Sokan kérdezitek tőlünk, hogy pontosan mi történik a „háttérben”, miért fizettek a karbantartásért, és hogyan garantáljuk, hogy a weboldalatok biztonságban fusson nap mint nap. A most megjelent WP Pajzs 1.7.2-es verziója tökéletes apropó arra, hogy bemutassuk a rendszerünk lelkét.
Ez a bővítmény nem egy átlagos biztonsági plugin, amit letöltesz a netről. Ez a mi saját fejlesztésű „ügynökünk”, ami kifejezetten a felügyeleti szolgáltatásunkhoz készült.
Hogyan működik a központi felügyelet?
A WP Pajzs legfontosabb feladata az információcsere. A bővítmény minden éjjel (amikor a legkisebb a forgalom, hajnali 02:00 és 04:00 között) egy titkosított csatornán keresztül jelentést küld a központi szerverünknek.
Mi van ebben a jelentésben?
A weboldalad pontos verziószáma.
A telepített bővítmények listája és verziói.
Az adminisztrátorok száma.
A rendszerfájlok sértetlensége (integritása).
A „Szupererő”: Összevetés a Wordfence adatbázissal Amint a jelentés beérkezik hozzánk, a központi rendszerünk automatikusan összeveti a te bővítményeidet a globális Wordfence sebezhetőségi adatbázissal. Ez azt jelenti, hogy ha egy bővítményedben (pl. egy űrlapkezelőben) reggel felfedeznek egy biztonsági rést a világ másik végén, mi már látjuk a riasztást a központban.
Nem kell várnod, amíg észreveszed a hibát. Mi látjuk a piros jelzést, és azonnal közbelépünk: frissítünk, javítunk vagy ideiglenesen blokkolunk, még mielőtt a támadók kihasználhatnák a rést.
Az „Admin Figyelő” – Miért fontos ez?
A WP Pajzs 1.7.2 egyik leghasznosabb funkciója az adminisztrátorok számának naplózása. A hackerek egyik kedvenc módszere, hogy ha bejutnak, létrehoznak egy rejtett admin felhasználót, hogy később bármikor visszatérhessenek. A rendszerünk riaszt, ha tegnap még csak 2 admin volt az oldalon, ma reggelre viszont már 3 lett. Ha nem te hoztad létre, akkor tudjuk, hogy baj van, és azonnal töröljük a betolakodót.
Hardening: A „Páncélzat” funkciók
A jelentéseken túl a WP Pajzs 1.7.2 számos aktív védelmi vonalat (úgynevezett hardeninget) is húz az oldalad köré. Ezeket úgy állítottuk be, hogy a normál működést ne zavarják, de a robotokat és támadókat megállítsák.
Íme néhány újdonság és fejlesztés az 1.7.2-es verzióban:
Média könyvtár (Uploads) karantén: Ez az egyik legfontosabb újítás. Megakadályozzuk, hogy a feltöltött képek közé kártékony programkódokat (PHP fájlokat) rejtsenek el. Ha fel is töltődik egy vírus, a WP Pajzs nem engedi lefutni.
Láthatatlan Spam Csapda (Honeypot): A weboldalad űrlapjait és (ha van) kommentszekcióját egy láthatatlan mezővel láttuk el. Az emberek ezt nem látják, de a buta spam-robotok kitöltik. Aki ezt kitölti, azt a rendszerünk azonnal blokkolja.
Bejelentkezés védelme: Ha valaki 5-ször elrontja a jelszót, 20 percre kitiltjuk. Ezzel megakadályozzuk, hogy programok próbálják kitalálni a jelszavadat (Brute Force támadás). Továbbá elrejtjük a konkrét hibaüzeneteket, így a támadó nem tudja meg, hogy a felhasználónév vagy a jelszó volt-e a hibás.
„Hívatlan vendégek” kizárása: Letiltottuk azokat a régi kapukat (XML-RPC, Pingback), amiket ma már nem használsz, de a támadók előszeretettel rángatják.
Verziószámok rejtése: Nem hirdetjük a forráskódban, hogy milyen WordPress verziót használsz, így a célzott támadások dolgát is megnehezítjük.
Összegzés: Te aludj nyugodtan, mi figyelünk
A WP Pajzs 1.7.2 nem csak egy szoftverfrissítés. Ez a garancia arra, hogy a weboldalad felügyelete proaktív. Nem akkor szólunk, amikor már összeomlott az oldal, hanem megelőzzük a bajt azzal, hogy folyamatosan figyeljük a sebezhetőségeket és a gyanús változásokat.
