vmedia
Vissza a cikkekhez
7 gyakori weboldal-sérülékenység, amit a hackerek kihasználnak – és hogyan védekezz ellenük

7 gyakori weboldal-sérülékenység, amit a hackerek kihasználnak – és hogyan védekezz ellenük

2026. március 17.
Viktor
5 perc olvasás
Tech

7 gyakori weboldal-sérülékenység, amit a hackerek kihasználnak

Ha van weboldalad, akkor van támadási felületed is. Nem kell ahhoz multinacionális cégnek lenned, hogy a hackerek megtaláljanak – sőt, a kisvállalkozások weboldalai sokszor könnyebb célpontok, mert ritkábban frissülnek és kevesebb figyelmet kapnak.

Ebben a cikkben bemutatjuk a 7 leggyakoribb biztonsági rést, amit nap mint nap látunk a gyakorlatban, valós példákkal és konkrét védekezési tanácsokkal.

1. Elavult szoftverek és pluginek

Ez a leggyakoribb belépési pont. Ha a WordPress, a használt téma vagy akár egyetlen plugin elavult, a támadók a nyilvánosan elérhető sérülékenységi adatbázisokból (CVE) percek alatt megtalálják a kihasználható hibát.

Valós példa: 2024-ben a népszerű WPForms bővítmény egy sérülékenysége miatt több tízezer oldalt törtek fel egyetlen hét alatt. Aki nem frissített időben, annak az oldalára spam linkek és átirányítások kerültek.

Védekezés:

  • Rendszeres (legalább heti) frissítés – WordPress, témák, pluginek egyaránt
  • Automatikus frissítés bekapcsolása ahol lehetséges
  • Nem használt pluginek törlése, ne csak kikapcsolása
  • Vagy: statikus oldalra váltás (Next.js, Astro), ahol nincs szerver-oldali kód, amit támadni lehetne

2. SQL injection (SQLi)

Az SQL injection során a támadó rosszindulatú adatbázis-parancsokat juttat be az oldaladra, jellemzően egy űrlapon vagy URL paraméteren keresztül. Így hozzáfér a teljes adatbázishoz: felhasználónevekhez, jelszavakhoz, ügyféladatokhoz.

Hogyan néz ki? Egy keresőmezőbe ezt írja valaki:

' OR '1'='1'; DROP TABLE users; --

Ha az oldal nem szűri a bemenetet, ez a parancs törli a felhasználók tábláját.

Védekezés:

  • Soha ne fűzz össze felhasználói inputot SQL parancsokkal közvetlenül
  • Használj paraméteres lekérdezéseket (prepared statements)
  • WAF (Web Application Firewall) használata, pl. Cloudflare
  • Rendszeres biztonsági audit

3. Cross-Site Scripting (XSS)

XSS támadásnál a hacker JavaScript kódot injektál az oldaladba, amit a látogatók böngészője lefuttat. Így el tudja lopni a bejelentkezett felhasználók session cookie-jait, át tudja irányítani őket adathalász oldalra, vagy módosíthatja az oldal tartalmát.

Valós példa: Egy bloghoz írt kommentbe rejtett <script> tag – minden olvasó böngészőjében lefut.

Védekezés:

  • Minden felhasználói input escapelése megjelenítés előtt
  • Content Security Policy (CSP) header beállítása
  • HttpOnly és Secure flag a cookie-kon
  • Kerüld a dangerouslySetInnerHTML jellegű megoldásokat sanitizálás nélkül

4. Gyenge vagy újrahasznált jelszavak

Meglepően sok weboldalt törnek fel egyszerűen azért, mert az admin jelszó admin123, cegnev2024 vagy egy másik oldalon már kiszivárgott jelszó.

A támadók módszere:

  • Brute force: automatizált próbálkozás több ezer jelszóval
  • Credential stuffing: kiszivárgott jelszó-adatbázisokból próbálkoznak (ha ugyanazt a jelszót használod több helyen)

Védekezés:

  • Minimum 16 karakteres, egyedi jelszó minden fiókhoz
  • Jelszókezelő használata (Bitwarden, 1Password)
  • Kétfaktoros hitelesítés (2FA) bekapcsolása mindenhol
  • Admin felület URL-jének megváltoztatása (WordPress: ne legyen /wp-admin)
  • Bejelentkezési kísérletek korlátozása (rate limiting)

5. Nem biztonságos fájlfeltöltés

Ha az oldalad lehetővé tesz fájlfeltöltést (profilkép, dokumentum, stb.), és nincs megfelelő szűrés, a támadó futtatható kódot tölthet fel a szerveredre.

Hogyan? Egy .php kiterjesztésű fájlt tölt fel képnek álcázva. Ha a szerver végrehajtja, a támadó teljes hozzáférést kap a rendszerhez (webshell).

Védekezés:

  • Feltöltött fájlok MIME-type és kiterjesztés ellenőrzése
  • Feltöltések tárolása a web root-on kívül
  • Feltöltött fájlok átnevezése (ne az eredeti nevet tartsd meg)
  • PHP végrehajtás tiltása a feltöltési mappában
  • Fájlméret korlátozás

6. Hiányzó HTTPS és biztonsági headerek

Ha az oldalad még HTTP-n is elérhető, vagy hiányoznak a biztonsági headerek, a támadók lehallgathatják a forgalmat (man-in-the-middle), beinjektálhatnak tartalmat, vagy az oldalad keretbe ágyazásával adathalász támadást hajthatnak végre.

Ellenőrzőlista:

  • HTTPS mindenhol, HTTP → HTTPS átirányítás
  • Strict-Transport-Security (HSTS) header
  • X-Content-Type-Options: nosniff
  • X-Frame-Options: DENY
  • Content-Security-Policy header
  • Referrer-Policy header

Védekezés:

  • Ingyenes SSL: Let's Encrypt
  • Apache/Nginx konfiguráció helyes beállítása
  • Rendszeres ellenőrzés: securityheaders.com

7. Spam és email relay visszaélés

Ha van kapcsolatfelvételi űrlapod, a támadók megpróbálhatják spam küldésére használni a szerveredet. Ha sikerül, a mail szervered feketelistára kerül, és a normál emailjeid sem érkeznek meg az ügyfeleidnek.

Hogyan történik?

  • Az űrlap nincs rate limitálva → ezres nagyságrendben küldenek üzeneteket
  • Header injection: a "Név" vagy "Email" mezőbe email headereket injektálnak, és tetszőleges címzettnek küldetnek levelet a szervereddel
  • CSRF token hiánya: bárki, bármilyen oldalról küldhet kérést az űrlapodra

Védekezés:

  • Rate limiting (IP és globális szinten)
  • CSRF token (szerver-oldali, egyszer használatos)
  • Honeypot mező (rejtett mező, amit csak botok töltenek ki)
  • Input sanitizálás: vezérlő karakterek (\r, \n) eltávolítása
  • A To: cím legyen szerver-oldalon hardcoded, soha ne a kliens küldje

Hogyan ellenőrizd a saját oldalad biztonságát?

Nem kell biztonsági szakértőnek lenned. Ezekkel az ingyenes eszközökkel gyorsan felmérheted a helyzetet:

  1. Mozilla Observatory – biztonsági headerek ellenőrzése
  2. Qualys SSL Labs – SSL konfiguráció tesztelése
  3. Sucuri SiteCheck – malware és blacklist ellenőrzés
  4. npm audit / Trivy – dependency sérülékenység vizsgálat
  5. OWASP ZAP – automatizált biztonsági scan

Az 5 legfontosabb lépés, amit MA megtehetsz

  1. Frissíts mindent – CMS, pluginek, szerver szoftverek
  2. Változtasd meg a jelszavaidat – egyedi, erős jelszó + 2FA
  3. Ellenőrizd a headereket – securityheaders.com
  4. Nézd át az űrlapjaidat – van-e rate limit, CSRF védelem?
  5. Készíts rendszeres mentést – hogy ha bármi történik, visszaállítható legyen

Összefoglalás

A weboldal-biztonság nem luxus, hanem alapvető üzleti szükséglet. Egy feltört oldal nem csak adatokat veszít – elveszíti az ügyfelek bizalmát, a Google helyezéseket, és a jó hírnevét.

A jó hír: a fenti 7 sérülékenység mindegyike megelőzhető viszonylag egyszerű lépésekkel. Nem kell hozzá milliókat költeni – elég a tudatosság és a rendszeres karbantartás.

Ha nem vagy benne biztos, hogy az oldalad biztonságos, szívesen átnézzük és konkrét javaslatokat adunk. Vedd fel velünk a kapcsolatot – az első konzultáció ingyenes.

V

Írta

Viktor

Tetszett a cikk?

Ha weboldal készítésben gondolkodsz, vedd fel velünk a kapcsolatot!

Kapcsolat