Az elmúlt időszakban egyre több oldalon és szakértői csoportban is olvastam arról, hogy a WordPress admin felhasználón keresztül tudnak a legkönnyebben bejutni, ha a telepítő cég/személyen nem figyel az alapvető WordPress biztonsági szint megteremtésére.

Mit értek alapvető WordPress biztonsági szint alatt?

Ha létrehozzuk az admin felhasznlót, akkor azt ne „admin”-nak nevezzük el, mert az összes kártékony szoftver ezzel kezdi a támadást. A második gyenge pont a jelszó. Sokan tévhitben élnek és azt hiszik, hogy az ő oldaluk olyan kicsit, hogy ezzel nincs is értelme foglalkozni. DE tévednek, mindig van értelme foglalkozni.

Milyen jelszót válasszuk WordPress admin felhasználónkhoz?

Természetesen ne a top100 legrosszabb listáról válasszunk. Felejtsük el a következőket: 1111, 1234, admin, 12345 … De azt se higgyük el, hogy a speciális karakterek fogják távol tartani a robotokat. A bevihető karakterek száma véges, így tesztelésnél csak ebből korlátozott karakterkészletből építkezhet a kód feltörő alkalmazás.

• This function executes the random_password filter after generating the password.
• Normal characters: abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789
• Special characters: !@#$%^&*()
• Extra special characters: -_ []{}<>~`+=,.;:/?|'

Az admin jelszavunk nem a speciálistól lesz erős, hanem …

a jelszó hossza befolyásolja a feltörés idejét. Minél kevesebb a karakterszám, annál könnyebb feltörni, mert kevesebb a variációs lehetőség. Ahogy nő a karakterszám úgy tart egyre hosszabb ideig a variációk végigpörgetése, amely exponenciális növekedést mutat.

Mit tehetünk még a WordPress admin felhasználónk védelmében? Top5 tanács

• Limitáljuk a belépésű próbálkozások számát 5-ben.
• Használjunk Security plugint
• Változtassuk az admin jelszavunkat havonta
• A jelszavunk hossza legyen minimum 8 karakter hosszú
• Legyen biztonsági mentésünk az adatbázisról és az ftp tartalmáról (ha megelőzni nem is tudjuk, de legyünk felkészülve az újrakezdésre)