le azt az IP-t. A tudatosság és éberség legalább annyira fontos, mint a technikai védelem.

7. .htaccess konfiguráció alap biztonsági szinthez

A .htaccess fájl egy konfigurációs fájl az Apache webszerverhez (a legtöbb megosztott tárhely Apache-ot vagy kompatibilis szervert használ WordPress futtatásához). Ebben a fájlban néhány egyszerű szabállyal további védelmet építhetünk be a weboldalunkhoz, programozás nélkül. Íme néhány alapvető .htaccess-trükk a WordPress oldal keményítéséhez:

• A wp-config.php elrejtése: A wp-config.php fájl tartalmazza a weboldalad legérzékenyebb beállításait (adatbázis-hozzáférés, biztonsági kulcsok stb.), ezért semmi esetre sem szabad, hogy kívülről letölthető legyen. Normál esetben a böngésző nem jeleníti meg a PHP fájlokat, de előfordulhatnak szerverhibák, vagy valaki direkt próbálkozik ezzel a fájllal. Az .htaccess fájlodba (a weboldal gyökérkönyvtárában) illeszd be a következő szabályt, amely minden hozzáférést letilt a wp-config.php felé:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Ezzel gyakorlatilag olvashatatlanná teszed a wp-config.php-t a látogatók (és így a támadók) számára – még ha közvetlenül próbálnák megnyitni, akkor sem férnek hozzá a tartalmához. (Megjegyzés: haladó módszer, hogy a wp-config.php-t egy szinttel a webroot fölé helyezzük el, így egyáltalán nem is web-elérhető. Azonban a fenti megoldás a legtöbb esetben elegendő védelem.)

• Könyvtárindexek letiltása: Alapértelmezésben, ha egy könyvtárban nincs index.php vagy index.html fájl, a webszerver kilistázhatja a könyvtár tartalmát. Ez nem kívánatos, mert a támadók így észrevehetik, milyen fájlok vannak a szerveren (pl. érzékeny infókra bukkanhatnak). A letiltáshoz adjuk hozzá az .htaccess fájl végéhez ezt a sort:

Options -Indexes

Ezután, ha valaki megpróbálna betölteni egy könyvtár-listát (például https://a-te-oldalad.hu/wp-content/uploads/2025/), akkor HTTP 403 – Hozzáférés megtagadva hibaüzenetet kap csak. Így elrejtheted a fájlrendszer struktúrádat az avatatlan szemek elől.

• XML-RPC letiltása (opcionális): Az XML-RPC egy WordPress szolgáltatás, ami távoli kapcsolódást tesz lehetővé (pl. mobilalkalmazás használatához). Sajnos a támadók is kihasználhatják brute force támadások összefűzésére, ezért ha nincs rá szükséged, érdemes letiltani. Ezt megteheted bővítménnyel, de .htaccess-ben is egy egyszerű szabállyal:

# XML-RPC letiltása
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

(A fenti tilt minden XML-RPC hozzáférést. Ha mégis kellene később, töröld vagy kommenteld ezt a részt a .htaccess-ből.)

A .htaccess módosításoknál legyél óvatos: mindig készíts mentést az eredeti fájlról, mielőtt beleírsz, mert egy hibás szabály az oldal működését is megakaszthatja. A fenti példák azonban nyugodtan alkalmazhatók a legtöbb WordPress oldalnál, és javítják annak biztonságát. (Fontos: ha nginx szervert használsz Apache helyett, a .htaccess nem fog működni – ott a szerver konfigurációs fájljaiban kell beállítani hasonló szabályokat.)

Ajánlott bővítmények és szolgáltatások

A biztonság megerősítéséhez szerencsére számos ingyenes bővítmény és online szolgáltatás áll rendelkezésre. Néhány hasznos eszköz, amelyek jó szolgálatot tehetnek egy kezdő WordPress weboldalnál:

• Wordfence Security: Ingyenes komplex biztonsági bővítmény, mely tűzfalat, malware-vizsgálót és bejelentkezés-védelmet nyújt. Több mint 5 millió aktív telepítéssel rendelkezik, és folyamatosan frissül új fenyegetések ellen. Kezelőfelületén valós időben követheted a támadási kísérleteket, blokkolhatod az IP-ket, és e-mail értesítéseket kaphatsz fontos eseményekről.
• Sucuri Security: A Sucuri ingyenes WordPress pluginje biztonsági auditnaplót vezet, fájlintegritás-ellenőrzést végez, és tartalmaz egy “keményítés” menüpontot, ahol egy kattintással alkalmazhatsz több biztonsági beállítást. Emellett a Sucuri felhőszolgáltatása (fizetős) egy DNS-szintű WAF, ami magas szintű védelmet garantál. Előnye, hogy ha az oldalt feltörik, a Sucuri vállalja a megtisztítását a csomag részeként. Kezdőknek a plugin + egy alap Cloudflare WAF páros is elegendő lehet.
• iThemes Security: Szintén egy népszerű biztonsági plugin, sok hasonló funkcióval (pl. limitált login kísérletek, 404 észlelés, adatbázis előtag csere lehetőség stb.). Az ingyenes verzió is hasznos, de a Wordfence-szel ütközhet, így általában nem telepítünk egyszerre két átfogó biztonsági plugint, nehogy zavarják egymást.
• Limit Login Attempts Reloaded: Ha valamiért nem használsz Wordfence-et vagy iThemes-t, ezt az egyszerű bővítményt érdemes telepíteni. Feladata mindössze annyi, hogy korlátozza a bejelentkezési próbálkozásokat (pl. 3-5 hibás jelszó után letiltja átmenetileg az adott IP-t). Így megfogja a brute force kísérleteket. Kis méretű, teszi a dolgát a háttérben.
• UpdraftPlus Backup: Az egyik legjobb és legkönnyebben használható biztonsági mentés bővítmény. Lehetővé teszi az automatikus ütemezett mentéseket, és a mentési fájlokat közvetlenül feltölti többféle külső tárhelyre (Google Drive, Dropbox, Amazon S3 stb.). Világszerte több mint 3 millió weboldalon használják. Ingyenes verziója is tud mindent, ami egy kezdőnek kell: teljes mentés (fájlok + adatbázis), visszaállítás néhány kattintással, ütemezés beállítása.
• Duplicator: Kiváló plugin teljes oldalak mentéséhez és költöztetéséhez. Biztonsági mentésnek is használható (bár nem automatizálja az ütemezést ingyenesben). Ha egyszer költöztetni vagy klónozni kell az oldalt, jól jöhet.
• Really Simple SSL: Megkönnyíti a HTTPS-re áttérést azzal, hogy automatikusan beállítja az adatbázisban a linkeket https-re és bekapcsolja a szerveren az átirányításokat. Ideális, miután telepítetted az SSL tanúsítványt – egy kattintással “zöld lakatossá” varázsolja az oldalt.
• Akismet Anti-Spam: Alap pluginként érkezik a WordPress telepítésekor (API kulcsot kell regisztrálni hozzá). A komment spamek ellen véd. Nem közvetlenül a weboldal feltörése ellen véd, de a spamlinkek és kéretlen tartalmak kiszűrésével hozzájárul az oldal tisztán tartásához és hitelességéhez.
• Cloudflare (ingyenes CDN+WAF szolgáltatás): Bár nem WordPress bővítmény, érdemes megemlíteni. A Cloudflare alap csomagja ingyenes, és ha a domainedet átirányítod rá, kapsz egy globális tartalomszolgáltató hálózatot (CDN), ami gyorsítja az oldal betöltését, plusz egy alapvető webes tűzfalat és DDoS védelmet. Kezelheted a DNS rekordjaidat is náluk. Kezdő oldalaknál nagy haszon, hogy elrejti a szervered valós IP-címét a látogatók elől, így a közvetlen támadások kivédhetők. WordPresshez külön plugin sem feltétlen kell hozzá (van hivatalos Cloudflare plugin, de a webes adminfelületen is mindent be lehet állítani).
• Hosting szolgáltatói extrák: Végül nem plugin, de fontos: nézd meg a tárhelyszolgáltatód milyen biztonsági extrákat kínál. Sok helyen van pl. beépített vírusszkenner a fájlkezelőben, vagy tűzfal-szabályok szerveroldalon. Néhány menedzselt WordPress hosting automatikus malware-eltávolítást, behatolásérzékelést, sőt kétlépcsős belépést kínál a saját felületéhez. Ezeket a szolgáltatásokat érdemes kihasználni, hiszen a díjad részeként járnak, és tovább erősítik a védelmet.

Ha a weboldaladhoz megbízható, rendszeresen frissített keresel, érdemes megnézned a HelloPack megoldásait.
A HelloPack bővítmények kifejezetten WordPressre optimalizáltak, biztonságos kódolási elveket követnek, és a fejlesztők gyorsan reagálnak a támogatási kérésekre. Akár webáruházat üzemeltetsz, akár egy szolgáltatói honlapot, itt találsz olyan eszközöket, amelyek egyszerre növelik az oldal funkcionalitását és megőrzik a biztonságát.

Alapvető biztonsági mentés és helyreállítási stratégia

Minden igyekezetünk ellenére is bekövetkezhet a baj – ezért készüljünk a legrosszabb esetre is. A biztonsági mentés (backup) egy WordPress oldal életbiztosítása. Ha van friss mentésed, egy sikeres hackertámadás, adatbázis-hiba vagy akár egy véletlen törlés sem jelent végzetes csapást, hiszen vissza tudod állítani az oldal egy korábbi, működő verzióját.

1. Rendszeres mentések ütemezése: Állíts be automatikus mentést az oldaladon. A mentésnek tartalmaznia kell mind az adatbázist, mind a fájlokat (feltöltések, témák, pluginek). Az ideális mentési gyakoriság attól függ, milyen gyakran frissül az oldalad tartalma. Általánosságban egy üzleti honlapnál a napi mentés ajánlott; egy ritkán változó oldalnál a heti is elég lehet, de ne ritkábban. Ha webáruházad vagy nagyon forgalmas blogod van, érdemes akár valós időben, folyamatosan menteni a változásokat. A lényeg: legyen mindig egy friss backup fájlod, mert “100%-osan biztonságos weboldal” nem létezik – még a kormányzati oldalak is feltörhetők, így a tiéd is. A mentés az első számú védelmi vonalad minden támadás vagy adatvesztés ellen.

2. A mentések biztonságos tárolása: Nagyon fontos, hogy NE a webszerveren tárold az egyetlen példányt a biztonsági mentésből. Ha a tárhelyed fizikai meghibásodást szenved, vagy a hacker hozzáfér a szerverhez, a helyben tárolt mentés is odalesz. Inkább ments külső helyre: felhő tárhelyekre (Google Drive, Dropbox, OneDrive, Amazon S3 stb.) vagy akár egy másik szerverre. Az UpdraftPlus plugin például lehetővé teszi, hogy a mentést rögtön feltöltse egy kiválasztott felhőszolgáltatóhoz – élj ezzel a lehetőséggel. Több helyre is menthetsz párhuzamosan, így még nagyobb biztonságban lesznek az adatok.

3. Megbízható backup plugin használata: A már említett UpdraftPlus remek választás kezdőknek, mert egyszerű a kezelőfelülete. Beállíthatod, hogy napi vagy heti mentést készítsen, külön a fájlokról és adatbázisról, és ezeket feltöltheti automatikusan pl. a Google Drive fiókodba. Helyreállításkor pár kattintással vissza tudsz tölteni egy teljes mentést (vagy akár csak a fájlokat vagy csak az adatbázist). Hasonlóan jó a Duplicator, bár az inkább manuális mentés/költöztetés plugin, illetve a Jetpack/VaultPress (a Jetpack prémium része), ami valós idejű felhő mentést kínál – de utóbbi már fizetős. Kezdetben az UpdraftPlus ingyenes verziója is bőven elég. Fontos, hogy a backup bővítményt is tartsd naprakészen, és időnként ellenőrizd a mentéseket, hogy valóban létrejöttek és használhatók.

Az UpdraftPlus bővítmény beállítási felülete. Itt ütemezhető a biztonsági mentés gyakorisága (fájlrendszerre és adatbázisra külön), valamint kiválasztható a távoli tárhely (Dropbox, Google Drive stb.) ahová a mentéseket automatikusan feltölti a plugin.

4. Helyreállítási terv: Legyen terved arra az esetre, ha az oldal összeomlik vagy feltörik. Ismerd meg a visszaállítás lépéseit: például ha UpdraftPlus-t használsz, teszteld le egy kisebb oldalon vagy egy próbahelyen, hogyan működik a “Restore” funkciója. Tartsd könnyen elérhető helyen (pl. felhőben) a legutóbbi mentéseket, hogy vész esetén azonnal hozzáférj. Ha a weboldalad elérhetetlenné válik a hack miatt, sokszor gyorsabb egy tiszta WordPress telepítést felhúzni és abból a backupból visszaállni, mint megpróbálni megtisztítani a fertőzött fájlokat. Időt nyersz, és a honlapod is hamarabb újra működőképes lesz.

5. Próba frissítés és verziókövetés: Haladóbb stratégia, de érdemes megemlíteni: ha nagyobb frissítést hajtasz végre (pl. WordPress főverzió, vagy sok plugin egyszerre frissül), előtte készíts kézi biztonsági mentést, és akár futtasd le egy staging (teszt) környezetben a frissítést. Így ha ott gond van, az éles oldalt nem éri baj. Kis céges honlapoknál ez talán túlzásnak tűnik, de egy webshopnál már életmentő lehet egy staging használata. Akárhogy is, a mentés aranytartalék marad minden esetben.

Összefoglalva a legfontosabb pontokat:

• Használj erős jelszavakat mindenhol, és kapcsold be a kétlépcsős hitelesítést a belépéshez, hogy minimalizáld az illetéktelen hozzáférés esélyét.
• Gondoskodj a titkosított kapcsolatról (HTTPS) egy SSL tanúsítvánnyal – ma már ingyen is hozzájuthatsz, nincs ok HTTP-t használni.
• Csak megbízható forrásból származó, karbantartott bővítményeket és témákat telepíts, és kerüld a gyanús forrásokat. Tartsd ezeket frissen frissítve.
• Cseréld le az alapértelmezett “admin” felhasználót egy egyedire, hogy ne könnyítsd meg a támadók dolgát.
• Kapcsold be az automatikus frissítéseket, így mindig naprakész lesz a rendszered – a frissítések gyakran foltoznak be ismert biztonsági réseket.
• Telepíts biztonsági bővítményeket: egy jó tűzfal és biztonsági szkenner rengeteg támadást megfog még azelőtt, hogy bármi kárt tennének.
• Használd ki a .htaccess adta lehetőségeket egyszerű védelmi szabályok beállítására (wp-config védelem, könyvtárindex tiltás stb.).
• Készíts rendszeresen biztonsági mentést az oldaladról, és tartsd azt biztonságos, külső helyen. A mentés az utolsó mentsvárad, ha minden kötél szakad.