אבטחת וורדפרס היא נושא בעל חשיבות עצומה עבור כל בעל אתר. גוגל מונה כ -10,000 אתרים בכל יום שיש להם תוכנות זדוניות וכ -50,000 אתרים עם דיוג מדי שבוע.
אם אתה רציני לגבי האתר שלך, עליך לשים לב לשיטות העבודה המומלצות לאבטחת וורדפרס. במדריך זה נשתף את כל עצות האבטחה המובילות של וורדפרס שיעזרו לך להגן על האתר שלך מפני האקרים ותוכנות זדוניות.
למרות שתוכנת הליבה של וורדפרס מאובטחת מאוד והיא מבוקרת באופן קבוע על ידי מאות מפתחים, יש הרבה מה לעשות כדי לשמור על אבטחת האתר שלך.
הוסט סנטר – אחסון אתרים, מאמינים כי אבטחה אינה מסתמכת רק על חיסול סיכונים. זה גם קשור להפחתת סיכונים. כבעל אתר, יש הרבה פעולות שאתה יכול לעשות כדי לשפר את אבטחת אתר הוורדפרס שלך (גם אם אינך בקיא בטכנולוגיה).
יש מספר צעדים שניתן לבצע כדי להגן על האתר שלך מפני פגיעויות אבטחה.
באתר
מדוע אבטחת אתרים חשובה?
אתר וורדפרס שנפרץ עלול לגרום נזק חמור להכנסות ולמוניטין של העסק שלך. האקרים יכולים לגנוב פרטי משתמש, סיסמאות, להתקין תוכנות זדוניות ואף יכולים להפיץ תוכנות זדוניות למשתמשים שלך.
הגרוע מכל, אתה עלול למצוא את עצמך משלם תוכנת כופר להאקרים רק כדי להחזיר את הגישה לאתר שלך.
בנוסף, האתר שלך הופך איטי עקב כך ולעיתים גם מושחת ונשבר.
במרץ 2016 דיווחה גוגל כי יותר מ -50 מיליון משתמשי אתר הוזהרו מפני אתר שבו הם מבקרים עשוי להכיל תוכנות זדוניות או לגנוב מידע.
יתר על כן, גוגל מכניסים לרשימות שחורות, כ- 20,000 אתרים לתוכנות זדוניות וכ -50,000 אתרים עם דיוג מדי שבוע.
אם האתר שלך הוא אתר עסקי, עליך לשים לב במיוחד לאבטחת מערכת הוורדפרס שלך.
בדומה לאופן שבו האחריות של בעלי העסקים היא להגן על בניית החנות הפיזית שלהם, כבעל עסק מקוון זוהי אחריותך להגן על אתר העסק שלך.
וורדפרס היא תוכנת קוד פתוח המתוחזקת ומתעדכנת באופן קבוע. כברירת מחדל, וורדפרס מתקינה אוטומטית עדכונים קטנים. עבור מהדורות גדולות, עליך ליזום את העדכון באופן ידני.
וורדפרס מגיעה גם עם אלפי תוספים ונושאים שתוכל להתקין באתר שלך. תוספים ונושאים אלה מתוחזקים על ידי מפתחי צד שלישי המפרסמים גם עדכונים באופן קבוע.
עדכוני וורדפרס אלה הם בעלי חשיבות מכרעת לאבטחה ויציבות של אתר הוורדפרס שלך. עליך לוודא שהליבה, התוספים וערכת הנושא של אתר ה WordPress שלך מעודכנים.
ניסיונות הפריצה הנפוצים ביותר של וורדפרס משתמשים בסיסמאות גנובות. אתה יכול להקשות על פריצות מסוג זה באמצעות סיסמאות חזקות יותר ייחודיות לאתר שלך. לא רק לאזור הניהול של וורדפרס, אלא גם לחשבונות FTP, מסד נתונים, חשבון אחסון וורדפרס וכתובות הדוא"ל שלך שמשתמשות בשם הדומיין של האתר שלך.
אנשים רבים לא אוהבים להשתמש בסיסמאות חזקות מכיוון שקשה לזכור אותן. הדבר הטוב הוא שאתה כבר לא צריך לזכור סיסמאות. אתה יכול להשתמש במנהל סיסמאות.
דרך נוספת להפחית את הסיכון היא לא לתת לאף אחד גישה לחשבון הניהול של וורדפרס שלך אלא אם כן אתה חייב. אם יש לך צוות גדול או עורכים שהם אורחים, ודא שאתה מבין את תפקידי המשתמש ואת היכולות בוורדפרס לפני שתוסיף חשבונות משתמשים ועורכים חדשים לאתר הוורדפרס שלך.
תפקידו של אחסון אתרים וורדפרס
שירות אחסון אתר הוורדפרס שלך ממלא את התפקיד החשוב ביותר באבטחת אתר וורדפרס שלך.
איך חברת אחסון אתרים טובה עובדת ברקע כדי להגן על האתרים והנתונים שלך?
הם עוקבים באופן רציף אחר הרשת שלהם ואחר פעילות חשודה.
לכל חברות האחסון הטובות יש כלים למניעת התקפות DDOS בקנה מידה גדול,
הם שומרים על תוכנת השרת, גרסאות ה- php והחומרה שלהם מעודכנים כדי למנוע מהאקרים לנצל פגיעות אבטחה ידועה בגרסה ישנה.
הם מוכנים לפרוס תוכניות התאוששות מאסון ותאונות המאפשרות להם להגן על הנתונים שלך במקרה של תאונה גדולה.
בתוכנית אחסון אתרים משותפת, אתה משתף את משאבי השרת עם לקוחות רבים אחרים. זה פותח את הסיכון לזיהום בין אתרים שבו האקר יכול להשתמש באתר סמוך כדי לתקוף את האתר שלך.
אבטחת וורדפרס בכמה שלבים פשוטים (ללא קידוד)
אנו יודעים כי שיפור אבטחת אתר וורדפרס עשויה להיות מחשבה מפחידה למתחילים. במיוחד אם אתה לא טכנאי. אז נחשו מה – אתם לא לבד.
הוסט סנטר סייעה לאלפי משתמשי וורדפרס בהקשחת אבטחת אתר הוורדפרס שלהם.
אנו נראה לך כיצד תוכל לשפר את אבטחת וורדפרס שלך בכמה לחיצות בלבד (אין צורך בקידוד).
אם אתה יכול להצביע עם העכבר וללחוץ, אתה יכול לעשות זאת, ללא ספק!
גיבויים לאתר הוורדפרס
גיבויים הם ההגנה הראשונה שלך מפני כל מתקפת וורדפרס. זכור, שום דבר אינו מאובטח במאה אחוז. אם ניתן לפרוץ לאתרים ממשלתיים, אז גם ללא ספק לשלך.
גיבויים מאפשרים לך לשחזר במהירות את אתר הוורדפרס שלך למקרה שיקרה משהו זדוני.
ישנם תוספי גיבוי לוורדפרס רבים בחינם ובתשלום בהם תוכל להשתמש.
הדבר החשוב ביותר שאתה צריך לדעת כשזה מגיע לגיבויים, הוא שאתה חייב לשמור באופן קבוע את הגיבויים בגירסת full backup ובמיקום מרוחק (לא בחשבון האחסון שלך).
אנו ממליצים לאחסן אותו בשירות ענן כמו אמזון, דרופבוקס או עננים פרטיים.
הוסט סנטר מבצעת גיבויים סדירים לכל הלקוחות והשרתים שלה.
בהתבסס על התדירות שאתה מעדכן את האתר שלך, ההגדרה האידיאלית עשויה להיות פעם ביום או גיבויים בזמן אמת.
למרבה המזל ניתן לעשות זאת בקלות על ידי שימוש בתוספים כמו UpdraftPlus או BlogVault. שניהם אמינים ובעיקר קלים לשימוש (אין צורך בידע בקידוד).
תוסף האבטחה הטוב ביותר של וורדפרס
לאחר הגיבויים, הדבר הבא שעלינו לעשות הוא להקים מערכת בקרה וניטור שעוקבת אחר כל מה שקורה באתר שלך.
זה כולל ניטור תקינות קבצים, ניסיונות כניסה כושלים, סריקת תוכנות זדוניות וכו '.
למרבה המזל, כל זה יכול להיות מטופל על ידי תוסף האבטחה החינמי הטוב ביותר של וורדפרס,
או
Wordfence
עליך להתקין ולהפעיל את התוסף החינמי Sucuri Security.
עם ההפעלה, עליך לעבור לתפריט Sucuri במנהל ה WordPress שלך. הדבר הראשון שתתבקש לעשות הוא ליצור מפתח API בחינם. זה מאפשר רישום ביקורת, בדיקת יושרה, התראות דוא"ל ותכונות חשובות אחרות.
הדבר הבא שעליך לעשות הוא ללחוץ על הכרטיסייה 'Hardening' בתפריט ההגדרות. עברו על כל אפשרות ולחצו על כפתור "Apply Hardening".
הפעל את חומת האש של יישום האינטרנט (WAF)
הדרך הקלה ביותר להגן על האתר שלך ולהיות בטוחה לגבי אבטחת הוורדפרס שלך היא באמצעות חומת אש של יישום אינטרנט (WAF).
חומת אש של אתר חוסמת את כל התעבורה הזדונית עוד לפני שהיא מגיעה לאתר שלך.
חומת אש ברמת DNS – חומת אש זו מנתבת את תעבורת האתר שלך באמצעות שרתי ה- proxy שלה בענן. זה מאפשר להם לשלוח תנועה אמיתית רק לשרת האינטרנט שלך.
חומת אש ברמת היישום – תוספי חומת אש אלה בוחנים את התעבורה ברגע שהיא מגיעה לשרת שלך אך לפני טעינת רוב סקריפטים של וורדפרס. שיטה זו אינה יעילה כמו חומת האש ברמת ה- DNS בהפחתת עומס השרת.
למידע נוסף, עיין ברשימת התוספים הטובים ביותר של חומת האש של וורדפרס.
העבר את אתר וורדפרס שלך ל- SSL/HTTPS
SSL (Secure Sockets Layer) הוא פרוטוקול המצפין העברת נתונים בין האתר שלך לדפדפן המשתמשים. הצפנה זו מקשה על מישהו לרחרח ולגנוב מידע.
לאחר שתפעיל SSL, האתר שלך ישתמש ב- HTTPS במקום ב- HTTP, ואתה תראה גם שלט למנעול ליד כתובת האתר שלך בדפדפן.
אישורי SSL הונפקו בדרך כלל על ידי רשויות התעודה, ומחיריהן מתחילים מ -80 דולר למאות דולרים מדי שנה. בשל עלות נוספת, רוב בעלי האתרים בחרו להמשיך להשתמש בפרוטוקול הלא מאובטח.
כדי לתקן זאת, ארגון ללא מטרות רווח בשם Let's Encrypt החליט להציע לבעלי אתרים אישורי SSL בחינם. הפרויקט שלהם נתמך על ידי Google Chrome, פייסבוק, מוזילה וחברות רבות נוספות.
בכל חבילות אחסון אתרים וורדפרס של הוסט סנטר – SSL כלול בחבילה ללא עלות נוספת.
שנה את שם המשתמש "ברירת המחדל" של מנהל המערכת
בימים ההם, שם המשתמש של ברירת המחדל של וורדפרס היה "מנהל". מאחר ושמות המשתמשים מהווים מחצית מתעודות ההתחברות, הדבר הקל על האקרים לבצע התקפות של כוח אכזרי.
למרבה המזל, וורדפרס שינתה זאת מאז ועכשיו דורשת ממך לבחור שם משתמש מותאם אישית בעת התקנת וורדפרס.
עם זאת, כמה מתקיני וורדפרס בלחיצה אחת, עדיין מגדירים את שם המשתמש המוגדר כברירת מחדל ל- "admin". אם אתה מבחין שזה המצב, כנראה שזה רעיון טוב להחליף את אחסון האתרים שלך.
מכיוון שוורדפרס אינה מאפשרת לך לשנות שמות משתמשים כברירת מחדל, ישנן שלוש שיטות שבהן תוכל להשתמש כדי לשנות את שם המשתמש.
1. צור שם משתמש חדש למנהל ומחק את הישן.
2. השתמש בפלאגין מחליף שם המשתמש
3. עדכן את שם המשתמש מ- phpMyAdmin
הוסף אימות דו -שלבי
טכניקת אימות דו-שלבית מחייבת את המשתמשים להיכנס באמצעות שיטת אימות דו-שלבית. הראשון הוא שם המשתמש והסיסמה, והשלב השני דורש ממך אימות באמצעות מכשיר או אפליקציה נפרדים.
רוב האתרים המקוונים המובילים כמו גוגל, פייסבוק, טוויטר מאפשרים לך להפעיל אותו עבור החשבונות שלך. תוכל גם להוסיף את אותה פונקציונליות לאתר וורדפרס שלך.
ראשית, עליך להתקין ולהפעיל את תוסף אימות שני הגורמים. עם ההפעלה, עליך ללחוץ על הקישור 'אימות דו -שלבי' בסרגל הצד של מנהל ה WordPress.
לאחר מכן, עליך להתקין ולפתוח אפליקציית אימות בטלפון שלך. יש כמה מהם זמינים כמו מאמת Google, Authy ו- LastPass Authenticator.
אנו ממליצים להשתמש ב- LastPass Authenticator או ב- Authy מכיוון ששניהם מאפשרים לך לגבות את החשבונות שלך בענן. זה שימושי מאוד למקרה שהטלפון יאבד, יתאפס או שתקנה טלפון חדש. כל כניסות החשבון שלך ישוחזרו בקלות.
בהצלחה לכולם.
פרטים נוספים תוכלו למצוא במאמר המקור.
המאמר תורגם מאנגלית לעברית.
המאמר המקורי באנגלית בקישור הבא
