Bővítmény vagy Cloudflare? Mitől lesz valóban biztonságos a honlapod
Egy biztonságos honlap nem attól lesz biztonságos, hogy telepítettél rá egy bővítményt. A Wordfence, az AIOS (All-In-One Security) és a Sucuri ott vannak szinte minden WordPress oldalon, mégis évente több százezer feltört oldalt mérnek világszerte. Az ok egyszerű: ezek a bővítmények a háznak csak az egyik szobájában raknak riasztót. Ebben a cikkben végigmegyünk azon a 7 védelmi szinten, ami valóban biztonságossá tesz egy honlapot, és a végén megmutatom, miért lett mostanra a Cloudflare a sztenderd a komolyabb projekteknél. Az ügyfeleimnél én is ezt a felépítést alkalmazom, akik rendelkeznek karbantartási szolgáltatással.
1. Tűzfal a megfelelő helyen, ami nem a szervereden fut
Itt van a legnagyobb félreértés a témában. A Wordfence egy úgynevezett endpoint firewall, ami azt jelenti, hogy a saját szervereden, a WordPress-en belül fut. Vagyis amikor egy támadó megkopogtatja az ajtódat, a Wordfence akkor lép működésbe, amikor a kérés már beérkezett a szerveredre, megette a PHP feldolgozási idejét, és lekötötte az erőforrásaidat.
Egy igazán biztonságos honlap ehelyett egy edge firewallt használ, ami a szervered előtt szűri a forgalmat. A támadás meg sem érkezik a hosting fiókodig. Ez különösen fontos akkor, ha kis szerverkapacitást fizetsz, mert a Wordfence egy nagyobb támadás alatt simán le tudja húzni a saját oldaladat. A Cloudflare ezzel szemben több, mint 300 globális szerveren szűri a forgalmat, így a támadások már több ezer kilométerrel a szervered előtt elakadnak.
2. DDoS védelem, amit egy WordPress plugin sosem tud nyújtani
A DDoS (elosztott szolgáltatásmegtagadási) támadás során másodpercenként akár több százezer hamis kérést kap az oldalad. Ezt egy bővítmény fizikailag nem tudja megállítani, mert a kérések már elérik a szervert, amikor a bővítmény elkezdene dolgozni. Egy közepes támadás simán 1-2 órára offline állapotba küldhet egy webshopot.
A Cloudflare ingyenes csomagja is automatikus DDoS védelmet ad, amit napi szinten több milliárd kérés ellen tesztelnek. Ez nem marketingszöveg: a Cloudflare a 2024-es Mirai botnet támadásokat is automatikusan szűrte. Egy biztonságos honlap esetében ez nem opció, hanem alapfeltétel. Ha az oldalad bevételt termel, a DDoS védelem hiánya egy kibertámadás esetén egy órán belül elveszítheti a havi profitod többszörösét.
3. Brute-force védelem és bejelentkezési hardening
A támadók 80%-a nem zseniális hacker, hanem botokkal próbálgatja a /wp-admin URL-t különböző jelszó kombinációkkal. Ez ellen tényleg sokat segít a Wordfence vagy az ASE: rate limiting, kétfaktoros hitelesítés, IP tiltás. Ebben a kategóriában a bővítmények valóban erősek.
Az igazán biztonságos honlap viszont még a /wp-admin URL-ig sem engedi el ezeket a botokat. A Cloudflare oldalán beállíthatsz egy egyszerű szabályt, ami az admin felületet csak a saját IP címedről engedi elérni. A botok így nem 50 ezerszer próbálkoznak (és terhelik a szerveredet), hanem a Cloudflare már a határnál visszafordítja őket. Sok ügyfelemnél ez az első dolog, amit beállítok, és önmagában látványosan csökkenti a támadási próbálkozások számát.
4. Malware szkennelés és sérült fájlok detektálása
Itt van az a pont, ahol a Wordfence valódi értéket ad. Egy belső szkenner, ami összehasonlítja a WordPress core, a pluginek és a témák fájljait az eredeti, hivatalos verziókkal. Ha valami megváltozott, jelez. Ezt a Cloudflare nem tudja megcsinálni, mert nem lát be a szervered belsejébe.
Ez az egyetlen olyan terület, ahol én is meghagyom a Wordfence ingyenes verzióját az ügyfeleknél, kiegészítésként a Cloudflare mellé. Nem főszerepben, hanem mint egy belső riasztó. A két rendszer együtt a klasszikus „kerítés és házibelső riasztó” logikát adja: a Cloudflare megfogja a támadások 99%-át kívül, a Wordfence pedig figyel arra a pár százalékra, ami valamilyen módon mégis bejutott (például egy fertőzött plugin frissítésen keresztül).
5. SSL tanúsítvány és HTTPS, ami nem csak egy zöld lakat
A „https://” megléte ma már alapfeltétel, de egy biztonságos honlapnál ez csak a kezdet. A modern SSL beállítás ennél jóval többet jelent: HSTS (HTTP Strict Transport Security) header, megfelelő TLS verzió (TLS 1.3), és a vegyes tartalom (mixed content) szűrése. Ezeket bővítményből beállítani komplikált és törékeny.
A Cloudflare itt is leveszi a terhet a vállaidról: az SSL automatikusan megújul, a TLS verziók automatikusan frissülnek, és a HSTS egy kattintással bekapcsolható. Ráadásul a Universal SSL ingyenes. Ezzel szemben a hosting szolgáltatók jelentős részénél a Let’s Encrypt megújítása időről időre eltörik, és senki nem veszi észre, amíg a látogatók nem kezdenek el sikítani a böngészőjük figyelmeztetése miatt. El sem tudom mondani, hány ügyfélnél látom még mindig ezt a fatális hibát.
6. Rendszeres biztonsági mentés, amit külön tárolóban őriznek
Ez a pont meglepően sok bővítményből kimarad, vagy gyengén oldják meg. Egy biztonságos honlapnak akkor is helyre kell állnia, ha minden más védelmi szint elbukott. A jó mentési stratégia három szabálya:
- Automatizált, ne kelljen rá emlékezned
- Külön szerveren tárolt, vagyis nem ugyanazon a hostingon, mint az élő oldal
- Tesztelt, vagyis tudsz visszaállítani belőle (sokan csak akkor szembesülnek a hibákkal, amikor már baj van)
Az UpdraftPlus és a hasonló bővítmények ezt megoldják, viszont a fizetős verzió nélkül a felhőtárolás (Google Drive, Dropbox) bekonfigurálása nem triviális. Az ügyfeleimnél én ezt is automatizáltan, külső tárhelyre mentve állítom be, hetente minimum egy teljes mentéssel és napi adatbázis mentéssel.
7. Frissítési stratégia, vagyis a legtöbb hack oka
Itt jön a kemény igazság: a feltört WordPress oldalak körülbelül 70%-a egy elavult plugin miatt esik el. Nem azért, mert nem volt rajta Wordfence, hanem mert valaki 6 hónapja nem nyomta meg az „Update” gombot. Egy bővítmény nem tud megvédeni egy ismert sérülékenységtől, ha a sérülékeny verzió fut a szervereden.
A frissítések kezelése valójában nem technikai kérdés, hanem fegyelem és rutin. A jó megoldás egy ütemezett, tesztelt frissítési ciklus, amit valaki rendszeresen elvégez. Sok ügyfelem ezért választja a havi karbantartási csomagot: én nézem meg, mit lehet frissíteni, mi tört el a frissítéstől, és mit kell visszaállítani. Ez nem hangzik szexisen, de ez akadályozza meg a problémák 70%-át.
A biztonságos honlap valódi receptje: rétegzett védelem
Ha végigolvastad a 7 pontot, valószínűleg már látod a mintát. Egyetlen bővítmény nem tud biztonságos honlapot csinálni, mert a támadások különböző szinteken érkeznek, és különböző szintű védelem kell ellenük. A 2026-os sztenderd egy ilyen összeállítás:
- Cloudflare mint elsődleges védelmi vonal: tűzfal, DDoS védelem, SSL, edge szabályok
- Wordfence ingyenes verzió mint belső malware szkenner és vészjelző
- Automatizált mentési rendszer külső tárhelyre, hetente
- Rendszeres frissítési ciklus, vagy manuálisan, vagy szakértői karbantartással
Az ügyfeleimnél pontosan ezt a négy szintet építem ki, amikor biztonságosítást vállalok. A Cloudflare alapcsomag ingyenes, a beállítása viszont komoly tudást igényel, mert egy rosszul konfigurált Cloudflare többet árthat, mint használ (például cache problémákat okozhat, vagy lezárhat valós felhasználókat).
Ha a saját honlapodon szeretnél elindulni, kezdd a Cloudflare ingyenes regisztrációjával, és a malware szkennelés érdekében hagyd meg a Wordfence ingyenes verzióját. Ha pedig úgy érzed, ezt nem szeretnéd magad végigjárni, a tévedés kockázata pedig túl nagy az oldaladhoz mérten, keress meg, és átveszem a teljes biztonságosítási folyamatot: a Cloudflare beállítástól a mentési rendszerig, a havi karbantartásig.
