4 דרכים פשוטות לאבטח את אתר הוורדפרס שלכם
דייב אברג'ל,
כשהרוח נושבת על פניי ומרחבים פתוחים לפניי, החיים די טובים כשאני על ה"הארלי" שלי.
אני רוכב המון, וכמה משחרר שזה לא יהיה, רוכב טוב מודע תמיד ובאופן חד לסיכונים שברכיכה על אופנוע. רוכב טוב יודע להכין את עצמו – עד כמה שניתן – לכל אירוע שעשוי להתרחש.
על מנת להיות רוכב בטיחותי, יש לקבל את הסיכון שקיים ברכיבה.
עליי לשקול משתנים רבים, אך בסופו של דבר החלטתי שאני מעוניין לרכב ומקבל את העובדה שפעילות זו תמיד תכלול מידה כלשהי של סיכון.
ניהול אתר אינו שונה מרכיבה על אופנוע כשמדובר בקבלת סיכונים וניהול סיכונים כולל.
אחריות לקהל שלכם
על אף שוורדפרס מאפשר לבונה האתרים לעשות צעד מעבר למה שמתאפשר ברוב תוכנות בניית האתרים מבחינת בטיחות, הרי שעדיין מדובר בתוכנה מבוססת אינטרנט, וישנם סיכונים מובנים עבורכם, עבור הנתונים שלכם ועבור הגולשים שלכם.
על בטיחות המבקרים באתר להיות בעדיפות עליונה, תוך שהם מוגנים מתוכן מזיק. האתר שלכם אינו מתפקד כראוי אם הוא פוגע בגולשים או במוניטין שלכם.
ממש כמו רכיבה על אופנוע, גם כאן עליכם לאמץ גישה אסטרטגית לניהול סיכונים בוורדפרס.
להלן מספר גישות פשוטות להפחתת סיכונים שכדאי לכם לשקול וליישם:
1. נקו את המוסך שלכם
הצבע על ה"הארלי-דיווידסון" מתוכנן להיות עמיד במשך 50 שנים ויותר – גם בתנאים של חום או קור קיצוני.
הוא לא מתוכנן לעמוד במשקלו של הסולם שנשען כרגע על אחד הקירות במוסך, באם ייפול עליו. לפני שקניתי את האופנוע, החלטתי לפנות כמה דברים, כדי ליצור עבורו מקום חנייה ראוי.
בתור משתמשי וורדפרס, יש לנו הרבה מזל. צוות הליבה של וורדפרס עושה עבודה טובה בניקוי וטיוב ליבת הוורדפרס באופן קבוע.
הם מתחייבים לזהות ולאחות פגיעויות המזוהות בתוכנה. בכל פעם שמשוחררת גרסה קטנה (הממוספרת, למשל, בצורת , 3.2.x), הרי שהיא כוללת תיקוני באגים ואיחויי בטיחות.
להלן מספר דברים לשקול בכל עדכון של וורדפרס:
עדכנו את ליבת הוורדפרס: העצה החשובה ביותר שאוכל להעניק לכל מנהל אתרים היא להבטיח שהוא מעדכן את התוכנות שלו על בסיס קבוע. בסיום העדכון, בדקו שוב הכל ועדכנו עוד קצת!
התרומה הגדולה ביותר להתקפות זדוניות מגיעה מגירסאות אתרים שאינן מעודכנות, שלמעשה מהוות 70% מכלל המקרים שניתן לראות בהיסטוריית ההתקפות בארכיון של uPress – כולל תוכנות נוספות, מלבד וורדפרס. ישנן דרכים שונות לבצע זאת ובדרך לוקח רק כמה דקות לעדכן את ליבת הוורדפרס.
האם ניסיתם את תכונת העדכון האוטומטי בוורדפרס? זה עובד מעולה, נוח וממוקם בפאנל הניהול של הוורדפרס שלכם.
עדכון ערכות נושא ותוספים: אם הכל עובד מצוין, מדוע צריך תוספים? מאותה הסיבה שאתם מעדכנים את התוכנות שלכם – וכאשר מדובר על תוספים, אדרבא – מפני שהם לא בהכרח עוברים תהליך זהה של בדיקה וסינון כמו זה של ליבת וורדפרס (אלא אם אתם משתמשים בערכות נושא ותוספים של uPress One).
הסרת תוספים וערכות נושא בלתי-פעילים: באוגוסט 2011, נחשף לקהל כי הסקריפט הפופולארי TimThumb שנכלל בתוספים ובנושאים הפופולאריים של וורדפרס היה חשוף (להתקפות זדוניות). תוך ימים ספורים יכולנו לצפות בתוקפים שניצלו פגיעות זו כדי לבצע פעולות, החל מהצפה בזבל קידומי (SEO) שמוביל לאתרים אחרים, עד לפגיעה קבצי ה-PHP שעל השרת באמצעות תווים חסרי-משמעות.
ככל שנחשפנו ליותר ויותר מקרים כאלה, הגענו להבנה שרוב בעלי האתרים לא תפסו כלל כי הסקריפט (והתוכנות הזדוניות) היה על השרת שלהם. במקרים אחרים, בעלי אתרים כיבו את התוסף או הנושא הרגישים, אך השאירו אותם על השרת. העובדה כי הנושא או התוסף בוורדפרס היו כבויים לא היתה רלבנטית עבור אותה רגישות. תוקפים החלו בסריקת אתרים תוך שהם תרים אחר TimThumb, וכאשר מצאו אותו, הם החלו להפעיל קבצי PHP שרירותיים על השרת. כאשר תוסף הוא נושא אינם פעילים, וורדפרס לא טוען אותם.
אולם הם עדיין זמינים וניתנים להפעלה על השרת, מדובר באחת החולשות הפחות נראות לעין בהתקנת וורדפרס, המהווה נתיב להאקרים המחפשים דרכים להשתמש באתר. אם אינכם משתמשים בתוסף או נושא, הסירו אותם מהאתר! העניין תקף למעשה עבור כל תוכנה: אם אינכם משתמשים בה, פשוט הסירו אותה מהשרת. אין סיבה לשמור אותה שם אם אין בה שימוש.
אין דבר גרוע יותר מלהשאיר אותה שם, לשכוח ממנה ואז להיחשף לכל מיני חולות רעות מרחבי הרשת. בסופו של דבר, הסרה של כל התוכנות, קבצים ונתונים שאין בהם שימוש, מפחיתה את הסיכון שלכם לחשוף את החולשות שלכם בפני גורמים רצויים, כאשר הסיכון מופחת אף יותר במידה שאתם דואגים לעדכונים ותחזוקה תקופתית.
עדכון השרת שלכם: במידה שאתם נושאים באחריות, הרי שגם השרת המארח שלכם אמור לשאת באחריות. האם הם דואגים לעדכונים שוטפים של תוכנות? האם האתר שלכם פועל על תוכנות השרת העדכניות ביותר? אם אינכם בטוחים, שאלו אותם! במידה שאין זה מניב את התוצאות להן אתם מצפים, תוכלו לעבור לאחסון יעודי לאתרי וורדפרס ולהתחיל לחיות בראש שקט.
2. סגרו את שער המוסך שלכם
ברור ככל שזה יישמע, אחד הדברים ששקלתי ברצינות כשרכשתי את האופנוע, היה מצב הבית שלי: איפה אחנה את הרכב החדש? איך אוכל להבטיח שהוא יהיה מוגן כאשר לא אהיה בסביבה?
כיצד כל זה קשור לוורדפרס? להבטיח שהתשתית המקומית שלכם היא במצב המאובטח ביותר האפשרי מאפשר נקודת התחלה טובה לכל עבודה שתבצעו ברשת.
להלן כמה מקומות שיסייעו לכם להפחית סיכונים כבר מההתחלה:
שמרו על המחשב שלכם מעודכן: וודאו שאתם מבצעים איחויים או מתקינים עדכונים באופן קבוע. "עדכונים אוטומטיים" (Automatic Updates) היא שיטה טובה. רוב מוכרי מערכות ההפעלה מבצעים איחוי מערכת לעיתים קרובות – חשוב להישאר מעודכנים.
התקינו אנטי-וירוס: אנטי-וירוס לא רק מגנים על המחשב שלכם מפני וירוסים, אלא גם יעילים בזיהוי תוכנות זדוניות שכללות לתקוף את מאפייני האינטרנט שלכם.
חומות אש (Firewalls): כן, הן עדיין רלבנטיות.
גלישה בטוחה: רק מפני שהאתר שלכם הוא נינג'ת-על, אין זה אומר שכל האתרים ברשת הם כאלה. רוב הוירוסים והתוכנות הזדוניות הפועלים על מחשבים שולחניים בימינו מועברים על-ידי אתרים נגועים. אם אתר לא נראה בסדר – הוא כנראה לא בסדר. משתמשי פיירפוקס מוזמנים לבדוק את NoScript Extension, המאפשר ניהול של סקריפטים הנטענים באתר.
3. אל תשאירו את המפתחות במנעול ההצתה
היה לי יום נהדר במשרד לפני כמה ימים.
כאשר חזרתי הביתה, נזכרתי שהשארתי את מפתח האופנוע במנעול ההצתה – במצב On – והמצבר התרוקן. ועדיין, היה לי מזל. מה היה קורה אם מישהו בעל כוונות זדוניות היה רואה את זה? אז עכשיו הייתי צריך להתעסק עם חברת הביטוח שלי.
הצורות הפשוטות ביותר של אימוּת עושות שימוש במנגנוני מפתח. זוהי אחת הדרכים המהירות ביותר המאפשרות לתוקפים לגשת לאתר שלכם, לעשות ככל העולה על רוחם ולברוח לעבר השקיעה.
עכשיו אני שואל: האם הסיסמאות שלכם "חזקות" מספיק על-מנת להדוף תוקפים משך מספיק זמן כדי לגרום להם לאבד עניין באתר? האם ידעתם שהסיסמא הנפרצת ביותר בשנת 2011 הייתה "password"?
להלן 5 הסיסמאות הגרועות ביותר:
Password 123456 12345678 qwerty abc123
האקרים לא יושבים להם כל אחר הצהריים ומקלידים להם סיסמאות להנאתם, בתקווה שאחת מהן תהיה נכונה. הם מבצעים התקפות אוטומטיות בשיטה הנקראת "התקפת המילון" (the dictionary attack). הם יוצרים רשימה גדולה של סיסמאות נפוצות ומבצעים אוטומטציה בניסיון למצוא סיסמא נכונה שתפרוץ עבורם את האתר בו הם מעוניינים.
להלן מספר דרכים שיסייעו לכם להתגונן בפני פריצת סיסמאות:
שנו את הסיסמאות שלכם לעיתים קרובות: ככל שהזמן בו אתם משתמשים בסיסמא ארוך יותר, כך הזמן שאתם מעניקים להאקרים פוטנציאליים לפרוץ לנתונים שלכם ארוך יותר. שינוי תכוף של הסיסמא מקטין את חלון הזמן של ההתקפה.
אל תשתפו סיסמאות: סיסמאות הן כמו מברשות שיניים – עליכם לשמור אותן לעצמכם, וכן להשמידן ולעדכנן במידה שנחשפו לאחרים.
אל תרשמו את הסיסמאות שלכם: זה בדיוק כמו להשאיר את המפתח במנעול הרכב. כל אחד יכול להשתמש בזה ולעשות בזה ככל העולה על רוחו. שקלו להשתמש בכלים לניהול סיסמאות, כמו, KeePass או LastPass.
השתמשו ב-PassPhrase: זוהי סיסמא ארוכה המורכבת מכמה מילים ואולי גם עם משמעות, לדוגמא: F0urScoR3&s3v3NYeAr$aG0Now – סיסמא מורכבת למדי, אבל ניתן לראות שהיא מכילה 3-4 מילים, אותיות גדולות, אותיות קטנות, מספרים וסימנים. אין צורך "להשתגע" כמו ממציא הסיסמא מעלה, אבל הרעיון הוא ליצור סט מה שיותר מורכב של תווים, שיקשה מאוד על כל פורץ פוטנציאלי.
4. מצאו מכונאי טוב
אני לא מפקיד את האופנוע שלי בידיו של כל אחד. אני נותן את ליבי לאופנוע בכל הקשור לתחזוקה ומשקיע אינספור שעות בתכנון חוויית הנסיעה, המראה, התחושה. נשמע מוכר?
בדרכים רבות אני ניגש לאתרים שלי בדרך דומה וכאשר אני בוחר שרת מארח לאתרים שלי, אני מבצע מחקר מעמיק לפני שאני מוסר את "מפתחות הארמון". בכל פעם שאתם מתקינים תוסף, או מאפשרים למעצב אתרים להכניס שינויים באתר שלכם, אתם מוסרים להם את מפתח הארמון שלכם. השרת המארח שלכם תמיד מחזיק במפתחות לממלכה.
בצעו את המחקר שלכם, קבלו המלצות ובחקרו בחוכמה. להלן כמה דברים שראוי לשקול לפני שמשתמשים במוצרים של צד שלישי:
תוספים: לא כל התוספים נוצרו באופן שווה. מבלי משים, מתכנן תוספים חסר ניסיון עשוי לחשוף כל מיני אלמנטים קריטיים באתר שלכם, או להרוס ביצועים. קראו ביקורות על התוסף בו אתם מעוניינים ונסו לדבוק בתוסף שמציג היסטוריה של עדכונים ופיתוחי כאן על בסיס קבוע.
מעצבים: קהילת המעצבים של וורדפרס גדלה באופן משמעותי וישנם מקורות רבים לבחור מהם. וודאו וקבלו המלצות למעצב מוסמך ושקלו לבקש מהם להפעיל את העיצוב שלהם על מסגרת מבוססת כדוגמת Genesis. מסגרת תסייע לכם למקד את המעצב שלכם במצב של עיצוב וסידור ולא בתכנות. מלבד מקרים בהם מעצב הוא גם מפתח וורדפרס מנוסה, פעולות תכנות עשויות לעיתים קרובות להוביל לבעיות אבטחה וביצועים. גם באם מדובר במעצבי וורדפרס מנוסים, זה לא מזיק להדגיש בפניהם את חשיבותה של אבטחת האתר ולבקש מהם לדבוק בעצות שבכתבה זו, כמו גם בכללים הבסיסיים שלWordPress hardening מה-Codex.
אירוח: רוב פלטפורמות האירוח מיועדות להיות מתאימות לכל שימוש ולכל אחד. כאשר אתם בוחרים שרת המתמחה בוורדפרס ובעל גישה פרואקטיבית לטובת אבטחה, יפחת הסיכון שלכם לחוות בעיות בביצוע, תפעול או אבטחה. המערכת Managed WordPress Hosting של uPress, לדוגמא, משלבת מערך סריקת PHP פרואקטיבי המונע מהאקרים לגשת לאתרי הלקוחות שלה או אף להשיג מידע לגביהם. ניתן גם לומר כי הצוות של uPress מבינים בוורדפרס, SEO ואירוח, ויודעים לשלב את כל הידע הזה בתמיכה בלקוחותיהם.
אני מקווה שמאמר זה יתרום לכם לרכב בהנאה בכבישים המהירים של וורדפרס.
כפי שאתם רואים, כמה תוכניות וצעדים פשוטים יכולים להוביל אתכם לאסון מוחלט, או לשקט נפשי. הבחירה נמצאת בידיים שלכם.
מאמר נהדר, קצר וקולע.
בהחלט אבצע את כל המטלות על אתר הוורדפרס שלי.
שלום לכם ותודה על המדריך. האם אתם ממליצים על וורדפנס?
אנחנו בהחלט לא מאמינים בשימוש בתוסף וורדפנס, לקוחות uPress מקבלים שירותי אבטחה ברמה גבוהה מאוד, וכל תוסף אבטחה אחר הוא פשוט מיותר.