אבטחת אתר וורדפרס עם תוסף אבטחה

אבטחת אתר וורדפרס עם תוסף אבטחה

אבטחת אתר וורדפרס לאורך זמן היא איננה משימה קלה, יתכן ובזמן קריאת שורות אלו מישהו חודר לאתרך ואינך מודע לכך, בינתיים.

פריצה לאתר וורדפרס מתרחשת בשקט, "מאחורי הקלעים", בלי שתבחין בכך. בזמן שנראה לך שהכל בסדר והאתר עובד מצוין, פתאום זה מופיע.

הודעות שגיאה מוזרות בלוח הבקרה, דפי האתר לא נפתחים, אתר האינטרנט שלך מחזיר הודעת שגיאה 5XX.

אין לך מושג מה מקור הבעיה, "הרי הכל היה בסדר עד עכשיו. מה קרה לאתר שכלום לא עובד?"

אז מסתבר שבזמן שישנת ( תרתי משמע ) האקרים עבדו על האתר שלך.

פתאום מתגלים תוספים לא מוכרים עם שמות מוזרים, ובבדיקה של הקבצים בשרת מתגלה גודלה ועומקה של החדירה למערכת.

המערכת מלאה בקבצים נגועים בוירוס ולא התקנת תוסף אבטחה לוורדפרס, עכשיו צריך ליצור קשר עם מתכנת פרילנסר לוורדפרס

תוכן עניינים

1. אבטחת אתר וורדפרס
2. תוסף אבטחה לוורדפרס
   • WordFence Security for WordPress
   • תכונות WordFence security
3. המלצות נוספות לאבטחת וורדפרס

אבטחת אתר וורדפרס

שיהיה ברור, לא ניתן לאבטח אתר אינטרנט בצורה מוחלטת, אין מציאות כזאת שבה אתר אינטרנט חסום לחלוטין לפריצות.

כל אתר ניתן לפריצה בדרך כזאת או אחרת, קל וחומר אתר וורדפרס אשר מבוסס על מערכת קוד פתוח ומכיל תוספים רבים, חלקם לא מעודכנים, וחלקם מקודדים בצורה מרושלת.

ואם אינך משתשת בתוסף אבטחה לוורדפרס, הפריצה קלה אף יותר.

בעלי אתרים רבים אינם מקפידים לעדכן את המערכת והתוספים באופן קבוע, בגלל חוסר זמן או חוסר הבנה וידע בתחום.

מי שאינו משתמש בשירותי תחזוקה לאתרי וורדפרס או לכל הפחות מבצע עדכונים באופן שוטף, לוקח סיכון מיותר ואף עושה עבודה קלה להאקרים ופורצים למיניהם.

תוסף אבטחה לוורדפרס

כבעלים של אתר או כאדם המתחזק אתרים מטרת העל היא אבטחת אתר וורדפרס ודאגה להמשך פעילות שוטפת של האתר.

איך עושים זאת?

מנסים להקשות על האקרים ופורצים עד כמה שניתן את תהליך הפריצה, כל דקה נוספת שהאקר יבזבז בניסיון לחדור לאתר מקרב אותו לרגע בו הוא ירים ידיים ויעבור לאתר אחר, קל יותר לפריצה.

מעבר לחובת עדכון המערכת והתוספים, אחת הדרכים הטובות לאבטחת אתר וורדפרס ולהקשיה על מבצע הפריצה לאתר היא כמובן באמצעות תוסף יעודי.

WORDFENCE SECURITY FOR WORDPRESS

תוסף 'WORDFENCE' הוא תוסף אבטחה חינמי לוורדפרס. (לקריאת מאמר על תוספים מומלצים לוורדפרס )

עם מעל לארבע מיליון התקנות פעילות, התוסף מאפשר לחזק את כל מערכות ההגנה של אתר וורדפרס.

תוסף אבטחה זה יודע לזהות ולחסום תוקפים עם כוונות זדון המנסים לחדור לוורדפרס, התוסף מתריע בזמן אמת על ניסיונות חדירה ופריצה לאתר.

תוסף וורדפנס מגיע עם המון תכונות חשובות ויעילות לאבטחת אתר וורדפרס והגדרתו היא פשוטה יחסית.

אם כי נדרש ידע מסוים על מנת להגיע לרמת הגנה גבוהה ותוצאות טובות יותר.

קישורים להורדת תוסף אבטחה לוורדפרס Wordfence Security

• קישור לדף התוסף באתר וורדפרס – כאן
• קישור לאתר התוסף לאבטחת אתר וורדפרס – כאן

תכונות בולטות לתוסף Wordfence Security

• סריקה יומית של של קבצי האתר ודיווח על כל שינוי בקוד.
• סריקה של קבצים מחוץ למסגרת ההתקנה של וורדפרס.
• 'brute force protection' הגנה מפני ניסיונות חדירה באמצעות זיוף שם משתמש וססמה.
• התראות על פירצות אבטחה אפשריות.
• התראות על תוספים לא מעודכנים.
• חומת אש פעילה.
• סנכרון עם וורדפרס לגבי פירצות חדשות.
• הגבלת ניסיונות כניסה ושימוש ב"איפוס ססמה".
• הגבלת גישה לבוטים.
• חסימה אוטומטית של שמות משתמשים וכתובות אייפי מוגדרות מראש.
• התראות בזמן אמת על כל פעילות חשודה באתר.
• אנטי ספאם – הטמעת גוגל קאפצ'ה.

כך נראה דוח תוצאות הסריקה ( באתר של לקוח ) הכולל וירוסים ושינויים שבוצעו בקוד:

בניתוח דוח תוצאות הסריקה של תוסף אבטחה לוורדפרס 'WordFence', ניתן לדעת אילו קבצים השתנו, מה השתנה בכל קובץ, האם מדובר בקובץ מערכת.

לביצוע משימת הסרת הוירוסים בצורה בטוחה, נדרשת גישה ישירה לשרת ( או באמצעות שרת FTP ).

את הסרת הוירוס עצמו ( שורות הקוד הנגועות ) מבצעים באופן ידני באמצעות מחיקת שורות הקוד הנגועות ו/או הסרת הקובץ הנגוע ( כאשר הקובץ הוא לא קובץ מערכת ).

המלצות נוספות לאבטחת אתר וורדפרס

1. בדקו שהאתר שלכם משתמש ב פרוטוקול אבטחה SSL/HTTPS.
2. הגדירו ססמה חזקה הכוללת אותיות גדולות וקטנות, מספרים, ותווים.
3. בשום אופן אל תשתמשו בחשבון בשם 'admin'.
4. הגדירו אימות דו שלבי. ( ניתן להגדיר באמצעות תוסף אבטחה לוורדפרס )
5. הגבילו את מספר ניסיונות הכניסה המותרות. ( ניתן להגדיר באמצעות תוסף אבטחה לוורדפרס )
6. שנו את כתובת דף ההתחברות ללוח הבקרה.
7. הקפידו לעדכן את גרסאת הוורדפרס שלכם.
8. הקפידו לעדכן את גרסאת ה PHP של האתר.
9. הקפידו לעדכן את תבנית הוורדפרס שלכם.
10. הקפידו לעדכן את התוספים כאשר קיים עדכון זמין.
11. ודאו שקיים גיבוי מעודכן בשרת.
12. הוסיפו הגדרות אבטחה לקובץ htaccess.
    • Strict-Transport-Security
    • X Content Type Options
    • X Frame | Clickjacking
    • X XSS Protection
13. בטלו גישה לפרוטוקול XML-RPC.
14. בחרו חברת אחסון מהירה, אמינה ומאובטחת.

1. בדקו שהאתר שלכם משתמש ב פרוטוקול אבטחה SSL

פרוטוקול אבטחה SSL הוא סטנדרט הנמצא בשימוש בעשרות מיליוני אתרים ברחבי העולם בכל העברת מידע בין המשתמשים לבעלי האתרים.

כיום, סטנדרט זה הפך לסימן היכר וזיהוי מינימלי לאבטחת אתר וורדפרס, ולמעשה אתרים ללא פרוטוקול זה מסומנים על ידי דפדפנים כאתרים לא מאובטחים.

במידה ואם חברת האחסון שלכם לא מספקת פרוטוקול SSL כחלק מהשירות, הצעד הראשון יהיה אבטחת האתר והמידע העוברים בו.

2. הגדירו ססמה חזקה הכוללת אותיות גדולות וקטנות, מספרים, ותווים

ססמאות כמו '12345678' אינן חזקות מספיק, תצטרכו להתאמץ קצת יותר.

הקפדה על שימוש באותיות קטנות וגדולות בשילוב עם מספרים ולפחות תו אחד יקשו מאוד על פריצת הססמה שלכם.

3. אל תשתמשו בחשבון תחת השם admin

ביחד עם חוזק הססמה שלכם ופרוטוקול SSL, גם זוהי הגדרה ראשונית ומחייבת לאבטחת וורדפרס.

בשום פנים ואופן אין להשתמש בחשבון בשם 'admin' או 'administrator'. זה שם נפוץ מדי וכל פורץ מתחיל יגלה אותו בקלות.

ביחרו שם יחודי וקשה לגילוי, כזה שיהיה קשה לנחש.

4. הגדירו אימות דו שלבי

אני מניח שרובנו נתקל בשירות כזה או אחר הכולל הזנת ססמה, ולאחריה אימות באמצעות הודעה או קוד/מסרון לטלפון.

הגדרת אימות דו שלבי מספק גישה רק לאחר מתן אישור על ידי הזנת קוד או סריקת ברקוד.

ניתן להוסיף הגדרת אימות דו שלבי באמצעות התוסף לאבטחת אתר וורדפרס 'wordfence'

5. הגבילו את מספר ניסיונות הכניסה המותרות

הגבלת מספר ניסיונות הכניסה לאתר עוזרת בכך שלאחר סיום מספר הניסיונות המותר, המשתמש יחסם לזמן מוגדר מראש.

יתרה מכך, ניתן להרחיב ולהגביל את כמות הפעמים בהם ניתן להשתמש בשחזור/החלפת ססמה, דבר המקשה את הפריצה אף יותר.

6. שנו את כתובת דף ההתחברות ללוח הבקרה

כל פורץ מכיר את דפי הכניסה למערכת המשמשים כברירת מחדל, 'wp-admin' & 'wp–login.php'.

כאשר מכירים את דפי הכניסה למערכת, מיד ניתן להתחיל ולנסות להזין שמות משתמש וססמה למערכת.

שינוי של כתובת דף הכניסה הוא שלב נוסף לאבטחת אתר וורדפרס, ושלב נוסף אותו ההאקר יצטרך לעבור על מנת לפרוץ לאתרכם.

7. הקפידו לעדכן גרסאות תוספים ומערכת

עדכון המערכת, התבנית, התוספים, וגרסאת ה PHP מבטיח שהאתר ישאר מעודכן כל הזמן.

מערכת וורדפרס מתעדכנת תדיר וכך גם רוב התוספים המוכרים והחשובים, חשוב לעדכן מיד שחרור גרסה חדשה למקרה והתגלתה פירצת אבטחה.

אל תתקינו תוספים או תבניות לא מוכרים.

8. הקפידו לגבות את האתר באופן תדיר.

דרך נוספת לדאוג לאבטחת אתר היא: לבצע גיבויים בתדירות גבוהה על מנת לדאוג לשחזור מהיר במקרה של נפילה.

אתם לא רוצים להגיע למצב של נפילה ללא יכולת שחזור כלל, חשוב שתהיה נקודת חזור במקרה כזה.

9. הוסיפו הגדרות אבטחה בקובץ htaccess

מערכת וורדפרס מכילה קבצים בעלי חשיבות מבחינת המידע המוחזק בהם, ואבטחתם היא קריטית.

הוספת הגדרות לקובץ htacces תקשה על פורצים ותגן על האתר מפני סוגים שונים של פירצות והתקפות כנגד האתר והשרת.

שלב זה הוא קריטי והוא שלב חובה לאבטחת אתר וורדפרס.

10. בטלו גישה לפרוטוקול XML-RPC

פרוטוקול XML-RPC מרחיב את הפונקציונליות של וורדפרס בחיבור עם תוכנות צד שלישי.

השירות הזה הוא אחד מבין פירצות האבטחה הנפוצות ביותר למערכת וורדפרס, ולכן החשיבות הרבה בהגבלתו.

בזמן שחלק מהאתרים כן זקוקים לשירות זה, מרביתם אינן עושים בו שימוש כלל.

ניתן לבטל את הגישה אליו בקלות באמצעות התוסף לאבטחת אתר וורדפרס wordfence.

11. בחרו חברת אחסון מהירה, אמינה ומאובטחת

הבחירה בחברת אחסון היא קריטית כשמדובר באבטחת אתר וורדפרס, חשוב לבחור בחברה מהירה, אמינה ומאובטחת, כזו שגם תתיחס לפניותיך במקרה ואם האתר נפרץ.

אם חברה לא מסוגלת לספק אחד מארבעת סעיפים אלו (מהירות, אמינות, אבטחה ושירות), עדיף לחפש חברה אחרת שכן מסוגלת לספק אותם.

סיכום

יתכן וביצוע שלבים אלו לאבטחת וורדפרס לא ימנעו את הפריצה לאתרכם, אבל בטוח שהם יעשו "חיים קשים" להאקר שינסה לעקוף אותם.

מחבר: מיכאל

מיכאל הוא מתכנת PHP, JavaScript ושותף בחברת Be Wiser, שם הוא מפתח אתרים ותבניות בסביבת וורדפרס. מיכאל למד לתכנת לבד ועבד כמתכנת חיצוני במגוון חברות ופרויקטים.

לכל המאמרים של: מיכאל