מדריך אבטחה וורדפרס
דייב אברג'ל,
למד איך לשפר את האבטחה של אתר הוורדפרס שלך
וורדפרס היא מערכת ניהול התוכן הנפוצה ביותר בעולם האיטרנט, דבר זה הופך את וורדפרס ליעד מועדף להאקרים.
להיות בעל אתר וורדפרס אומר שאתה צריך לעשות מספר צעדים נוספים בכדי לאבטח את המידע שלך ושל הגולשים שלך.
במאמר הבא אנחנו נציג לפניכם מספר כלים מאוד יעילים לשיפור האבטחה באתר שלכם. זה חשוב לציין שהכלים הבאים אינם מספקים לכם 100% אחריות כנגד נסיונות פריצה, זאת מהסיבה הפשוטה,
שאין באמת אתר שמאובטח ב-100%. אבל הם יגנו עליכם מפני רוב נסיונות הפריצה.
שמור על גירסת הוורדפרס והתוספים עדכניים
זהו חלק ממש חשוב לשמור על גירסת הוורדפרס שלך וכל התוספים שלך עדכניים לגירסה האחרונה שלהם.
רוב עדכוני הוורדפרס והתוספים מכילים קבצי תיקוני אבטחה (Patches). גם אם נקודות התורפה (שמצהיר עליהם וורדפרס) לא נפרצים בכל כך קלות,
עדיין זה חשוב לעדכן גירסה ולתקן אותם. להרחבת הנושא, בקרו במדריך שלנו – עדכון אוטומטי לוורדפרס.
אבטח את איזור הניהול שלך (Admin)
אנחנו ממליצים להגביל את מספר נסיונות ההתחברות השגויים לאתר שלך. בדרך זו תוכל להגן על אתר הוורדפרס שלך מפני התקפות של עוצמתיות של רובוטים ואנשים שמנסים לנחש מה הסיסמה שלכם. למקרים כאלה אתם יכולים להשתמש בתוסף קטן ונחמד בשם Limit login attempts.
או לחילופין ללקוחות uPress, ניתן להפעיל דרך מערכת הניהול את הכלי היעודי חסימת נסיונות כניסה כושלים ל-Wordpress Admin
אל תשתמש בשם משתמש "Admin"
רוב התוקפים יניחו ששם המשתמש לאתר שלכם הוא "admin", תוכלו לחסום בקלות המון נסיונות פריצה על ידי מתן שמות יחודיים לשם המשתמש של מנהל האתר.
אם אתם מתקינים אתר וורדפרס חדש, עדיין תוכלו לבחור שם משתמש למנהל האתר במהלך ההתקנה.
אם אתם כבר בעלי אתר וורדפרס פעיל תוכלו פשוט להוסיף משתמש על ידי ממשק הניהול של uPress, קישור למדריך.
השתמשו בסיסמאות חזקות
אתם תופתעו לדעת שיש אלפי משתמשים וורדפרס המשתמשים בביטויים כמו "password" או "12345678" כסיסמה למשתמש של מנהל האתר.
סיסמאות אלו הן קלות לניחוש ונמצאות בראש הרשימה של כל מתקפה המתבצעת על ידי רובוט או על ידי בנאדם.
עצה טובה היא להשתמש במשפט שלם שהגיוני לכם ואתם יכולים לזכור אותו בקלות, סיסמאות אלו הן הרבה הרבה יותר טובות מאשר ביטוי יחיד.
השתמשו בכלים לאיתור פירצות אבטחה
במידה והאתר שלכם כבר נפרץ בעבר, סביר להניח שקיימת פירצת אבטחה באתר שלכם ויש לטפל בה באופן מיידי.
לצורך ביצוע פעולה זו ניתן להשתמש בכלי אבטחה מתקדמים כמו WordPress Clinic המוצע ללקוחות uPress,
אשר מבצע סריקה מקיפה לאתר שלכם ומתריע בפני פירצות אבטחה ונקודות תורפה, ואף עוזר לאף לכם לתקן אותם.
או לחילופין ניתן להשתמש בשירותים כמו sucuri אשר מבצעים סריקה מקיפה לאתר שלכם ומתריעים בפני פירצות אבטחה אפשריות.
הוספת אימות דו-שלבי (למתקדמים)
הפעלת אימות דו-שלבי לאתר הוורדפרס שלכם יכולה לשפר באופן משמעותי את האבטחה שלכם.
אחת הדרכים הקלות לעשות זאת היא בעצם על ידי התוסף Clef לעימות באמצעות הטלפון הנייד שלכם. לאחרונה מחברי התוסף Clef יצרו גירסה חינמית לתוסף.
הסבר על התקנת אימות דו-שלבי באתר שלכם יפורט במדריך אחר, עקב המסה הגדולה שהוא דורש.
ודא שאתרך מאוחסן בשרת וורדפרס מאובטח
אתר הוורדפרס שלך מאובטח ברמה שווה כמו ששרת האחסון שלך מאובטח, אם מישהו יכול לנצל את הפגיעות בגירסא ישנה של PHP למשל או שירות אחר
בפלטפורמת האחסון שלך – זה לא משנה שתיהיה לך את הגירסא העדכנית ביותר של וורדפרס.
זוהי הסיבה מדוע חשוב לאחסן את האתר שלך בחברה בעלת עדיפות באבטחה.
חלק מהתכונות שאתם צריכים לחפש בשרת האחסון שלכם הם:
- תמיכה בPHP בגירסא 5.6.15 לפחות
- תמיכה בMYSQL בגירסא 5.5 לפחות
- שרת מסדי נתונים נפרד
- Firewall מובנה על השרת
- מערכת איתור חדירה
ודא שהמחשב שלך נקי מוירוסים ותוכנות זדוניות
אם המחשב שלך נגוע בוירוס או תוכנה זדונית, תוקף פונטציאלי יכול להשיג את פרטי ההתחברות שלכם, להתחבר לאיזור הניהול שלכם ולעקוף את כל הצעדים שנקטתם בשלבים הקודמים.
זוהי הסיבה לכך שזה מאוד חשוב שתיהיה לכם תוכנת אנטי-וירוס כדי לשמור על הביטחון הכולל של כל המחשבים שבהם אתם משתמשים כדי לגשת לאתר הוורדפרס שלכם.
אם אני מבין נכון יש לכם כלי שבודק את נושא האבטחה באתרי וורדפרס? מה הוא בדיוק בודק?
אכן רפי, כלי אבטחה – WordPress Clinic, אתה מוזמן לקרוא בהרחבה בקישור הבא – https://www.upress.co.il/features/22