הבלוג שלנו

אבטחת אתר WordPress

וורדפרס הינה מערכת ניהול התוכן (CMS) הנפוצה ביותר בעולם, מעל ל-150 מיליון אתרים הם מבוססי וורדפרס, נתון די מעניין. החל מבלוגים זעירים ועד לאתרים הגדולים ביותר בעולם.

לא פלא שהאקרים רבים מנסים לפרוץ לאתרי וורדפרס רבים ומנסים למצוא חורי אבטחה במערכת וורדפרס עצמה או בתבניות/תוספים פופולאריים ולנצל אותם.
גם האתר שלך כנראה חשוף, במקרה הטוב דף הבית יושחת או שבמקרה הרע נתונים חשובים יפורסמו ויחשפו.
לכן כדאי להקדים תרופה למכה ולהקשיח את רמת האבטחה של אתר הוורדפרס שלך.

המדריך הבא יסייע לך לאבטח שלב אחר שלב את אתר הוורדפרס שלך. המדריך מתאים גם למנהלי אתרים ללא ידע בפיתוח קוד וגם לבעלי רקע טכני.

גיבויים

לפני שאתחיל במדריך המעשי כיצד לאבטח את האתר קודם כל חשוב שלעת צרה תמיד חשוב שיהיה לנו גיבוי זמין כך נוכל למזער את הנזק ולהחזיר את האתר בהקדם האפשרי. כאשר אנו יוצרים גיבוי, עלינו ליצור עותק של מסד הנתונים ושל קבצי המערכת. את קבצי המערכת ניתן להוריד דרך ממשק הניהול של חברת האחסון.

ניתן לגבות את האתר במס' דרכים:

  1. גיבוי ידני
  2. גיבוי ע"י חברת האחסון

בדרך כלל חברות האחסון מבצעות גיבויים לכל הלקוחות באופן אוטומטי כך שאם אין לכם גיבוי זמין תוכלו לבקש מחברת האירוח (שימו לב –  חלק מחברות האירוח ידרשו תשלום עבור הגיבוי).

סיסמאות

לדעתי הנקודה החשובה ביותר.
כאשר בוחרים סיסמה חשוב שהסיסמה תהיה ארוכה, עם תווים מיוחדים () ! @ $ % # & ^ וכו' ושתכלול אותיות קטנות וגדולות.

טיפ שלי –  אני ממליץ על סיסמאות עם תווים עבריים, מהסיבה הפשוטה שרובם המוחלט של המילונים (Dictionaries) איתם מבצעים Brute Force לא כוללות סיסמאות עם תווים עבריים.

דוגמאות לסיסמאות לא מומלצות:

  • 123123
  • 123123a
  • 1q2w3e4r
  • David123


דוגמאות לסיסמאות מומלצות:

  • !Ar#E$g`&^ILPCXD
  • 13ArTyU($3#%$@$@

להיות עם חופשי בארצנו
       

אני ממליץ על שימוש במחוללי סיסמאות, אחד מהם שאני ממליץ עליו הוא Password Generator בו ניתן לקבוע מה תהיה אורך הסיסמה, האם תהיה מורכבת מאותיות קטנות או גדולות, תכלול מספרים ותווים מיוחדים.

עדכון גרסאות תבניות, תוספים וליבה

לא פעם ולא פעמיים נתקלתי באתרים שנפרצו בגלל שלא עדכנו את גרסאות התוספים/תבניות. למה חשוב לעדכן? העדכונים בד"כ מכילים תיקונים של חורי אבטחה קיימים ולכן חשוב מאוד לעדכן. תהליך של חצי דקה שיחסוך לכם שעות רבות של כיבוי שריפות, לא כדאי?

טיפים להקשחת רמת האבטחה

הקפידו לשים לב שלכל התיקיות באתר שלכם יש הרשאות 755 ולקבצים הרשאות 644 חוץ מהקובץ wp-config.php שצריך להיות עם הרשאות 400 או 440.
ניתן לשנות את ההרשאות (Permissions/Attributes) דרך ממשק ניהול האחסון (Cpanel או DirectAdmin בד"כ) או באמצעות קליינט ה-FTP.

הסבר קצר על ההרשאות:

 Read ניתן לפתוח את הקבצים ולהעתיק אותם מהשרת

 Write ניתן לכתוב לקובץ

 Execute ניתן להפעיל את הקובץ, למשל להריץ סקריפטים או לפתוח תיקיות בשרת

לכן, חשוב להקפיד על הרשאות נכונות כדי למנוע מגורמים זרים גישה לקבצים בשרת והפעלה שלהם.

התקינו תוסף אבטחה ייעודי באתר, אני אישית משתמש בתוסף הבא –  WordFence

אם אתם מעוניינים להשתמש בהגדרות WordFence בהן אני אישית משתמש, העתיקו את הקוד הבא והדביקו ב"Import token" בעמוד Options של WordFence :

8acc760a267c8835291d7961c5abfbb846b29011861395fcd8c84b9d98216dd4962d20e512b1c8965eacfdcd63607da0dd526b5323c136454403c0f24c189d90

צרו משתמש אדמין חדש ומחקו את משתמש האדמין הראשון שנוצר עם המערכת (את משתמש האדמין הישן ניתן למחוק ממסד הנתונים בלבד אותו ניתן למצוא בטבלה wp-users).

מחקו את הקובץ wp-config-sample.php לאחר סיום התקנת הוורדפרס בפעם הראשונה אין בו יותר צורך.

במידה והסיסמה למסד הנתונים שלכם חלשה שנו אותה לסיסמה חזקה וארוכה, אל תשכחו לעדכן את הסיסמה בקובץ wp-config.php אחרת בגלישה הבאה שלכם באתר תופיע שגיאת התחברות למסד הנתונים.

אם שרת האחסון בו אתם מתארחים אינו מציע שירות הגנה כזה או אחר מפני התקפות DDoS, אני ממליץ להשתמש בCloudflare- שמציעים שירות הגנה חינמי מפני מתקפות DDoS (כמובן כמו כל דבר בחינם – גם ההגנה של Cloudflare היא בסיסית, לאתרים הסובלים מהתקפות גדולות יותר יש אפשרות לרכוש מנוי מתאים)

אני ממליץ לכם להשתמש בתוסף Limit Login Attempts שמגביל את ניסיונות ההתחברות למערכת, מומלץ מאוד כנגד מתקפות Brute Force בהן הפורץ בעצם מנסה "לנחש" את הסיסמה שלכם לממשק הניהול.

בטלו את האפשרות לערוך את קבצי התבנית והתוספים המותקנים דרך לוח הבקרה של האתר שלכם ע"י הוספת שורת הקוד הבא לקובץ הקונפיג שלכם wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

הסתירו את גרסאת הוורדפרס שרצה על האתר ע"י הוספת שורת הקוד הבאה לקובץ functions.php :

remove_action('wp_head', 'wp_generator');

אולי יעניין אותך

דילוג לתוכן