המדריך המעשי לאבטחת אתר וורדפרס (WordPress) – חובה לכל מנהל IT

וורדפרס (wordpress) היא מערכת לניהול תוכן ובניית אתרים, מבוססת קוד פתוח, הפופולרית ביותר מבין מערכות הניהול בקוד פתוח (כגון: joomla, drupal, umbraco ועוד). בשנים האחרונות אנו עדים למגמה הולכת וגדלה של חברות רציניות ומותגים מובילים בינלאומיים המאמצים את פלטפורמת הוורדפרס לפיתוח אתרים. השוק עבר תמורה אדירה ותפיסת הקוד הפתוח מאומצת באופן מלא בפיתוח של מערכות ופלטפורמות.

רוב הסטארטאפים, ופלטפורמות מובילות בעולם כגון פייסבוק, יוטיוב, אינסטגרם ועוד מפתחים על קוד פתוח- PHP. למרות כל זאת, רבים ממנהלי ה IT חוששים משימוש בוורדפרס לפיתוח אתרים רציניים לחברות שלהם. חלק מהחשש נובע מהכרות של שנים רבות בסביבת פיתוח מייקרוסופט. הם למדו וחונכו תחת תפיסות של מייקרוסופט שהינו בקוד סגור.

רבים מהם חושבים בטעות, שקוד פתוח משמעו קוד חשוף ופרוץ, והסיכוי לפריצות והתקפות סייבר עליו יהיה גבוה יותר מאשר קוד סגור. אף מנהל IT לא רוצה להיות אחראי על פגיעה באבטחת המידע ובתדמית החברה.

ובכן, להלן סקירה של הפעולות והאמצעים שיש לבצע כדי להימנע מפריצות והשבתת האתר. כידוע ישנם שני מעגלי אבטחה, מעגל השרתים וה IT והנכס הדיגיטלי, היינו האתר. בפוסט זה אני אתמקד באבטחת אתר וורדפרס בלבד. נתחיל מהקל לכבד:

עוצמתה של קהילת מפתחים גדולה טמונה בכך שהרבה עיניים ומוחות עוברים על המערכת ומאתגרים אותה. כל פרצה שנגלית מייד משותפת ולאחר ימים בודדים לפעמים אפילו שעות, יוצא עדכון שסוגר את הפרצה.
ההמלצה: תעדכנו את גרסת הוורדפרס באופן שוטף.

אתם וודאי מהנהנים בראשכם כעת ובכל זאת 90% ממנהלי האתרים בעולם ישתמשו ב admin כשם משתמש.
ההמלצה: להחליף את שם המשתמש מ- Admin.

כל האקר מתחיל מסוגל לזהות את סוג האתר ואת ה – CMS. הצעד השני הוא לפנות מייד לכניסת האדמין: domain.com/wp-admin. ושם להתחיל בשורת צעדים לפריצת האתר.
ההמלצה: ניתן ורצוי לשנות את ה URL הסטנדרטי למשהו ייחודי ובפעולה פשוטה זו להוריד את רמת החשיפה ב 90%, בטח כשרוב ההתקפות למעשה נעשות ע"י רובוטים אוטומטים.

האקרים משתמשים בתוספים כדי לזהות אילו פלגאינים האתר משתמש, איזו גרסה הוורדפרס עצמה ו/או אילו תבניות בסיס השתמשו. כפי שאתם יודעים, מידע זה כוח.
ההמלצה: ניתן להסיר את כל "חשיפות" המידע האלו ובכך להקשות על האקר.

מניעת ניסיונות חוזרות של הקלדת סיסמא: האקר שמצליח להגיע לעמוד כניסה לאדמין המערכת, יכול להתחיל להריץ גו'ב סיסמאות עד לפריצה.
ההמלצה: התקנה של תוסף מתאים, יזהה את ניסיונות החוזרים הללו, ויגביל את מספר ניסיונות כניסה הכושלים.

ההמלצה: התקנת תוסף מתאים המזהה פעילות חשודה ומבצע חסימות IP בהתאם ובאופן אוטומטי. בצורה כזאת מעיפים הרבה "רובוטים" שמאתגרים את האתר שלכם.

בכל אתר שמפתחים בוורדפרס יש שימוש בפלאגנים חיצוניים. אלו פותחו על ידי חברות/ יחידים בעולם. חשוב לבצע בדיקת רגישות ו/או עמידות של הפלאגנים.
ההמלצה: יש הרבה כלים שאתם יכולים לבדוק איתם, פשוט הקלידו Vulnerable Plugin Checker ותבצעו בדיקה. חשוב להסיר גם את התוסף הזה בסוף הבדיקה.

wp-config הוא קובץ ההגדרות הראשי של המערכת, המכיל בן היתר את פרטי ההתחברות לשרת ה-Database ומפתחות הצפנה של כל המערכת, קוקיס, סיסמאות וכדומה.
ההמלצה:  להסתיר wp-config.php כי זה לב ליבו של האתר שלך וכולל פרטים רגישים רבים הקשורים לאבטחת האתר.

כשמתקינים את הוורדפרס ופורסים את הקבצים, בדרך כלל הגישה אל הקבצים היא מלאה. כחלק מהקשחה של האתר, חשוב לנהל את הרשאות הכתיבה לתיקיות. אם לא תעשו את זה, להאקר תהיה גישה קלה וחופשית לתיקיות האתר.
ההמלצה: לנהל באופן מודע את הרשאות הכתיבה לתקיות. כעיקרון, הגישה היא להגביל למינימום הרשאות.

פיצ'ר זה היה דיפולטיבי בעבר, אך מגרסא 3.5 ניתן לניהול עצמאי. קובץ זה למעשה מאפשר ניהול חיצוני אל מול מערכת ה CMS.
ההמלצה: לבטל XMLRPC

הרבה מנהלי IT בוחרים להשתמש ב incapsula או cloudflare. "דבר קטן" חשוב שאסור לשכוח, כשהאתר מסתתר מאחורי פלטפורמות אלו, חובה לזכור להחליף את כתובת ה IP של האתר. אם לא תעשו כך, ניתן בקלות רבה, לבדוק את היסטוריית הדומיין ולחשוף את ה IP האמיתי של האתר ולהתקיף אותו. ושום incapsula לא תצליח לעזור או למנוע זאת.

אני מקווה שתיעזרו בהמלצות הנ"ל כדי לייעל את העבודה השוטפת שלכם.
את כל הטיפים המקצועיים ששיתפנו עמכם אתם יכולים לבצע לבד. במידה ותרצו עזרה, אתם מוזמנים ליצור איתנו קשר ל- Y&A בניית אתרים, קידום אתרים. טלפון: 09-7734300.