לא דיי לרכוש אחסון אתרים מאובטח. למעשה האחריות לשמור על אתר מאובטח מתחלקת ל- 20-80, כאשר 80% הוא אחריות בעל האתר לתחזק את אתרו באופן תקופתי ולאורך זמן.
תכירו את המערכת שאתם עובדים איתה
וורדפרס זו מערכת קוד פתוח (Open Source) חינמית. מה שאומר שהקוד שלה מפורסם ברשת וזמין לכל האקר שירצה להשקיע את זמנו כדי לפגוע לכם באתר. למעשה תוך כמה דקות ניתן לגלות באיזו גרסה של וורדפרס אתם עובדים, אילו תוספים מותקנים, אילו ערכות נושא מותקנות ולפי זה לטרגט את המתקפה על האתר שלכם.
כיום וורדפרס זו המערכת הכי נפוצה והכי נפרצת ברשת. קחו אחריות על האתר שלכם ותתחזקו אותו.
שדרגו גרסה ל- WordPress
חשוב לזכור כי המנוע מאחורי הקלעים שמריץ לכם את האתר הוא קבצי הליבה של הוורדפרס. הוורדפרס שלכם בנוי בקוד PHP פשוט אשר מאפשר לכם להיכנס למערכת ניהול תוכן יעודית ולערוך את האתר שלכם. האקרים ברחבי העולם עובדים קשה מאוד כדי למצוא חולשות אבטחה בקבצי הליבה של הוורדפרס, וזאת על מנת להשתמש בהן כדי לקבל גישה לאיזור ניהול, לגנוב מידע או להשתמש בזה ככופר.
לצערנו הרב חולשות אבטחה מתגלות רק אחרי שהקוד הזדוני כבר פרץ ועשה את זממו. דבר ששם את אתר הוורדפרס בסיכון תמידי מפני פריצה.
הדרך היחידה להתגונן מפני חולשות אבטחה היא על ידי שדרוג לגרסה חדשה יותר שבה מפתחי וורדפרס כתבו במפורש שהם סגרו את החולשה שהתגלתה.
מכאן אנו למדים שאם התגלתה פרצה בגירסא 5.2 של וורדפרס, ומפתחי וורדפרס הוציאו עדכון שסוגר פרצה זו בגרסה 5.2.1, אך לא דאגתם לעדכן אליה, האתר שלכם יפרץ.
תדאגו לשדרג את הוורדפרס שלכם לגירסאות החדשות ביותר.
שדרגו תוספים וערכות נושא
תוספים וערכות נושא הן קוד צד ג' של מפתחים צד ג' אשר אינם קשורים לוורדפרס. מה שאומר שאין שום בקרה על הדרך שבה הקוד נכתב. זה אומר שגם כאן, כמו בפסקה הקודמת ייתכנו חולשות אבטחה אשר יכולות להביא לפריצת האתר שלכם. אם נהיה כנים, פורצים יותר דווקא לתוספים וערכות נושא מאשר לקבצי ליבה של הוורדפרס.
רק לפני מס' שבועות מיליוני אתרים נפרצו בגלל שימוש בתוסף משלים לאלמנטור, וזאת כמובן כי האקרים גילו חולשת אבטחה בתוסף זה והשתמשו בו כדי לפגוע באתרים בהם הוא היה מותקן.
כתוצאה מפריצה זו בתי עסק הושבתו למשך ימים ארוכים. בתגובה לכל העניין המפתחים של התוסף שחררו עדכון תוך 48 שעות אשר סוגר חולשה זו. חבל שב- 48 שעות הצליחו לפרוץ לכ"כ הרבה אתרים.
בונה אתרים מיומן ומסודר דואג לבצע שדרוגים לתוספים וערכות הנושא שלו אחת לחודש. בעל אתר אשר איננו מבין בתחום חייב להעסיק מתכנת שישדרג לו את האתר אחת לחודש לפחות.
אם תהיו שאננים ולא תשדרגו את התוספים וערכות הנושא שלכם, האתר שלכם יפרץ.
תורידו בכמות התוספים המותקנים
ככל שתרבו בכמות התוספים המותקנים באתר, ככה תעשו להאקרים את החיים לקלים יותר. כשיש מגוון רחב של תוספים עם קוד שונה, יש מגוון רחב של דרכים לפרוץ.
תתקינו אך ורק את מה שדרוש לפעילות האתר ולא שום דבר מעבר. תדאגו להעסיק מתכנת שיכתוב לכם קוד בסיסי במקום שתתקינו עוד תוסף.
אם אתם מתקינים תוספים רבים, במינימום תדאגו לבדוק מתי פעם אחרונה התוסף עודכן, מהן התגובות על התוסף הזה וכמובן מה הדירוג שהביאו לו. אל תתקינו תוספים שלא מתעדכנים תקופתית. אתם לא רוצים להתקע יום אחד עם תוסף שהמפתח שלו הפסיק לתמוך בקוד שלו.
תתעדכנו באופן יומי בחולשות אבטחה בוורדפרס
תוכלו להתעדכן בפריצות \ חולשות העדכניות ביותר באתר הבא: https://wpscan.com
תתקינו תוספי אבטחה
כדי למזער כמה שניתן את האפשרות לפריצה, מומלץ להתקין תוספי אבטחה.
– Wordfence – תוסף אבטחה אשר סורק את קבצי האתר שלכם ועוזר למחוק את הנגועים שביניהם.
– WP Hide & Security Enhancer – תוסף שעוזר להסתיר ברמת הקוד מקור את העובדה שמדובר באתר וורדפרס. כאשר יסרקו את האתר שלכם, לא יוכלו לטרגט את התקיפות נגדכם.
– WPS Hide Login – תוסף שעוזר להסתיר את קישור ההתחברות לניהול שלכם.
תעבדו עם Cloudflare
קלאודפלייר היא חברת אבטחת המידע הגדולה בעולם אשר מספקת שירות FILTERING עוצמתי העוזר לצמצם את כמות התקיפות על האתר שלכם.
לצורך הדוגמא, האקר מצא את האתר שלכם וכעת הוא רוצה לתקוף אותו. כאשר הוא ישלח את התקיפה הראשונה שלו, הוא יעבור דרך השרתים של קלאודפלייר. השרתים שלהם יסננו את התקיפה ויחסמו אותה עוד לפני שהיא הגיעה לאתר. בנוסף לאבטחה, קלאודפלייר מספקים שירות קאשינג עולמי אשר ברוב המקרים מאיץ את מהירות הטעינה שלו.
לשמחתכם קלאודפלייר מציעים חבילה חינמית לחלוטין ללא מגבלת זמן.
בחרו באחסון אתרים מאובטח
כשאנחנו מדברים על אחסון אתרים או אחסון וורדפרס בפרט, חשוב לבחור חברת אחסון אשר משקיעה באבטחת שרתיה. כמה דברים חשובים לשים לב אליהם:
– חשוב שחברת האחסון תספק לכם מנוע שיאפשר לסרוק את האתר ולמחוק קבצים זדוניים.
– חשוב שחברת האחסון תשתמש ב- WAF (חומת אש אפליקטיבית) שעוזרת לגלות פרצות אבטחה ולמנוע אותם אוטומטית.
– חשוב שהחיבור ל- PHPMYADMIN יהיה מאובטח וחסום לעולם. אם הצלחתם להגיע לעמוד ההתחברות של PHPMYADMIN, מכאן שחברת האחסון נתונה בפני התקפות Brute Force על מסדי הנתונים שלה.
– חשוב להמנע מחברות אחסון אשר מציעות פאנל כמו ISP Panel או DirectAdmin. קוד המקור שלהם נפרץ כבר עשרות פעמים, מומלץ שלא להשתמש במערכת שהקוד מקור שלה מפורסם ברשת.
לסיכום
אבטחת האתר שלכם מתחילה ונגמרת בכם, בעלי האתרים. החל מבחירת חברת האחסון ועד לתחזוקת האתר. במידה והדברים הנ"ל לא יתבצעו כהלכה, האתר שלכם יהיה בסכנת פריצה. חשוב לעקוב אחר כל ההמלצות ולממש אותן עד הסוף. אתרי וורדפרס מעולם לא היו פרויקטים של "שגר ושכח", למרות שזה אולי נשמע לכם דבר שולי שאפשר להוריד ממנו רגל מהגז, אנו בתור חברת אחסון עדים לכל המקרים המצערים ומכירים את התמונה הגדולה.
2 Responses
תודה רבה על המאמר המועיל!
איך היית ממליץ לעדכן את הוורדפרס בדרך הכי בטוחה?
בשמחה 🙂
1. לגבות את האתר לפני זה. מומלץ אפילו כמה פעמים ובשיטות שונות.
2. לבצע עדכון לתוסף תוסף לפי הסדר. במיוחד לתוספים שנועדו לעבוד יחד עם תוספים אחרים.
3. במידה והאתר נופל, מומלץ להסתכל בלוגים איזה תוסף מפיל את האתר ואז לבצע עדכון דרך פאנל האחסון.
בהצלחה!