עדכנו גרסת וורדפרס

נשמע פשוט ומובן מאליו אבל רוב בעלי האתרים לא מעדכנים את הגרסאות באופן שוטף. למה זה כזה חשוב לעדכן את הגרסאות תשאלו? מכוון שכמעט כל עדכון גרסה מכילה בעצם סגירה של איזו שהיא פרצת אבטחה שנמצאה ולכן ברגע שמגלים פרצת אבטחה מיד מוצאים עדכון לסגור אותה. וכמובן שכל האקרים שעד היום לא ידעו על הפרצה הזו ברגע העדכון יודעים על הפרצה ויש להם עוד נקודת תורפה באתר שלכם שדרכו אפשר להכנס.

כמו שתראו בגרף למטה , וורדפרס מהווה היום כ-70% מכלל המערכות לניהול תוכן (CMS) ולכן הוא יעד מועדף לתקיפה על ידי אקרים.

sites-using-cms

חשוב מאוד לבצע גיבויים (עליהם נדבר בהמשך) לפני ביצוע עדכונים כי לפעמים חלק מהפלאגינים "נשברים" עקב חוסר תאימות לגרסה החדשה.

הורידו תבניות ופלאגינים מיותרים

ככל שיש לכם באתר יותר פלאגינים ותבניות כך גדל הסיכוי למציאת פירצת אבטחה , לכן הורידו את כל הפלאגינים והתבניות שאתם לא משתמשים בהם בכלל ובכך תרויחו כמה פעמים כי גם יהיה לכם יותר מקום על השרת , האתר יטען יותר מהר וגם כמו שאמרנו יהיה לכם פחות פרצות אבטחה.

עכשיו אתם מוכנים לסעיף הבא.

עדכנו תבניות ופלאגינים

מה שכתבנו לגבי עדכון גרסאות של המערכת נכון גם פה ואפילו יותר מזה, מכוון שאת קוד המקור של וורדפרס בודקים מאות מפתחים אם לא יותר ואילו את הקוד של הפלאגין יכול להיות שכתב בן אדם אחד שלא בדיוק בקי באבטחת מידע וכללי הזהירות בכתיבת קוד בטוח. לכן השתדלו לבחור פלאגינים ותבניות כאלה שאתם רואים שהם עוברים עדכונים שוטפים ולא כאלה שפעם אחרונה שמישהוא עדכן אותם היה לפני כמה שנים.

גיבויים של האתר באופן שוטף

שמדברים על אבטחת אתרים גיבויים הם אחד המרכיבים המרכזיים שנותנים לנו את השקט הנפשי שאם וכאשר יקרה משהו לאתר נוכל להתאושש כמה שיותר מהר. הגיבויים צריכים להיות גם של הקבצים וגם של בסיס הנתונים והם צריכים להיות באופן שוטף ואוטומטי ללא התערבות שלנו (כי אנחנו מספיק עסוקים גם בלי זה). כדאי מאוד שיהיו גם גיבויים מעבר לאלו שעושים חברות האחסון מכוון שאם יש בעיה בשרת עליו מאוחסן האתר, לא יעזור לנו שחזור מאותו שרת מכוון שהוא לא יהיה נגיש, ולרוב קבצי הגיבוי מאוחסנים גם כן על אותו שרת . מעבר לכך מומלץ לכם לבדוק בדיוק איזה גיבוי נותנים לכם חברות האחסון , איפה נשמר הגיבוי , באיזה תדירות זה מגובה ותוך כמה זמן יוכלו לשחזר לכם אם בכלל.

מכל זה יוצא שכדאי לכם לדאוג לעניין הגיבוי בעצמכם על ידי התקנת פלאגין גיבוי ורצוי שיהי כזה אם אופציה לגבות את המידע לענן (google drive, dropbox וכיוצא באלו).

כמה תוספי גיבוי שאנחנו ממליצים לכם לוורדפרס:

  • UpdraftPlus – אחד התוספים הפופולאריים של וורדפרס לנושא הגיבוי. עובד עם שירותי ענן פופולאריים כמו Dropbox, Google Drive, Amazon S3, ואחרים. יש גרסה חינמית וגם גרסת פרימיום.
  • BackupBuddy – תוסף פרימיום בתשלום, מציע הרבה תכונות מתקדמות.
  • Duplicator – המטרה של התוסף היא בתכלס העתקה של אתר ממקום למקום (למשל במעבר בין אחסונים), אבל הוא גם משמש כתוסף גיבוי לכל דבר.
  • BackWPup - גם כן אחד מהתוספים הפופולאריים , מגיע עם הרבה יכולות גם בגרסה החינמית וכמובן יש לו גם גרסת פרימיום.

בחירת שם משתמש וסיסמה נכונה

לצערי עדיין המון מנהלי אתר עדיין משתמשים בשם המשתמש ADMIN שהוא ברירת המחדל של וורדפרס ועושים לאקרים חיים קלים מכוון שהם חוסכים לעצמם חצי מהעבודה כלומר יודעים מראש את שם המשתמש וכל מה שנשאר להם זה רק לפצח את הסיסמה.

strong-password

אז מה עושים כדי להחליף שם משתמש שנקרא ADMIN :

  1. יוצרים משתמש חדש עם אותה הרשאה (Administrator)
  2. יוצאים מהמערכת ונכנסים שוב עם השם החדש שיצרנו.
  3. מוחקים את שם המשתמש שנקרא ADMIN. (וורדפרס כבר ישאל אתכם האם אתם רוצים לשייך את כל הפוסטים שהיו משוייכים אליו, לשם משתמש חדש)

טיפ נוסף בעניין שם המשתמש הוא שוורדפרס נותנת לכינוי (SLUG) את אותו שם משתמש שבחרתם והשם הזה מופיע על כל הפוסטים שאתם כותבים ולכן שוב עשיתם לאקרים חיים קלים כי הם יודעים את שם המשתמש, לכן כדאי מאוד לשנות שהכינוי לא יהיה זהה לשם המשתמש.

עכשיו נעבור לחלק השני שהוא בחירת הסיסמה, רובנו מנסים לבחור סיסמה שנזכור אותה ולכן אנחנו מתפשרים על סיסמאות חלשות מאוד , סיסמה טובה צריכה להיות מורכבת משילוב של תווים , מספרים , סימנים כשאר מומלץ לשלב אותיות קטנות וגדולות.

אתם מוזמנים להכנס לאתר הזה כדי לבדוק את חוזק הסיסמה שלכם וגם כדי לקבל מושג תוך כמה זמן אפשר לפצח את הסיסמה הנ"ל.

הרשאות מתאימות למשתמשים

לא כל משתמש שעובד על האתר צריך הרשאה של Administrator יש לוורדפרס כמה רמות של הרשאות וכדאי לתת לכל אחד הרשאה לפי הצרכים שהוא צריך לעשות באתר , לדוגמא אם זה משתמש שרק רושם פוסטים באתר אין סיבה לתת לו גישה לעריכת התבניות וכדומה.

הנה תקציר של כל סוג הרשאה:

מנהל – האדמין של המערכת, זה בעצם אתם ובדרך כלל גם מפתח האתר – מישהו שיש לו גישה מלאה לכל תכונות הניהול של המערכת, הכתיבה, עריכה, פרסום של עמודים ופוסטים, שינוי תבניות ובעצם הכל.
עורך – מישהו שיכול לפרסם ולנהל פוסטים כולל פוסטים של משתמשים אחרים כמו כן יכול לפרסם ולנהל עמודים.
כותב – מישהו שיכול לפרסם ולנהל רק את הפוסטים שלו עצמו.
תורם – מישהו שיכול לכתוב ולנהל את הפוסטים שלו, אבל לא יכול לפרסם אותם.
מנוי – מישהו שיכול רק לנהל את הפרופיל שלו. זאת ברירת המחדל למשתמשים חדשים למשל באתר מסחר או באתר שצריך להירשם אליו כדי לבצע פעולה או לקבל מידע.

 

הסרת גרסת וורדפרס מהקוד של האתר

וורדפרס משאירה בקוד טביעת אצבע על ידי זה שהיא מפרסמת את הגרסה הנוכחית של האתר , הדבר נועד כמובן לצורכי מעקב אבל אקרים עושים בו שימוש לרעה ולמעשה יודעים את גרסת האתר שלנו ובעצם יודעים איזה פרצות אבטחה יש באתר, לכן כדאי מאוד להסתיר נתון זה.

הקוד הבא יסיר לכם את הגרסה גם מהאתר וגם מהפיידים של ה-RSS , את הקוד יש להוסיף לקובץ ה-functions.php שלכם.

function rb_remove_version() {
	return '';
}
add_filter('the_generator', 'rb_remove_version');

למי שלא רוצה להסתבך עם קוד אז יש כמה פלאגינים שעושים זאת ואפשר למצוא אותם על ידי חיפוש פשוט בגוגל של מילות המפתח wordpress remove version plugin

 

בחירת חברת אחסון איכותית

לבחירת חברת אחסון יש שיקולים רבים שמשפיעים על האתר ואחד מהם הוא נושא האבטחה של השרת עליו יושב האתר שלכם , יש לבחור חברה רצינית שמודעת לעניני האבטחה וזה אחד מהדברים שעומדים לנגד עיניה. אם האתר שלכם נמצא על שרת שיתופי שמאחסן עליו עוד כמה מאות ולפעמים אלפי אתרים , ואחד מהם מותקף על ידי אקרים (לדוגמא התקפת מניעת שרות DDOS) אז גם האתר שלכם "יסבול"מזה למרות שהוא לא יעד ההתקפה.אבטחת אתרים

יש כמובן שירותים נוספים אותם נותנים חברות האחסון הטובות כגון גיבויים אוטומטים (כולל למקומות בענן) , עידכוני וורדפרס אוטומטים , סריקת קבצים באתר ועוד. כמובן שירות לקוחות הוא מרכיב חשוב בנושא הזה , כי אם יש לך חברת אחסון שאתה לא יכול לתקשר איתם בצורה חלקה (בעיות של שפה זרה, שעות עבודה שונות וכדומה) אז אתה נמצא די בבעיה ויקח לך המון זמן לפעול.

הגבלת נסיונות הכניסה לאתר

אחד ההתקפות הקלות של האקרים היא התקפה שנקראת brute force attack , זוהי התקפה שבה האקר מריץ סקריפטים שמנסים להתחבר לאתר ולנסות להכניס שם וסיסמה מתוך מאגר גדול של שמות וסיסמאות נפוצות (שאנחנו בדרך כלל אוהבים לבחור ...). אז כמובן אמרנו קודם שנבחר שם משתמש וסיסמה כאלו שלא יהיו בתוך המאדר הנ"ל ויהיו קשים לפיצוח , אבל למה בכלל לתת להם לנסות לפרוץ אם אפשר למנוע זאת על ידי פעולה פשוטה, כגון חסימת אותו מחשב ממנו מנסים לפרוץ לאחר X ניסיונות כושלים לפרק זמן T. לאחר ביצוע פעולה פשוטה זו אנו מוציאים למעשה את העוקץ מכל הרעיון הנ"ל כי משהו שהיה אמור לקחת כמה דקות יכול לקחת עכשיו שנים. רוב הפלאגינים של האבטחה מבצעים כיום את הדבר הנ"ל כאשר ניתן להגדיר את אותם משתנים X ו- T כמו שאתם רוצים.

 

תוספי אבטחה והגנה

 השארתי את החלק הזה לסוף מפני שהתוספים מבצעים את רוב הדברים שרשמנו למעלה וכדי שתדעו מה לחפש בתוסף עצמו ולהבין קצת יותר על הנושאים השונים שקיימים אם כי יש עוד הרבה דברים עליהם לא כתבנו.

אני ימליץ על כמה תוספים שעונים על הרבה מהדברים שדברנו עליהם:

לפני שאתם מתקינים או "משחקים" עם הפלאגינים הנ"ל מומלץ מאוד לגבות כי אתם יכולים לעשות בקלות נזקים לאתר ולחסום אפילו את עצמכם . כדאי להגדיר את כל הגדרות כמו שצריך מומלץ להעזר שמישהו שמבין בתחום .

עד כאן 10 טיפים לשיפור האבטחה של אתר הוורדפרס שלכם.

ר.ב. טכנולוגיות מציעה ללקוחותיה שרת אחסון ברמה גבוהה עם תכונות רבות של הגנה כגון גיבויים אוטומטים , סריקות קוד של האתר לחיפוש קוד זדוני, עידכונים אוטומטים לוורדפרס ועוד. כמו כן אנחנו מומחים בטיפול באתרים שכבר נפרצו ובאבטחת אתרים.

צריך עזרה בלאבטח את האתר שלך? אנחנו פה לשביל לעזור לך!