המדריך המלא לאבטחת אתר וורדפרס

אבטחת אתרי וורדפרס

חשוב לזכור אבטחת אתר הוורדפרס צריכה להיות בעדיפות עליונה.

וורדפרס היא פלטפורמת ניהול התוכן השימושית ביותר בקרב מפתחי האתרים, W3tech על פי מחקר ב כ- 64.3% מפתחים מכול העולם משתמשים במערכת ניהול התוכן הזאת.

אבטחת אתר וורדפרס

ישנם סיפורים שאומרים כי מערכת האבטחה של וורדפרס לא מאובטחת מספיק ויש לה נסיונות תקיפה מרובות, כמובן כמו שניתן ליראות עקב השימוש הגבוה בפלטפורמה הזו, יש המון נסיונות פריצה על ידי האקרים שהמטרה שלהם היא לקבל שליטה על כמה שיותר אתרי וורדפרס בפריצה אחת בודדת.

מכאן ניתן להסיק שוורדפרס כמערכת ובמיוחד קבצי הליבה מאובטחים ברמה גבוהה מאוד, מתוחזקים ומקבלים עדכונים ומשתפרים כול הזמן על ידי מאות מתכנתים שלוקחים חלק מקהילת קוד פתוח.

ברוב המקרים רוב הפריצות נגרמות על ידי טעויות אנושיות, קונפיגורציות לא נכונות ותחוזקה לא נכונה של של הוורדפרס.

במדריך הזה ניתן לכם עצות איך לאבטח את אתר הוורדפרס שלכם.

1. עדכוני קוד:

וורדפרס היא פלטפורמה חינמית שפותחה על ידי מתכנתי קוד פתוח, היא מורכבת מקבוצות רכיבים שונות כמו קוד ליבה תבניות עיצוב ותוספים שונים אשר מותקנת על ידי המשתמשים.

עדכוני קוד הליבה:

בכול שחרור גרסת וורדפרס המתכנתים משפרים את המערכת בצורות שונות, מוסיפים תכונות חדשות, משפרים ביצועים על מנת להישאר מעודכנים בסטנדרטים של הטכנולוגיה. בנוסף לכול בין עדכוני הגרסאות כוללים גם עדכוני אבטחה.

עדכון של הוורדפרס בעצם ישפר את האבטחה ויפחית משמעות את הסיכונים לפריצות.

*חשוב לזכור גרסאות ישנות ולא מעודכנות של וורדפרס חשופות למגוון רחב של פריצות ותקיפות

2. סיסמאות והרשאות:

בחירת שם משתמש:

חשוב מאוד לתת שם משתמש נכון לאתר שלכם. ADMIN כשם משתמש עושה להאקרים חיים קלים יותר ומקל עליהם במהלך הפריצה. לכן בחירת השם זו בין הפעולות הפשוטות לחיזוק אבטחת אתר הוורדפרס  ומניעת פריצה לאתר שלכם.

בחירת שם משתמש לצורך אבטחת אתר וורדפרס

בחירת סיסמא:

אחת מהשיטות הפריצה הנפוצות ביותר היא נסיונות התחברות לוורדפרדס על ידי ניחוש סיסמאות ידעות על ידי בוטים מתוך מאגר מוכן מראש. לכן חשוב ליצור סיסמאות שמורכבות מ:

  • מספרים (1-9)
  • (a-z) אותיות לועזיות
  • (A-Z) אותיות לועזיות גדולות
  • (*,!-+$#@&תווים)

ההמלצה היא לא להשתמש באותה סיסמא אלא תמיד שהן יהיו שונות ולא יהיה ניתן לצפות אותם מראש.

3. ניהול הרשאות:

דרך נוספת לשמור על אבטחה גבוהה באתר וורדפרס ולצמצם סיכוני פריצה היא לתת הרשאות מאוד ברורות. במילים אחרות לא לתת לאף אחד סתם גישה לחשבון הוורדפרס שלכם.

אם יש לכם צוות פיתוח גדול צריך לחלק הרשאות בהתאם לחברי הצוות

  • (Subscriber) – מנוי משתמש רשום לתאר ללא גישה כלשהי על תכני האתר.
  • (Contributor) – בעל הרשאת כתיבה ופרסום הפוסטים של עצמו בלבד.
  • כותב (Author) – תורם בעל הרשאת כתיבה ופרסום הפוסטים של עצמו בלבד.
  • עורך (Editor) – בעל הרשאת כתיבה ופרסום הפוסטים והעמודים שלו ושל אחרים ללא הרשאה 
  • מנהל (Administrator) – מנהל האתר בעל הרשאה לכול האפשריות הקיימות במערכת הניהול

4. בטלו אפשרות לעריכת קבצים מתוך ממשק הניהול:

כברירת מחדל מערכת הוורדפרס מאפשר לבצע עריכת קבצי תבניות ותוספי עיצוב של האתר באמצעות עורך קוד ייחודי מתוך ממשק הניהול. אפשרות זו יכולה להיות מסוכנת ולכן ממומץ לבטל אותה.

האפשרות הבטוחה יותר היא כמובן לבצע עריכה של קבצים על ידי שימוש בתוכנת FTP. ניתן לבצע פעולה זו על ידי הוספת הקוד הבא לקובץ – wp-config.php

5.הגבלת גישה לאזור ההתחברות:

כברירת מחדל האקרים או תוכנה זדונית יכולים לגשת לאיזור ניהול או עמוד התחברות לאתר שלכם ללא הגבלה. זה מאשר להם לבצע יותר נסיונות פריצה. במידה ויש לכם שליטה בחומת האש מומלץ להגביל את הגישה לאותה מדינה או איזור גאוגרפי מורשת או אפשרות גם להתחבר רק דרך כתובת IP. 

קיימת גם אפשרות נוספת להגן על איזורים דרך סיסמת ברמת צד שרת שיספק שכבת הגנה נוספת לפני שהאקר או תוכנה זדונית מגיעים לאיזור ההתחברות.

6. אבטחת וורדפרס ע"י השבתת פרוטוקול XML- RPC.

מאופשר כברירת מחדל החל מגרסת 3.5 ומעלה XML-PRC פרוטוקל. אפשרות זו עוזרת לחבר מרחוק את האתר הוורדפרס עם אתרים ואפלקציות שונות. Brute Force החשוף לרשת יכול להגדיל משמעותית את המתקפות מסוג XML-RPC. 

יש כמה פתרונות כדי להגביל את נסיונות ההתחברות על ידי מספר דרכים:

 

א. הגבלת הגישה לנתיב Xmlrpc.php ברמת חומת האש של השרת.
ב. ברמת השרת על ידי הקובץ .Nginix.conf או htaccess
ג.שימוש בתוסף שנקרא Disable XML RPC – זמין להורדה תחת ספריית התוספים של וורדפרס 

7. אבטחת אתר ווורדפרס ע"י מערכות סריקה:

בנוסף לכול פעולות ההגנה על מנת לאבטח את אתר הוורדפרס, צריך גם לשקול את נושא מערכת הסריקה של אנטי וירוס שיכולה לספק שכבת הגנה נוספת ויכולה לזהות קוד זדוני ווירוסים.

מערכות סריקה

CXS SCANNER:

מערכת סריקה מתקדמת מבית ConfigServer Services.

האנטי וירוס יודע לזהות קבצים זדוניים וגם לחסום אותם, אפשר גם לבצע סריקה בזמן אמת על הקבצים וכך לנטר את הקבצים הזדוניים ולהסיר אותם. (מערכת זאת היא בתשלום)

ClamAV:

קיים גם אנטי וירוס חינמי שהוא קוד פתוח שהוא מותקן על שרת הלינוקס, הוא מזהה קבצים ווירוסים ואיומים אחרים ומבצע עובדה נהדרת במהלך הסריקה (מאוד מומלץ)

חומת אש:

חומת האש היא מערכת לניטור וחסימת תקשורות בלתי רצויות לרשת התקשות או המחשב.
מערכת זאת מהווה לרוב חלק חשוב במערת האבטחת רשתות המחשבים.

חומת אש

יש המון סוגים של חומות אש למשל:

 

F5:

שולט על תעבורה של הנתונים, בכך שבקונפיגורציה של החומת אש אפשר להגדיר שם כתובות, פורטים וכ'ו ולחסום אותם. בנוסף יכול לנטר מתקפות ופריצות מסוג Brute force. 

גם מבחינת החומת האש אפשר לתת כתובות מסוימות שרק הם יכולות לגשת לקישור מסוים.

WAF- WEB APPLICATION FIREWALL:

זאת מערכת ייעודית לאפלקציות מקוונות שמסננת ומצגיה וחוסמת תשדורות HTTP.

שונה מחומת אש רגילה בכך שהיא מסוגלת לסנן תוכן ספציפי של יישומי אינטרנט בזמן WAF שחומת אש רגילה משמשת כשער בטיחות בין השרתים.

WAF כוללות בדרך כלל מדיניות אבטחה גלובלית ובמקביל מדיניות אבטחה לדפים ספציפיים של הארגון.
בדרך כלל יישום WAF יעשה בענן.

במידה היישום מותקן בענן ניתן להשתמש ב WAF של ספק הענן.

אם אתם מעוניינים באבטחה סופר איכותית לאתרי הוורדפרס שלכם, או שיש לכם שאלות נוספות, מוזמנים ליצור איתנו קשר או לבקר בעמוד השירות למידע נוסף – אבטחת מידע מקצועית . נשמח לעזור. צוות אינטרהוסט

Facebook
Twitter
LinkedIn