WordPress alapú weboldalak biztonsági karbantartása

Miért fontos egy weboldal keretrendszerének naprakészen tartása? Milyen problémák, kellemetlenségek érhetik a weboldal tulajdonost, egy sikeres támadás esetén? Milyen megelőző intézkedéseket végzünk? Az alábbi összefoglalóban ezek a kérdések megválaszolásra kerülnek.

A karbantartásnak két fontos szerepe van: A frissítések és az azokból adódó kompatibilitási gondok megoldása, és a biztonság megalapozása. A keretrendszer, sablon és modulok frissítése megfelelő szaktudást, utánajárást és naprakész ismereteket igényel. Ezek általában  külön-külön fejlesztőktől származnak, de mindhárom összefügg egymással. Ha ezek közül valamelyik nem működik megfelelően, akár az egész weboldalra kiterjedő hiba történhet. Tudni kell mikor, mit, hogyan lehet frissíteni. Ha mégis megtörténik a baj, akkor pedig tudni kell helyreállítani egy működőképes változatot, és más megoldást keresni.

Felelősség másokért

Weboldalunkkal felelősséggel tartozunk a látogatók és a tárhelyszolgáltató iránt is, hiszen egy feltört weboldal megtámadhatja a látogató számítógépét, vagy a tárhelyszolgáltató szerverét. Nem véletlen, hogy utóbbiak ÁSZF-ben kitérnek erre, pl:

„Előfizető felelős az általa telepített programok biztonságáért. Minden elvárhatót megtesz az általa telepített programok biztonsági frissítéséért, a programok feltörésének megakadályozására.”

„Előfizető köteles az általa létrehozott felhasználói fiókoknak biztonságos jelszavakat megadni és a jelszavakat felelősen használni, hogy harmadik, illetéktelen fél tudomására ne kerüljenek. Az esetleges jogosulatlan hozzáférésből eredő károkért Előfizető felel.”

„Előfizető részéről nem minősül vis maiornak az a fajta hacker támadás, SPAM küldés, amely az Előfizető gondatlanságára vezethető vissza és a Szolgáltató vagy egyéb hivatalos szerv felszólítására sem végezte el a szükséges megelőzési intézkedéseket, holott tudatában volt a lehetséges veszélyeknek.”

Természetesen 100% biztonság sehol sem létezik, de hogyha másnak kárt teszünk weboldalunkkal, mert még a szükséges óvintézkedéseket sem tettük meg, akkor joggal vonhatnak felelősségre.

Karbantartás csomagajánlatok

Alap csomag

Ezt a csomagot válassza, ha csak a legalapvetőbb intézkedésekre tart igényt.
174000Ft éves díj
  • WordPress keretrendszer frissítése
  • Sablonok frissítése
  • Bővítmények frissítése
  • A fenti frissítésekből adódó esetleges kompatibilitási hibák javítása
  • Szükség esetén tárhelybeállítások módosítása
  • BackupBuddy biztonsági modul előfizetése
  • Biztonsági mentés készítése a fileokról és az adatbázisról
  • iThemes Security Premium biztonsági tűzfal modul előfizetése
  • Manuális biztonsági vizsgálat, vírusirtó futtatása
  • Gyanús, feketelistás támadó IP címek blokkolása, támadórobotok kitiltása
  • Szükség esetén eseti vírusirtás elvégzése
  • Erősített admin felület védelem, kétlépcsős azonosítás
  • Felügyelet és riasztás: azonnal értesítést kapunk, ha valami okból weboldala leáll
  • Feltört honlap javítása és helyreállítása
  • Havi maximum 30 perc emailes vagy telefonos segítségnyújtás
  • Tárhelyszolgáltatóval kapcsolatos ügyintézés elvégzése

Biztonsági csomag

Ezt a csomagot válassza, ha weboldala által szerez ügyfeleket vagy ad el terméket illetve szolgátlatást és fontos Ön számára a biztonság.
234000Ft éves díj
  • WordPress keretrendszer frissítése
  • Sablonok frissítése
  • Bővítmények frissítése
  • A fenti frissítésekből adódó esetleges kompatibilitási hibák javítása
  • Szükség esetén tárhelybeállítások módosítása
  • BackupBuddy biztonsági modul előfizetése
  • Biztonsági mentés készítése a fileokról és az adatbázisról
  • iThemes Security Premium biztonsági tűzfal modul előfizetése
  • Manuális biztonsági vizsgálat, vírusirtó futtatása
  • Gyanús, feketelistás támadó IP címek blokkolása, támadórobotok kitiltása
  • Szükség esetén eseti vírusirtás elvégzése
  • Erősített admin felület védelem, kétlépcsős azonosítás
  • Felügyelet és riasztás: azonnal értesítést kapunk, ha valami okból weboldala leáll
  • Havi maximum 30 perc emailes vagy telefonos segítségnyújtás
  • Tárhelyszolgáltatóval kapcsolatos ügyintézés elvégzése

Prémium csomag

Ezt a csomagot válassza, ha fontos Ön számára a kiemelt védelem, a stabil működés, és esetenként szüksége van a weboldallal kapcsolatos segítségnyújtásra, rendelkezésre állásra.
310000Ft éves díj
  • WordPress keretrendszer frissítése
  • Sablonok frissítése
  • Bővítmények frissítése
  • A fenti frissítésekből adódó esetleges kompatibilitási hibák javítása
  • Szükség esetén tárhelybeállítások módosítása
  • BackupBuddy biztonsági modul előfizetése
  • Biztonsági mentés készítése a fileokról és az adatbázisról
  • iThemes Security Premium biztonsági tűzfal modul előfizetése
  • Manuális biztonsági vizsgálat, vírusirtó futtatása
  • Gyanús, feketelistás támadó IP címek blokkolása, támadórobotok kitiltása
  • Szükség esetén eseti vírusirtás elvégzése
  • Erősített admin felület védelem, kétlépcsős azonosítás
  • Felügyelet és riasztás: azonnal értesítést kapunk, ha valami okból weboldala leáll
  • Feltört honlap javítása és helyreállítása
  • Havi maximum 30 perc emailes vagy telefonos segítségnyújtás
  • Tárhelyszolgáltatóval kapcsolatos ügyintézés elvégzése

A karbantartási csomagok tartalmazzák a fent említett munkafolyamatokat és a modulok előfizetését is. Ezt általában éves ciklusokban számlázzuk, de egyedi kéréseknek is eleget tudunk tenni.

Milyen problémák, kellemetlenségek érhetik a weboldal tulajdonost, egy sikeres támadás esetén?

Egy elterjedt, ámde óriási tévhit, hogy „Miért pont az én oldalamat akarná feltörni valaki?”. Tudni kell, hogy a hackelések 99,9%-a nem személyesen, hanem hacker robotokkal vannak kivitelezve, ezért mindenki egy lehetséges célpont, ugyan akkora eséllyel. Ezek automatizált folyamatok, a hackerek nem tesznek különbséget a weboldalak között!

Ezek a támadások nem azért történnek, hogy kárt tegyenek az adott cégnek, sokkal inkább, hogy a hackerek saját előnyeikre fordítsák a weboldalt, de ennek viszont az lesz a következménye, hogy a tulajdonosnak és azok ügyfeleinek, a látogatóknak okoznak kellemetlen, olykor kínos pillanatokat.

A weboldal lassú, nem elérhető

A települt kártékony kódok hatására a weboldal betöltődési sebessége nagyon belassulhat, melynek következtében a látogatók idő előtt elhagyják azt. A másik hasonló helyzet, amikor a támadórobotok egyszerre többszáz behatolási kísérlete miatt a tárhely leterhelődik, és a weboldal néhány percig egyáltalán nem töltődik be.

Adatokat lophatnak el

Egyes vírusok egyetlen célja, hogy kárt tegyenek, és egyszerűen csak megsemmisítik a weboldalt. De sajnos azt lehet mondani, ez még mindig az egyszerűbbik eset. Van, hogyhHozzá akarnak férni tárolt adatainkhoz, levelezési listához, hitelkártya adatokhoz, ügyfelek elérhetőségeihez.

Számítógép fertőzése

A hackerek a weboldalt arra használják, hogy az megfertőzze a látogatók számítógépét kártékony programok segítségével, amelyek a tudtuk nélkül feltelepülnek a számítógépükre.

Átirányítás

A hackerek átirányítják a látogatókat más olyan weboldalakra, amiből profitot szereznek. Ezek lehetnek megbotránkoztató tartalmú oldalak, illegális termékeket forgalmazó webshopok. A látogatók pedig hihetik azt, hogy szándékosan irányítottuk őket oda, így az ilyen vírusok igencsak árthatnak hírnevünknek.

Kellemetlen tartalom

Ha a vírus szerkesztési jogot szerzett magának, a saját weboldalunka is tudnak kellemetlen tartalmat feltölteni. Ez hasonlíthat az előző pontban foglaltakra is, kiegészítve még annyival, hogy a saját tartalomban elrejtenek linkeket, amit sokkal nehezebb észrevenni.

Tárhely felfüggesztése

Sok vírus nem is magát a weboldalt veszi célba, hanem a tárhelyet támadják meg és annak erőforrásait akarják kihasználni, pl. többezres levélszemét kiküldésére. Emiatt azokban a legtöbb tárhelyszolgáltató fenntartja a jogot, hogy felfüggessze a szolgáltatás, amíg a hiba nem kerül javításra.

0. Naprakész tudás

Folyamatosan tájékozódunk az aktuális trendekről, technikákról, hogy a legjobbat nyújthassuk ügyfeleinknek. Erre biztonság szempontból is nagy szükség van: Havonta többször készítenek cikkeket a biztonsággal foglalkozó portálok az aktuális bővítményekről, melyben sérülékenységek derültek ki, ezáltal potenciális veszélyforrások lehetnek. Erre a listára gyakran kerülnek fel a legnépszerűbbek közül is, amit szinte minden WordPress fejlesztő használ. Ilyen esetben megoldást kell keresni: ha van rá lehetőség  – és javították a hibát – azonnal frissíteni, ha nincs akkor ideiglenes kiiktatni vagy lecserélni másikra az adott bővítményt.

1. 2. 3. 4. 5. Forráskód, kompatibilitás

Lévén informatikáról van szó, a weboldalak alapját adó keretrendszer, az arra épülő sablon és a bizonyos funkciókat adó bővítmények folyamatosan fejlődnek, új verziók jelennek meg, melyek aktualizálása biztonsági és kompatibilitási szempontból is fontos.

A keretrendszer, sablon és modulok frissítése megfelelő szaktudást, utánajárást és naprakész ismereteket igényel. Mindhárom összefügg egymással, ha ezek közül valamelyik nem működik megfelelően, akár az egész weboldalra kiterjedő kompatibilitási hibákkal kell szembenézni. Azonban sok esetben egyes modulok nem működnek még megfelelően például az legfrissebb WordPress rendszerrel, mert a fejlesztők még nem hangolták hozzá. Ebben az esetben meg kell keresni az összhangot, hogy miből melyik az a verzió, ami a lehetőségekhez képest friss, de nem okoz kompatibilitási gondot. A legfrissebb sok esetben még hibás, ezért meg kell várni míg kijön hozzá a megfelelő javítás, figyelni kell miből melyik a legutolsó, stabilan működőképes verzió.

Szintén ide tartozó, és kompatibilitás szempontból fontos a tárhelybeállítások összhangban tartása a weboldallal. Egyes modulok megkövetelik a legfrissebb PHP verziót, míg másikak egy régebbi verzióval működnek stabilan. Ilyen esetben is kompromisszumos megoldást kell keresni, hogy megfelelően működjön a weboldal.

Ezen műveletek honlapunk biztonságát alapjaiban meghatározzák, hiszen a hacker robotok – melyek különböző kártékony kódokat próbálnak elhelyezni a weboldal forrásában, adatbázisában –  a régebbi verziók sérülékenységeit próbálják kihasználni. Ugyanakkor a verziókat csak akkor frissítjük, ha  megbizonyosodtunk arról, hogy azok már kompatibilisek egymással, ezért figyelemmel kell követni az aktualitásokat, ez gondos utánajárást igényel.

6. 7. Biztonsági mentés

Mielőtt nekikezdünk egy rendszerfrissítésnek, minden esetben készítünk egy teljes biztonsági mentést a fileok és az adatbázisról a BackupBuddy, biztonsági mentés automatizáló segítségével, hogyha időközben kompatbilitási gond lép fel, akkor helyre tudjuk állítani a legutolsó működő állapotot. Emelett a támadások miatt is fontos, hogyha esetleg mégis megfertőződik a rendszer, legyen egy tiszta verzió, ezért néhány hónapra visszamenőleg is tárojluk ezeket.

 

8. 9. 10. 11. 13. Biztonsági modul

Csakúgy, mint a számítógép operációs rendszerének védelme esetén is, egy weboldal keretrendszerénél is elengedhetetlen a megfelelő tűzfal és vírusirtó használata. A karbantartás tartalmazza az iThemes Security Pro kimondottan WordPress alapú weboldalakhoz való, egyik legjobb árérték aránnyal bíró biztonsági modul előfizetését. A program számos, különböző elven működő védelmi funkcióval rendelkezik, melyekkel a legtöbb támadás kiszűrhető egy ilyen típusú weboldal esetében. A választott csomagtól függően végezzük el a szükséges műveleteket. A világon sehol sem létezik 100%-os biztonság, ugyanakkor megelőző intézkedéseket tudunk tenni annak érdekében, hogy egy támadás ne járjon sikerrel, vagy egy esetleges támadás esetén minimálisra csökkentsük annak sikerességét.

12. Weboldal optimalizálása

A rendszerfrissítés vagy egyes elemek törlése után hátramaradnak különböző fileok illetve adatok az adatbázisban Ezeket időnként optimalizálni kell, mellyel elkerülhetjük hogy a weboldal ezek miatt egy idő után belassuljon. Azonban ennek biztonsági szerepe is van, mert a régi, nem használt, elavult fileokat a támadórobotok ugyan úgy megtalálják, melyen keresztül bejuthatnak a weboldalba.

14. Weboldal monitorozás

Egy külső applikáció segítségével folyamatosan monitorozzuk a csomagban lévő weboldalakat, mely azonnal emailt küld, ha a megfigyelt weboldalt valamilyen okból nem elérhető.

A harmadik féltől származó modulok működéséért felelősséget nem vállalunk! Probléma esetén külön eseti megbízás keretében vállaljuk annak felkutatását, és megoldást találni a problémára (felvenni a kapcsolatot a modul fejlesztőjével, adott esetben másik modul után nézni) A karbantartás nem garancia arra, hogy a weboldal a szolgáltatás igénybevételétől kezdődően feltörhetetlen lesz! A karbantartás a fent leírt munkafolyamatokat tartalmazza, melyekre elővigyázatossági intézkedésként kell tekinteni!

A karbantartási csomagok tartalmazzák a fent említett munkafolyamatokat és a modulok előfizetését is. Ezt általában éves ciklusokban számlázzuk, de egyedi kéréseknek is eleget tudunk tenni.