WordPress biztonság: 10 kihagyhatatlan lépés, hogy ne törjék fel az oldalad

Tartalomjegyzék

1. Miért fontos a WordPress biztonság?
2. Frissítések: a biztonság alapkövei
3. Erős jelszavak és kétlépcsős hitelesítés
4. Biztonsági bővítmények: melyiket érdemes használni?
5. Felhasználói jogosultságok kezelése
6. Biztonsági mentések szerepe és gyakorisága
7. Webtárhely és SSL tanúsítvány jelentősége
8. Admin felület védelme és URL elrejtése
9. Gyanús forgalom és brute force támadások elleni védelem
10. Weboldal biztonsági audit: hogyan ellenőrizd magad?
11. Gyakran ismételt kérdések a WordPress biztonságról

Miért fontos a WordPress biztonság?

A WordPress a világ legnépszerűbb tartalomkezelő rendszere – és pont ezért az egyik leggyakrabban célzott platform is a hackerek szemében. Ha WordPress oldalt üzemeltetsz, a biztonság nem extra, hanem alapkövetelmény.

Néhány elgondolkodtató szám:

• A világ weboldalainak több mint 40%-a WordPress-t használ.
• A feltört WordPress oldalak 70%-ánál elmaradtak az alapvető biztonsági frissítések.
• A legtöbb támadás automatikus botok által történik – vagyis nem személyesen céloznak téged, hanem a sebezhetőséget keresik.

Milyen károkat okozhat egy feltört WordPress oldal?

1. SEO bukás: A Google feketelistára tehet.
2. Adatszivárgás: Ügyféladatok, jelszavak, banki infók kerülhetnek illetéktelen kezekbe.
3. Hírnévvesztés: Egy rosszul védett weboldal aláássa a látogatók bizalmát.
4. Bevételkiesés: Webáruházak és szolgáltatók esetén akár napokra leállhat az értékesítés.
5. Helyreállítás költsége: Egy teljes takarítás akár több tízezer forintba is kerülhet, nem beszélve az elveszett adatokról.

A biztonság nem csak fejlesztői feladat

Sokan azt gondolják, hogy a biztonság kizárólag a rendszergazdák vagy fejlesztők dolga. Pedig a weboldal tulajdonosaként Te vagy az első védelmi vonal. Tudatos hozzáállással és néhány kulcslépéssel megelőzhető a baj.

Kapcsolódó tartalom

A Wordfence hivatalos blogja rendszeresen közzéteszi az aktuális WordPress sérülékenységeket – érdemes figyelni.

Frissítések: a biztonság alapkövei

A legtöbb WordPress támadás ismert sebezhetőségeken keresztül történik – olyan hibákon, amelyeket a fejlesztők már javítottak, csak épp a weboldal tulajdonosa nem frissített időben.

Miért kritikusak a frissítések?

• WordPress rendszerfrissítések: A magrendszer (core) folyamatosan kap hibajavításokat és biztonsági frissítéseket. Ezeket sosem szabad halogatni.
• Bővítmények (pluginek): A támadások jelentős része elavult vagy sebezhető plugineken keresztül érkezik. Elég egy gyenge láncszem.
• Sablonok (theme-ek): A dizájn mögötti kód is sebezhető lehet, főleg ha nem megbízható forrásból származik vagy nincs karbantartva.

Hogyan frissíts okosan?

1. Kapcsold be az automatikus frissítéseket a WordPress core és kisebb pluginfrissítésekre.
2. Használj megbízható bővítményeket, amelyek mögött aktív fejlesztői csapat áll.
3. Hetente legalább egyszer ellenőrizd manuálisan az admin felületen a frissítéseket.
4. Frissítés előtt készíts biztonsági mentést – egy hiba esetén könnyen visszaállítható a rendszer.

Tévhit: „Ha minden működik, minek frissíteni?”

Ez a hozzáállás veszélyes. A működő oldal nem jelent biztonságos oldalt. A támadók nem látható hibákat keresnek – hanem olyan réseket, amikről Te sem tudsz, de ők igen.

Hasznos forrás

A WPScan Vulnerability Database rendszeresen frissülő adatbázist biztosít a WordPress-hez kapcsolódó ismert sérülékenységekről. Hasznos forrás lehet plugin vagy sablon választás előtt.

Erős jelszavak és kétlépcsős hitelesítés

Hiába a legjobb tárhely vagy legfrissebb WordPress verzió, ha a belépési adataid gyengék. A hackerek elsődleges célpontja az admin felület, és a legtöbb támadás gyenge jelszavak vagy alapértelmezett felhasználónevek miatt sikeres.

Milyen a jó jelszó?

Egy erős jelszó:

• minimum 12 karakter hosszú
• tartalmaz kis- és nagybetűket, számokat és speciális karaktereket
• nem tartalmaz szótárban szereplő szavakat vagy személyes adatokat
• nem újrahasznosított máshol használt jelszó

Példa: M!sk4_WP2025$bizt – véletlenszerű, de mégis megjegyezhető

Ne használd a „admin” vagy „adminisztrátor” felhasználónevet!

Ezek az első nevek, amiket a botok kipróbálnak. Mindig hozz létre egyedi felhasználónevet, és töröld az alapértelmezettet, ha még aktív.

Kétlépcsős azonosítás (2FA): még egy védelmi vonal

A kétlépcsős hitelesítésnél a belépéshez nem elég a jelszó – egy extra kódot is meg kell adnod, amit mobilalkalmazás (pl. Google Authenticator, Authy) generál. Így még ha a jelszavad ki is szivárogna, a fiók továbbra is védett.

Ajánlott bővítmények jelszóbiztonsághoz és 2FA-hoz:

• Wordfence – biztonsági plugin beépített 2FA-val
• iThemes Security – részletes jelszókezelő és kétlépcsős belépés
• WP 2FA – dedikált megoldás a kétlépcsős hitelesítéshez

Kapcsolódó tartalom

A Have I Been Pwned oldalon ellenőrizheted, hogy a jelszavad valaha szerepelt-e kiszivárgott adatbázisban.

Biztonsági bővítmények: melyiket érdemes használni?

A WordPress egyik legnagyobb előnye a bővíthetősége – ez a biztonság terén is igaz. Egy jól kiválasztott biztonsági plugin rengeteget számít: felismeri a sebezhetőségeket, blokkolja a támadásokat és figyelmeztet, ha valami gyanús történik.

Mit tud egy jó biztonsági bővítmény?

• Tűzfal (Web Application Firewall – WAF)
• Brute force támadások blokkolása
• Kétlépcsős azonosítás (2FA)
• Kártékony fájlok keresése (malware scan)
• IP tiltás és ország alapú hozzáférés-szűrés
• Fájlmódosítások figyelése
• Bejelentkezési kísérletek naplózása

Legjobb biztonsági bővítmények WordPresshez (2025):

1. Wordfence Security
   Az egyik legátfogóbb megoldás. Tartalmaz tűzfalat, malware szkennert, 2FA-t, valós idejű figyelést.
   → Wordfence hivatalos oldal
2. iThemes Security
   Erőteljes funkciók, kiváló felület, és figyelmeztet a potenciális veszélyekre.
3. Sucuri Security
   Főleg a weboldal megtisztítására specializálódott, ha már bekövetkezett a támadás. Emellett tűzfal és monitoring funkciók is elérhetők.
4. All In One WP Security & Firewall
   Nagyon részletes beállítási lehetőségek, kezdőknek és haladóknak is ajánlott.

Hogyan válassz?

• Nézd meg, hogy milyen típusú weboldalad van: blog, webshop, céges oldal.
• Ellenőrizd a kompatibilitást a WordPress verzióddal és a többi plugineddel.
• Fontos a könnyen kezelhető felület – főleg, ha nem vagy fejlesztő.

Tipp: Ne telepíts egyszerre több biztonsági plugint!

Az ütközések hibákhoz vezethetnek, és akár gyengíthetik is a védelmet.

Felhasználói jogosultságok kezelése

Nem mindenki igényel teljes hozzáférést a WordPress oldaladhoz – és pont itt szoktak elsiklani a weboldal-tulajdonosok. A rosszul beállított jogosultságok kockázatot jelentenek, főleg, ha több ember is dolgozik a weboldalon.

A WordPress jogosultsági szintjei – gyors áttekintés

1. Előfizető (Subscriber): csak a saját profilját láthatja.
2. Szerző (Author): írhat és szerkeszthet saját cikkeket.
3. Közreműködő (Contributor): írhat cikket, de nem publikálhat.
4. Szerkesztő (Editor): kezelhet mások tartalmait is.
5. Adminisztrátor (Administrator): teljes hozzáférés, bővítmények, sablonok, beállítások.

És ha WooCommerce is fut az oldalon, lesz külön „Vásárló” és „Boltkezelő” szerepkör is.

Legfontosabb szabály: csak annyi jogosultságot adj, amennyi tényleg szükséges

Például:

• Vendégbloggernek elég a Közreműködő szerep.
• Social média menedzsernek elég a Szerző vagy Szerkesztő jogosultság.
• Csak egy-két embernek legyen admin hozzáférése – és mindig megbízható személy legyen.

További ajánlások:

• Ne ossz meg admin jelszót! Adj külön fiókot minden csapattagnak.
• Használj activity log bővítményt, mint például a WP Activity Log – így láthatod, ki mikor lépett be és mit csinált.
• Töröld az inaktív felhasználókat, főleg ha már nem dolgoznak a projekten.
• Állíts be jelszólejáratot – ezt plugin segítségével automatizálhatod.

Kapcsolódó tartalom

A Kinsta jogosultságokról szóló útmutatója részletesen bemutatja a különböző szerepköröket és beállítási lehetőségeket.

Biztonsági mentések szerepe és gyakorisága

Hiába a legjobban védett WordPress oldal, bármikor történhet váratlan esemény: egy hibás frissítés, rosszindulatú támadás vagy véletlen törlés miatt az egész oldalad elérhetetlenné válhat. Ilyenkor életmentő egy friss biztonsági mentés.

Mi az a biztonsági mentés (backup)?

Egyszerűen fogalmazva: egy olyan másolat a weboldaladról, amit bármikor vissza tudsz állítani, ha valami elromlik. Ez tartalmazhatja:

• az adatbázist (pl. bejegyzések, felhasználók, beállítások)
• a fájlokat (pl. sablonok, bővítmények, feltöltött képek)
• konfigurációs adatokat

Milyen gyakran érdemes menteni?

Ez attól függ, milyen típusú az oldalad:

• Blog vagy céges oldal: heti 1 mentés elegendő lehet
• Webáruház, aktív forgalmú oldal: napi mentés minimum
• Frissítés vagy fejlesztés előtt: mindig készíts kézi mentést

Hova ments? Ne csak a szerveren tárold!

A legnagyobb hiba, ha ugyanarra a tárhelyre mented az oldalt, ahol az él. Használj külső tárolókat:

• Google Drive
• Dropbox
• Amazon S3
• FTP / másik szerver

Ajánlott biztonsági mentés bővítmények:

• UpdraftPlus – az egyik legnépszerűbb megoldás, könnyen kezelhető és automatizálható
• BlogVault – haladó mentési funkciók, integrált staging lehetőség
• Jetpack Backup – valós idejű mentés, fizetős, de megbízható

Ne csak ments – teszteld is a visszaállítást!

Sok oldalról derül ki baj esetén, hogy a mentés nem volt teljes vagy nem működik. Időnként ellenőrizd le, hogy tényleg vissza tudod-e állítani az oldalt egy biztonsági mentésből.

Webtárhely és SSL tanúsítvány jelentősége

A biztonságos WordPress használat nemcsak a bővítményeken és jelszavakon múlik – az alapoktól kell kezdeni, vagyis a tárhelyszolgáltatón és a weboldal titkosításán. Egy rossz minőségű tárhely olyan, mintha egy lakat nélküli ajtón próbálnád megvédeni a házad.

Miért számít, hogy hol van az oldalad?

Egy megbízható tárhelyszolgáltató:

• folyamatosan frissíti a szerver szoftvereket
• valós idejű támadás-észlelést alkalmaz
• tűzfalakat és DDOS-védelmet kínál
• automatikus biztonsági mentéseket is biztosíthat
• támogatja a legújabb PHP verziókat és a WordPress igényeit

Olcsó, ismeretlen szolgáltatók esetében gyakori a közös IP-cím, alacsony biztonsági szint és lassú technikai támogatás.

Mi az az SSL tanúsítvány, és miért fontos?

Az SSL (Secure Sockets Layer) titkosítja a kommunikációt a böngésző és a szerver között. Ha a weboldalad HTTPS-t használ, az adatforgalom (pl. jelszavak, űrlapok) biztonságban van.

SSL hiányában:

• a böngészők „Nem biztonságos” feliratot jelenítenek meg
• SEO szempontból hátrányt szenvedsz
• a felhasználók elbizonytalanodnak a vásárlás vagy kapcsolatfelvétel előtt

Ingyenes vagy fizetős SSL?

• Let’s Encrypt: ingyenes, automatikusan megújul, a legtöbb tárhelyszolgáltató kínálja
• Prémium SSL: vállalkozásoknak, webshopoknak ajánlott, kibővített hitelesítéssel és biztosítással

Kapcsolódó forrás

A SSL.com weboldala részletesen bemutatja az SSL típusokat és használati eseteiket.

Admin felület védelme és URL elrejtése

A WordPress admin felülete – vagyis az a pont, ahol a teljes weboldalt irányítod – a leggyakrabban támadott célpont. Mivel az alapértelmezett belépési útvonal (/wp-admin vagy /wp-login.php) mindenki számára ismert, az első védelmi vonal az, ha ezt megnehezíted.

Miért érdemes elrejteni az admin URL-t?

A legtöbb automatizált bot szkenneléssel próbál bejutni a szokásos belépési útvonalakon. Ha ezt megváltoztatod:

• csökken a brute force támadások száma
• kevesebb hibás belépési kísérletet tapasztalsz
• kevésbé leszel célpont

Hogyan rejtsd el az admin felületet?

Használj egyszerű bővítményeket, például:

• WPS Hide Login – megváltoztatja a belépési URL-t (/login, /secret, stb.)
• iThemes Security – átfogóbb védelem, tartalmaz admin URL változtatási lehetőséget is
• Limit Login Attempts Reloaded – nem rejti el az URL-t, de blokkolja a túl sok próbálkozást

Fontos: mindig jegyezd fel az új URL-t, és ne oszd meg feleslegesen.

További admin védelmi tippek:

1. Limitált IP-cím hozzáférés:
   Ha fix IP-címed van (pl. irodai hálózatból), engedélyezd csak azt a belépéshez .htaccess fájl segítségével.
2. Belépési kísérletek korlátozása:
   Blokkold azokat, akik 3-5 alkalommal elrontják a jelszót.
3. Captcha beállítása:
   Pl. Google reCAPTCHA segítségével védd meg a belépési űrlapot robotoktól.
4. Automatikus kijelentkezés tétlenség után:
   Különösen nyilvános helyről történő bejelentkezés esetén hasznos.

---

Kapcsolódó forrás

A WPBeginner útmutatója bemutatja, hogyan változtasd meg biztonságosan a WordPress belépési URL-t.

Gyanús forgalom és brute force támadások elleni védelem

Nem minden látogató barátságos. Sok WordPress oldal napi szinten automatizált támadások célpontjává válik, ahol botok próbálnak belépni, fájlokat keresnek vagy a szerveredet terhelik túl. Ezeket érdemes idejében kiszűrni és blokkolni.

Mi az a brute force támadás?

Ez az egyik leggyakoribb támadási forma, ahol egy bot folyamatosan próbálkozik különböző jelszavakkal, hogy bejusson az admin felületre. A siker nem garantált, de ha gyenge a jelszavad, gyorsan megtörténhet a baj.

Hogyan védekezz ellene?

1. Belépési próbálkozások korlátozása
   • Használj olyan plugint, mint a Limit Login Attempts Reloaded vagy a Wordfence.
   • Blokkolj IP-címeket 3-5 hibás belépési próbálkozás után.
2. Captcha bevezetése a belépéshez
   • Google reCAPTCHA vagy hCaptcha beállításával csökkenthető az automata próbálkozások száma.
3. IP-cím alapú tiltás és ország-szűrés
   • Ha például csak magyar látogatók számára működik az oldalad, kizárhatod a gyanús forgalmat más régiókból (Sucuri, Cloudflare segítségével).
4. Tűzfalak (WAF – Web Application Firewall) alkalmazása
   • Ezek automatikusan blokkolják a gyanús botokat és támadási kísérleteket.
   • A Sucuri, Cloudflare és Wordfence Premium mind erős WAF-ot kínálnak.
5. Forgalom figyelése
   • Telepíts analitikai és naplózó eszközöket, pl. WP Activity Log, Query Monitor vagy Jetpack Site Stats.
   • Így látod, ha szokatlan IP-k vagy URL-ek próbálkoznak.

Tipp: ne csak reagálj – állítsd be előre az automatikus védelmet.

---

Kapcsolódó tartalom

A Sucuri Threat Report oldalon rendszeresen közzéteszik a leggyakoribb WordPress támadási módszereket és IP forrásokat.

Weboldal biztonsági audit: hogyan ellenőrizd magad?

Hiába tűnik minden rendben lévőnek kívülről, a háttérben rejtőzhetnek problémák. Épp ezért időről időre érdemes egy biztonsági auditot elvégezni, hogy lásd, valóban védett-e a WordPress oldalad.

Mi az a biztonsági audit?

Ez egy átfogó ellenőrzés, amely során áttekinted a weboldal:

• frissítési állapotát,
• bővítmények és sablonok biztonságát,
• felhasználói fiókokat,
• fájlok módosítását,
• belépési eseményeket,
• és az esetleges gyanús tevékenységeket.

Hogyan végezz el egy alapszintű auditot?

1. Ellenőrizd a WordPress és plugin verziókat
   • Minden frissítve van?
   • Használsz nem megbízható, régi bővítményeket?
2. Nézd át a felhasználói listát
   • Van inaktív admin fiók?
   • Minden jogosultság rendben van?
3. Futtass malware szkennelést
   • Használj olyan plugint, mint a Wordfence, MalCare vagy Sucuri Scanner.
4. Ellenőrizd a fájlok integritását
   • Nem módosultak-e kritikus rendszerfájlok?
5. Naplózd és nézd át az aktivitást
   • Telepíts egy naplózót (pl. WP Activity Log), és nézd át, mi történt a háttérben.

Külső audit eszközök, amiket érdemes kipróbálni:

• SecurityHeaders.com – HTTP biztonsági beállítások ellenőrzése
• Sucuri SiteCheck – weboldal gyors biztonsági vizsgálata
• WPScan – ismert WordPress sebezhetőségek szkennelése

Audit gyakorisága

• Havonta legalább egyszer, vagy minden jelentősebb frissítés után ajánlott.
• E-kereskedelmi vagy nagy forgalmú oldal esetén gyakrabban.

Gyakran ismételt kérdések a WordPress biztonságról

1. Tényleg veszélyes a WordPress használata?

Nem maga a WordPress a veszélyes, hanem az, ha nem tartod karban. Egy rendszeresen frissített, jól beállított WordPress oldal nagyon biztonságos lehet – de csak akkor, ha foglalkozol vele.

---

2. Melyik a legjobb ingyenes biztonsági bővítmény?

A Wordfence az egyik legjobb ingyenes opció, tűzfallal és alap malware szkenneléssel. Alternatíva lehet az All In One WP Security & Firewall, ha részletesebb beállításokat szeretnél.

---

3. Elég az SSL tanúsítvány a biztonsághoz?

Nem. Az SSL titkosítja az adatokat, de nem véd a belépési támadások vagy sebezhető pluginek ellen. Az SSL csak az egyik rétege a védelemnek – mellette szükség van frissítésekre, jelszóbiztonságra és bővítményes védelemre is.

---

4. Milyen gyakran kell biztonsági mentést készíteni?

A weboldal aktivitásától függ:

• Heti 1 mentés egy bloghoz elég lehet.
• Webshophoz vagy aktív oldalhoz napi mentés ajánlott.
• Nagyobb módosítás előtt mindig készíts kézi mentést!

---

5. Hogyan deríthetem ki, ha feltörték az oldalam?

Gyanús jelek lehetnek:

• Lassú oldalbetöltés, ismeretlen fájlok vagy tartalmak
• Google figyelmeztetés a keresési találatoknál
• Ismeretlen felhasználók létrehozása, jogosultság módosítás
• Pluginok maguktól kikapcsolnak vagy elállítódnak

Használj szkennelő eszközt, pl. Sucuri SiteCheck, és ellenőrizd a beállításokat.

---

6. Mit tegyek, ha már megtörtént a támadás?

1. Kapcsold le ideiglenesen az oldalt (maintenance mód).
2. Állítsd vissza a legutóbbi biztonsági mentést.
3. Vizsgáld át a fájlokat malware után kutatva.
4. Cseréld le az összes jelszót.
5. Telepíts biztonsági bővítményt, és végezz auditot.

Összefoglaló: így védd meg WordPress oldalad 10 lépésben

A WordPress népszerűsége miatt vonzó célpont a támadók számára – de a megfelelő biztonsági lépésekkel könnyedén megelőzhetők a problémák. Ez a cikk 10 konkrét területet mutatott be, amelyeket minden weboldal-tulajdonosnak érdemes figyelembe vennie:

1. Tudd, miért fontos a biztonság – nemcsak technikai, hanem üzleti és hírnév szempontból is.
2. Frissíts rendszeresen – WordPress mag, bővítmények, sablonok.
3. Használj erős jelszavakat és kétlépcsős azonosítást – így védheted a belépést.
4. Telepíts megbízható biztonsági bővítményt – mint a Wordfence vagy iThemes Security.
5. Kezeld a felhasználói jogosultságokat tudatosan – ne adj több hozzáférést, mint szükséges.
6. Készíts rendszeresen biztonsági mentéseket – és ne felejts el tesztelni is.
7. Válassz megbízható tárhelyszolgáltatót, és használj SSL tanúsítványt – ez az alap.
8. Rejtsd el az admin URL-t és védd a belépést – csökkentve a támadások esélyét.
9. Védd ki a brute force támadásokat és figyeld a gyanús forgalmat – pluginokkal és WAF-fal.
10. Végezz időszakos biztonsági auditot – hogy biztosan minden rendben legyen.

Ezek a lépések együtt egy átfogó és rétegezett védelmet alkotnak, amellyel a WordPress oldalad hosszú távon is biztonságban marad.