איך לזהות ולפתור בעיות אבטחה נפוצות באתרי וורדפרס?

וורדפרס מאפשרת לבעלי אתרים לבנות אתר מהיר ואיכותי יחסית בקלות. אחד החסרונות המרכזיים של וורדפרס הוא כל נושא האבטחה. למרות שמספר אתרי הוורדפרס הקיימים עומד על מעל ל-2 מיליארד, מה שהופך אותה לפלטפורמה לבניית אתרים שמקבלת הכי הרבה ניסיונות פריצה.

למרות שאי אפשר להעריך מתי ואיך ינסו לפרוץ לאתר שלנו, חשוב מאוד להכיר בעיות ספציפיות נפוצות בוורדפרס ולדעת איך להתמודד איתם. ישנם מספר בעיות אבטחה נפוצות שמסכנות את האתר שלכם ולעיתים גם את השרת שלכם. לכן, ריכזתי עבורכם מספר בעיות נפוצות בוורדפרס ואיך ניתן לטפל בהם ולהימנע מחורים באבטחה.

1. תבניות ותוספים לא מעודכנים

כל התוספים והתבניות שנמצאים בוורדפרס בנויים על קוד. מדי פעם מפתחים עושים שגיאות שמשאירות פרצות אבטחה בכתיבת הקוד. מכיוון שכל פרצת אבטחה שמתגלה בוורדפרס מועברת למפתחים של המערכת לתיקון, בדרך כלל התוספים והתבניות שנעבוד איתם יהיו מעודכנים. אותם אנשים שמחפשים פרצות אבטחה יחפשו אתרים עם תוספים לא מעודכנים כדי להיכנס אליהם בקלות.

הפתרון:

לנהל את העדכונים באתר ולעדכן באופן שוטף. שימו לב שאתם שומרים עותק גיבוי לאתר לפני ביצוע עדכונים מכיוון שעלולה להיות הצטלבות בין תוסף שעודכן לתוספים אחרים או תבניות שלא מתאימות לגרסה החדשה של התוסף

עדכונים

2. סיסמאות חלשות

בדרך כלל, פורצים תוקפים אתרי וורדפרס בעמוד הכניסה לפאנל הניהול בעזרת בוט שמנסה שילובים רבים של שמות משתמש וסיסמאות כדי לפרוץ לאתר. לחלק מהבוטים יש את היכולות לנסות אלפי קומבינציות בדקה וברגע שהם מצליחים – לפורץ יש גישה מלאה עם דלת פתוחה לאתר שלכם. בנוסף, רוב האנשים לא זוכרים סיסמאות ארוכות ומורכבות ולכן יבחרו סיסמאות שקל לזכור ושקשורות באופן ישיר לחיים הפרטיים שלהם (שם של חיית מחמד, תאריך יום הולדת, יום נישואים ועוד).

שימוש בסיסמאות חלשות חושף את האתר להתקפות פוטנציאליות, במיוחד שאת הפרטים להרכבת הסיסמא בדרך כלל אפשר למצוא ברשתות החברתיות של בעל האתר. לכן, חשוב לבחור סיסמאות חזקות שלא קשורות אל החיים האישיים שלנו ויקשו על הבוטים של הפורצים להגיע לסיסמא הנכונה.

הפתרון:

להגדיר סיסמא חזקה בכניסה לוורדפרס, בחשבון האחסון ובשאר החשבונות. בנוסף, מומלץ להגביל את ניסיונות הכניסה בוורדפרס כדי לבלום את הבוטים ולעשות שימוש בתוכנה להגנה מפני בוטים.

ניסיונות התחברות

3. אתר לא מאובטח

לאתרים רבים יש בשורת הכתובת (ה-URL) מנעול ירון קטן וכתובת אתר שמתחילה ב-https ולא ב-http. מה שאומר שהאתר משתמש פרוטוקול אבטחה SSL. פרוטוקול SSL מצפין את אתר האינטרנט ואת הנתונים הנשלחים אל אליו וממנו ובעצם משמש כשכבת הגנה על נתוני האתר כך שגולש צד שלישי לא יכול להיחשף למידע ולעשות בו שימוש. כל החברות הגדולות נעות לכיוון אבטחת מידע ופרטיות נתונים וגוגל נוטה לקדם אתרים עם SSL מאשר אתרים בלי.

הפתרון:

להתקין תעודת אבטחה SSL

SSL

4. ניסיונות פריצה לאתר

כמו שכבר ציינו למעלה, האקרים משתמשים בבוטים כדי להפציץ את דף הכניסה לפאנל הניהול של וורדפרס עם קומבינציות של שמות משתמש וסיסמא אפשריים כדי לקבל גישה. שיטה זאת נקראת גם "התקפה ברוטלית". במידה והסיסמאות חלשות או ממוחזרות ההתקפה תצליח. בנוסף, מעבר לעובדה שהאתר סופג ניסיונות פריצה באופן תכוף, גם אם הפורצים לא הצליחו למצוא את הקומבינציה הנכונה לכניסה לממשק, כל הניסיונות שהם מבצעים גוזלים משאבים מהשרת שלכם. שימוש רגיל ותנועה של גולשים לא פוגעת במשאבים אבל כשבוטים מנסים להיכנס אלפי פעמים בדקה זה אוכל את המשאבים. אם אתם לא משתמשים באחסון ענן תהיו בבעיה.

יש כמה פתרונות שכדאי לשלב כדי להימנע מהבעיה החוזרת של ניסיונות תקיפה. גם שימוש בפתרון אחד יכול להפחית משמעותית את ניסיונות התקיפה אבל אני אישית ממליץ לשלב את כולם כדי לקבל מקסימום הגנה.

הפתרון:

להשתמש באימות דו שלבי (2FA) ולהגביל את ניסיונות הכניסה ולהשתמש ב-WPS Hide Login כדי לשנות את ה-URL של ההתחברות מ-WP-Admin לכתובת אחרת בפאנל הניהול של האתר שלכם בוורדפרס.

5. תוכנה זדונית באתר

תוכנה זדונית היא מושג כולל המתאר כל חלק קוד שמאפשר פעילות לא מורשית באתר האינטרנט שלכם. המטרה העיקרית היא להרחיק תכנות זדוניות מהסוג הזה אך אף אתר לא חסין ב-100%. כדי להעריך נכון עד כמה המצב בעייתי עליכם לוודא שקטעי קוד זדוניים אלו נמצאים באתר שלכם ובשביל זה תצטרכו להתקין תוכנה או תוסף שמחזק את ההגנה על האתר.

הפתרון

שימוש בתוסף שמחזק את ההגנה על האתר. בהתאם לחברת האחסון בה האתר שלכם נמצא תוכלו למצוא תוכנות ותוספים שנועדו כדי להגן על האתר שלכם. למשל: אם אתם מאחסנים את האתר דרך Cloudways תוכלו להשתמש בפתרון אבטחה Cloudways Bot Protection. עם פתרון זה תוכלו לחסום תנועות זדוניות, להגן מפני התקפות, הורדת נתונים, Web Scraping ועוד.

6. פריצות דרך SQL

SQL היא שפת תכנות המשמשת לגישה מהירה לנתונים המאוחסנים באתר ספציפי והיא השפה המועדפת בוורדפרס לניהול מסדי נתונים (Databases). למרות שהיא מאובטח במידה מסוימת עדיין ניתן להשתמש בה כדי לתקוף את האתר. השימוש של האקרים ב-SQL על מנת לפגוע במסד הנתונים של האתר נקרא "Injections" (הזרקה). במהלך פעולת "ההזרקה" האקרים משתמשים במסד הנתונים שלכם ומשנים אותו בהתאם לתוכניות שלהם – מוסיפים משתמשים, מוחקים נתונים, בונים דפים לפישינג ועוד.

אתרי וורדפרס פגיעים למתקפה מהסוג הזה מכיוון שבמבט ראשוני לא תמיד תוכלו לזהות שתוקפים אתכם. ההזרקות למסד הנתונים מתבצעות על ידי טפסי יצירת קשר, מילוי פרטים ותשלום שמתבצע באתר. למידע שהזינו בטפסים האלה מצטרף קוד שיבצע שינויים מתוך מסד הנתונים – וזה בעצם SQL Injection. הדרך הטובה להימנע מהזרקות ל-SQL היא להשתמש בתוסף אבטחה של וורפרדס. 

הפתרון:

שימוש בתוסף אבטחה של וורדפרס.

סיכום

לא כולם אנשי תכנות ולא כולם מבינים לעומק את העולם של אבטחת אתרים אבל בכל זאת חשוב להבין ולהכיר את הסיכויים הממשיים שקיימים באינטרנט. זה חשוב במיוחד אם הקדשתם המון זמן לפתח את האתר שלך ולהזין תוכן לתוכו במשך השנים. חשוב להכיר את הבעיות הנפוצות שראיתם במאמר הזה ולהמשיך לקרוא על בעיות פוטנציאליות בוורדפרס כדי להגן על האתר, על הלקוחות ועל הצמיחה העסקית שלכם.

על הכותב

דביר נעמן, בן 26, יזם בנשמה, אוהב אתרי איקומרס ומתמחה בקידום אתרים.