Vissza a blogra
Olvasási idő: 4 perc

WordPress Biztonság 2026: A 6 leggyakoribb támadás és a védekezés lépései

Endrik Róbert2024. július 15.
BiztonságWordpressÜzemeltetés
WordPress Biztonság 2026: A 6 leggyakoribb támadás és a védekezés lépései

A WordPress Biztonság nem egy "Plugin", hanem egy folyamat

A WordPress a világ legnépszerűbb CMS rendszere, és pont ez a veszte is: mivel milliók használják, a hackerek elsődleges célpontja. Egy weboldal tulajdonosaként, marketingesként vagy fejlesztőként nem engedheted meg magadnak a naivitást.

A biztonság nem ott kezdődik, hogy feltelepítesz egy "All-in-One Security" bővítményt. A biztonság rétegekből áll: szerveroldali védelem, alkalmazás szintű tűzfal (WAF), felhasználói fegyelem és rendszeres karbantartás.

Ebben a cikkben szakmai mélységben, de érthetően vesszük át a 6 legkritikusabb fenyegetést, és a valódi megoldásokat.

1. Rosszindulatú kódok (Malware)

Nem csak a "vírusokról" van szó. A malware a WordPress ökoszisztémában leggyakrabban hátsó kapuk (backdoors), elrejtett spam-link injektorok vagy átirányító parancsfájlok formájában jelenik meg.

A hatás:

  • SEO Spam: A Google találati listáján az oldalad japán kulcsszavakra kezd rangsorolni.

  • Adatlopás: Kémprogramok (spyware) rögzítik a vásárlók bankkártya-adatait a pénztár oldalon (skimming).

  • Reputáció: A böngészők "Nem biztonságos" képernyővel blokkolják az oldaladat.

A megoldás: Valós idejű védelem Nem elég a heti scan. Olyan biztonsági bővítmény kell (pl. Shield Security Pro, Wordfence, SolidWP), ami figyeli a fájlrendszer változásait. Ha egy PHP fájl módosul, arról azonnal tudnod kell.

  • Kiegészítés: Rendszeresen ellenőrizd a wp-content/uploads mappát is, mert a támadók gyakran ide rejtenek el PHP kiterjesztésű fájlokat képnek álcázva.

2. SQL Injekció (SQLi)

Ez az egyik legrégebbi, de legpusztítóbb támadási forma. A WordPress (és a WooCommerce) MySQL adatbázist használ minden tartalom tárolására.

Hogyan működik? A támadó egy rosszul megírt beviteli mezőn (pl. kereső, kapcsolat űrlap) vagy URL paraméteren keresztül SQL parancsokat juttat a rendszerbe. Ha a kód nincs megfelelően fertőtlenítve (sanitization), az adatbázis végrehajtja a parancsot – például kiadja az összes felhasználó jelszavát, vagy törli a teljes adatbázist.

Védekezés:

  • Fejlesztőknek: Mindig használd a WordPress beépített wpdb::prepare() függvényét az SQL parancsok előkészítésére. Sose bízz a felhasználói bemenetben!

  • Tulajdonosoknak: Használj webalkalmazás-tűzfalat (WAF), ami felismeri és blokkolja az SQLi mintákat (pl. UNION SELECT kísérletek) még mielőtt azok elérnék az adatbázist. Valamint: Korlátozd az adatbázis hozzáférést (ne használd az alapértelmezett wp_ előtagot telepítéskor).

3. Cross-Site Scripting (XSS)

Míg az SQLi a szervert támadja, az XSS a felhasználóidat. A támadó rosszindulatú JavaScript kódot juttat az oldaladra (pl. egy hozzászólásba rejtve). Amikor egy másik látogató (vagy az admin!) megnyitja az oldalt, a kód lefut a böngészőjében.

A kockázat: Ellophatják az adminisztrátor munkamenet-sütijét (session cookie), így jelszó nélkül is átvehetik az irányítást az oldal felett.

Védekezés:

  • Kimenet tisztítása (Output Escaping): Gondoskodni kell róla, hogy a böngésző a beillesztett adatot szövegként, és ne futtatható kódként értelmezze.

  • Content Security Policy (CSP): HTTP fejléc beállítása, ami korlátozza, honnan tölthet be az oldal külső scripteket.

4. Brute Force (Nyers erő) támadások

A legegyszerűbb, mégis hatékony módszer. Botok ezrei próbálgatják a teoldalad.hu/wp-admin felületen a leggyakoribb felhasználónév/jelszó kombinációkat.

Miért veszélyes a WooCommerce-re? A webáruházakban sok a regisztrált felhasználó, ami növeli a támadási felületet. A támadók gyakran nem a belépésre, hanem a szerver túlterhelésére játszanak a rengeteg lekéréssel.

Védekezés - Több lépcsőben:

  1. Erős jelszó házirend: Kényszerítsd ki a bonyolult jelszavakat.

  2. Kétfaktoros hitelesítés (2FA): Ez ma már kötelező minimum, főleg adminisztrátoroknak. Hiába szerzik meg a jelszavad, a telefonodra érkező kód nélkül nem jutnak be.

  3. Login Limit: Használj bővítményt, ami 3-5 sikertelen próba után tiltja az IP-t.

  4. XML-RPC tiltása: (Kiegészítés) A támadók gyakran az xmlrpc.php fájlt használják brute force támadásra, mert itt egy kéréssel száz jelszót is kipróbálhatnak. Ha nem használsz külső appot a posztolásra, kapcsold ezt ki!

5. DDoS (Túlterheléses) támadások

A cél itt nem a bejutás, hanem az oldal megbénítása. Túl sok kérés egyszerre = a szerver összeomlik. Ez webshopoknál közvetlen bevételkiesés.

Professzionális védelem: Itt a szerver oldali védelem a kulcs.

  • CDN (Cloudflare, StackPath): A forgalmat egy globális hálózaton keresztül vezeted, ami elnyeli a támadás nagy részét.

  • Rate Limiting: Korlátozd, hogy egy IP címről hány kérés érkezhet percenként.

6. Adathalászat (Phishing)

A leggyengébb láncszem nem a kód, hanem az ember. Kaphatsz egy emailt a "tárhelyszolgáltatódtól", hogy "Azonnali beavatkozás szükséges", és egy kamu login oldalra irányítanak.

Megoldás:

  • Edukáció: Soha ne kattints emailből érkező "jelszócsere" linkre ellenőrzés nélkül.

  • A biztonsági bővítmények (pl. Solid Security, Wordfence) naplózzák az admin tevékenységet. Ha valaki belép a nevedben Lagosból hajnali 3-kor, arról a rendszer riasztást küld.

Összegzés: A védelem nem termék, hanem szolgáltatás

Láthatod, hogy a WordPress biztonság nem merül ki egy plugin telepítésében. Folyamatos harc a sérülékenységek ellen, ami szakértelmet igényel:

  • A szerver naprakészen tartása.

  • A logok (naplófájlok) rendszeres elemzése.

  • A bővítmények kompatibilitásának tesztelése frissítés előtt.

Ha szeretnéd, hogy a weboldalad védelmét profik kezeljék:

A Digitalgrant karbantartási csomagjai tartalmazzák a prémium tűzfalat (WAF), az izolált konténeres tárhelyet (nincs keresztfertőzés!), és a 0-24-es monitorozást. Nem csak ígérjük a biztonságot, hanem ipari szabványok szerint garantáljuk.

👉Nézd meg a karbantartási csomagokat!