וורדפרס הינו אתר המבוסס על קוד פתוח ומאפשר יצירה ושיווק של פלאגינים לכל מי שחפץ בכך, לכן יש מספר סוגי איומים על אתר המבוסס וורדפרס. נדון בחלקם ונראה כיצד ניתן לאבטח אתר וורדפרס מפניהם.
– תוכנות זדוניות השתולות בתוך קוד הפאגינים.
– פרצות אבטחה בפלאגינים.
– סיסמאות קלות לפיצוח.
– הרשאות על תיקיות וקבצים בשרת המאחסן.
לצורך אבטחת אתר וורדפרס יש לבצע מספר פעולות, הראשונה שבהן היא התקנת תוסף אבטחה אמין ויעיל שיספק אפשרויות הגנה לאתר, תוסף אבטחה מומלץ, איתו אנחנו מרבים לעבוד הוא iThemes Security (יש לתוסף גירסה חינמית וגירסה בתשלום).
תוסף אבטחת וורדפרס – iThemes Security
התוסף מאפשר כמה פעולות הכרחיות בהגנה על אתר וורדפרס מפני פריצות:
– הסתרת דף כניסה לניהול האתר.
– שינוי שם משתמש admin ושינוי מספר ה ID שלו במסד הנתונים.
– נעילת משמשים אחרי ניסיונות כושלים ללוג-אין.
– נעילת משתמשים שידועים בתור אלו שמנסים לפרוץ.
– הקשחת הרשאות פעולה דרך ממשק האדמין.
– חסימת משתמשים שמזוהים כמי שמחפשים דפים באתר (ומגיעים לכמה וכמה דפים שלא קיימים).
מלבד אלו, התוסף מאפשר יצירת גיבויים אוטומטיים שגם חשוב ומומלץ מאוד לבצע, ועוד מגוון אפשרויות.בגירסה שבתשלום iThemes Security מאפשר הקשחות נוספות לאתר כמו Two Step Authentication ועוד.
הקישור לדף התוסף: https://wordpress.org/plugins/better-wp-security/
עדכון אתר ותוספים לגירסתם האחרונה
קוד תשתית אתר וורדפרס, המנוע שלו, מתעדכן מידי כמה שבועות /חודשים ומשתכלל ומאפשר דברים חדשים ונהדרים כמו גם "סותם" פרצות אבטחה שהתגלו, לכן חשוב מאוד ומומלץ תמיד שגירסת האתר תהיה האחרונה שיצאה. חשוב לציין שלעיתים עדיף שאת העדכונים הללא יבצע איש מקצוע (ככל שהאתר פעיל ומורכב יותר, ככה חשוב להיעזר במומחה).
בנוסף לתשתית האתר, גם התוספים בהם אנחנו נעזרים מוציעים עדכוני תוכנה מידי פעם, לרוב מדובר בעדכוני אבטחה לכן חשוב מאוד לשמור על גירסאות מעודכנות עבור כל אותם פלאגינים שמותקנים, באותה נשימה גם כדאי לדעת שככל שיש פחות פלאגינים כך האתר פחות חשוף למתקפות.
סיסמאות גישה לאתר
ישנם כלים חינמיים ופשוטים שיודעים לבצע התקפות על אתרים, היום לא צריך לדעת לתכנת או לדעת משהו בכלל כדי לתקוף אתר אינטרנט תמים. חלק מאותם כלים בנויים על מנת לנסות להיכנס לניהול האתר ושם להתחיל לשנות ולעדכן קבצים (במקרה הטוב נוכל לראות את זה, במקרה הפחות טוב זה יהיה חבוי ויותר בעייתי). חשוב אם כך להתקין תוסף אבטחה שיודע לזהות ולחסום כלים מסוג זה כמו גם לכפות על המשתמשים שמות משתמש שאינם (admin) וסיסמאות קשות לניחוש.
איך אפשר לבדוק אם האתר נפגע?
תוסף Exploit Scanner עוזר לאתר כל חשש לתוכנה או קוד זדוני שהוכנס לקוד האתר, הרצה של התוסף לוקחת מספר דקות, כאשר זה סורק את כל הקבצים ובודק אם נעשו בהם שינויים או שיש בהם חשש לפירצה, יש לשים לב שלא לפעול בצורה אוטומטית מול הממצאים שכן לעיתים קוד התבנית יכיל קטעי קוד שעלולים להחשב כקוד זדוני אבל הם לא באמת כאלה, חשוב לבדוק את האתר ולפעול בחוכמה מול התוצאות. הקישור לדף התוסף: https://wordpress.org/plugins/exploit-scanner/