Alapvető probléma a WordPress működési biztonságának szempontjából, hogy a bejelentkezési képernyőjén (/wp-admin/) akárhány bejelentkezési kísérlet a támadók rendelkezésére áll, így próbálgatásos (brute-force) támadások keretében (megfelelő idő és erőforrás rendelkezésre állása esetén) hozzáférést lehet szerezni az adminfelülethez. Ennek sokféleképpen vehetjük az elejét, például a webkiszolgálón beállíthatunk .htaccess-hozzáférést, amivel csak az a probléma, hogy alapesetben egy statikus fájllal dolgozik, így vagy mindenki ugyanazokat a bejelentkezési azonosítókat használja, vagy nekünk lesz rendszeres feladatunk a fájl frissítgetése, amennyiben az adminfelülethez többen is hozzáféréssel rendelkeznek.
A jó hír az, hogy erre is létezik egy bővítmény, amely ráadásul a WordPress felhasználóinak listáját használja, hiszen csupán annyival egészíti ki a WP bejelentkezési képernyőjének működését, hogy korlátozza a bejelentkezési kísérletek számát. Ennek a bővítménynek a neve a Limit Login Attempts Reloaded, és a következő funkciókat biztosítja:
- IP-nként korlátozza a bejelentkezési kísérletek számát
- Tájékoztatja a felhasználót a hátralévő kísérletek számáról vagy az újabb próbálkozásig hátralévő türelmi időről
- Választható naplózás és e-mailes értesítés sikertelen kísérletek esetén
- IP-k és fehasználónevek felvétele az engedélyezési vagy tiltólistára
- XMLRPC-átjáró védelme
- Woocommerce-bejelentkezés védelme
- Multi-site (hálózati) WordPress-oldalak védelme
- GDPR-kompatibilis
- Egyéni IP-források (pl. Cloudflare) támogatása
A bővítmény teljesen ingyenesen elérhető, és a használata gyakorlatilag semmilyen vagy csak nagyon minimális konfigurációt igényel. Alapértelmezés szerint 4 próbálkozási kísérlet után 20 percre kitiltja a felhasználót, amelyet a további próbálkozások meghosszabbítanak. Ezt a működést változtathatjuk meg, értesítést kaphatunk a kizárt felhasználókról, valamint megadhatjuk az engedélyezési és kizárási listákat.
És ennyi. Igazából legalább annyira érthetetlen, hogy miért nem így működik alapértelmezés szerint a WordPress, mint amennyire az a tény, hogy nem képes épkézláb módon lekezelni a bejegyzések sikertelen időzítését. A telepítését követően máris egy fokkal nagyobb biztonságban tudhatjuk az oldalunkat, ráadásul úgy, hogy a felhasználók életét sem nehezítettük meg egy újabb bejelentkezési ablakkal.
Chilly 1997 óta foglalkozik webhelyek üzemeltetésével és programozással, valamint különböző kütyük kipróbálásával, és azóta folyamatosan nyomon követi a technikai újításokat. Elsődlegesen Linux-rendszerekkel dolgozik, de az évek során rengeteg tapasztalatra tett szert a Windows-gépek üzemeltetése terén is, hobbiszinten pedig az utóbbi időben egyre több időt tölt a Raspberry Pi módosítgatásával.
Mesterfokon beszél angolul, és műszaki szakfordítói vizsgával rendelkezik. Korábban sokáig újságíróként dolgozott nyomtatott és online magazinoknál.
Legutóbbi hozzászólások