Miért pont a WordPress a hackerek kedvenc célpontja?
A WordPress az összes weboldal közel 43%-át hajtja – ez teszi a legelterjedtebb, és egyben a legtöbbet támadott tartalomkezelő rendszerré. Fontos azonban hangsúlyozni: nem a WordPress maga a biztonsági kockázat, hanem az elavult pluginek, gyenge jelszavak és gondatlan konfiguráció. Egy megfelelően karbantartott és beállított WordPress oldal rendkívül biztonságos tud lenni.A leggyakoribb támadási módszerek
Mielőtt a védekezésről beszélünk, érdemes megérteni, hogyan próbálnak bejutni a hackerek:• Brute force támadás – automatizált eszközökkel próbálnak ki ezer jelszókombinációt az admin bejelentkezőn
• Elavult plugin sérülékenységek – a nem frissített pluginekben ismert biztonsági réseken jutnak be
• SQL injection – rosszindulatú kódot juttatnak az adatbázisba
• Cross-site scripting (XSS) – kártékony scriptet helyeznek el az oldalon
• Nulled (feltört) pluginek és témák – ingyenesen letöltött, eredeti fizetős bővítmények, amelyekbe backdoort ültettek
10 lépés a biztonságos WordPress oldalhoz
1. Mindig frissítsd a WordPress core-t, a plugineket és a témát
A biztonsági frissítések 90%-a ismert sérülékenységeket zár be. Ha nem frissítesz, ezek a rések nyitva maradnak – és a hackerek pontosan tudják, hol keressék őket.2. Használj erős, egyedi jelszavakat
Az „admin/admin123" kombináció percek alatt feltörhető. Minden fiókhoz használj legalább 16 karakteres, vegyes jelszót – és használj jelszókezelőt (pl. Bitwarden, 1Password).3. Változtasd meg az alapértelmezett admin felhasználónevet
A WordPress alapból „admin" felhasználónevet javasol – ezt a hackerek elsőként próbálják ki. Hozz létre egyedi felhasználónevet, és töröld az alapértelmezettet.4. Kapcsolj be kétlépéses hitelesítést (2FA)
A 2FA még akkor is megakadályozza a belépést, ha a jelszó kiszivárgott. WordPress esetén könnyen beállítható pl. a WP 2FA plugin segítségével.5. Korlátozd a bejelentkezési kísérleteket
Alapból a WordPress korlátlan számú jelszókísérletnek kitett. Egy Limit Login Attempts Reloaded vagy hasonló plugin automatikusan blokkolja azokat az IP-címeket, amelyek sorozatosan hibás jelszót adnak meg.6. Telepíts tűzfalat és malware-szkennert
A Wordfence Security vagy a Sucuri Security plugin valós idejű tűzfalat és rendszeres malware-szkennt biztosít – és azonnal értesít, ha gyanús aktivitást észlel.7. Rendszeres biztonsági mentések
Ha minden más védelmet áttörnek, a naprakész biztonsági mentés az egyetlen garancia, hogy az oldal visszaállítható legyen. A mentéseket külső szerveren tárold (pl. Google Drive, Dropbox, Amazon S3) – ne csak a tárhelyen.8. Használj SSL tanúsítványt (HTTPS)
A HTTPS titkosítja az adatforgalmat az oldal és a látogató böngészője között. 2026-ban ez már alapkövetelmény – a Google is bünteti a HTTP-n futó oldalakat.9. Változtasd meg az alapértelmezett bejelentkezési URL-t
Az összes WordPress oldal alapból a /wp-admin URL-en érhető el – ezt a hackerek automatikusan megcélozzák. Egy egyedi bejelentkezési URL (pl. /sajat-bejelentkezes) jelentősen csökkenti az automatizált támadások számát.10. Válassz megbízható tárhelyszolgáltatót
A tárhelyednek is van biztonsági felelőssége: szerver szintű tűzfal, DDoS védelem, automatikus malware-szkenning. Egy olcsó, zsúfolt megosztott tárhely nem nyújta ezeket – érdemes minőségi, menedzselt WordPress tárhelyre váltani.Mi történik, ha mégis feltörik az oldaladat?
Első lépés: ne ess pánikba. A legfontosabb tennivalók sorrendben:1. Tedd offlineba az oldalt (hogy ne fertőzzön más oldalakat, ne károsítson látogatókat)
2. Állítsd vissza a legutóbbi tiszta biztonsági mentésből
3. Változtasd meg az összes jelszót (WordPress admin, tárhely, FTP, adatbázis)
4. Végezz teljes malware-szkennt
5. Derítsd ki a belépési pontot, és zárd be
Ha nincs biztonsági mentés, a fertőzött fájlok manuális eltávolítása komoly szakértelmet igényel – és akár napokba is telhet.
Megelőzés vs. helyreállítás – mi a drágább?
Egy alapos WordPress biztonsági beállítás és rendszeres karbantartás töredékébe kerül annak, amennyibe egy feltört oldal helyreállítása kerül – mind pénzben, mind elveszett Google-helyezésben, mind ügyfélelőbizalomban mérve. A megelőzés mindig a jobb befektetés.Ha nem akarsz a biztonságon aggódni, nézd meg a weboldal karbantartási szolgáltatást – vagy kérj ingyenes árajánlatot!