אבטחת אתרי וורדפרס – 7 טיפים למניעת פריצות באתר הוורדפרס שלכם

אבטחת אתרי וורדפרס: זה קורה תוך שניה וללא שום התרעה מוקדמת, קיבלתם מייל מוורדפרס על שינוי סיסמא וגילתם שפרצו לכם לאתר… אימא'לה!! מה עושים עכשיו? מה הבסיס לאבטחת אתרי וורדפרס? איך מונעים מזה לקרות מלכתחילה? | המדריך המלא לאבטחת אתרי וורדפרס

פריצה לוורדפרס אבטחת אתר וורדפרס אבטחה פריצות

אבטחת אתרי וורדפרס: פריצה לוורדפרס ולסוגי אתרים שונים יכולה להתבטאות בכמה דרכים, יש Noobs מושפעים מארצות ערב שפורצים לאתרי וורדפרס, לרוב הם ימחקו את תוכן האתר ובדף הבית ישימו הודעה סגנונית בסגנון "האקר מחמוד פרץ לאתר הזה…מוות לציונים!!" וכו..

במקרים חמורים יותר – האקר ישתיל פיסות קודים זדוניים באתר, לדוגמא וירוסים ובסופו של דבר יגרום לחסימת האתר בגוגל שמסתירים אתרים לא מוגנים ממנועי החיפוש…

אבטחת אתרי הוורדפרס שלכם זה לא צחוק.
גוגל מוסיף מדי שבוע סביב 20000+ אתרים לרשימות השחורות עבור תוכנות זדוניות, וכ-50000+ אתרים עבור התחזות (פישינג).

אז מה עושים במקרה של פריצה? איך למנוע פריצות באתר הוורדפרס שלי מראש?
נכון למרץ 2019 (על פי מחקר בw3techs) – וורדפרס היא מערכת ניהול התוכן (CMS) הפופולרית ביותר בעולם, וורדפרס תופסת 60.4% מתוך כל האתרים המשתמשים במערכות ניהול תוכן כלשהן (סה"כ 33.5% מכלל האתרים הקיימים בעולם).

אבטחת אתרי וורדפרס פריצות האקרים וירוצים מדריך — מתוך המדריך המלא לאבטחת אתר וורדפרס של Upress

ניתן לומר בוודאות שוורדפרס הינה מערכת מאובטחת מאוד, קבצי הליבה של המערכת מתוחזקים באופן שוטף, מקבלים עדכונים ומשתפרים מעת לעת על ידי מאות מתכנתים שמהווים חלק מקהילת הקוד הפתוח.

אבל עם זאת יש אלפי פריצות לאתרי וורדפרס ברחבי העולם על יום(!)
אז איך ניתן לדאוג שהאתר שלכם נשאר מוגן ובטוח אתם שואלים?

עקבו אחר המאמר הבא המסביר מה ניתן לעשות כדי לחזק את אבטחת אתרי הוורדפרס שלכם על ידי מספר פעולות פשוטות שיתנו לכם שקט לטווח הארוך.

1. חברת אחסון אמינה עם שרת מאובטח

בכל הנוגע לאבטחת אתרי וורדפרס לפעמים האויב הכי גדול של העסק שלכם הוא בחירה לא נבונה בחברת אחסון או שרת לא מאובטח…
בואו ניקח לדוגמא את התקלות והפרצות החוזרות ונשנות של חברת בוקס החל מחשיפה של פרטי הלקוחות האישיים שלהם ועד למחיקת אתרים שלמים ללקוחות…

27 במאי 2018: ספאמר שלח לאבי דהן (בונה אתרים) ולעוד 1,000 לקוחות של בוקס ספאם וחושף את המיילים שלהם לכולם.

וורדפרס פריצה ספאם אבטחה — מתוך קבוצת וורדפרס – הקבוצה החדשה

14 ביוני 2018: כתבה בכלכליסט חושפת שמדובר במאגר מידע של כ30,000 לקוחות בוקס שנחשף

תקלה באתר בוקס BOX תביעה — מתוך אתר כלכליסט

21 במאי 2020: כנראה פרצות האבטחה שהיו עד כה הוו הקדמה למשהו נורא בהרבה שעתיד לקרות… מאי 2020 שרתי בוקס נפגעים עקב תקלה טכנית, התוצאה? מאות אתרים של לקוחות נמחקו לכאורה לא יכולת שחזור ככה לקוחות טוענים…

בוקס תביעה אתרים נמחקו שרתים BOX — מתוך עיתון הארץ

חברת גורני אינטראקטיב (box) פשוט נזק אדיר יצרו, האתר נמחק לפני מעל לחודשיים !!!! נעלמו לחלוטין, לא מוכנים לעזור בדבר ובטח לא לשחזר את האתר. פשוט בזיון. — מתוך עיתון הארץ

כפי שכבר הבנתם חברת האחסון שלכם משחקת את התפקיד החשוב ביותר בתחום אבטחת אתר הוורדפרס שלכם.
חברת אחסון טובה היא חברה שמנהלת מעקב צמוד ומתקדם אחר איומי האבטחה הקיימים ברשת ונוקטת באמצעים נוספים כדי להגן על השרתים שלהם מפני התקפות עתידיות.

בחברת האחסון Upress תוכלו להינו מהתכונות עליהם אנו ממליצים לתת דגש כשבוחרים בחברת אחסון עבור האתר שלכם הן:

ניטור פעילות הרשת בתדירות גבוהה ואיתור בזמן אמת של פעולות חשודות
עמידות ברמת קו התקשורת בפני התקפות מניעת שירות (DDOS)
עדכונים שוטפים לכל קודי הליבה/תוכנות/תוספים/תבניות ועוד
שירות התאוששות מאסון, (Disaster Recovery) בעזרתו ניתן לגבות את מידע שלכם.
תמיכה ב-PHP בגרסה 7.1.27 לפחות ( גרסאות 7.0 ומטה לא מקבלות עדכוני אבטחה נכון ל-2019 על פי האתר הרשמי של php)
תמיכה ב-MYSQL בגרסה 5.5 לפחות
משתמש מסד נתונים נפרד לכל אחד מהאתרים בשרת
בידוד משתמשים – הפרדה מוחלטת בין משתמשים (בשרתים שיתופיים)
חומת אש מובנת על השרת, עדיפות לחומת אש אפליקטיבית (waf) שמכילה אפשרויות פעולה בדגש על וורדפרס
מערכת איתור חדירה המבצעת סקירה של פרמטרים רבים סביב פעילות האתר שלכם
סריקה מקיפה של האתרים בשרת באופן תדיר ושליחת עדכון במקרי הצורך

2. עדכוני קוד ליבה תבניות ותוספים לוורדפרס
רוב מקרי הפריצות לאתרים התבצעו באתרים עם קוד אתר לא מעודכן שאליו יותר קל לפרוץ
וורדפרס בבסיס שלה מנוהלת על ידי רישיון קוד פתוח ציבורי חינמי שפותחה על-ידי קהילה של מתכנתי קוד פתוח שמעדכנים את קודי הליבה/תבניות/תוספים באופן שוטף.

עדכון קוד ליבה

בכל שחרור גרסה מתכנתי וורדפרס משפרים את המערכת בצורות שונות, מוסיפים תכונות חדשות, משפרים ביצועים ומגבירים יכולות תכונות קיימות על-מנת להישאר מעודכנים בסטנדרטים של הטכנולוגיה.
בנוסף, מתבצע תיקון באגים אשר נמצאו בפרק הזמן שחלף בין העדכונים, לעיתים קרובות עדכוני הגרסה כוללים שיפורי אבטחה.

עדכון שוטף של אתר הוורדפרס שלכם יסייע לכם במניעת סיכוני אבטחת באתר שלכם, ובהוספת תכונות ויכולות חדשות.

כברירת מחדל, וורדפרס מתקינה באופן אוטומטי עדכוני גרסה מינוריים, אך עבור עדכוני גרסה מג'וריים עליכם להפעיל את העדכון באופן ידני (במסך השדרוגים של המערכת).

לקוחות uPress: ישנם 2 כפתורי שליטה על עדכון אוטומטי של קבצי הליבה של וורדפרס ועדכון אוטומטי של תוספים תחת לשונית וורדפרס בפאנל הניהול של יופרס.

כפי שאמרנו, וורדפרס היא מערכת קוד פתוח הזמינה לכל דורש. גרסאות ישנות ולא מעודכנות של וורדפרס המכילות חולשות אבטחה מפורסמות ברחבי הרשת והן כמובן טרף קל להאקרים, שנוטים לחפש ולתקוף גרסאות ישנות שמכילות פרצות אבטחה לכן זה קריטי תמיד להיות מעודכן.

3. שם משתמש ייחודי וסיסמא חזקה

בחירת שם משתמש ייחודי

שם המשתמש הסטנדרטי של וורדפרס הוא "admin" שימוש בשם המשתמש הזה מקצר להאקרים את העבודה שלהם בחצי ומעודד אותם לפרוץ לכם לאתר עם חיוך… יש לשנות את השם ולרשום שם ייחודי משלכם.

בחירה ושימוש בסיסמאות

אחת משיטות הפריצה הנפוצות היא ניחוש סיסמאות (Brute Force). בשיטה זו בוטים רעים מנסים רצפים שונים של סיסמאות ידועות (מתוך מאגר מוכן מראש) עד שהם מצליחים לאתר את הסיסמה הנכונה, ניתן כמובן לחסום אותם עם חומת האבטחה של יופרס בעזרת "חסימת רובוטים רעים" ואפשרות "חסימת נסיונות כניסה כושלים ל- WordPress Admin".

אבל בכל זאת, במידה ואתם יוצרים את הסיסמאות באופן עצמאי ההמלצה היא להשתמש בסיסמאות שאורכן 8 תווים ומעלה, ומורכבות מהערכים הבאים:

מספרים (1-9)
אותיות לועזיות קטנות (a-z)
אותיות לועזיות גדולות (A-Z)
תווים ( *,!-+$#@& וכד')

דבר נוסף ולא פחות חשוב: לעולם אל תשתמשו בסיסמאות שהשתמשתם בהם בעבר, ההמלצה היא להשתמש בסיסמאות ייחודיות שלא ניתנות לצפיה מראש \ ניחוש על פי מידע קודם.

4. הסוואת פאנל הניהול
לינק הגישה לפאנל הניהול של וורדפרס הוא קבוע אצל כל אתרי הוורדפרס בעולם דבר המהווה פרצת אבטחה חמורה מאוד כברירת מחדל, האקרים או תוכנות זדוניות יכולים לנסות לגשת לאזור הניהול (wp-admin) או עמוד ההתחברות (wp-login.php) של האתר שלכם ללא כל הגבלה.

בכדי לגשת לפאנל הניהול של אתר מבוסס וורדפרס כל מה שיש לעשות זה לרשום את כתובת האתר ולהוסיף wp-admin/ ודף ההתחברות לפאנל הניהול של האתר ייפתח בפניכם.

כאן מתבצעות רוב נסיונות הפריצה ולכן חשוב מאוד להסוות את הדף הזה מהאקרים פוטנציאליים בעזרת תוסף וורדפרס בשם WPS Hide Login התוסף הזה יכול לעשות רידיירקט לדף ההתחברות הסטנדרטי ולהוביל אותו לאיזה דף שאתם רק תרצו, את דף ההתחברות לאתר שלי העברתי לדף הזה שאתם קוראים עכשיו בשביל להטריל האקרים ואת כתובת הדף שמוביל לפאנל הניהול שיניתי שיהיה ייחודי משלי ולא גלוי.

הסבר מקיף בנוגע לתפעול התוסף תוכלו למצוא כאן: https://www.kualityweb.co.il/hide-login

5. תשמרו קובץ גיבוי לאתר על בסיס יומי

אפילו לשרתי גוגל הצליחו כבר לפרוץ אז תהיו בטוחים שאף על פי כל הגנות האבטחה שלכם אין אף פעם הבטחה של 100% שאתם מוגנים…

ראה ערך "צבא ההאקרים" שפרץ לשרתי גוגל: https://www.calcalist.co.il/internet/articles/0,7340,L-3582459,00.html

בעזרת תוסף All-in-One WP Migration תוכלו לשמור קובץ גיבוי של האתר אצליכם במחשב על בסיס יום יומי… רק ליתר ביטחון.

הדרכה על התוסף מאת מאיה מערוץ היוטיוב "מקום ברשת":

6. תחסמו הקלקות זדוניות על המודעות שלכם
אומנם לא פרצת אבטחה והשתלטות עוינת אבל בהחלט פגיעה חמורה בעסק, הקלקות זדוניות מתבצעות לרוב על ידי לא פחות מהמתחרים הקנאים שלכם או אנשים שמנסים לחבל לכם בפרנסה, מדי פעם הקלקות זדוניות/תנועה מזויפת עלולה להגיע גם משיטות פרסום זולות בפלטפורמות לא אמינות.

תנועה לא אנושית והקלקות לא אנושיות על מודעות האדסנס שלכם יגררו חסימה של חשבון האדסנס שלכם על ידי גוגל, או במילים אחרות.. איבוד המוניטיזציה של האתר שלכם.

בשנת 2018 הקמתי קמפיין נייטיב בMGID למאמר באתר התוכן שלי באנגלית "Entrepreneurial Lions"
לאחר 5 ימים אדסנס חסמו לי את חשבון המודעות עקב תנועה לא אותנטית והקלקות מזוייפות…

מיותר לציין שלא עבדתי עם MGID לאחר מכן, אבל למדתי שיעור חשוב.
באינטרנט יש המון תנועה מזוייפת ובוטים וכמובן מתחרים ואנשים עם כוונות רעות… בעזרת תוסף וורדפרס בשם "Adsense Invalid Click Protector" ניתן לשווק בראש שקט בידיעה שכל הקלקה זדונית או מבקר לא אנושי נחסמים מיידית

7. השבתת פרוטוקול XML-RPC

פרוטוקול XML-RPC מאופשר כברירת מחדל החל מגרסת וורדפרס 3.5 ומעלה, אפשרות זו עוזרת לחבר מרחוק את אתר הוורדפרס שלכם עם אתרים ואפליקציות שונות.

מטבע הדברים, XML-RPC החשוף לרשת יכול להגדיל באופן משמעותי את ניסיונות ההתקפות מסוג Brute Force.

לדוגמה, באופן רגיל אם האקר או תוכנה זדונית מעוניינים לנסות 100 סיסמאות שונות כדי להתחבר לאתר שלכם, הם חייבים לבצע 100 ניסיונות התחברות נפרדים (סביר שבמקרה כזה – תוסף האבטחה המותקן על האתר יזהה את הניסיון ויבצע חסימה).

באמצעות XML-RPC הם יכולים להשתמש בפונקציה system.multicall ולנסות אלפי סיסמאות שונות עם כמות קטנה של בקשות, לכן אם אתם לא משתמשים ב XML-RPC – אנחנו מאוד ממליצים להשבית את האפשרות.

ניתן להגביל את נסיונות ההתחברות על ידי מספר דרכים:

הגבלת גישה לנתיב xmlrpc.php ברמת חומת האש של השרת.
ברמת השרת על ידי קובץ .htaccess או nginx.conf.
שימוש בתוסף פשוט הנקרא Disable XML-RPC תוסף זה זמין להורדה תחת ספריית התוספים הרשמית של וורדפרס.

ללקוחות uPress ישנו כפתור הפעלה\כיבוי לפרוטוקול xml-rpc תחת לשונית אבטחה.

טוב חברים יקרים סיימנו את המאמר 7 טיפים למניעת פריצות באתר הוורדפרס שלכם
כמובן יש עוד המון דברים שניתן לאבטח ופרצות שונות אבל בלי הבסיס האתר שלכם חשוף מאוד לפריצות, מקווה שהמאמר היה שימושי עבורכם, אם כן אל תשכחו לשתף ולהגיב בתחתית המאמר אם יש לכם שאלות נוספות/הערות 🙂

אם ברצונכם לקבל הדרכות עסקיות נוספות כאלה, היישר לתיבת הדואר הנכנס שלכם, הירשם לניוזלטר שלנו כאן למטה.