A legjobb WordPress tűzfalak: adjunk weboldalunk biztonságára

Bár a WordPress segítségével valóban szinte bárki képes összerakni egy komplett weboldalt – kezdve a blogoktól a webáruházakig -, a többség a honlap elkészülte okozta sikerélmény mámorában két dologról szokott elfeledkezni. Az egyik az oldal gyorsítását szolgáló cache plug-inek valamelyikének beüzemelése, a másik pedig az oldal biztonságáról gondoskodó tűzfal telepítése. Mert bár a legegyszerűbb osztott tárhelynél is be szoktak állítani a szolgáltatók legalább egy ki- és bekapcsolható ModSecurity tűzfalat (WAF – web application firewall), ez elsősorban a szervert képes megvédeni, a WordPress oldal tucatnyi sebezhetősége ellen önmagában nem hatékony. Szerencsére seregnyi WordPress plug-in akad, amelyek blokkolnak bizonyos támadási formákat, befoltoznak esetleges biztonsági hibákat, vagy ellenőriznek és eltávolítanak malware fertőzéseket. Ám ha minden egyes problémát külön kiegészítővel oldunk meg, az nem mindig előnyös az oldal működése szempontjából. Ráadásul sokkal kényelmesebb, ha egyetlen felületen menedzselhetjük az összes lehetséges biztonsági malőr kivédését. Ehhez mutatjuk most meg, melyek a legjobb WordPress tűzfalak jelenleg, amelyeket akár ingyen is beüzemelhetünk, hogy megvédjük weboldalunk tartalmát és felhasználóink személyes adatait, illetve elkerüljük, hogy a kiberbűnözők a tudtunkon kívül adathalászatra és egyéb csínytevésekre használják fel oldalunkat vagy szerverünk erőforrásait.

A legjobb WordPress tűzfalak

Számtalan tűzfal megoldás létezik WordPresshez, mi most három olyat választottunk ki, amelyek alkalmasak gyakorlatilag minden elterjedt támadási módszer kivédésére, viszont a beüzemelésükhöz nem szükséges pilótavizsga. Bármelyiket választjuk és kapcsoljuk be legalább az alap védelmi funkciókat rajtuk, máris sokat tettünk azért, hogy megóvjunk oldalunkat a támadóktól. 

Értelemszerűen nincs százszázalékos védelem, a kiberbűnözői oldal is folyamatosan fejlődik, s olykor a védelem lassabban követi ezt, de a semminél mindenképpen jobb, ha van tűzfalunk. Már csak azért is, mert az ember nem is gondolná, de onnantól, hogy egy weboldal elérhetővé válik (vagy amint bejegyezték a domaint) a világhálón, szinte azonnal megkezdődnek a próbálkozások (akár percenként 100 ezres nagyságrendben a világban). S mivel a weboldalak nagy százaléka használ WordPress-t, ehhez is elérhetők olyan hacker eszközök, amelyekkel boldog-boldogtalan nekieshet egy oldal feltörésének. Ha nincs megfelelő védelmünk, viszonylag jó esélyük van a sikerre. Ráadásul a sablonok és plug-inek fejlesztői is véthetnek olyan hibát, amelynek köszönhetően az adott modulon keresztül válik sebezhetővé az oldal. Szóval van elég rizikó alapból, legalább minimálisan tegyük meg, amit lehet. Ha pedig felhasználói adatbázist is építünk az oldalon (webshop, tagsággal járó szolgáltatások stb.), akkor a megfelelő WordPress tűzfal megléte konkrét követelménynek tekinthető.

All-in-one WP Security & Firewall

Kezdjük a legkézenfekvőbbnek tűnő megoldással. A meglehetősen hosszú nevű All-in-one WP Security & Firewall teljesen ingyen áll bárki rendelkezésére és gyakorlatilag minden olyan eszközt tartalmaz, amelyekkel felderíthetők és befoltozhatók oldalunk aktuális sebezhetőségei, megakadályozhatók a brute force támadások, letilthatók a nem kívánatos IP címek, megakadályozhatók az XML-RPC funkciókon keresztüli hozzáférések stb.

A plug-in beüzemelése nem a legegyszerűbb, de két dolog is segíti a kiigazodást a rengeteg opció között: mindenhez van részletes (angol nyelvű) leírás, közvetlenül az opciók mellett, illetve az AIO WP egy érdekes pontozási rendszerrel is jelzi, hogy mennyire fontos az adott opció bekapcsolása az összkép szempontjából. Egyébként ezekből a pontokból áll össze végül egy összpontszám, amellyel képet kapunk arról, milyen szintű a védelemünk. S bár minél magasabb a pontszám, annál jobb, de azért nem feltétlenül érdemes mindent bekapcsolni, mert lehet, hogy a mutató a maximumra ugrik tőle, de mi azt már nem fogjuk látni, ha a modul minket is kitilt a saját oldalunkról pár eltúlzott tiltás miatt. Haladjunk ésszerűen és egy-egy funkció bekapcsolása előtt olvassuk el, mit fogunk letiltani a bekapcsolásával. Ha nagy gond van, akkor értelemszerűen a tűzfal kiiktatható a plug-in mappájának a szerveren történő törlésével (vagy a mappa átnevezésével) és egy alapértelmezett .htaccess fájl visszarakásával (szóval nem árt, ha az FTP-hez is van hozzáférésünk). Utóbbiról egyébként az AIO WP képes biztonsági mentést készíteni a szerver kiválasztott mappájába. Ugyanígy az adatbázisunk automatikus mentését is rábízhatjuk, ami hasznos lehet, ha olyan támadásból kell visszahozni az oldalt, ami az adatbázist érintette.

Az AIO WP segíthet abban is, hogy megakadályozzuk a PHP fájlok illetéktelen módosítását, illetve értesüljünk róla (meghatározott időnként akár e-mailes összefoglalóban is), hogy milyen változások történtek az elmúlt időszakban, netán van-e olyan fájl, amelynek nem megfelelőek a beállított jogosultságai.

Elterjedt támadási forma weboldalak ellen a brute force, de az ilyen próbálkozásokat ez a tűzfal korrekt módon kivédi. Lehetőségünk van a próbálkozások számának korlátozására és az adott IP cím megadott időtartamra történő kizárására is. De létrehozhatunk fekete és fehér listákat is, hogy végleg kitiltsunk vagy örökre engedélyezzünk IP címeket. A támadások tényéről egyébként e-mailben is tud értesítést küldeni, ha kérjük. Ugyanígy védekezhetünk a SPAM-ek, a Fake Googlebot próbálkozások, a hamis lekérdezések, s még megannyi támadási mód ellen. Ezek némelyikének kezeléséről dönthetünk egyenként is, a többit pedig a tűzfal funkciók ki- vagy bekapcsolásával lehet menedzselni. 

Érdekesség még a login és a regisztrációs űrlapok védelme. Ehhez használhatjuk az AIO WP saját captcha megoldását (ez gyakorlatilag egyszerű matekfeladatok eredményét kéri be a felhasználónév és a jelszó mellett), vagy akár a Google reCaptcha (v2) szolgáltatással is összeköthetjük pikk-pakk. Sőt, extraként még arra is van lehetőségünk, hogy a WordPress alapértelmezett /wp-admin linkje helyett másik útvonalra tereljük a beléptetést. Így a kevésbé gyakorlottak nem fognak rátalálni a login felületünkre. Mondjuk nem teljesen veszélytelen a dolog, mert akadhatnak olyan szerverkonfigurációk, amelyeken magunkat is kizárhatjuk így az oldalról, de ha elviseli a szerver, jól jöhet, mint plusz védelmi opció.

Ha a fentiek még kevésnek tűnnének, akadnak további plusszok is: ott van például a karbantartási üzemmód bekapcsolásának lehetősége, amellyel megspórolhatjuk egy önálló maintenance plug-in telepítését, hogy amíg épp átépítjük az oldalt, a felhasználók egy átmeneti üzenetet lássanak csak, amelyből megtudják, mikor érdemes visszatérniük, hogy a valódi oldalt is szemügyre vehessék.

Mindent egybevetve az AIO WP egy kifejezetten sokoldalú tűzfal a WordPress oldalakhoz. A fentieken túl még számos praktikus eszközzel segítheti a védelmet, így például képes átnézni, hogy az alapvető WP biztonsági elvárásoknak megfelelünk-e (nem használjuk a sima admin felhasználónevet, nem használunk túl egyszerű jelszavakat, nem használjuk az adatbázistáblák nevénél a WordPress alapértelmezett előtagját stb.). A felsoroltakon ráadásul segíteni is tud utólag, szóval egy védelem szempontjából gyengébbre sikerült WP konfiguráció ezen hibáit is korrigálhatjuk vele. Végezetül pedig van malware elleni védelme is, de az már sajnos nem ingyenes és a beüzemelése sem egyszerű. Ebből a szempontból a következő plug-in lesz a nyerő.

WordFence

WordFence egyike a legegyszerűbben beüzemelhető biztonsági moduloknak, ám ennek ellenére nem lebecsülendő a védelmi képessége. Sőt! Ez egy komplex végponti tűzfal, amely képes megakadályozni a brute force és hasonló támadásokat, emellett pedig komplett malware szűrővel és a bizonyítottan kártékony tevékenységre használt IP címekről realtime frissülő adatbázissal is rendelkezik. Utóbbi ugyebár azt jelenti, hogy ha olyan IP címről próbálkoznak valamilyen támadással, amiről már bebizonyosodott, hogy rossz kezekben van, a tűzfal visszakézből letiltja a próbálkozást (ez amúgy hosszú távon a szerverünk erőforrásait is kímélheti, hiszen a támadásokat is “ki kellene szolgálni”). Emellett adott időközönként átvizsgálja az összes fájlt, hogy történtek-e gyanús módosítások, malware fertőzések. Nem csak a telepített WordPress könyvtárait, hanem a WP látóköre alól kieső többi almappa vizsgálatát is magára vállalhatja. De képes ellenőrizni az esetleges hátsó kapuk meglétét, a káros oldalakra átirányító linkeket (például a blogbejegyzésekben), ellenőrzi a sablonok, plug-inek, és a WordPress aktuális verzióinak meglétét, és jelezi ha azok elavultak, sérülékenységet tartalmaznak, vagy eltérés van az oldalukon és a WordPress repository-ban található fájlok között.

A valósidejű malware és kártékony IP cím frissítésekre is építő szkennelés kiemeli a WordFence-t az átlagos tűzfalak közül, de ettől még természetesen azok feladatát is ellátja: például véd a brute-force támadások ellen (akár emberi, akár bot próbálkozásokról van szó), megakadályozza az adatszivárgást, illetve ellenőrzi, hogy jelszavaink kellően összetettek-e. Mi több, a jelszavaink kapcsán van egy izgalmas extra szolgáltatása is: összeveti az oldalunk felhasználóinak jelszavait a kiberbűnözők által használt publikus adatbázisokba kikerült jelszavakkal és belépési adatokkal, s jelzi, ha valamelyik felhasználó jelszava szabad prédává vált a világhálón. Sőt, adott esetben arra is képes, hogy onnantól automatikusan megakadályozza az adott felhasználó belépését a nyilvánosságra került belépési adatokkal (így vagy a felhasználónak, vagy az adminnak kell lecserélni a régi, kompromittált jelszót egy összetett, újra).

S ha már úgyis a felhasználók belépésénél tartunk, jöjjön még egy remek extra funkció: ez a kétlépcsős beléptetés (2FA) lehetősége a WordPress oldalunk felhasználói számára. Nem csak az adminok, hanem adott esetben akár az összes jogosultságba eső felhasználó számára beállíthatjuk, hogy a fix név+jelszó pároson felül egy állandóan változó azonosítót is meg kelljen adniuk a belépéshez. A beüzemelése rém egyszerű, s természetesen bármely ingyenes authentikátor (Google, Microsoft stb.) appal együttműködik, vagy a jobb jelszómenedzserek is képesek kezelni a 30 másodpercenként megújuló kódokat. Kapjuk hozzá az egyedi QR kódot, a manuális beállításhoz szükséges kódot, és a visszaállító kódokat egyaránt. Teljeskörű megoldás!

Úgy tűnik, a WordFence-nél nem nagyon hisznek abban, hogy a login link megváltoztatása valóban hasznos, szerintük több problémát okoz, mint amennyit megold, szóval ez a funkció speciel hiányzik ebből a tűzfalból, de a 2FA beléptetés meglehetősen erős alternatíva, azt pedig itt is meghatározhatjuk, hányszor lehet próbálkozni a belépéssel és a sikertelen próbálkozókat mennyi időre tiltsa ki a tűzfal az IP címük alapján.

További érdekesség még a country blocking névre keresztelt funkció, amellyel az elnevezésének megfelelően tetszőleges országokat tehetünk tiltólistára. Listázásban amúgy is igen sokoldalú a modul, egyszerű IP tiltások mellett akár összetett szempontrendszert is kidolgozhatunk, hogy kiket nem akarunk a weblap közelébe engedni (vagy adott esetben csak elzárni őket a bejelentkezési és regisztrálási lehetőségtől).

Mindent egybevetve a WordFence az egyik legösszetettebb tűzfal plug-in, miközben egyike a legkönnyebben konfigurálhatók megoldásoknak is. Nem mintha itt ne veszhetnénk el az opciók tömkelegében, de általában az alapértelmezések is korrekt védelmet nyújtanak benne, minden más már csak finomhangolási lehetőség a profik számára. Van belőle bőven, ha valakit ez megnyugtat. A tűzfal minden rezdülését, az értesítések küldését, az ellenőrzések ütemezését, az erőforrások felhasználásának szintjét egyaránt a saját képünkre alakíthatjuk. Az összefoglaló Dashboard felületen pedig látványos listákkal és grafikonokkal tekinthetjük át, milyen szintű a védelmünk és miféle támadások, próbálkozások kerültek tiltásra. 

A WordFence lényeges tűzfal funkcióit és alap szkenner funkcióját teljesen ingyen beüzemelhetjük az oldalunkon. Egy átlagos WordPress oldalnak, blognak bőven megteszi ez is. Ha valamilyen összetettebb tartalommal – s pláne szabadon regisztráló felhasználókkal – bíró site-ot üzemeltetünk, akkor viszont érdemes elgondolkozni a Premium funkciók beszerzésén is, amit éves előfizetéssel tehetünk meg (99 USD egy évre egy oldalhoz). Ha több oldalunk van, akkor kedvezményesebb lehet az oldalankénti ár, s ez esetben nem utolsó lehetőség a WordFence Center használata, hogy egyetlen felületen átlássuk az összes oldal aktuális biztonsági problémáit és kényelmesen elvégezhessük ugyanazokat a beállításokat mindegyik site-on. S hogy mit is kapunk a Premium előfizetésért cserébe? Nos, ez esetben érhető csak el: a country blocking funkció, ez esetben van csak real-time adatbázisfrissítés a malware és kártékony IP címek adatbázisaihoz, ez esetben kapjuk csak meg a real-time tűzfal szabályok frissítéseit, amelyek azonnal gondoskodnak az esetleg újonnan napvilágra került WordPress biztonsági sebezhetőségek kihasználásának megakadályozásáról. Szóval a valós idejű adatbázisok mind a Premium előfizetők kiváltságát képezik. Az ingyenes verzióval – az alap tűzfal funkciók meglétén túl – sajnos be kell várni az időközönkénti adatbázis-frissítéseket (ami, mint más összefüggésben már említettük, szintén jóval több, mint a semmi).

Mint említettük, a modul beüzemelése szinte gyerekjáték, arra viszont érdemes figyelni, hogy első konfigurálása után úgynevezett Learning Mode üzemmódban fut csak, vagyis folyamatosan elemzi az oldal működését, de még nem minden védelmi funkció lesz aktív (az alap tűzfal opciók természetesen ilyenkor is védenek). Ez idő alatt ki tudjuk kiszűrni az esetleges téves riasztásokat, anélkül, hogy az oldal működése szempontjából esetleges fontos funkciók blokkolásra kerülnének. A tanulási fázis néhány napig tart, utána a modul átkapcsol teljes védelemre. Emellett arra is van lehetőség, hogy kihagyjuk ezt a tanulási időszakot és manuálisan állítsuk át az Enabled and Protecting állapotba a tűzfalat. Egy rövid próbát azért érdemes tenni a tanulási móddal, mert a WordPress oldalak annyiféle konfigurációban rakhatók össze, hogy sosem tudhatjuk, mivel ütköznek esetleg a tűzfal alapértelmezett beállításai.

iThemes Security

Végül következzen egy szintén méltán népszerű tűzfal megoldás, az iThemes Security (korábban Better WP Security néven volt ismert). A következő kijelentésünk okai nagyon szubjektívek, de: mi ezt a modult kezdőknek nem igazán ajánljuk. Bár van olyan funkció, amellyel az alapvető tűzfal funkciók bekapcsolása mindössze egy kattintás vele, de ettől még a legtöbb opcióval manuálisan kell elbánnunk, s nem biztos, hogy minden teljesen egyértelmű lesz a kezdők számára. Cserébe viszont akad pár, amelyekkel kiválóan el lehet kaszálni az oldalt, ha nem figyelünk oda.

Ettől függetlenül az iThemes Security szintén sokoldalú tűzfal, amely – ha összekötjük a különféle online adatbázisokkal, például HackRepair.com – akár valósidejű információkkal is rendelkezhet a frissen napvilágra kerülő sérülékenységekről és támadásokról. Ezek ellen így sokkal hatékonyabban tud védeni, mintha általánosságban figyelne csak mindenre, bár természetesen ezt is megteszi: a brute force elleni védelem, az erős jelszavak használatának erőltetése, a fájlok gyanús változásai, a fájljogosultságokkal kapcsolatos problémák stb. mind rendelkezésünkre állnak, teljesen ingyen.

Sajnos az ingyenes lehetőségek ennyiben ki is merülnek, az igazán izgalmas funkciókért e plug-in esetén fizetnünk kell. Ilyen a reCaptcha és a kétfaktoros beléptetés (2FA) beüzemelésének lehetősége, az időzített szkennelés, a felhasználók biztonsági beállításainak ellenőrzése, a verziómenedzsment stb. Ezek az ingyenes változatban nem állnak rendelkezésünkre. 

Van viszont néhány praktikus extra itt is. Az egyik ilyen az Away Mode, amely egy meghatározott időszakra teljesen képes lezárni a WordPress admin felületét, vagyis addig senki nem tud belépni, amíg a tiltási időszak tart. Ezt akár arra is használhatjuk, hogy a felhasználók belépési időszakát korlátozzuk vele. De például az SSL tanúsítvány használatát (http -> https átirányítást) is képes megoldani, bár erre a célra mi inkább a Really Simple SSL-t javasoljuk. Emellett itt is adott a lehetőség, hogy megváltoztassuk a WordPress login oldalának elérési útját.

Az iThemes Security ezen felül képes felügyelni a biztonsági mentések készítését is, igaz, ez csak az adatbázis mentésére vonatkozik: e-mailben elküldéssel és/vagy helyi mappába történő mentéssel gondoskodik annak biztonsági másolatáról.

Hasonlóan a WordFence Center megoldáshoz, itt beüzemelhetünk egy iThemes Security Dashboard névre keresztelt szolgáltatást, amelyen egyetlen felületről tudjuk menedzselni több site biztonsági beállításait és nyomon követni az aktuális eseményeket. Egyébként ha több oldalunk is van és szükségét érezzük a Premium funkcióknak, az iThemes Security 199 USD / éves áron előfizethető, s így akárhány oldalunkon beüzemelhetjük, ami korrekt ár/érték arány. Ha csak egy weblapot üzemeltetünk, a Premium funkciókat 80 USD / éves áron kaphatjuk meg.

Összegzésül

Mindent egybevetve a három tesztelt tűzfal plug-in közül tulajdonképpen bármelyik jó választás lehet. Ha valakit megnyugtat, hogy a legújabb fenyegetésekre (malware, WP sérülékenységek, ismert kártékony IP-k stb.) is azonnali tud reagálni a tűzfal, akkor a legjobban a WordFence Premium csomagjával járhat. Ha valakinek inkább egy sokoldalú és teljesen ingyenes megoldás kell, annak az AIO WP Security tökéletes megoldás lesz, akinek pedig hatékony brute force védelemre, kétlépcsős azonosításra és rendszeres időközönként frissülő malware védelemre van szüksége, annak kiváló eszköz lesz a WordFence ingyenes változata. Ezek után az iThemes Security-t leginkább azoknak tudjuk ajánlani, akik a másik kettő között keresnek megoldást és ezért hajlandók kifizetni a prémium csomag árát.