המדריך המעשי לאבטחת אתר וורדפרס (wordpress) – חובה לכל מנהל IT

Y&A אבטחת אתר וורדפרס
נהניתם מהתוכן ואפילו קצת השכלתם? שתפו גם את החברים והקולגות

 

יותר ויותר חברות גדולות מאמצות את הוורדפרס כפלטפורמה לאתר שלהם. מנהלי IT חוששים מרמת האבטחה של אתרים אלו. כחברה המתמחה בפיתוח בסביבות 'קוד פתוח' מזה עשור, ריכזתי עבורכם את המלצות האבטחה החשובות ביותר לאבטחת אתר וורדפרס.   

וורדפרס ( wordpress ) היא מערכת לניהול תוכן ובניית אתרים, מבוססת קוד פתוח, הפופולרית ביותר מבין מערכות הניהול בקוד פתוח (כגון: joomla, drupal, umbraco ועוד).

בשנים האחרונות אנו עדים למגמה הולכת וגדלה של חברות רציניות ומותגים מובילים בינלאומיים המאמצים את פלטפורמת הוורדפרס לפיתוח אתרים. השוק עבר תמורה אדירה ותפיסת הקוד הפתוח מאומצת באופן מלא בפיתוח של מערכות ופלטפורמות. רוב הסטארטאפים, ופלטפורמות מובילות בעולם כגון פייסבוק, יוטיוב, אינסטגרם ועוד מפתחים על קוד פתוח- PHP.

למרות כל זאת, רבים ממנהלי ה IT חוששים משימוש בוורדפרס לפיתוח אתרים רציניים לחברות שלהם. חלק מהחשש נובע מהכרות של שנים רבות בסביבת פיתוח מייקרוסופט. הם למדו וחונכו תחת תפיסות של מייקרוסופט שהינו בקוד סגור. רבים מהם חושבים בטעות, שקוד פתוח משמעו קוד חשוף ופרוץ, והסיכוי לפריצות והתקפות סייבר עליו יהיה גבוה יותר מאשר קוד סגור. אף מנהל IT לא רוצה להיות אחראי על פגיעה באבטחת המידע ובתדמית החברה.

ובכן, להלן סקירה של הפעולות והאמצעים שיש לבצע כדי להימנע מפריצות והשבתת האתר. כידוע ישנם שני מעגלי אבטחה, מעגל השרתים וה IT והנכס הדיגיטלי, היינו האתר. בפוסט זה אני אתמקד באבטחת אתר וורדפרס בלבד. נתחיל מהקל לכבד:


עדכון גרסת הוורדפרס

עוצמתה של קהילת מפתחים גדולה טמונה בכך שהרבה עיניים ומוחות עוברים על המערכת ומאתגרים אותה. כל פרצה שנגלית מייד משותפת ולאחר ימים בודדים לפעמים אפילו שעות, יוצא עדכון שסוגר את הפרצה.

ההמלצה: תעדכנו את גרסת הוורדפרס באופן שוטף.


לא להשתמש בשם משתמש ADMIN

אתם וודאי מהנהנים בראשכם כעת ובכל זאת 90% ממנהלי האתרים בעולם ישתמשו ב admin כשם משתמש.

ההמלצה: להחליף את שם המשתמש מ- Admin.


להסוות את סימני הזיהוי של המערכת

כל האקר מתחיל מסוגל לזהות את סוג האתר ואת ה – CMS. הצעד השני הוא לפנות מייד לכניסת האדמין: domain.com/wp-admin. ושם להתחיל בשורת צעדים לפריצת האתר.

ההמלצה: ניתן ורצוי לשנות את ה URL הסטנדרטי למשהו ייחודי ובפעולה פשוטה זו להוריד את רמת החשיפה ב 90%, בטח כשרוב ההתקפות למעשה נעשות ע"י רובוטים אוטומטים.


להסוות פלאגינים 

האקרים משתמשים בתוספים כדי לזהות אילו פלגאינים האתר משתמש, איזו גרסה הוורדפרס עצמה ו/או אילו תבניות בסיס השתמשו. כפי שאתם יודעים, מידע זה כוח.

ההמלצה: ניתן להסיר את כל "חשיפות" המידע האלו ובכך להקשות על האקר.


הגבל ניסיונות כניסה למערכת 

מניעת ניסיונות חוזרות של הקלדת סיסמא: האקר שמצליח להגיע לעמוד כניסה לאדמין המערכת, יכול להתחיל להריץ גו'ב סיסמאות עד לפריצה.

ההמלצה: התקנה של תוסף מתאים, יזהה את ניסיונות החוזרים הללו, ויגביל את מספר ניסיונות כניסה הכושלים.


חסימות IP אוטומטיות

ההמלצה: התקנת תוסף מתאים המזהה פעילות חשודה ומבצע חסימות IP בהתאם ובאופן אוטומטי. בצורה כזאת מעיפים הרבה "רובוטים" שמאתגרים את האתר שלכם.


פלאגנים בעייתים

בכל אתר שמפתחים בוורדפרס יש שימוש בפלאגנים חיצוניים. אלו פותחו על ידי חברות/ יחידים בעולם. חשוב לבצע בדיקת רגישות ו/או עמידות של הפלאגנים.

ההמלצה: יש הרבה כלים שאתם יכולים לבדוק איתם, פשוט הקלידו Vulnerable Plugin Checker ותבצעו בדיקה. חשוב להסיר גם את התוסף הזה בסוף הבדיקה.


עתה,  נעבור לדברים קצת יותר מורכבים:

wp-config הוא קובץ ההגדרות הראשי של המערכת, המכיל בן היתר את פרטי ההתחברות לשרת הדטאבייס ומפתחות הצפנה של כל המערכת, קוקיס, סיסמאות וכדומה

ההמלצה:  להסתיר wp-config.php כי זה לב ליבו של האתר שלך וכולל פרטים רגישים רבים הקשורים לאבטחת האתר.


הרשאות כתיבה לתיקיות

כשמתקינים את הוורדפרס ופורסים את הקבצים, בדרך כלל הגישה אל הקבצים היא מלאה. כחלק מהקשחה של האתר, חשוב לנהל את הרשאות הכתיבה לתיקיות. אם לא תעשו את זה, להאקר תהיה גישה קלה וחופשית לתיקיות האתר.

ההמלצה: לנהל באופן מודע את הרשאות הכתיבה לתקיות. כעיקרון, הגישה היא להגביל למינימום הרשאות.


לבטל XMLRPC 

פיצ'ר זה היה דיפולטיבי בעבר, אך מגרסא 3.5 ניתן לניהול עצמאי. קובץ זה למעשה מאפשר ניהול חיצוני אל מול מערכת ה CMS.

ההמלצה: לבטל XMLRPC


טיפ אחרון לאבטחת אתר וורדפרס : התקפות Ddos,

הרבה מנהלי IT בוחרים להשתמש ב incapsula או cloudflare. "דבר קטן" חשוב שאסור לשכוח, כשהאתר מסתתר מאחורי פלטפורמות אלו, חובה לזכור להחליף את כתובת ה IP של האתר. אם לא תעשו כך, ניתן בקלות רבה, לבדוק את היסטוריית הדומיין ולחשוף את ה IP האמיתי של האתר ולהתקיף אותו. ושום incapsula לא תצליח לעזור או למנוע זאת. 

אני מקווה שתיעזרו בהמלצות הנ"ל כדי לייעל את העבודה השוטפת שלכם.

את כל הטיפים המקצועיים ששיתפנו עמכם אתם יכולים לבצע לבד. במידה ותרצו עזרה, אתם מוזמנים ליצור איתנו קשר ל- Y&A בניית אתרים, קידום אתרים. טלפון: 09-7734300.

 

 

 

נהניתם מהתוכן ואפילו קצת השכלתם? שתפו גם את החברים והקולגות
Fields marked with an * are required

צור קשר

מלא/י את הפרטים שלך בטופס הבא ונחזור בהקדם האפשרי

כתיבת תגובה