המדריך לשיטות הטובות ביותר לאבטחת אתרי וורדפרס

על פי נתונים סטטיסטיים ברשת, למעלה מ100,000 אתרים נפרצים מדי יום.
ישנה חשיבות רבה לאבטחת האתר שלך.

להלן ההמלצות לדרכים הטובות ביותר לעשות זאת:

1. השקיעו באחסון וורדפרס מאובטח

אבטחת וורדפרס, זה יותר מרק נעילת האתר שלך עבור אבטחה יעילה יש לשים לב באיזה שרת אינטרנט הינך משתמש.

חשוב לבחור שרת אמין שניתן לסמוך עליו.

הקשחת שרתים היא המפתח לשמירה על סביבת וורדפרס מאובטחת ברמה גבוהה. דבר זה דורש שכבות של אמצעי אבטחה ברמת החומרה והתוכנה כדי להבטיח כי תשתית ה-IT מסוגלת להתגונן מפני איומים מתוחכמים.

על שרתים המארחים וורדפרס להיות מעודכנים, בעלי מערכת ההפעלה העדכנית ביותר ותוכנות הבודקות ומאתרות נקודות תורפה ותוכנות זדוניות.

חומות אש ומערכות זיהוי חדירה צריכות להימצא טרם התקנת וורדפרס על השרת.

2. השתמשו בגרסת ה-PHP העדכנית ביותר

הגרסה העדכנית ביותר נתמכת באופן מלא למשך שנתיים בהן מבצעים תיקונים שונים בבאגים ובעיות אבטחה.

נכון להיום כל אלו המשתמשים בגרסת PHP 7.1 ומטה, חשופים לפרצות אבטחה.

3. בחרו בשמות משתמש וסיסמאות חזקים

האבטחה הטובה ביותר מתחילה מהבסיס.

לגוגל יש כמה טיפים טובים לבחירת סיסמה חזקה

תוכלו גם להיעזר במחולל הסיסמאות המקוון – Strong.

ישנה חשיבות לשימוש בסיסמאות שונות עבור אתרים שונים. הדרך הטובה ביותר לאחסן אותם היא במסד נתונים מוצפן במחשב שלך. כלי חינמי טוב לכך הוא KeePass.

למרות שהנתונים שלך קיימים ב"ענן" הם בדרך כלל בטוחים יותר כשאינך משתמש באותה הסיסמא בכל האתרים.

4. עבדו תמיד עם הגרסה העדכנית ביותר של וורדפרס, תוספים וערכות נושא

אלו מתעדכנים באופן תדיר וכללים שיפורי אבטחה ותיקוני באגים.

בעלי אתרי וורדפרס רבים נפלו קורבן לפגיעות של האקרים בל תוספים שאינם עדכניים.

על ידי עדכון התוספים תוכלו למנוע פגיעה אפשרית באתר שלך.

מומלץ להתקין תוספים מהימנים בלבד מהאתר של וורדפרס.

תוכלו להשתמש בVirusTotal כדי לסרוק את הקבצים של תוסף או ערכת נושא ולראות האם הוא מזהה

תוכנות זדוניות.

5. נעלו את מנהל הוורדפרס שלכם

נעילת אזור הניהול וההתחברות בוורדפרס היא דרך טובה להגביר את האבטחה שלך.

שתי דרכים טובות לעשות זאת היא ראשית על ידי שינוי של כתובת URL ההתחברות של wp-admin וגם הגבלת ניסיונות התחברות.

אם אתם מחפשים פתרון אבטחה פשוט יותר של וורדפרס, אלטרנטיבה מצוינת היא תוסף כניסה חינם לנעילה.

Login LockDown מתעד את כתובת ה-IP והזמן של כל כשל ניסיון כניסה. אם מתגלים יותר ממספר מסוים של ניסיונות תוך פרק זמן קצר מאותו IP, אפשרות הכניסה מושבתת עבור כל הבקשות מטווח זה.

דרך נוספת לנעול את האדמין שלך היא להוסיף אימות HTTP. דבר זה דורש שם משתמש וסיסמה לפני שמתאפשרת הגישה לדף הכניסה של וורדפרס.

6. השקיעו באימות בעל כמה שלבים

לא משנה עד כמה הסיסמה שלך מאובטחת, תמיד יש סיכון שמישהו יגלה אותה.

שימוש בתהליך אימות בן שני שלבים שבו יש צורך בכמה שיטות על מנת להזדהות.בדרך כלל מדובר בטקסט, שיחת טלפון או סיסמה חד פעמית.

ישנן אפליקציות אימות שניתן להתקין בפלאפון:

אפליקציית Android Google Authenticator
אפליקציית Google Authenticator לאייפון

ניתן בקלות לשלב שיטה זו עם שינוי כתובת ברירת המחדל של ההתחברות שלך.

7. השתמשו ב-HTTPS עבור חיבורים מוצפנים - אישור SSL

אחת הדרכים היעילות לאבטחת הוורדפרס שלך היא התקנת תעודת SSL

והפעלת האתר שלך ב-HTTPS.

HTTPS הינו מנגנון המאפשר לדפדפן להתחבר בצורה מאובטחת לאתר.

8. הקשיחו את קובץ ה-wp-config.php שלכם

קובץ wp-config.php שלך הוא הלב של התקנת וורדפרס. זה ללא ספק הקובץ החשוב ביותר באתר בכל הנוגע לאבטחה. הוא מכיל את הכניסה למסד הנתונים שלך, מידע ואבטחה המטפלים בהצפנת מידע בCookies.

הנה כמה דרכים בהן ניתן להגן טוב יותר על קובץ זה.

שנו את מיקומו

קובץ הwp-config.php נמצא כברירת מחדל בתיקיית ה-HTML /public שלך.

ניתן להעבירו לתיקייה שאינה נגישה ל-www.

על מנת להעבירו, יש להעתיק את כל תוכנו לקובץ אחר. לאחר מכן בקובץ wp-config.php שלך תוכל למקם את הקובץ השני ובכך להכילו.

עדכנו את ה Security keys של וורדפרס

מפתחות האבטחה של וורדפרס הם קבוצה של משתנים המשפרים את הצפנת המידע

ומאוחסנים בCookies של המשתמש.

בהתקנת הוורדפרס, אלה נוצרים באופן אקראי עבורך. אם לדוגמא רכשת אתר מאדם אחר, מומלץ לייצר מפתחות וורדפרס חדשים.

קיים כלי חינמי לוורדפרס בו ניתן לייצר מפתחות אקראיים. ניתן לעדכן את המפתחות הנוכחיים בקובץ wp-config.php שלך.

9. השביתו את XML-RPC

בשנים האחרונות XML-RPC הפך למטרה גדולה יותר ויותר לתקיפות.

בתור Sucuri כאמור, אחת התכונות הנסתרות של XML-RPC היא שאתה יכול להשתמש בשיטת system.multicall לבצע מספר שיטות בתוך בקשה אחת. זה מאוד שימושי מכיוון שהוא מאפשר ליישומים להעביר מספר פקודות בתוך בקשת HTTP אחת. אבל מה שקורה לעיתים, הוא שימוש בכוונת זדון.

ישנם כמה תוספים של וורדפרס כמו Jetpack שמסתמכים על XML-RPC, אך לרוב האנשים בחוץ לא יהיה צורך בזה. דבר זה עשוי להועיל להשבתת הגישה אליו. כדי להשבית את הגישה באופן מלא, תוכלו להתקין את התוסף החינמי Disable XML-RPC.

10. הסתירו את גרסת הוורדפרס שלכם

הסתרת גרסת הוורדפרס שלך נוגעת שוב בנושא אבטחת וורדפרס על ידי ערפול מידע.

ככל שפחות אנשים יודעים על תצורת אתר הוורדפרס שלך, כך ייטב.

שימוש בוורדפרס בגרסה שאינה מעודכנת, יכולה לשמש פרצה לפולשים.

11. הוסיפו כותרות אבטחת HTTP אחרונות

צעד נוסף שניתן לנקוט בו על מנת להקשיח את אבטחת הוורדפרס שלכם הוא לנצל את אבטחת כותרת ה HTTP

אלה מורים לדפדפן כיצד להתנהג בעת טיפול בתוכן האתר שלך. יש הרבה כותרות אבטחת HTTP שונות.

להלן החשובות שבהן.

Content-Security Policy
X-XSS-Protection
Strict-Transport-Security
X-Frame-Options
Public-Key-Pins
X-Content-Type

תוכלו לבדוק אילו כותרות פועלות כעת באתר וורדפרס שלכם על ידי הפעלת Chrome

devtools והתבוננות בכותרת בתגובה הראשונה של האתר.

דרך נוספת היא לסרוק את אתרכם עם הכלי החינמי – securityheaders.io המראה לך אילו כותרות אבטחת HTTP יש כרגע באתר.

12. השתמשו בתוספים לאבטחת וורדפרס

יש הרבה מפתחים וחברות בחוץ המספקות פתרונות עבור הגנה טובה יותר על אתר הוורדפרס שלכם.

הנה כמה מהם:

תכונה חשובה שתוספי אבטחה רבים כוללים הינה כלי עזר לבדיקת checksum. המשמעות היא

שהם בודקים את התקנת הוורדפרס שלכם ומחפשים שינויים בקבצי הליבה, כל שינוי בקבצים אלה עלול להצביע על פריצה.

ניתן גם להשתמש ב-WP-CLI כדי להריץ בדיקה זו בעצמכם.

13. הקשיחו את אבטחת מסדי הנתונים

ישנן כמה דרכים לשפר את האבטחה במסד הנתונים של וורדפרס. הראשון הוא להשתמש בשם חכם.

אם האתר שלך נקרא "volleyballtricks", כברירת מחדל מסד הנתונים של וורדפרס ייקרא

wp_volleyballtricks. על ידי שינוי השם באופן מתוחכם, ניתן להקשות על האקרים לזהותו כמסד הנתונים של האתר ולמנוע גישה לפרטיו.

המלצה שנייה היא להשתמש בקידומת טבלת מסד נתונים אחרת. במקום ברירת המחדל

wp_. שנו לקידומת דוגמת – 98xre_.

14. עבדו תמיד עם חיבורים מאובטחים

ודאו שמארח הוורדפרס שלך נוקט באמצעי זהירות כגון מתן SFTP או SSH. SFTP או Secure

פרוטוקול העברת קבצים (SSH).

בנוסף חשוב לוודא שנתב האינטרנט שלך מוגדר כהלכה. אם מישהו פורץ לרשת הוא

יכול לקבל גישה למידע רב, כולל על אתרי וורדפרס שברשותך.

לכן נמליץ:

כיבוי הפעלת ניהול מרחוק (VPN), בכך תימנע חשיפת הרשת לעיני כל.
נתבים משתמשים בדרך כלל בכתובות IP בטווח כגון 192.168.1.1. השתמשו בטווח אחר, כגון 10.9.8.7.

אפשרו את רמת ההצפנה הגבוהה ביותר ב-WiFi שלך.
שמור את הקושחה בנתב שלך מעודכנת.

ותמיד היזהר בעת כניסה לאתר וורדפרס שלך במקומות ציבוריים. נקטו באמצעי זהירות

כגון אימות ה-SSID של הרשת בטרם ההתחברות.

15. בדקו את הרשאות הקבצים והשרתים שלכם

הרשאות קבצים הן בהתקנה והן בשרת האינטרנט, הן קריטיות. אם ההרשאות רופפות מדי, מישהו יכול בקלות לקבל גישה לאתרכם. מצד שני, אם ההרשאות שלך מחמירות מדי זה עלול לחבל בפונקציונליות של האתר.

חשוב להגדיר את ההרשאות הנכונות.

הרשאות קובץ –

הרשאות קריאה מוקצות רק אם למשתמש יש זכויות לקרוא את הקובץ.
הרשאות כתיבה מוקצות רק אם למשתמש יש זכויות לכתוב או לשנות את הקובץ.
הרשאות ביצוע מוקצות רק אם למשתמש יש את הזכויות להפעיל את הקובץ ו/או להפעילו בתור תסריט.

הרשאות תיקייה –

הרשאות קריאה מוקצות רק אם למשתמש יש זכויות גישה לתוכן של תיקייה מזוהה.

הרשאות כתיבה מוקצות רק אם למשתמש יש הרשאות להוסיף או למחוק קבצים הכלולים בתוך התיקיה

הרשאות ביצוע מוקצות רק אם למשתמש יש זכויות גישה לתיקייה ואפשרות לבצע פונקציות ופקודות, כולל היכולת למחוק נתונים.

ניתן להשתמש בתוסף החינמי iThemes Security על מנת לסרוק את ההרשאות באתר

16. השביתו את עריכת הקבצים בלוח המחוונים של וורדפרס

להרבה אתרי וורדפרס יש מספר משתמשים ומנהלי מערכת, מה שיכול להפוך את אבטחת האתר למורכבת יותר.

לעיתים ניתנים לכותבים או לתורמים הרשאת "מנהל" ודבר זה עשוי להוביל לנזילת מידע. חשוב להעניק למשתמשי האתר את ההרשאות הנכונות.

הדבר המועיל ביותר עבור כך יהיה להשבית את ה“Appearance Editor” בוורדפרס.

הרבה יותר טוב לערוך את הקובץ באופן מקומי ולהעלות אותו באמצעות FTP.

17. מנעו Hotlinking

הרעיון של Hotlinking הוא פשוט מאוד. אתה מוצא תמונה באינטרנט איפשהו ומשתמש ב- כתובת האתר של התמונה ישירות באתר שלך. תמונה זו תוצג באתר שלך אך היא עדיין מגיעה ממיקומה המקורי.

זוהי למעשה "גניבה" כיוון שקיים שמתבצע שימוש בתוכן מהאתר המקורי.

זה אולי לא נראה כמו עניין גדול, אך שימוש בלינקים מסוג זה עלול ליצור עלויות נוספות.

18. שמרו תמיד גיבויים לאתרכם

בסוף הדבר החשוב ביותר הוא לדאוג לגיבויי האתרים שלכם. לצערנו אין אפשרות להבטיח מוגנות מוחלטת ולכן זוהי הדרך הטובה ביותר לאבטחת המידע של אתרכם.

רוב ספקי האירוח המנוהלים של וורדפרס מספקים גיבויים.

בנוסף ישנם כמה שירותי גיבוי וורדפרס ותוספים שבהם ניתן להשתמש, אלו מאחסנים את הגיבויים בענן שלך בעבור תשלום חודשי קבוע.

דוגמאות לאתרים המספקים שירותי גיבוי:

19. השתמשו בהגנת DDos

התקפת DDOS הינה התקפה בה נעשה שימוש במספר מערכות כדי לפגוע באתרכם בצורה העלולה להשביתו

לכמה שעות או ימים.

מה ניתן לעשות כנגדה? אחת ההמלצות הטובות ביותר היא להשתמש ב-שירותי אבטחה כמו Cloudflare או Sucuri. ניתן להשתמש בהגנת ה-DDoS המתקדמת שלהם למתן התקפות DDoS מכל הסוגים, כולל אלו המכוונות לUDP ו-ICMP, כמו גם SYN/ACK, הגברת DNS והתקפות Layer 7.