Mit tegyek, ha feltörték a WordPress oldalamat? (És hogyan lehet megelőzni?)
Bikfalvi Moni
2012. december 4. • 6 perc olvasás
2025. elején világszerte több ezer WordPress weboldalt ért összehangolt brute force támadás, amelynek során automatizált robotok próbáltak a gyenge jelszavakat kihasználva hozzáférni a webhelyek admin felületeihez. A Wordfence szerint ez a hullám március végén érte el a csúcsát, amikor napi több millió támadási kísérletet regisztráltak. A védekezés ilyenkor nemcsak a tárhelyszolgáltatók, hanem legalább annyira a weboldalak tulajdonosainak felelőssége is.
Ha egy szervert ér támadás, a szolgáltató (jobb esetben) gyorsan észleli és megteszi a megfelelő lépéseket. A megbízható hosting cégek, mint az én szolgáltatóm, a Sybell Hosting, 24/7 monitorozással és korszerű biztonsági rendszerekkel védik ügyfeleik weboldalait. Ha viszont csak a Te oldaladat törik fel, és a szerver többi része érintetlen, a tárhelyszolgáltató alap esetben nem vizsgálja, vagy hárítja el a fertőzést. Ilyenkor neked kell közbelépned, de a legjobb megelőzni a bajt.
Miért különösen sebezhető a WordPress?
A WordPress népszerűsége nem véletlen: nyílt forráskódú, könnyen bővíthető, és hatalmas közösség támogatja. De éppen emiatt vonzó célpont a hackerek számára is. A jó hír: a biztonsági réseket általában gyorsan felfedezik és javítják, de ennek előnyét csak akkor tudod kihasználni, ha rendszeresen frissítesz!
Ez egy végtelen harc: mindig jön egy új rés, új támadás, új frissítés.
De mivel önmagában ez még nem elég, fontos, hogy tisztában legyél a WordPress biztonságának alapjaival. Nézzük, mit tehetsz a WordPress oldalad biztonsága érdekében, és mit tegyél, ha már megtörtént a baj?
Ajánlott bővítmények 2025-re – friss lista
Az egyik legnépszerűbb és legmegbízhatóbb biztonsági bővítmény WordPresshez. Tűzfalat és malware-ellenőrzést biztosít, figyelmeztet a gyanús viselkedésre, és blokkolja az ismert támadó IP-címeket. Az ingyenes verzió is sokat tud, de a Pro változat még gyorsabb és pontosabb valós idejű védelmet ad.
🚫 Limit Login Attempts Reloaded
Az eredeti plugin frissített, aktívan karbantartott változata. Korlátozza a belépési kísérletek számát, vagyis, megakadályozza, hogy a robotok korlátlan alkalommal próbálkozzanak bejelentkezni az admin felületre. Az egyik legegyszerűbb módja a brute force támadások megelőzésének.
Ez a bővítmény lehetővé teszi, hogy kötelezővé tedd az erős jelszavak használatát az adminisztrátorok és szerzők számára. Személyre szabhatod a követelményeket: minimum hossz, kis- és nagybetűk, számok, speciális karakterek.
🕵️♀️ Sucuri Security
A Sucuri nemcsak ellenőrzést és figyelmeztetést nyújt, hanem aktív malware-szkennelést is. A SiteCheck nevű ingyenes szolgáltatásukkal akár regisztráció nélkül is átvizsgálhatod weboldalad: Sucuri SiteCheck
Nem bővítmény, de alapvető eszköz. Ha itt regisztrálod az oldalad, a Google figyeli az esetleges kártékony kódokat és hibákat, és értesít, ha probléma adódik, sőt arra is figyelmeztet, ha egy ideje nem frissítettél.
Mit tegyél, ha feltörték az oldalad?
Először is: ne ess pánikba!
Valószínűleg az adatbázisod ép maradt, így a tartalom nem veszett el. Ha rendszeresen készítettél biztonsági mentést (akár manuálisan, akár bővítménnyel), gyorsabban helyre tudod állítani a weboldalad.
Mit tudsz tenni?
- Ellenőrizd a fájljaidat: ha bátor vagy, és ismerősek számodra a rendszered fájlnevei, nézd meg a fájlok módosítási dátumait, keress szokatlan fájlneveket, vagy mappákat. Töröld a fertőzött fájlokat.
- Használj online szkennert: például a már említett Sucuri SiteCheck szolgáltatást. Ha valami gond van, ez kiírja, sőt, azt is megmondja, hogy hol kell keresned a támadó fájlokat.
- Cseréld a jelszavakat: Az összeset! FTP/SFTP, WordPress admin, adatbázis! Ha ezt nem tudod minden esetben megoldani, kérd a tárhelyszolgáltatód segítségét!
- Állítsd vissza a biztonsági mentést: ha van friss, tiszta példányod.
- Ha szükséges, telepíts újra mindent: ha nem vagy biztos benne, mi fertőződött meg, érdemes a teljes webhelyet újra telepíteni.
Egy megbízható tárhelyszolgáltató akár a mentőövet is jelentheti
Azt talán mondanom sem kell, hogy mennyire fontos, hogy megbízható, gondoskodó ügyfélszolgálattal rendelkező tárhelyszolgáltatód legyen! Ha a tárhelyszolgáltatód profi, akkor kérhetsz tőlük korábbi mentést, így akár egy régebbi tiszta állapot is visszaállítható, sőt a Sybell Hostingnál például a probléma feltárásában és javításában is segítenek.
Ha eddig nem tetted meg, érdemes elgondolkodni a szolgáltatóváltáson. Olyan tárhelyszolgáltatót válassz, ahol a szerverek biztonsága nem opció, hanem alap.
Kupon kód 15% kedvezményre első évben: WPSULI1520
Nincs időd ezzel foglalkozni? Szervezd ki!
Sokan halogatják a frissítéseket, mert félnek, hogy valamit elrontanak és ez teljesen érthető. De minél tovább vársz, annál nagyobb a kockázat és a halogatás komoly következményekkel járhat.
Jó hír viszont, hogy ha bizonytalan vagy nem kell egyedül megküzdened a védekezés nehézségeivel. Számos hosting cég kínál specializált, menedzselt WP tárhelycsomagokat, ahol elvégzik helyetted ezeket a feladatokat és a honlapodat mindig biztonságban tudhatod.
Ne feledd: mindig könnyebb megelőzni a bajt, mint helyrehozni!
Egyik remek üzemeltetési és karbantartási csomag amit merek ajánlani a HelloWP csapatától, katt ide.