המדריך המעשי לאבטחת אתר וורדפרס (WordPress) – חובה לכל מנהל IT

פורסם ב: 11/06/19 מאת: the yna admin of yna ,

יותר ויותר חברות גדולות מאמצות את הוורדפרס כפלטפורמה לאתר שלהם. מנהלי IT חוששים מרמת האבטחה של אתרים אלו. כחברה המתמחה בפיתוח בסביבות 'קוד פתוח' מזה עשור, ריכזתי עבורכם את המלצות האבטחה החשובות ביותר לאבטחת אתר וורדפרס.

 

וורדפרס (wordpress) היא מערכת לניהול תוכן ובניית אתרים, מבוססת קוד פתוח, הפופולרית ביותר מבין מערכות הניהול בקוד פתוח (כגון: joomla, drupal, umbraco ועוד). בשנים האחרונות אנו עדים למגמה הולכת וגדלה של חברות רציניות ומותגים מובילים בינלאומיים המאמצים את פלטפורמת הוורדפרס לפיתוח אתרים. השוק עבר תמורה אדירה ותפיסת הקוד הפתוח מאומצת באופן מלא בפיתוח של מערכות ופלטפורמות.

רוב הסטארטאפים, ופלטפורמות מובילות בעולם כגון פייסבוק, יוטיוב, אינסטגרם ועוד מפתחים על קוד פתוח- PHP. למרות כל זאת, רבים ממנהלי ה IT חוששים משימוש בוורדפרס לפיתוח אתרים רציניים לחברות שלהם. חלק מהחשש נובע מהכרות של שנים רבות בסביבת פיתוח מייקרוסופט. הם למדו וחונכו תחת תפיסות של מייקרוסופט שהינו בקוד סגור.

רבים מהם חושבים בטעות, שקוד פתוח משמעו קוד חשוף ופרוץ, והסיכוי לפריצות והתקפות סייבר עליו יהיה גבוה יותר מאשר קוד סגור. אף מנהל IT לא רוצה להיות אחראי על פגיעה באבטחת המידע ובתדמית החברה.

ובכן, להלן סקירה של הפעולות והאמצעים שיש לבצע כדי להימנע מפריצות והשבתת האתר. כידוע ישנם שני מעגלי אבטחה, מעגל השרתים וה IT והנכס הדיגיטלי, היינו האתר. בפוסט זה אני אתמקד באבטחת אתר וורדפרס בלבד. נתחיל מהקל לכבד:

עדכון גרסת הוורדפרס

עוצמתה של קהילת מפתחים גדולה טמונה בכך שהרבה עיניים ומוחות עוברים על המערכת ומאתגרים אותה. כל פרצה שנגלית מייד משותפת ולאחר ימים בודדים לפעמים אפילו שעות, יוצא עדכון שסוגר את הפרצה.
ההמלצה: תעדכנו את גרסת הוורדפרס באופן שוטף.

לא להשתמש בשם משתמש ADMIN

אתם וודאי מהנהנים בראשכם כעת ובכל זאת 90% ממנהלי האתרים בעולם ישתמשו ב admin כשם משתמש.
ההמלצה: להחליף את שם המשתמש מ- Admin.

להסוות את סימני הזיהוי של המערכת

כל האקר מתחיל מסוגל לזהות את סוג האתר ואת ה – CMS. הצעד השני הוא לפנות מייד לכניסת האדמין: domain.com/wp-admin. ושם להתחיל בשורת צעדים לפריצת האתר.
ההמלצה: ניתן ורצוי לשנות את ה URL הסטנדרטי למשהו ייחודי ובפעולה פשוטה זו להוריד את רמת החשיפה ב 90%, בטח כשרוב ההתקפות למעשה נעשות ע"י רובוטים אוטומטים.

להסוות פלאגינים 

האקרים משתמשים בתוספים כדי לזהות אילו פלגאינים האתר משתמש, איזו גרסה הוורדפרס עצמה ו/או אילו תבניות בסיס השתמשו. כפי שאתם יודעים, מידע זה כוח.
ההמלצה: ניתן להסיר את כל "חשיפות" המידע האלו ובכך להקשות על האקר.

הגבל ניסיונות כניסה למערכת 

מניעת ניסיונות חוזרות של הקלדת סיסמא: האקר שמצליח להגיע לעמוד כניסה לאדמין המערכת, יכול להתחיל להריץ גו'ב סיסמאות עד לפריצה.
ההמלצה: התקנה של תוסף מתאים, יזהה את ניסיונות החוזרים הללו, ויגביל את מספר ניסיונות כניסה הכושלים.

חסימות IP אוטומטיות

ההמלצה: התקנת תוסף מתאים המזהה פעילות חשודה ומבצע חסימות IP בהתאם ובאופן אוטומטי. בצורה כזאת מעיפים הרבה "רובוטים" שמאתגרים את האתר שלכם.

פלאגנים בעייתים

בכל אתר שמפתחים בוורדפרס יש שימוש בפלאגנים חיצוניים. אלו פותחו על ידי חברות/ יחידים בעולם. חשוב לבצע בדיקת רגישות ו/או עמידות של הפלאגנים.
ההמלצה: יש הרבה כלים שאתם יכולים לבדוק איתם, פשוט הקלידו Vulnerable Plugin Checker ותבצעו בדיקה. חשוב להסיר גם את התוסף הזה בסוף הבדיקה.

wp-config

wp-config הוא קובץ ההגדרות הראשי של המערכת, המכיל בן היתר את פרטי ההתחברות לשרת ה-Database ומפתחות הצפנה של כל המערכת, קוקיס, סיסמאות וכדומה.
ההמלצה:  להסתיר wp-config.php כי זה לב ליבו של האתר שלך וכולל פרטים רגישים רבים הקשורים לאבטחת האתר.

הרשאות כתיבה לתיקיות

כשמתקינים את הוורדפרס ופורסים את הקבצים, בדרך כלל הגישה אל הקבצים היא מלאה. כחלק מהקשחה של האתר, חשוב לנהל את הרשאות הכתיבה לתיקיות. אם לא תעשו את זה, להאקר תהיה גישה קלה וחופשית לתיקיות האתר.
ההמלצה: לנהל באופן מודע את הרשאות הכתיבה לתקיות. כעיקרון, הגישה היא להגביל למינימום הרשאות.

לבטל XMLRPC 

פיצ'ר זה היה דיפולטיבי בעבר, אך מגרסא 3.5 ניתן לניהול עצמאי. קובץ זה למעשה מאפשר ניהול חיצוני אל מול מערכת ה CMS.
ההמלצה: לבטל XMLRPC

טיפ אחרון לאבטחת אתר וורדפרס : התקפות Ddos,

הרבה מנהלי IT בוחרים להשתמש ב incapsula או cloudflare. "דבר קטן" חשוב שאסור לשכוח, כשהאתר מסתתר מאחורי פלטפורמות אלו, חובה לזכור להחליף את כתובת ה IP של האתר. אם לא תעשו כך, ניתן בקלות רבה, לבדוק את היסטוריית הדומיין ולחשוף את ה IP האמיתי של האתר ולהתקיף אותו. ושום incapsula לא תצליח לעזור או למנוע זאת.

 

אני מקווה שתיעזרו בהמלצות הנ"ל כדי לייעל את העבודה השוטפת שלכם.
את כל הטיפים המקצועיים ששיתפנו עמכם אתם יכולים לבצע לבד. במידה ותרצו עזרה, אתם מוזמנים ליצור איתנו קשר ל- Y&A בניית אתרים, קידום אתרים. טלפון: 09-7734300.

footer footer

רוצים לשמוע עוד?

מלאו את הפרטים בטופס הבא ונחזור אליכם בהקדם האפשרי
אפשר גם להתקשר אלינו: 09-773-4300 או לכתוב מייל: office@yna.co.il

*שם מלא

דוא״ל

מספר טלפון