אם קיים בבעלותך אתר אינטרנט, עליך לקחת ברצינות את נושא אבטחת אתרים שלך, במיוחד אם אתר האינטרנט שלך הוא אתר וורדפרס.
וורדפרס היא מערכת CMS מאובטחת, אך מכיוון שהיא מערכת קוד פתוח, היא סובלת מנקודות תורפה קריטיות שונות. למרבה המזל, השגת אבטחת וורדפרס היא פשוטה כאשר אתה נוקט בצעדים הנכונים.
במאמר זה, ניכנס לפרטים של פרצות האבטחה הנפוצות והמסוכנות ביותר שמגיעות עם השימוש בוורדפרס. לאחר מכן, נסקור את כל השלבים לניהול אתר וורדפרס בטוח ומאובטח.
למה אתה צריך אבטחת וורדפרס
בואו נדון בסיבות לכך שכל אתר מוצלח שנבנה עם וורדפרס נותן עדיפות לאבטחה. אלה חלים על עסקים מכל הגדלים.
כמו כן מה הקשר בין אבטחת אתר וורדפרס לבחירת אחסון אתרים מתאים.
האבטחה מגנה על המידע ועל המוניטין שלך
אם התוקפים משיגים מידע אישי עליך או על המבקרים באתר שלך, אין סוף למה שהם יכולים לעשות עם המידע. פרצות אבטחה פותחות בפני הפורצים דליפות מידע ציבוריות, גניבת זהות, תוכנות כופר, קריסת שרתים, והרשימה, למרבה הצער, עוד ארוכה. מיותר לציין שכל אחד מהאירועים הללו רחוק מלהיות אידיאלי עבור הצמיחה והמוניטין של העסק שלך, והם בדרך כלל בזבוז גדול של זמן, כסף ואנרגיה.
המבקרים שלך מצפים ממך לאבטחה באתר
ככל שהעסק שלך יגדל, מספר הבעיות שתצטרך לפתור והציפיות של הלקוחות שלך לגבי אופן הטיפול בבעיות הללו יגדלו. אחת הבעיות הללו היא שמירה על אבטחת המידע של הלקוחות שלך. אם אינך יכול לספק את השירות הבסיסי הזה מההתחלה, אתה תערער את אמון הלקוח שלך בך.
הלקוחות שלך צריכים לסמוך על כך שהמידע שלהם ישמש ויישמר בבטחה, בין אם זה מידע ליצירת קשר, פרטי תשלום, או תגובה בסיסית לסקר. יש כאן מלכוד 22: אם אמצעי האבטחה שלך עובדים, הלקוחות שלך לעולם לא יצטרכו לדעת. אבל אם אי פעם הם יראו חדשות על אבטחת האתר שלך, רוב הסיכויים שהחדשות יהיו רעות ורובם לא יחזרו.
גוגל אוהב אתרים מאובטחים
שמירה על אבטחת אתר וורדפרס שלך היא אבן יסוד בתחזוקת אתר בעל דירוג גבוה.
למה? כי אתר בטוח הוא אתר שניתן לחיפוש. אבטחת אתרים משפיעה ישירות על מיקום הופעת האתר בחיפוש בגוגל (וממנועי חיפוש אחרים). אבטחה היא אחת הדרכים הקלות ביותר להגביר את דירוג האתר שלך במנוע החיפוש.
ברור שהגנה על הנכסים המקוונים שלך צריכה להיות עניין מרכזי. כל אתר צריך להבטיח בטיחות עבור המבקרים והמשתמשים שלו, ואנו נעבור על השלבים לעשות זאת. אבל ראשית, אולי אתה תוהה: האם מערכת בניית אתר וורדפרס מאובטחת?
עד כמה וורדפרס היא מערכת בטוחה?
וורדפרס היא מערכת ניהול תוכן בטוחה. עם זאת, היא יכולה להיות פגיעה להתקפות – בדיוק כמו כל CMS.
אין דרך לעקוף את זה: אתרים שמשתמשים בוורדפרס הם יעד פופולרי להתקפות סייבר. בדוח האבטחה שלו בוורדפרס, שירות חומת אש בשם Wordfence חסם 18.5 מיליארד בקשות התקפת סיסמאות באתרי וורדפרס. זה כמעט 20 מיליארד התקפות על אתרי וורדפרס בלבד.
זה עשוי להיות פחות מפתיע, בידיעה ש-42.7% מכלל האתרים משתמשים בוורדפרס. ובכל זאת, כמעט עשרים מיליארד התקפות זה עדיין גבוה למדי, גם אם לוקחים בחשבון את נתח השוק של וורדפרס.
8 מתוך 10 סיכוני האבטחה של וורדפרס נופלים לציון החומרה "בינוני" או "גבוה" לפי מערכת ניקוד הפגיעות הנפוצה.
אבל לפני שאתה מוחק את חשבון הוורדפרס שלך, אתה צריך לדעת שהמספרים האלה לא לגמרי באשמת וורדפרס. או, לפחות, לא באשמת המוצר של וורדפרס עצמו.
וורדפרס מעסיקה צוות אבטחה גדול של חוקרים ומהנדסים ברמה עולמית המחפשים נקודות תורפה במערכת שלה, ומשחררת באופן קבוע עדכוני אבטחה לתוכנה שלהם. בכל הנוגע לליבה של וורדפרס, אנחנו מגובים. הבעיה היא באופן שבו וורדפרס הופכת לזמינה למשתמשים שלה.
וורדפרס היא תוכנת קוד פתוח, כלומר קוד המקור זמין לשינוי והפצה עבור כל אחד. מכיוון ש-WordPress היא קוד פתוח, התוכנה ניתנת להתאמה אישית ולאופטימיזציה אינסופית. ישנם אלפי תוספים, ערכות נושא ומפתחים עם הכישורים לשנות את קוד הקצה העורפי בעצמם. גמישות זו היא תכונה מכוננת של וורדפרס, וחלק עצום ממה שהופך אותה לחזקה כל כך ונפוצה.
החיסרון של כל החופש הזה הוא שאתר וורדפרס שמוגדר או מתוחזק בצורה לא נכונה נוטה למספר עצום של בעיות אבטחה. וורדפרס נותנת כוח רב למשתמשים שלה, ועם כוח גדול באה אחריות גדולה. אחריות שרבים מתנערים ממנה. האקרים יודעים זאת ולכן מכוונים לאתרי וורדפרס בהתאם.
עם זאת, אתה יכול להיות רגוע אם תדע את הדברים הבאים: אבטחה מושלמת פשוט לא קיימת, במיוחד באינטרנט. כפי ש-WordPress קובעת:
“[S]ecurity…is risk reduction, not risk elimination. It’s about employing all the appropriate controls available to you, within reason, that allow you to improve your overall posture reducing the odds of making yourself a target, subsequently getting hacked.”
"אבטחה… היא הפחתת סיכונים, לא חיסול סיכונים. מדובר בשימוש בכל הבקרות המתאימות העומדות לרשותך, באופן הגיוני, המאפשרות לך לשפר את היציבה הכוללת שלך ולהפחית את הסיכויים להפוך את עצמך למטרה, ולאחר מכן להיפרץ."
לעולם לא תוכל להבטיח חסינות מוחלטת לאיומים באינטרנט, אבל אתה יכול לנקוט בצעדים כדי להפחית בהרבה את הסבירות להתרחשותם. העובדה שאתה קורא את זה אומר שכנראה אכפת לך מאבטחה ומוכן לעשות את המייל הנוסף כדי לשמור על בטיחותך ועל הגולשים שלך. לסיכום, וורדפרס מאובטחת, אבל רק אם המשתמשים שלה לוקחים את האבטחה ברצינות ופועלים לפי השיטות המומלצות.
בעיות אבטחה של וורדפרס
אז מה יכול לקרות אם אדם בוחר לדחוק את כל המספרים הללו הצידה ולא לעשות דבר כדי לאבטח את אתר הוורדפרס שלו? כפי שמתברר, הרבה. הסוגים הנפוצים ביותר של התקפות סייבר באתרי וורדפרס הם:
ניסיונות כניסה של Brute-Force
זהו אחד מסוגי ההתקפות הפשוטים ביותר. התחברות Brute-Force מתרחשת כאשר תוקפים משתמשים באוטומציה כדי להזין שילובים רבים של שם משתמש-סיסמה במהירות רבה, ובסופו של דבר מנחשים את הנתונים הנכונים. פריצת Brute-Force יכולה לגשת לכל מידע מוגן בסיסמה, לא רק לכניסות.
סקריפטים חוצי אתרים (XSS)- Cross-Site Scripting (XSS)
XSS מתרחש כאשר תוקף "מזריק" קוד זדוני ל- backend של אתר היעד כדי לחלץ מידע ולחולל הרס בפונקציונליות האתר. ניתן להציג את הקוד הזה ב-backend באמצעים מורכבים יותר, או להגיש פשוט כתגובה בצורה הפונה למשתמש.
הזרקות מסד נתונים – Database Injections
ידוע גם בשם הזרקת SQL, זה קורה כאשר תוקף שולח שורת קוד מזיקה לאתר דרך קלט משתמש כלשהו, כמו טופס יצירת קשר. לאחר מכן האתר מאחסן את הקוד במסד הנתונים שלו. בדומה להתקפת XSS, הקוד המזיק פועל באתר כדי להביא או לסכן מידע סודי המאוחסן במסד הנתונים.
דלתות אחוריות – Backdoors
דלת אחורית היא קובץ המכיל קוד המאפשר לתוקף לעקוף את הכניסה הרגילה של וורדפרס ולגשת לאתר שלך בכל עת. תוקפים נוטים למקם דלתות אחוריות בין קבצי מקור אחרים של וורדפרס, מה שמקשה למצוא אותם על ידי משתמשים לא מנוסים. גם לאחר הסרה, תוקפים יכולים לכתוב גרסאות של הדלת האחורית הזו ולהמשיך להשתמש בהן כדי לעקוף את הכניסה שלך.
למרות ש-WordPress מגביל את סוגי הקבצים שמשתמשים יכולים להעלות כדי להפחית את הסיכוי לדלתות אחוריות, זה עדיין בעיה להיות מודעים אליה.
התקפות מניעת שירות (DoS) – Denial-of-Service (DoS) Attacks
התקפות אלו מונעות ממשתמשים מורשים לגשת לאתר שלהם. התקפות DoS מבוצעות לרוב על ידי העמסת יתר של שרת בתעבורה וגרימה לקריסה. ההשפעות מחמירות במקרה של מתקפת מניעת שירות מבוזרת (DDoS), מתקפת DoS שבוצעה על ידי מכונות רבות בבת אחת.
פישינג – Phishing
כאשר תוקף יוצר קשר עם מטרה באמצעות התחזות לחברה או שירות לגיטימי, הדבר מכונה פישינג – דייג. ניסיונות פישינג בדרך כלל מניעים את הקורבן לתת מידע אישי, להוריד תוכנות זדוניות או לבקר באתר מסוכן. אם תוקף ניגש לחשבון הוורדפרס שלך, הוא יכול אפילו לתאם התקפות פישינג על הלקוחות שלך תוך כדי שהוא מתחזה לך.
Hotlinking – קישור חם
hotlink מתרחש כאשר אתר אחר מציג תוכן מוטבע (בדרך כלל תמונה) שמתארח באתר שלך ללא רשות, כך שהתוכן נראה כאילו הוא שלהם. למרות שדומה יותר לגניבה מאשר להתקפה מלאה, קישורים חמים בדרך כלל אינם חוקיים ונותנים לקורבן בעיות רציניות, מכיוון שהם צריכים לשלם בכל פעם שתוכן מאוחזר מהשרת שלהם כאשר הוא מוצג באתר אחר.
כדי שהפשעים הללו יתרחשו, האקרים צריכים לגלות חורים באבטחת האתר. פגיעות נפוצות שהאקרים מחפשים בעת מיקוד לאתרי וורדפרס כוללות:
תוספים (PLUGINS) : תוספים של צד שלישי אחראים לרוב על פרצות האבטחה של וורדפרס. מכיוון שהפלאגינים נוצרים על ידי צדדים שלישיים ויש להם גישה לקצה האחורי של האתר שלך, הם ערוץ נפוץ להאקרים שיכולים לשבש את הפונקציונליות של האתר שלך.
גרסאות וורדפרס מיושנות: וורדפרס משחררת לפעמים גרסאות חדשות של התוכנה שלה כדי לתקן פרצות אבטחה. כשתיקונים יוצאים, הפגיעויות הופכות לידע ציבורי, והבעיות עם הגרסאות הישנות של וורדפרס נחשפים בפני ההאקרים.
דף הכניסה: דף הכניסה האחורי של כל אתר וורדפרס כברירת מחדל הוא כתובת האתר הראשית של האתר עם "/wp-admin" או "/wp-login.php" שנוספו בסוף. תוקפים יכולים למצוא בקלות את הדף הזה ולנסות להיכנס אליו.
ערכות נושא: כן, אפילו ערכת הוורדפרס שלך יכולה לחשוף את האתר שלך להתקפות סייבר. ערכות נושא מיושנות עשויות להיות לא תואמות לגרסה העדכנית ביותר של וורדפרס, מה שמאפשר גישה קלה לקבצי המקור שלך. כמו כן, ערכות נושא רבות של צד שלישי אינן עומדות בסטנדרטים של וורדפרס לקוד, מה שגורם לבעיות תאימות ופגיעות דומות.
עכשיו, כשעברנו את החלק המפחיד, בואו נדון במה אתה יכול לעשות כדי להפחית את האיום של מתקפת סייבר באתר הוורדפרס שלך.
אבטחת אתרים, ובפרט, אבטחת אתרי וורדפרס, מסתכמת בשמירה על סדרה של שיטות עבודה מומלצות. חלק מאלה חלים על כל האתרים באופן כללי (למשל סיסמאות חזקות ואימות דו-גורמי, SSL וחומות אש), בעוד שאחרים חלים במיוחד על אתרי וורדפרס (למשל שימוש בתוספים מאובטחים ונושא וורדפרס מאובטח).
כדי לשמור על הבטיחות של האתר שלך, אנו ממליצים לדבוק בכמה שיותר מהשיטות המומלצות הללו. ראשית, נסקור את השיטות המומלצות הבסיסיות. לאחר מכן נוסיף צעדים נוספים שתוכל לנקוט אם האתר שלך נמצא בסיכון מיוחד או אם תרצה ללכת רחוק יותר.
שיטות עבודה מומלצות עבור אבטחת אתרים וורדפרס
- אבטח את הליכי הכניסה שלך
הצעד הבסיסי ביותר לאבטחת האתר שלך הוא שמירה על החשבונות שלך מפני ניסיונות התחברות זדוניים. כדי לעשות זאת:
השתמש בסיסמאות חזקות: פעם חשבנו שיהיו מכוניות מעופפות בעתיד, אבל נכון לשנה הזו, אנשים עדיין משתמשים ב-"123456" כסיסמה. ודא שכל המשתמשים עם חשבונות ב-WordPress Backend שלך משתמשים בסיסמאות חזקות כדי להתחבר.
אפשר אימות דו-גורמי: אימות דו-שלבי (2FA) מחייב את המשתמשים לאמת את הכניסה שלהם עם מכשיר שני. זהו אחד הכלים הפשוטים, אך היעילים ביותר לאבטחת הכניסה שלך.
אל תהפוך שום שם משתמש לחשבון ל"אדמין": רוב הסיכויים שזה יהיה התוקף הראשון של שם המשתמש שיתחברו במהלך ניסיון התחברות של כוח גס. אם כבר יצרת משתמש בשם זה, צור חשבון מנהל חדש עם שם משתמש אחר.
הגבלת ניסיונות התחברות: הצבת מגבלה על מספר הפעמים שמשתמש מזין את הנתונים השגויים בפרק זמן מסוים תמנע מהאקרים לאלץ התחברות. חלק משירותי אחסון וחומות אש אמורים לטפל בזה עבורך, אבל אתה יכול גם להתקין תוסף כמו Limit Login Attempts שיעשה את העבודה.
הוסף captcha: סביר להניח שראית את תכונת האבטחה הזו באתרים רבים אחרים. הם מוסיפים שכבת אבטחה נוספת לכניסה שלך על ידי אימות שאתה אכן אדם ולא רובוט. אתה יכול להשתמש בתוספים כדי להוסיף captcha לאתר שלך. reCaptcha מאת BestWebSoft הוא תוסף שאנו ממליצים עליו – עיין במדריך שלנו להפעלת Google reCaptcha בוורדפרס.
הפעל יציאה אוטומטית: אמנם עליך לזכור להתנתק מחשבון ה-WP שלך בסיום, יציאה אוטומטית מונעת מזרים לחטט בחשבונך. כדי לאפשר התנתקות אוטומטית מחשבון וורדפרס שלך, נסה את הפלאגין 'יציאה לא פעילה'.
2. השתמש באחסון וורדפרס מאובטח
בעת בחירת מאחסן האתר שלך, ישנם גורמים רבים שיש לקחת בחשבון, אך האבטחה צריכה להיות בראש סדר העדיפויות. שקול שירותים שנקטו צעדים כדי להגן על המידע שלך ולהתאושש מיד אם מתרחשת התקפה.
3. עדכן את גרסת הוורדפרס שלך.
גרסאות מיושנות של תוכנת וורדפרס הן יעד נפוץ מאוד עבור האקרים. הקפד לבדוק ולהתקין באופן קבוע עדכוני וורדפרס בהקדם האפשרי כדי לבטל פגיעות שנמצאו בגרסאות ישנות יותר.
כדי לעדכן את וורדפרס לגרסה העדכנית ביותר, תחילה גבה את האתר שלך ובדוק שהתוספים שלך תואמים לגרסה העדכנית ביותר של וורדפרס, עדכן תוספים בהתאם.
לאחר עדכון התוספים שלך, עקוב אחר הוראות העדכון באתר האינטרנט של וורדפרס.
4.עדכן לגרסה העדכנית ביותר של PHP
שדרוג לגרסה העדכנית ביותר של PHP הוא אחד הצעדים החשובים ביותר שתוכל לנקוט כדי לשמור על אבטחת אתר הוורדפרס שלך. כאשר השדרוג מוכן, וורדפרס תודיע לך בלוח המחוונים שלך. לאחר מכן, זה ינחה אותך ללכת לחשבון האחסון שלך כדי לשדרג לגרסת PHP העדכנית ביותר. אם אין לך גישה לחשבון האיחסון שלך, צור קשר עם מפתח האינטרנט שלך כדי לשדרג.
5. התקן תוסף אבטחה אחד או יותר
אנו ממליצים בחום להתקין תוסף אבטחה מכובד אחד או יותר באתר האינטרנט שלך. תוספים אלה עושים עבורך הרבה מהעבודה הידנית הקשורה לאבטחה, כולל סריקת האתר שלך לאיתור ניסיונות חדירה, שינוי קובצי מקור שעלולים להשאיר את האתר שלך רגיש, איפוס ושחזור של אתר וורדפרס ומניעת גניבת תוכן כמו קישורים חמים. כמה תוספים מכובדים יכסו כמעט כל דבר ברשימה הזו.
לא משנה איזה תוספים תחליט להתקין, הקשורים לנושא אבטחת אתרים או לא, ודא שהם מוכרים ולגיטימיים.
6. השתמש בערכת נושא מאובטחת של וורדפרס
בדיוק כמו שאסור להתקין תוסף חשוד באתר שלך, כדאי גם לא להשתמש בכל ערכת נושא של וורדפרס שנראית טוב. כדי למנוע פגיעות הנגרמות על ידי ערכת נושא של וורדפרס, בחר אחד שתואם לתקני וורדפרס.
כדי לבדוק אם העיצוב הנוכחי שלך עונה על הדרישות של וורדפרס, העתק את כתובת האתר שלך (או כתובת האתר של כל אתר וורדפרס או הדגמה חיה של כל ערכת נושא) לתוך האימות של W3C. אם אתה מוצא שהנושא שלך אינו תואם, חפש נושא חדש בספריית ערכות הנושא הרשמית של וורדפרס. כל הנושאים בספרייה זו תואמים בבטחה לתוכנת וורדפרס. לחלופין, עיין ברשימת ערכות הנושא המומלצות של HubSpot, או חפש בשוק ערכות נושא אמינות אחרות.
7. אפשר SSL/HTTPS
SSL (Secure Sockets Layer) היא הטכנולוגיה המצפינה חיבורים בין האתר שלך לדפדפני האינטרנט של הגולשים, ומבטיחה שהתנועה בין האתר שלך למחשבי המבקרים שלך בטוחה מפני מבקרים לא רצויים.
אתר הוורדפרס שלך זקוק להפעלת SSL. אם אתה משתמש ב-CMS Hub, SSL הוא חינמי ומובנה בפלטפורמה. אם אתה משתמש בוורדפרס, אז בהתאם למקרה השימוש שלך, תוכל לבחור לעשות זאת באופן ידני או להשתמש בתוסף SSL ייעודי. זה לא רק יגביר את קידום האתרים, אלא הוא גם משחק ישירות בהתרשמות הראשונית של המבקרים שלך מהאתר שלך. גוגל כרום אפילו יזהיר משתמשים אם האתר שבו הם מבקרים אינו עומד בפרוטוקול ה-SSL, מה שמפחית ישירות את התנועה לאתר.
כדי לראות אם אתר הוורדפרס שלך עומד בפרוטוקול SSL, בקר בדף הבית של אתר הוורדפרס שלך. אם כתובת האתר של דף הבית מתחילה ב-"https://" (ה-"s" מייצג "מאבטח"), החיבור שלך מאובטח באמצעות SSL. אם כתובת האתר מתחילה ב-"http://", תצטרך להשיג אישור SSL עבור האתר שלך.
8. התקן חומת אש
חומת אש יושבת בין הרשת המאחסנת את אתר הוורדפרס שלך לכל שאר הרשתות, ומונעת אוטומטית מתנועה לא מורשית להיכנס לרשת או למערכת שלך מבחוץ. חומות אש מונעות פעילות זדונית מחוץ לאתר שלך על ידי ביטול חיבור ישיר בין הרשת שלך לרשתות אחרות.
אנו ממליצים להתקין תוסף Web Application Firewall (WAF) כדי להגן על אתר הוורדפרס שלך. עם ה-CMS Hub, האתר שלך יגיע עם WAF בתוך הפלטפורמה. כמו בכל דבר אחר ברשימה זו, שקלו בקפידה איזה סוג של חומת אש ואיזה תוסף מתאים ביותר לצרכים שלכם לפני שתבחרו.
9. גבה את האתר שלך
לחוות פריצה זה דבר רע. לאבד את כל המידע שלך זה אפילו יותר גרוע. ודא שמידע האתר שלך מגובה על ידי וורדפרס ועל ידי המאחסן שלך במקרה של פריצה (או כל תקרית אחרת) שגורמת לאובדן נתונים. אנו ממליצים שגם הגיבויים יהיו אוטומטיים.
10. ערכו סריקות אבטחה קבועות של וורדפרס
מומלץ לבצע בדיקות שגרתיות באתר שלך. כוון ללפחות פעם בחודש. ישנם מספר תוספים שיכולים לסרוק את האתר שלך עבורך.
לאחר שנקטת את הצעדים הבסיסיים הללו, תוכל לעבור לאמצעים מתקדמים יותר לאבטחת אתר הוורדפרס שלך.
שיטות עבודה מומלצות לאבטחת וורדפרס מתקדמות
1. סנן תווים מיוחדים מקלט המשתמש
אם חלק כלשהו באתר שלך מקבל תגובה מהמבקרים, בין אם זה טופס תשלום, טופס יצירת קשר, או אפילו מדור הערות בפוסט בבלוג, זו הזדמנות להתקפת XSS או הזרקת מסד נתונים. תוקפים עלולים להזין קוד זדוני בכל אחד משדות הטקסט הללו ולשבש את ה backend של האתר שלך.
כדי למנוע בעיה זו, הקפד לסנן תווים מיוחדים מקלט המשתמש לפני שהוא מעובד על ידי האתר שלך ומאוחסן במסד נתונים. אתה יכול גם להשתמש בתוסף כדי לזהות קוד זדוני. לחלופין, אתה יכול להשתמש בתוסף טופס וורדפרס כדי לסנן אוטומטית את התווים הללו.
2. הגבל את הרשאות משתמש וורדפרס
אם לאתר הוורדפרס שלך יש מספר חשבונות משתמש, אנו ממליצים לשנות את התפקידים של כל משתמש כדי להגביל את הגישה של כל אחד רק למה שהוא מיועד. לוורדפרס יש שישה תפקידים לבחירה עבור כל משתמש. על ידי הגבלת מספר המשתמשים עם הרשאות מנהל, אתה מצמצם את הסיכוי שתוקף ייכנס בכוח אל תוך חשבון הניהול, ומגביל את הנזק שיכול להיגרם אם התוקף מנחש נכון את הסיסמאות של המשתמש.
3. השתמש בניטור וורדפרס
מערכת ניטור באתר שלך תתריע על כל פעילות חשודה שמתרחשת באתר שלך. באופן אידיאלי, האמצעים האחרים שלך היו מונעים פעילות כזו, אבל עדיף לגלות זאת במוקדם ולא במאוחר. אתה יכול להשתמש בתוסף ניטור וורדפרס כדי לקבל התראה במקרה ויש פריצה.
4. רישום פעילות המשתמש.
הנה דרך נוספת לצאת מהבעיות לפני שהן מתרחשות: צור יומן של כל הפעילות שמשתמשים מבצעים באתר שלך, ובדוק מדי פעם ביומן זה אם קיימת פעילות חשודה. בדרך זו, תראה אם משתמש אחר פועל בחשדנות (למשל מנסה לשנות סיסמאות, לשנות קבצי ערכות נושא או תוספים, להתקין או להשבית תוספים ללא רשות). יומנים שימושיים גם לניקוי לאחר פריצה, המראים לך מה השתבש ומתי.
זה לא אומר שכל שינויי הסיסמה או שינויי הקבצים הם תמיד סימנים שיש האקר בצוות שלך. עם זאת, אם אתה מעסיק תורמים חיצוניים רבים ונותן להם הרשאות גישה, זה תמיד רעיון טוב לפקוח עין על הדברים.
תוספים רבים של וורדפרס יוצרים יומני פעילות, וישנם מספר תוספי רישום ייעודיים לוורדפרס כמו WP Activity Log או התוסף החינמי של Activity Log.
5. שנה את ברירת המחדל של כתובת אתר ההתחברות של וורדפרס
כפי שציינתי, קל למצוא את כתובת האתר המוגדרת כברירת מחדל עבור דף הכניסה של וורדפרס עבור כל אתר וורדפרס. תוספים כמו WPS Hide Login משנים עבורך את כתובת האתר של דף ההתחברות הזה.
6. השבת את עריכת הקבצים בלוח המחוונים של וורדפרס.
כברירת מחדל, וורדפרס מאפשרת למנהלי מערכת לערוך את קוד הקבצים שלהם ישירות עם עורך הקוד. זה נותן לתוקפים דרך קלה לשנות את הקבצים שלך אם הם מקבלים גישה לחשבון שלך. אם תוסף עוד לא השבית את התכונה הזו, אתה יכול לעשות קידוד קל כדי להשבית אותו בעצמך. הוסף את הקוד למטה לסוף הקובץ wp-config.php:
// Disallow file edits
define( 'DISALLOW_FILE_EDIT', true );
7. שנה את קידומת קובץ מסד הנתונים שלך
שמות הקבצים המרכיבים את מסד הנתונים של וורדפרס שלך מתחילים ב-"wp_" כברירת מחדל. האקרים ממנפים את ההגדרה הזו כדי לאתר את קבצי מסד הנתונים שלך לפי שם ולבצע הזרקות SQL.
תיקון פשוט? שנה את הקידומת למשהו אחר, כמו "wpdb_" או "wptable_". אפשר להגדיר זאת בעת התקנת וורדפרס CMS. אם האתר שלך כבר פעיל עם הגדרה זו, אתה יכול לשנות את שמם של קבצים אלה. במקרה זה, אנו ממליצים בחום להשתמש בתוסף כדי לטפל בתהליך הזה, מכיוון שבסיס הנתונים שלך מאחסן את כל התוכן שלך ותצורה שגויה תשבור את האתר שלך. חפש את היכולת לשנות קידומות טבלה בין התכונות של תוסף האבטחה המועדף עליך.
8. השבת את קובץ php שלך.
XML-RPC הוא פרוטוקול תקשורת המאפשר ל-WordPress CMS ליצור אינטראקציה עם יישומי אינטרנט וניידים חיצוניים. מאז השילוב של וורדפרס REST API, נעשה שימוש ב-XML-RPC בתדירות נמוכה הרבה יותר ממה שהיה פעם. עם זאת, זה עדיין מנוצל על ידי חלק כדי להשיק התקפות חזקות על אתרי וורדפרס.
הסיבה לכך היא שטכנולוגיית XML-RPC מאפשרת לתוקפים להגיש בקשות המכילות מאות פקודות, מה שמקל על ביצוע התקפות התחברות בכוח גס. XML-RPC גם פחות מאובטח מ-REST מכיוון שהבקשות שלו מכילות אישורי אימות שניתן לנצל.
אם אינך משתמש ב-XML-RPC, תוכל להשבית את הקובץ xmlrpc.php. ראשית, בדוק אם האתר שלך עושה שימוש בקובץ. חבר את כתובת האתר שלך לאימות ה-XML-RPC הזה כדי לבדוק אם האתר שלך משתמש כעת בפרוטוקול. אם לא, הדרך הקלה ביותר להשבית קובץ היא באמצעות תוסף כמו Disable XML-RPC-API. ייתכן שגם תוסף האבטחה של וורדפרס שלך יוכל לעשות זאת עבורך.
9. שקול למחוק את חשבון הניהול המוגדר כברירת מחדל של וורדפרס
דנו בשינוי שם המשתמש "אדמין" עבור חשבון הניהול המוגדר כברירת מחדל של וורדפרס, אך אם אתה רוצה לקחת את הדברים צעד קדימה, היפטר לחלוטין מחשבון ברירת המחדל הזה, וצור חשבון חדש עם אותן הרשאות מנהל. זהו צעד טוב שצריך לנקוט אם אתה חושב ששם המשתמש והסיסמה המקוריים של מנהל המערכת התגלו.
10. שקול להסתיר את גרסת הוורדפרס שלך
הסתרת גרסת הוורדפרס שלך תבטיח שהאקרים לא יידעו שהאתר שלך פגיע. כפי שצוין בעבר, עליך תמיד לעדכן לגרסה העדכנית ביותר של וורדפרס. אבל אם עדיין לא קיבלת את ההזדמנות לעשות זאת, זה קריטי להסתיר את הפגיעות הפוטנציאלית.
מה לעשות אם פרצו לך לאתר?
אז, יישמת חלק מהאמצעים לעיל או את כולם, ועכשיו אתה רוצה להיות מוכן במיוחד למקרה שמשהו ישתבש. או שמשהו השתבש. כך או כך, הנה מה לעשות:
1. הישארו רגועים.
זה טבעי להיכנס לפאניקה במצבים האלה. רק זכור כי פרצת אבטחה יכולה לקרות לכל אחד. יש צורך לשמור על ראש נקי כדי שתוכל לאתר את מקור הפרצה ולהתחיל לפתור אותה.
2. הפעל את מצב התחזוקה באתר שלך.
הגבלת הגישה לאתר שלך מרחיקה את המבקרים מהצד שלך ובטוחה מפני ההתקפה. פתח את האתר שלך רק כאשר אתה בטוח שהמצב בשליטה.
3. התחל ליצור דוח אירוע.
רשום את כל הפרטים הרלוונטיים שיכולים לעזור לפתור את הבעיה. אלה כוללים בין היתר:
כשגילית את הבעיה.
מה גרם לדעתך לכך שהותקפת.
הנושא הנוכחי שלך, תוספים פעילים, ספק איחסון וספק רשת.
כל שינוי אחר שביצעת באתר הוורדפרס שלך לפני התקרית.
יומן הפעולות שלך בזמן איתור ותיקון הבעיה.
עדכן מסמך זה ככל שפרטים נוספים יתגלו.
4. אפס את הגישה וההרשאות.
שנה את כל סיסמאות החשבון באתר וורדפרס שלך כדי למנוע שינויים נוספים באתר. לאחר מכן, כפה יציאה מכל המשתמשים שעדיין מחוברים.
כל בעלי החשבון צריכים גם לשקול בחום לעדכן סיסמאות במכשירים העבודה והאישיים שלהם, כמו גם בחשבונות האישיים, מכיוון שאינך יכול לדעת בוודאות למה הצליחו התוקפים לגשת מעבר לאתר הוורדפרס שלך.
5. אבחן את הבעיה.
או חפשו את הבעיה בעצמכם באמצעות תוסף אבטחה, או, בהתאם להיקף הפריצה, הזמינו איש מקצוע כדי לאבחן את הבעיה ולתקן את האתר שלכם. לא משנה באיזו שיטה תבחר, הפעל סריקת אבטחה באתר שלך ובקבצים מקומיים כדי לנקות את כל הקבצים או הקוד המזיק שנותרו שהתוקפים השאירו, וכדי לשחזר את כל הקבצים החסרים.
6. סקור אתרים וערוצים קשורים.
אם יש לך חשבונות עבור כל פלטפורמה מקוונת אחרת המקושרת לאתר שלך, כגון חשבון מדיה חברתית או אתר וורדפרס אחר, בדוק את הפלטפורמות הללו כדי לראות אם הן הושפעו. שנה את הסיסמאות שלך גם לערוצים האלה.
7. התקן מחדש גיבוי, ערכות נושא ותוספים.
התקן מחדש את ערכת הנושא והתוספים שלך (בדוק פעמיים שהם בטוחים). אם יש לך גיבוי, שחזר את הגיבוי האחרון לפני האירוע.
8. שנה שוב את סיסמאות האתר שלך.
כן, איפסת את כל הסיסמאות של וורדפרס בעבר, אבל ייתכן שהאישורים האלה נפגעו בזמן שתיקנת את הבעיה.
9. התריע ללקוחות ולבעלי עניין.
לאחר שהאתר שלך חזר לפעול, שקול בחום לפנות ללקוחות שלך ולהתריע בפניהם על הפריצה, במיוחד אם ניגשו למידע אישי או אף הדליפו אותו. זה הדבר הנכון לעשות, ולהיות מוכן לתגובות שליליות מלקוחות.
10. בדוק שהאתר שלך אינו ברשימה השחורה של גוגל.
אם האתר שלך הוכנס לרשימה השחורה על ידי Google כתוצאה מהתקיפה, Google לא תזהיר משתמשים בצורה כל כך עדינה על כניסה לאתר שלך:
בעוד שהרשימה השחורה נחוצה כדי להרחיק משתמשים מאתרים מזיקים, היא גם תפחיד את רוב התנועה מהאתר הלגיטימי שלך. ל-Sucuri יש כלי חינמי לסרוק את האתר שלך לסטטוס הרשימה השחורה של Google.
11. פעל לפי השיטות המומלצות לעיל.
נקיטת כל אמצעי הזהירות האפשריים כדי להגביל את האפשרות לפריצה נוספת תיתן לך קצת שקט נפשי. נקווה שדבר כזה לא יקרה שוב. אבל אם כן, אתה תהיה במצב הרבה יותר טוב.
אל תיקח את הביטחון כמובן מאליו.
פושעי סייבר מפתחים כל הזמן דרכים חדשות למנף את הנוכחות המקוונת של חברות נגדם, ומהנדסי אבטחה תמיד מפתחים שיטות חדשות לעצור אותם. זהו מחזור האבטחה המתהפך באינטרנט, וכולנו לכודים באמצע. זכור תמיד את בטיחות הלקוחות שלך, כדי שיהיה להם משהו אחד פחות לדאוג ממנו.
הערה: כל מידע משפטי בתוכן זה אינו ייעוץ משפטי כלל וכלל, , ולכן אנו ממליצים מאוד שתתייעץ עם עורך דין אם תרצה ייעוץ לגבי הפרשנות שלך למידע זה או דיוקו . בקצרה, אינך רשאי להסתמך על זה כייעוץ משפטי או כהמלצה להבנה משפטית מסוימת.
המאמר נכתב ע"י ג'יימי ג'וביילר ותורגם מאנגלית לעברית על ידי יהב בנגיאת
מידע נוסף:
Image by Darwin Laganzon from Pixabay
Images by Pixabay
