Honlap / By /

„Ez biztos csak valami technikai hiba” – gondoltam először.
Egy évvel ezelőtt egy megbecsült ügyfelem, egy református gimnázium weboldala hirtelen hemzsegni kezdett a gyanús, szerencsejátékról és kaszinókról szóló blogcikkektől. Több száz bejegyzés, mind idegen nyelven, egy olyan weboldalon, amely a hitre, tudásra és közösségre épült. Döbbenten néztem a képernyőt. Egy pillanatra megállt bennem az ütő.

Ez volt az első alkalom (és remélem az utolsó is egyben), hogy egy általam készített weboldalt feltörtek. Hirtelen nem tudtam, merre induljak. Aztán jött a „túlélő üzemmód”: végig nyomoztam a fájlokat, adatbázist, kitakarítottam a szemetet – úgy tűnt, minden rendben. De pár hét múlva ismét megtörtént. Ekkor jöttem rá, hogy nem csak a konkrét oldalra kellett volna figyelnem: ugyanazon a tárhelyen egy másik, régóta nem használt WordPress oldal volt, frissítések nélkül. Az ottani sebezhetőségen keresztül jutottak be.

Ez a történet örökre megváltoztatta a szemléletemet a weboldalak biztonságával kapcsolatban. Azóta fokozott figyelemmel és megelőző lépésekkel dolgozom minden projekten – és most szeretném megosztani veled is azt a 11+1 bevált tippet, amelyekkel elkerülheted a hasonló rémálmokat.

1. Gondoskodj róla, hogy a számítógéped és a mobilod vírusmentes legyen

A weboldalad biztonsága nemcsak a tárhelyen múlik – a lánc leggyengébb láncszeme gyakran maga a felhasználói eszköz. Ha a számítógéped vagy mobilod fertőzött, egy kártevő könnyedén megszerezheti a weboldaladhoz tartozó jelszavakat, és továbbíthatja őket illetékteleneknek. Ilyenkor hiába használsz erős jelszót vagy biztonsági bővítményeket, az egész rendszer védtelenné válik.

Ráadásul ilyenkor nemcsak a honlapod kerül veszélybe, hanem minden más személyes adatod is – például a banki hozzáférések, közösségi fiókok, jelszótárolók.

Ezért ez legyen az első lépésed: használj megbízható vírusirtót, rendszeresen frissítsd az operációs rendszered és a biztonsági szoftvereket, és kerüld a nyilvános Wi-Fi használatát, ha jelszavas felületre lépsz be.

A saját eszközeid biztonsága az online jelenléted védelmének alapja.

2. Válassz megbízható tárhelyszolgáltatót

A weboldalad biztonságának egyik alappillére a megfelelő tárhelyszolgáltató kiválasztása. Olcsó tárhely gyakran gyenge védelmet jelent, és ez könnyen támadási felületet adhat a hackereknek – még akkor is, ha te mindent jól csinálsz a saját oldalon.

Olyan szolgáltatót válassz, ahol:

  • rendszeres (akár napi) biztonsági mentés történik,
  • van vírus- és malware szkennelés,
  • a különböző domainek elkülönítve futnak (ne tudjon az egyik oldalról átterjedni a fertőzés a másikra),
  • naprakészen tartják a webszervert, adatbáziskezelőt és az összes háttérszoftvert,
  • és ahol gyors, segítőkész ügyfélszolgálat válaszol, ha probléma merül fel.

Sajnos ezekről nem mindig könnyű előre meggyőződni. Érdemes olyan szolgáltatót keresni, akinek sok elégedett ügyfele van, és akiről jó véleményeket találsz – akár fejlesztők ajánlásai alapján.

És ne feledd: ha később úgy érzed, nem megfelelő a választás, bármikor válthatsz – a biztonságod érdekében néha ez a legjobb döntés.

Nekem is vannak ügyfeleim, akiknél váltottunk szolgáltatót.

3. Használj SSL-tanúsítványt a biztonságos adatkapcsolatért

Ha a weboldalad címe http:// helyett https://-sel kezdődik, az azt jelzi, hogy a weboldalad SSL-tanúsítvánnyal védett. Ez a kis „s” betű első ránézésre talán jelentéktelennek tűnik – valójában azonban alapvető szerepet játszik az online biztonságban.

Az SSL (Secure Sockets Layer) gondoskodik arról, hogy a weboldalad és a látogatók böngészője között zajló adatforgalom titkosított legyen. Ez különösen fontos minden olyan esetben, amikor jelszavakat, személyes adatokat vagy akár bankkártya-információkat küldenek el a felhasználók – de ma már alapelvárás akkor is, ha csak egy kapcsolatfelvételi űrlap van az oldalon.

A tanúsítvány nélküli (http) oldalaknál a böngészők „Nem biztonságos webhely” figyelmeztetést jelenítenek meg, ami azonnal rombolja a látogatói bizalmat – és akár el is riaszthatja őket.

A jó hír az, hogy ma már szinte minden megbízható tárhelyszolgáltató kínál ingyenes SSL-tanúsítványt a Let’s Encrypt rendszerén keresztül. Ezt néhány kattintással beállíthatod, és sok esetben automatikusan meg is újul. Ha még nem él vele az oldalad, épp itt az ideje!

4. Használj erős jelszavakat

A „Jelszó123” ideje lejárt. Minimum 12 karakteres, kis- és nagybetűket, számot és speciális karaktert tartalmazó jelszót válassz, és használj jelszókezelőt (pl. Bitwarden, 1Password). Ne használd ugyanazt a jelszót több helyen!

5. Állíts be kétlépcsős azonosítást (2FA) – ne csak jelszóval védd az oldalad

A jelszavak önmagukban ma már nem jelentenek elég védelmet. A hackerek különféle módszerekkel (pl. brute force támadás, adatlopás, keylogger vírus) megszerezhetik a belépési adatokat – ezért kulcsfontosságú, hogy legyen egy második védelmi vonalad.

Ezt biztosítja a kétlépcsős azonosítás, angolul 2FA (Two-Factor Authentication).

Mit jelent ez pontosan?

A kétlépcsős azonosítás során a bejelentkezés két különböző módon történik:

  1. Valami, amit tudsz – például a jelszavad.
  2. Valami, amit birtokolsz – például a telefonodon lévő kód, amit egy hitelesítő alkalmazás generál.

Ez azt jelenti, hogy hiába tudja valaki a felhasználónevedet és jelszavadat, nem tud belépni az adminfelületre, ha nincs nála az eszköz, amivel a második lépést hitelesítené.

Hogyan működik?

  • Telepítesz egy ingyenes bővítményt WordPresshez, például:
    • WP 2FA
    • Google Authenticator – Two Factor Authentication
    • Two-Factor
  • Ezután összekapcsolod egy hitelesítő alkalmazással a telefonodon, például:
    • Google Authenticator
    • Microsoft Authenticator
    • Authy
  • A belépéskor a megszokott jelszó után a rendszer kérni fog egy ideiglenes, 30 másodpercenként változó kódot, amit az app generál.

Miért hasznos?

  • Megakadályozza, hogy illetéktelenek pusztán jelszó birtokában belépjenek.
  • Még akkor is véd, ha a jelszavad kiszivárgott vagy ellopták.
  • Egyre több online szolgáltatásnál kötelező – weboldal-tulajdonosként érdemes ezzel is lépést tartani.

Egy egyszerű beállítás, ami hatalmas különbséget jelenthet a biztonságodban. Ráadásul gyorsan beüzemelhető, és jelentősen csökkenti a weboldalad feltörésének esélyét.

6. Használj CAPTCHA-t – védd meg az oldaladat a kéretlen robotoktól

Valószínűleg már te is találkoztál olyan kis felugró ablakkal egy weboldalon, ahol ezt kérdezte:
„Nem vagyok robot” – és egy pipát kellett bejelölni, vagy képeket kiválasztani.
Ez a CAPTCHA, ami arra szolgál, hogy megkülönböztesse az emberi látogatót a robotoktól (botoktól).

Miért van erre szükség?

A spamek és automatizált támadások többségét programok (botok) végzik – nem emberek. Ezek a botok képesek pillanatok alatt:

  • hamis regisztrációkat létrehozni,
  • spam üzeneteket küldeni a kapcsolatfelvételi űrlapokon keresztül,
  • vagy akár folyamatosan próbálkozni a bejelentkezéssel, hogy feltörjék az oldalt.

Hogyan segít a CAPTCHA?

A CAPTCHA (kiejtve: „kepcsa”) olyan tesztet jelenít meg az űrlapokon, amit egy számítógép nem tud megoldani, csak ember. Ilyen lehet:

  • egy kis pipa bejelölése („Nem vagyok robot”),
  • képek kiválasztása (pl. „kattints minden képre, amin zebra van”),
  • vagy a háttérben automatikusan működő Google reCAPTCHA v3, ami elemzi a felhasználó viselkedését, és ha gyanúsnak találja, nem engedi tovább.

Hova érdemes beépíteni?

  • Kapcsolatfelvételi űrlapokra
  • Regisztrációs oldalakra
  • Belépési felületekre
  • Hozzászólási űrlapokra, ha van blog vagy fórum

A legtöbb weboldalépítő rendszerhez (pl. WordPress) ingyenesen elérhetők CAPTCHA bővítmények, és a beállításuk sem bonyolult.

Egy kis extra lépés a látogatónak, de hatalmas védelem az oldaladnak. Ha nem szeretnél napi több tucat spam üzenettel bajlódni, mindenképp érdemes beépíteni.

7. Tartsd karban a felhasználókat

  • Ne hagyj felesleges admin jogosultságú fiókokat
  • Töröld az inaktív vagy ismeretlen felhasználókat
  • Ne használd az „admin” felhasználónevet
  • Adj csak annyi jogosultságot, amennyi feltétlenül szükséges

8. Csak megbízható sablonokat és plugineket használj

Ingyenes sablonokat és bővítményeket csak a WordPress hivatalos könyvtárából vagy ismert fejlesztőktől tölts le. Az ismeretlen forrásból származó „pro” sablonok gyakran rejtett kódokat vagy hátsó ajtókat tartalmaznak.

9. Frissíts rendszeresen!

A WordPress, sablonok és pluginek frissítése nem kényelmi kérdés, hanem biztonsági kötelezettség. A támadások jelentős része ismert sebezhetőségeket használ ki – ezekhez a frissítések már elérhetőek, csak nem mindenki telepíti őket időben.

10. Készíts rendszeres biztonsági mentéseket – a weboldalad vésztartaléka

A biztonsági mentés olyan, mint egy biztosítás: reméljük, hogy sosem kell használni, de ha baj van, életmentő lehet. Akár egy frissítés hibásan fut le, akár feltörik az oldalad, vagy véletlenül törlöd az adatokat – ha van friss mentésed, néhány kattintással visszaállítható minden.

Milyen gyakran érdemes menteni?

Ez attól függ, milyen gyakran frissül a tartalmad:

  • Ha heti rendszerességgel blogolsz vagy webshopod van, akkor napi vagy heti mentés ajánlott.
  • Ha ritkábban frissül az oldalad, elegendő lehet a havi mentés is.

Hogyan lehet megoldani?

Sok tárhelyszolgáltató kínál automatikus mentést, de ha nem, használhatsz WordPress bővítményeket, mint például:

  • UpdraftPlus
  • JetBackup
  • All-in-One WP Migration

Fontos: ne csak a tárhelyeden tárold a mentéseket, mert ha azt éri támadás, a mentés is odavész. Érdemes legalább egy példányt eltárolni:

  • felhőalapú tárhelyen (pl. Google Drive, Dropbox),
  • vagy egy külső merevlemezen.

A lényeg, hogy mindig legyen egy működő, könnyen elérhető biztonsági másolatod, mert baj esetén ez lehet az egyetlen esélyed az adatvesztés elkerülésére.

11. Használj biztonsági bővítményt

Néhány bővítmény kifejezetten weboldalvédelemre szakosodott. A legismertebbek:

  • Wordfence Security
  • iThemes Security
  • Sucuri Security
    Ezek valós időben figyelik a behatolásokat, IP-címeket tiltanak, fájlváltozásokat jeleznek, és tűzfal funkciókat is tartalmaznak.

+1 tipp: Figyelj a teljes tárhelyedre – nem csak az aktuális oldal számít!

Ahogy a saját történetemből is láthattad: a támadás egy másik, elfelejtett oldalról indult. Egyetlen elavult CMS telepítés is megnyithatja a kaput. Folyamatosan figyeld, mi van a tárhelyeden, és ha nem használsz egy aldomaint vagy régi projektet, töröld le teljesen!

A weboldal nem egyszeri projekt, hanem élő rendszer. Ahogy az autódat sem csak akkor viszed szervizbe, amikor már füstöl, a weboldaladat is rendszeresen karban kell tartani. Nem kell biztonsági szakértővé válnod, de néhány alapszabály betartásával máris nagyot teszel a védelemért.

Ne várd meg, míg megtörténik a baj – előzd meg.

Mona Webdesign – Profi weboldalak, személyes törődéssel.

Ha szeretnél biztonságos, megbízható és könnyen kezelhető weboldalt, amit nemcsak elkészítek, de a háttérből vigyázok is rá, keress bizalommal – örömmel segítek!

Források & további olvasnivaló:
– Wordfence Official Blog
– Sucuri Security Reports
– WordPress Security Guide (WP Beginner)
– Kinsta: WordPress Security Checklist

Scroll to Top