אבטחת אתרי וורדפרס

אבטחת אתרי וורדפרס הוא חלק בלתי נפרד משמירה על המידע באתר. וורדפרס היא כנראה מערכת קוד פתוח הפופולרית ביותר בעולם ואם אתה קורא את התוכן הזה כנראה שיש לך לפחות אתר וורדפרס אחד שאתה רוצה לאבטח. זו בדיוק המטרה של המאמר הזה, להראות לכם איך בכמה פעולות ובשמירה על כמה כללים פשוטים תוכל לאבטח ברמה טובה את אתר הוורדפרס שלך.

חשוב לזכור שלכל אתר אפשר לפרוץ

רגע לפני שאתה צולל לקריאת המאמר חשוב לי להדגיש שעולם אבטחת המידע הוא עצום ולכן תמיד יהיה מי שמסוגל לפרוץ, תזכור שאפילו לפנטגון פרצו, אך יחד עם זאת "הפרצה קוראת לגנב" ובדרך כלל האקרים ממוצעים יפרצו להיכן שקל לפרוץ במקום לבזבז זמן יקר על אתרים שקשה לפצח. לכן נקיטת אמצעי הגנה על אתר הוורדפרס שלך תקטין את הסיכוי שהאקרים ירצו להתעסק עם האתר שלך ושגם אם הם יתעסקו איתו כנראה הם יבינו שעדיף להם לעבור לאתר הבא.

התקנת עדכוני תוכנה אחרונים של וורדפרס

אחת לתקופה יוצאת גרסה מעודכנת של וורדפרס, בדרך כלל הגרסה כוללת עדכוני אבטחה שהמטרה שלהם היא למנוע פריצות לאתרי וורדפרס. מומלץ מאוד לשמור על גרסת וורדפרס מעודכנת של האתר שלכם כדי לסגור פרצות אבטחה חדשות שהתגלו.

יחד עם זאת חשוב לקחת בחשבון שלעיתים רחוקות שדרוג גרסת וורדפרס של האתר עלולה להביא לפגיעה באתר. למשל עקב אי תאימות של חלק מהפלאגינים הקיימים באתר לגרסה החדשה ולכן חשוב לגבות לפני השדרוג, לשדרג את הגרסאות הקיימות של הפלאגינים ולוודא שהאתר עובד באופן תקין ורק לאחר מכן לשדרג את גרסת הוורדפרס. במצב של תקלה בשדרוג תמיד אפשר לחזור לגיבוי שיצרתם.

הגדרת סיסמאות ושמות משתמש

זה לא חדש שסיסמאות הן מאבני היסוד המהותיות ביותר של אבטחת האתר שלכם בפרט ואבטחת מידע בכלל. העניין הוא שזה מאוד קשה לשמור סיסמאות ארוכות ולכן מאוד מומלץ להשתמש בתוכנה שתסייע לכם לשמור את הסיסמאות שלכם ולהשתמש בהן בהמשך בקלות כשתרצו. התוכנה הכי מוכרת וזו שאני יכול להמליץ עליה היא Lastpass יש גרסה חינמית ויש גרסה בתשלום שמיועדת לצוותים של 5 אנשים ומעלה. התוכנה מסייעת גם ביצירת סיסמאות קשות לפריצה וגם בשמירתן.

עד כאן לגבי הסיסמאות, אך מה שרבים שוכחים הוא להשתמש בשם משתמש שאינו קל לניחוש. הימנעו מלהשתמש בוורסיות של המילה Admin אחרת אתם עושים חיים קלים לפורץ ומאפשרים לו לגלות את שם משתמש שלכם בקלות ומשם לנסות לפצח את הסיסמה שלכם. זכרו שאתם צריכים שם משתמש חזק ולכל הפחות לא קל לניחוש בנוסף לסיסמה חזקה.

הגדרת הרשאות – אבטחת אתרי וורדפרס

בעת יצירת משתמש חדש תצטרכו לבחור מהן ההרשאות שהוא מקבל. במידה ותתנו לו הרשאות ניהול (מנהל) קחו בחשבון שהוא יוכל לעשות ככל העולה על רוחו ובעצם להרוס את האתר גם אם זה לא בכוונה. לפעמים משתמשים שאינם מבינים בניהול אתרים מקבלים הרשאות שמאפשרות להם "לבדוק" דברים מה שמביא בהמשך לתקלות ובכלל חשוב שתבינו שאם למשתמש החדש אין צורך בהרשאת מנהל אל תתנו לו הרשאה כזאת, מכיוון שזה מתכון טוב לתקלות בהמשך. זכרו תמיד שאם סיסמה של משתמש שהוא מנהל נפרצת אז המשמעות היא שהפורץ יכול לעשות ככל העולה על רצונו – במילים אחרות – הלך לכם האתר.

גיבויים אוטומטיים של חברת האחסון

בדרך כלל חברות האחסון מייצרות גיבויים של שבוע עד שבועיים אחורה באופן יומיומי. אם יש לכם אחסון אתרי וורדפרס מסוג ריסלר אז כנראה תקבלו גישה למערכת ניהול של השרת (Cpanel / DirectAdmin) ומשם תוכלו לייצר גיבויים או לשחזר מגיבוי. זה מאוד חשוב מכיוון שבמידה ויש תקלה / פרצה ועליתם עליה בזמן תוכלו לשחזר את האתר מגיבוי ולחסוך לעצמכם הרבה כאב ראש. חשוב מאוד לבדוק עם חברת האחסון כמה זמן גיבוי אחורה של האתר הם שומרים. קחו בחשבון שבמידה ואינכם משתמשי ריסלר אתם צפויים לשלם עלויות על גיבוי ושחזור של האתר.

גיבויים אוטומטיים שלכם מתוך ממשק הניהול של האתר

עם כל הכבוד לחברת האחסון, כדאי מאוד לייצר גיבוי שאינו תלוי בה מבדיקה שאני עשיתי וחיפשתי פלאגינים שמספקים את הסחורה, נראה שהפלאגין לוורדפרס הכי טוב (וחינמי) שמצאתי הוא UpdraftPlus. הסיבה שהוא כל כך טוב היא שהוא: 1. חינמי. 2. מאפשר גיבוי בענן לחשבון דרופבוקס שזו אופציה מעולה וזמינה. 3. מאפשר גיבוי אוטומטי מה שאומר שניתן להגדיר שהגיבוי יתבצע באופן אוטומטי אחת לחודש ואז אתם יכולים לישון בשקט.

הגבילו את כמות הפעמים שמשתמש יכול לנסות להתחבר למערכת הניהול

אחד הדברים הנפוצים ביותר שפורץ ינסה לעשות הוא להריץ באופן אוטומטי וורסיות של שם משתמש וסיסמה כדי לפרוץ למערכת הניהול שלכם. דבר מדהים ופשוט שאפשר לעשות הוא לחסום משתמש שמנסה להתחבר ללא הצלחה מעל כמות פעמים מסוימת. למשל משתמש שמנסה להתחבר מעל 5 פעמים ללא הצלחה ינעל. הדבר הזה ניתן לביצוע בקלות באמצעות פלאגין חינמי של וורדפרס בשם Login Lockdown.

נתקו באופן אוטומטי משתמשים מחוברים שאינם פעילים

מכירים את זה שאתם גולשים באתר של הבנק שלכם או של חברת הביטוח ולאחר זמן מסוים שלא הייתם פעילים קופצת לכם הודעה "המערכת תתנתק באופן אוטומטי בעוד……" הסיבה שהבנק נוהג באופן הזה היא כדי למנוע מהאקר להשתלט לכם על ה – session או במילים אחרות להתחזות אליכם. כדי להקטין את הסיכוי שדבר כזה יקרה ניתן לנתק באופן אוטומטי משתמשים שאינם פעילים. פלאגין שעושה את זה טוב הוא Idle user logout.

אוקי מסכמים

זכרו שיש עוד המון דברים הנוגעים לאבטחת מידע באתר שתוכלו לבצע אך אם תתחילו עם מה שציינתי במאמר הזה אתם כנראה תהיו במצב טוב יותר מ – 95% מאתרי הוורדפרס ברשת.

כותב המאמר הוא שי שאואט מהנדס תוכנה ומנהל חברת יויומדיה.