10 בעיות האבטחה של וורדפרס ואיך תוכלו לתקן אותן

וורדפרס היא ללא ספק אחת ממערכות הקוד הפתוח הנפוצות ביותר בעולם. היא מפעילה מיליוני אתרים ומחזיקה בנתח שוק של 41%. מה שהופך את וורדפרס לפופולרית במיוחד בקרב בלוגרים, מעצבים, בעלי חנויות ובעלי עסקים אחרים. על אף הפופולריות, משתמשי וורדפרס רבים לא יודעים מה הם צריכים לעשות מבחינת אבטחת האתר שלהם ולרוב מאמינים שהתקנת תעודת SSL מספיקה לאבטחת האתר שלהם. משתמשים רבים פשוט מתקינים את וורדפרס ואז סומכים על אבטחת ברירת המחדל של וורדפרס – זוהי תפיסה שגויה! לכן, נדון במאמר על 10 בעיות האבטחה הנפוצות בוורדפרס ואיך מתקנים אותן.

cyber-security-3374252_1280

טיפ 1: השקעה באחסון אתרים איכותי ומקצועי

אבטחת האתר שלכם מתחילה עם ספק אחסון אתרים מאובטח. שרת אמין ובטוח הפך להיבט חיוני שאי אפשר להתעלם ממנו. לשרת טוב יהיו לא רק תהליכי אבטחה מוכחים בתעשייה, אלא גם יש תמיכה ועזרה במקרה ומשהו ישתבש באתר שלכם. כמעט לכל ספק כזה יש אסטרטגיה יעילה של התאוששות מאסון שמופעלת במקרה שהאתר שלכם נפגע.

ישנם חמישה סוגים של פתרונות אחסון אתרים בהם תוכלו לאחסן את האתרים שלכם:

  1. אחסון משותף: מדובר בשרת פיזי שמשותף למשתמשים מרובים. אם חשבון יחיד נפרץ, השרת כולו נפגע. במקרים רבים, השרת לא באמת מוגן מכיוון שיש יותר מדי פרצות.
  2. אחסון ייעודי: אתם בעצם הבעלים הבלעדיים של השרת ורק האתר שלכם מאוחסן בשרת. מכיוון שאתם הבעלים של השרת, אבטחת השרת מתבססת על ההבנה והמומחיות שלכם בתחום אבטחת המידע.
  3. אחסון VPS: באחסון VPS אתם מקבלים חלק ייעודי משלכם בתוך שרת פיזי. בדומה לאחסון ייעודי, אתם האחראיים לאבטחה.
  4. אחסון ענן: בפתרון זה, אתם הבעלים של השרת הוירטואלי. פתרונות אחסון ענן מאובטחים מראש, אבל עדיין יש פרטי אבטחה שעליכם להקדיש להם מאמץ וזמן.
  5. אחסון ענן מנוהל: כפי שהשם אומר, פתרון אחסון ענן מנוהל מנהל את כל ההיבטים של שרת הענן שלכם כולל אבטחה בצד השרת, ביצועים ועדכונים. זה מה שעושה Cloudways – מספקת שכבות אבטחה רבות (אחת מהן היא חומות אש ברמת הפלטפורמה) וכתוצאה מכך אתם מקבלים סביבת אחסון מאובטחת, כך שאתם לא צריכים לדאוג לאבטחת השרת שלכם. אתם יכולים לקרוא פה על כל שכבות ההגנה שיש ב-Cloudways.

טיפ 2: וודאו שיש לכם גיבויים מתוזמנים

במבט ראשון גיבויים מתוזמנים אולי לא ייראו כאמצעי אבטחה של וורדפרס. עם זאת, זה יכול להוכיח את עצמו כמציל חיים כשמשהו רע קורה לאתר שלכם. גיבויים הם דרך מצוינת להחזיר את האתר לרשת תוך שעות לאחר שהאתר נתקל בבעיית אבטחה. ניתן לבצע גיבויים בוורדפרס בשתי רמות: גיבויים מחוץ לשרת ו/או גיבוי באמצעות ספק האחסון שלכם.

גיבוי וורדפרס מחוץ לשרת

גיבוי אתר וורדפרס הוא די קל, הודות לתוסף UpdraftPlus או BackupGuard (שאהוב עליי במיוחד) שמגבה אתר וורדפרס לפתרונות אחסון ענן מחוץ לאתר כגון Dropbox, Google Drive. 

הערה: אם אתם נמצאים בשרת אחסון שיתופי, גיבוי וורדפרס מחוץ לשרת הוא דרך מצוינת להחזיר את האתר לרשת במקרה שהאתר שלך נפרץ או .

גיבוי וורדפרס באמצעות ספק האחסון שלכם

גיבוי של אתר וורדפרס בשרת של ספק האחסון יוצר גיבוי מקומי בשרת. ספקי אחסון ענן רבים של וורדפרס מספקים תהליך גיבוי מקומי בו ניתן לגבות את כל השרת באופן אוטומטי או באופן ידני על אותו שרת. אם אתם לקוחות Cloudways, אתם בידיים טובות. תוכלו לקבל גיבוי מקומי (אותו שרת) וניתן לגבות את השרת כולו גם בשרת חיצוני, ככה שאם השרת שלכם נפרץ או נהרס, תוכלו לשחזר את הנתונים תוך דקות. 

טיפ: מומלץ לעשות גיבוי גם דרך תוסף בדרופבוקס, גוגל דרייב וכו', וגם לעשות גיבוי בשרת עצמו, וגם גיבוי דרך חברת האחסון בשרת חיצוני, כל זה על בסיס יומי. אין כזה דבר עוד גיבויים, בעיקר אם הכל נעשה אוטומטית!!!

טיפ 3: סיסמא חזקה!

סיסמה חזקה היא חובה אבטחת וורדפרס בסיסית מאוד, המגנה מפני פגיעות רבות של וורדפרס. באופן אידיאלי, הסיסמאות צריכות להכיל אותיות, סימני פיסוק ומספרים (למשל #[email protected]$). מומחים מציעים גם להשתמש בסיסמאות שונות לאתרים שונים, כלומר לא להשתמש באותה הסיסמא לכל החשבונות שלכם ברחבי הרשת. כדי לעזור לכם לעשות זאת, אתם יכולים להשתמש בתוסף סיסמאות חזקות של וורדפרס. התוסף מבטיח שלכל המשתמשים שלכם יש סיסמאות חזקות.

התקפות Brute Force: סיסמה חזקה היא ההגנה הראשונה שלכם מפני התקפות Brute Force שמנסה שילובים שונים של שמות משתמש וסיסמאות עד שהאתר נפגע. סיסמה חלשה אף פעם לא מצליחה להילחם במתקפת Brute Force.

טיפ 4: הגבילו את ניסיונות הכניסה

כברירת מחדל, וורדפרס אינה מגבילה את כמות הפעמים בהן מבקר יכול לנסות להיכנס עם שם משתמש וסיסמא. כדי למנוע זאת ולהוסיף שכבת אבטחה נוספת לאתרי וורדפרס, מנהלי האתר צריכים להתקין תוסף להגבלת ניסיונות התחברות המונע מהאקרים לנצל את הבעיה הזו ולהפעיל התקפת brute force login באתר שלכם. התוסף חוסם את כתובת ה- IP של כל האקר אפשרי שמנסה את ההתקפה הזו על פאנל הניהול של האתר שלכם. התוסף עושה זאת על ידי הגבלת מספר הניסיונות הכושלים לכל משתמש.

בנוסף, השתמשו באימות דו-שלבי: אימות דו-שלבי (2FA) הוא שיטת אבטחה סטנדרטית בתעשייה המשתמשת באישורים דו-שכבתיים כדי למזער את הסיכויים של התחברות לא מורשית לאתר. יש לא מעט תוספים לאימות דו שלבי – Two Factor Authentication הוא אחד המומלצים בהם

טיפ 5: שנו את כתובת אתר ההתחברות של וורדפרס ושם המשתמש המוגדר כברירת מחדל

שנו את כתובת אתר ההתחברות של וורדפרס

שינוי כתובת ה- URL של ה-WP-admin מקשה על האקרים לפרוץ לאתר שלכם. האקרים יודעים שWP-admin היא כתובת ברירת המחדל לכניסה לפאנל הניהול של משתמשים שונים ומנצלים זאת כדי לפרוץ לאתרים. מדובר בצעד פשוט שיחזק מאוד את האבטחה של האתר שלכם.

למרות שיש הרבה תוספים זמינים, אנחנו ממליצים על התוסף WPS Hide Login. אתם יכולים לקרוא עליו בהרחבה כאן

שנו את שם המשתמש (ברירת המחדל) של וורדפרס

פרצת האבטחה הבסיסית ביותר היא שם המשתמש של הניהול "admin". למרות שאתם יכולים להשתמש בתוסף כדי לשנות את שם המשתמש, יש שיטה פשוטה יותר לכך: עברו ללוח הבקרה, צרו משתמש חדש והקצו לו את התפקיד של "admin".

שנו את תפקידי המשתמש השונים

וורדפרס מאפשרת למספר משתמשים לעבוד בתוך האתר באמצעות תפקידים מוגדרים מראש. כמנהל אתר/אדמין, אתם יכולים לשנות או אפילו ליצור תפקיד משתמש נפרד ולמנוע גישה בלתי מוגבלת עבור כל המשתמשים.

טיפ 6: שמרו על וורדפרס מעודכן

צוות וורדפרס משחרר באופן קבוע עדכונים לקבצי הליבה. תיקונים אלה זמינים כקבצי התקנה עצמאיים המתקנים בעיות ידועות ובדרך כלל מחזקים את האבטחה של אתרי וורדפרס. שמירה על גרסת וורדפרס מעודכנת היא היבט חיוני בהפעלת האתר. בעל האתר צריך לדאוג שהוורדפרס שלו מתעדכן בתוך שעות ממועד פרסום העדכון כיוון שתמיד יש סיכוי שתוקפים מחכים להזדמנות למצוא אתרים פגיעים. זה חל גם על התוספים המותקנים. מפתחי תוספים עוקבים אחר העדכונים של קבצי הליבה של וורדפרס כדי לוודא שהתוסף עומד בקצב הגרסאות החדשות של וורדפרס.

הערה: לעולם אל תחילו את העדכונים על האתר החי שלכם. תמיד תבדקו את התיקונים בסביבת הפיתוח של וורדפרס כדי לוודא שהכל ממשיך לפעול כמו שצריך ושהאתר לא נפגע מהעדכון של התוסף. אם לאחסון שלכם אין סביבת פיתוח אז אנחנו מציעים קודם כל לבצע גיבוי ורק אז להתחיל לעדכן. מצד שני, אם אתם משתמשים באחסון וורדפרס מנוהל, המפתחים דואגים לעדכן את קבצי הליבה של וורדפרס ולוודא שהאבטחה לא תיפגע. 

טיפ 7: מחקו תוספים שאינם בשימוש

בדיקת תוספים חדשים היא דרך טובה להתנסות בהם ברגע שהם יוצאים. עם זאת, לאחר סיום הבדיקה, משתמשי וורדפרס בדרך כלל מבטלים את התוספים במקום להסיר אותם לחלוטין. שימו לב שתוספים שאינם בשימוש או לא פעילים מהווים איום רציני על אתר וורדפרס. מכאן שחשוב מאוד למחוק את כל התוספים שאינם בשימוש באופן מיידי. באופן כללי, הקפידו להוריד את הגרסה העדכנית של התוספים ממקום מהימן כדי שהתוסף לא יפתח פרצת אבטחה באתר שלכם. ותמיד מומלץ להשתמש בכמה שפחות תוספים – תזכרו – מרבה תוספים מרבה דאגות.

טיפ 8: מנעו פריצות למסד נתונים (SQL Injections) ופריצה ול-URL

פריצות למסד נתונים (SQL Injections) הן התקפות שבהן התוקפים מטמיעים פקודות SQL במסד נתונים של האתר שלכם (בפרט תיבת ההערות ואזורי הטקסט). פקודות אלה עלולות לפגוע במסד הנתונים שלכם ועלולות לחשוף מידע רגיש המאוחסן במסד הנתונים. שינוי כתובת האתר על ידי שינויים בקבצי PHP מהווה איום פוטנציאלי נוסף לאבטחת וורדפרס, בו התוקפים יכולים לעורר התקפות על מסד הנתונים ורכיבי אתר אחרים. רוב אתרי וורדפרס יושבים על שרת Apache שיש לו טריק חכם להתמודד עם התקפות אלה. לכל שרתי Apache יש קובץ .htaccess המגדיר כללי גישה לאתר. כדי לצמצם את המקרים של SQL Injections ופריצת כתובות אתרים, הוסיפו את הקוד הבא לקובץ .htaccess:

				
					<ifmodule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]
RewriteRule ^(.*)$ - [F,L]
RewriteCond %{QUERY_STRING} \.\.\/ [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini [NC,OR]
RewriteCond %{QUERY_STRING} tag\= [NC,OR]
RewriteCond %{QUERY_STRING} ftp\:  [NC,OR]
RewriteCond %{QUERY_STRING} http\:  [NC,OR]
RewriteCond %{QUERY_STRING} https\:  [NC,OR]
RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D) [NC,OR]
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(\[|\]|\(|\)||ê|"|;|\?|\*|=$).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*("|'|&lt;|&gt;|\|{||).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%24&amp;x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(globals|encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare).* [NC]
RewriteCond %{HTTP_COOKIE} !^.*WordPress_logged_in_.*$
RewriteRule ^(.*)$ - [F,L]
</ifmodule>
				
			

כפי שאתם יכולים לראות, הקוד "מחטא" את הנתונים הנכנסים לשדות הקלט. בנוסף, כל קלט כזה מטופל כמחרוזת במקום שאילתת SQL.

טיפ 9: מנעו גישה לקבצים רגישים בוורדפרס

התקנת וורדפרס מכילה מספר קבצים רגישים, כגון קבצי wp-config.php, install.php ו- readme.html. יש לשמור קבצים אלה מוסתרים מכל גישה חיצונית. שוב, באמצעות .htaccess אתם יכולים להוסיף את השורות הבאות לקובץ כדי למנוע גישה לקבצים חשובים. קטע הקוד הבא מונע גם גישה לספריות משתמשים ומסתיר קבצי שרת וורדפרס רגישים מפני גישה לא מורשית.

				
					Options All -Indexes
<files .htaccess>
Order allow,deny
Deny from all
</files>
<files readme.html>
Order allow,deny
Deny from all
</files>
<files license.txt>
Order allow,deny
Deny from all
</files>
<files install.php>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>
<files error_log>
Order allow,deny
Deny from all
</files>
<files fantastico_fileslist.txt>
Order allow,deny
Deny from all
</files>
<files fantversion.php>
Order allow,deny
Deny from all
</files>
				
			

טיפ 10: שנו את קידומת ברירת המחדל עבור מסד נתונים

תשנו את גרסת הוורדפרס שלכם: כברירת מחדל, וורדפרס מוסיפה אוטומטית את מספר הגרסה הנוכחית לחלק הראשי של התבנית. בהיבט של אבטחת האתר שלכם, אחד הטיפים הכי חשובים שיעזרו לשמור על האתר שלכם הוא לעולם לא להציג את גרסת הוורדפרס באופן פומבי, פשוט בגלל העובדה שתוקפים יכולים לבצע התקפות נגד כל הפגיעות הידועות של הגרסה המוזכרת בכותרת. שורת הקוד הפשוטה הבאה צריכה לכלול את קובץ ה- function.php של העיצוב שלכם כדי להסתיר את גרסאות וורדפרס:

				
					remove_action( 'wp_head', 'wp_generator' );
				
			

שנו את קידומת ברירת המחדל של וורדפרס למסד הנתונים: לכל הטבלאות במאגר וורדפרס יש שמות שמתחילים בקידומת "wp_". למרות שנדמה שזו תכונה מצוינת, עבור האקרים של וורדפרס, הדבר מפשט מאוד את העניינים מאחר והם צריכים לנחש פחות. אתם יכולים להקשות על האקרים על ידי שינוי קידומת ברירת המחדל של וורדפרס של טבלאות מסדי נתונים של משתמשים בעת התקנת וורדפרס. ניתן לעשות זאת גם באתרים שכבר פעילים על ידי מניפולציה של מסדי נתונים של משתמשים במספר מקומות.

איך Cloudways מסייעת באבטחת אתרי וורדפרס?

משתמשי וורדפרס צריכים לבחור גם באחסון מאובטח המציע סביבה מאובטחת לאתר. Cloudways מספקת סביבת אחסון וורדפרס מאובטחת באמצעות הפיצ'רים הבאים:

  • תשתית ענן ממדרגה ראשונה: Cloudways משתפת פעולה עם ספקי תשתיות ענן מהשורה הראשונה שאבטחה מבחינתם היא החשש מספר אחד שלהם. אחסון אתר וורדפרס בענן מבטיח רמה גבוהה של אבטחה.
  • חומות אש: כל השרתים שהושקו באמצעות Cloudways מגיעים עם חומת אש מותקנת מראש המשמשת כקו ההגנה הראשון של האתר. ניתן לתגבר את האתר עם חומת האש המתקדת של Sucuri.
  • ניטור שרתים: ניטור שרת מסייע בזיהוי תנועות בלתי צפויות שיכולות להשבית את האתר.
  • הגנת בוט: הגנת בוט נועדה לזהות ולחסום תעבורה זדונית, להגן מפני התקפות כמו  Brute Force. הגנה זו גם עוזרת להפחית את השימוש במשאבי שרת לאתרי וורדפרס. התקפות אלה נועדו להשיג גישה בלתי מורשית לאתר שלכם אבל הגנת Bot עוקבת אחר כל הפעילויות הללו וחוסמת באופן יזום את הגילוי.
  • גישת SSH ו-SFTP: ספקי אחסון רבים עדיין משתמשים ב- FTP כדי לגשת לקבצים. עם זאת, עם Cloudways SFTP (פרוטוקול העברת קבצים מאובטח) החיבור שלכם מוצפן ומאובטח. אם מספר צוותים עובדים על פרויקט המתארח בשרת, ניתן להקצות להם גישה ליישום מסוים במקום לשרת כולו.
  • מערכת הפעלה ויישומים מעודכנים: מומחים ב- Cloudways מתעדכנים בכל המהדורות האחרונות ומבטיחים את זמינותם לאחר בדיקות יציבות ותאימות.
  • אישורים שנוצרו באופן אקראי: לכל היישומים שהושקו באמצעות Cloudways יש אישורי ברירת מחדל שנוצרו באופן אקראי שקשה לנחש.
  • גיבוי: במקרה של אסון, גיבוי האתר הוא הדרך הטובה ביותר שיש לכם להתאוששות מהירה יותר. אתם גם יכולים להגדיר את תדירות הגיבוי.
  • תעודת SSL בחינם: Cloudways מספקת התקנת תעודת SSL בלחיצה אחת עם תכונה לחידוש אוטומטי.
  • סביבת פיתוח חינמית: Cloudways מציעה סביבת פיתוח וורדפרס בחינם כדי לוודא שהכל ממשיך לפעול כמתוכנן.
  • תמיכה בצ'אט חי 24/7: עדיין מודאגים מאבטחת השרת וביצועיו? התמיכה של Cloudways תמיד קיימת מסביב לשעון.
  • תמיכה טלפונית: אם אתם זקוקים לעזרה מיידית אתם יכולים גם לפנות באופן ישיר טלפונית ויינתן לכם מענה לבעיה.

סיכום

הטיפים לאבטחת אתרי וורדפרס שהצגנו מבטיחים אתר יעיל ומאובטח. עם זאת, אנשים רבים שוכחים כי הגנה על אתר וורדפרס היא תהליך מתמשך הדורש תשומת לב מתמשכת מול כלים וטריקים חדשים המתעוררים במרחב הסייבר. אבל, חשוב תמיד להיות ערים ולקרוא כל הזמן הסברים חדשים ואפשרויות מתקדמות כדי למזער את הסיכויים שהאתר שלכם ייפגע.

אתם מוזמנים לקרוא בהרחבה על תוספי אבטחה נוספים שיעזרו לאבטח את האתר שלכם במאמר שכתבנו בנושא.

על הכותב

אור פיאלקוב, בן 38, מייסד ומנכ”ל חברת פיאלקוב דיגיטל, חברה המתמחה בפרסום בגוגל ומגוון ערוצים נוספים. מומחה בשיווק דיגיטלי, מעביר סדנאות והרצאות בנושא שיווק בעזרת כלים מתקדמים לחברות וליחידים. הבעלים של  EasyCloud, חברה שמנגישה את עולם אחסון האתרים בענן בעזרת Cloudways לכל אחד. דרך חברות אחסון הענן הגדולות בעולם עם ממשק נוח, אבטחת אתרים מקסימלית ומחיר מעולה.

אור פיאלקוב
כל מה שחדש בוורדפרס