Biztonság

A bejelentkezés folyamata

Bejelentkezés

A bejelentkezés a WordPress oldalunkra az első dolog, amit meg kell tennünk, mielőtt bármilyen adminisztratív feladatot el tudnánk végezni. Maga a bejelentkezés egy egyszerű és banális feladatnak tűnik, de fontos megtenni a megfelelő óvintézkedéseket. Alap helyzetben egy teljesen új WordPress rendszer admin menüje az alábbi linken keresztül érhető el: www.oldalam.hu/wp-admin vagy www.oldalam.hu/admin. Itt az általunk korábban megadott (vagy regisztráció esetén kapott) bejelentkezési adatokkal tudunk majd belépni.

A felhasználói név dilemmája

Adminként nagy rajtad a felelősség, hogy megfelelően használd az oldaladat, hiszen minden bizonnyal sokan szeretnének hozzáférést hozzá. Valahol minden adat értékes, de ha mást nem, a szervered erőforrása biztosan az. Ahhoz, hogy minél kevesebb bosszúságot okozz magadnak, válassz megfelelő felhasználói nevet. A WordPress legújabb verziójában már e-mail címeket is megadhatsz majd. Az admin neved ne legyen “admin”. Ez lehetne talán a “WordPress” biztonsággal foglalkozó nagykönyvének első törvénye is, főleg azért, mert az automatizált támadások korában túl kiszámítható a dolog és emiatt nagy a biztonsági kockázata is.

Ha nem találsz magadnak felhasználói nevet, akkor használj valami generátort, Például ezt. Legyen bonyolultabb, de azért megjegyezhető, a WordPress egyébként nem fog belekötni az ötletedbe. Lehetőleg használj mindenhol másik nevet, szintén biztonsági okokból. Egyszerű dolgok, mégsem sokan tartják be, főként lustaságból…

Védekezz adathalászat ellen

Mindig ellenőrizzük a domainnevet, ahová bejelentkezünk. Gyakori, hogy a hackerek emailben küldenek egy hivatkozást, hogy ezt használjuk a bejelentkezésre. A hivatkozás teljesen legitim WordPress oldalnak tűnik, de valójában egy rosszindulatú oldal. Ahogy bejelentkezünk a látszólag biztonságos saját WordPress oldalunkra, tárolják a bejelentkezéshez használt adatainkat és később ezzel feltörik az igazi WordPress oldalunkat. Ezt a technikát hívják „adathalászatnak” (angolul phishing).

Egy jó módszer arra, hogy elkerüljük a nem kívánt adathalászatot és következményeit, ha bejelentkezés előtt ellenőrizzük a böngésző címsorában a domainnevet, és megbizonyosodunk róla, hogy biztosan arra az oldalra jelentkezünk be, ahová szeretnénk. Ez egyébként általánosságban is fontos dolog, sajnos bizonyos böngészőkben (pl ios Safari) nehezebb a linket kibogarászni, de törekedjünk a körültekintő használatra.

Van HTTPS? Akkor használd!

Mielőtt bejelentkezünk, ellenőrizzük le a böngésző címsorában, hogy az oldal címe https://-el kezdődik és zöld színű (a legtöbb böngésző esetében). Ezen felül egy zárt lakatot ábrázoló ikont is találhatunk még itt, ami azt jelzi, hogy az oldal biztonságos. Ha HTTPS-en keresztül jelentkezünk be, a bejelentkezési adataink titkosítva lesznek feltöltve a hálózatra, így ha valaki „hallgatózik”, nem tudja ellopni a felhasználónevet és a jelszót, legalábbis nehezebb.

WordPress-re is van lehetőség HTTPS hitelesítést használni, lesz szó róla a cikksorozatban. Egyeztess tárhelyszolgáltatóddal, vagy kérj információt egy hitelesítés-szolgáltatótól. Manapság már elérhető árakon hozzá lehet jutni és aránylag egyszerű a használata is.

Free Wi-Fi, semmi biztonság

A nyílt hálózatok, munkahely, éttermek, hotspotok nem mindig biztonságosak. Vedd figyelembe minden bejelentkezésnél, hogy már az is biztonsági kockázat, ha egy nem megfelelő hálózatot használsz nap, mint nap. Ne jegyeztesd meg a bejelentkezési adatokat soha nyílt hálózaton és ne hagyd őrizetlenül az eszközeidet nyilvános helyeken.

Ezeket azért írjuk le, mert az adatlopások igen nagy hányadát emberi/felhasználói szokások teszik lehetővé és hiába van egy bankhoz illő HTTPS titkosítás a WordPress oldaladon, ha ilyen egyszerű hibákon elhasal a rendszer.

Eredeti cikk: WordPress és a biztonság – A bejelentkezés folyamata

A szerzőről

Gábor Jurgovszki

Jurgovszki Gábor

Galaktikus társulásunk annak érdekében jött létre, hogy a Magyar KKV-t a kezdeti lépésektől egészen a szárnyalásig segítsük szakértelmünkkel. Imádjuk az OpenSource megoldásokat és ezen belül a WordPress CMS-t is. Olyan információkat is megosztunk másokkal, amik óriási fejlődéseket okoznak az aktuális idővonalon.

  • Kemu

    Https-t csak az adminra, vagy a teljes oldalra érdemes használni?

    • Janos L. Virag

      Szia! Az egész oldalra érdemes, biztonság és a SEO miatt is.

      • Kemu

        Köszönöm, megnézem.

      • Mr. Csu

        Pontosan. Domain-szinten kell beállítani a https-t, egyébként is nehéz lenne külön csak adminra konfigolni szerintem. Sok szolgáltató foglalkozik már ezzel, kifejezetten WP-hez is, kérj nyugodtan ajánlatokat, egy supporttal rendelkező cégnél alig lesz teendőd.

  • Patai László

    Jó cikk, kíváncsi vagyok a sorozatra!

  • anna

    Ez az oldal jó!

Yes No