אבטחת אתרי וורדפרס הפך בשנים האחרונות להיות כאב ראש של כל בונה אתרים ושל בעלי אתרים.
ישנם מגוון רחב של תוספי אבטחה לוורדפרס אשר חלקם נותנים מענה נקודתי וחלקם קצת יותר מקיפים.

כיצד לבחור תוספי אבטחה לוורדפרס

מידי יום נפרצים מאות אם לא אלפי אתרי וורדפרס ברחבי הרשת, ישנן מספר סיבות מדוע אתר וורדפרס מצליח להיפרץ, יכול להיות בגלל שהאתר נבנה לא טוב, יכול להיות שהסיסמה הייתה קלה, ויכול להיות בכלל שהבעיה היא שהשרת המארח לא היה מאובטח מספיק 🤦‍♂️.

על מנת להקשות על פורצים, אנו נרצה להתקין לפחות תוסף אבטחה אחד, אשר יאפשר לנו לישון (קצת) יותר טוב בלילה. אבל רגע, איך בעצם בוחרים תוסף אבטחה מתאים?

ישנם מגוון רחב של תוספי אבטחה לוורדפרס, כאשר כל אחד מהם מטפל בסוג אחד או יותר מהאיזורים הפגיעים שיש לנו באתר – החל מטופס ההתחברות לאדמין ועד להרשאות הקבצים על השרת המארח.

אחת הדרכים לבחור תוסף אבטחה לוורדפרס הוא כמובן להסתכל על תוספי האבטחה הקיימים במאגר התוספים של וורדפרס, ולחפש את אלו עם הרבה התקנות פעילות, דירוג גבוה, וכזה שמתעדכן בצורה תדירה.

צילום מסך של מאגר תוספי אבטחה לוורדפרס

רשימת תוספי אבטחה לוורדפרס שאני מציין במאמר פה היא לדעתי רשימת שמתאימה לחלק גדול מאתרי וורדפרס בין אם תדמית או חנויות קטנות. ישנם תוספים מוכרים יותר שיכולים לתת מענה יותר רחב ויותר מקיף, אך לטעמי הם כבדים מאוד ודוחפים הרבה פיצ׳רים בתשלום שאפשר פשוט לקבל בחינם עם תוסף חליפי.

Akismet – מניעת ספאם

אחד התוספים האהובים עלי מאוד שמשמש אותי בכל אתר שאני בונה ומתחזק זה Akismet, תוסף למניעת ספאם.

התוסף הזה הוא מבית Automattic, שהיא החברה מאחורי WordPress (אם לא ידעתם 🤓), הוא רותם רשת של מאות אלפי אתרים אשר שולחים אליו מידע על תגובות שאנשים שולחים ויודע לזהות תבניות חשודות וכתובות IP חשודות וחוסם אותן.

זהו תוסף שלטעמי הוא חובה אם יש לכם תגובות באתר או אם אתם משתמשים בטפסי צור קשר מסוג Contact Form 7.

התוסף הוא חינמי, אך במידה ואתם אתר מסחרי, יש צורך לשלם, התוכנית הבסיסית שלו היא 10$ לחודש בתשלום חודשי, או 100$ בתשלום שנתי.

לעמוד התוסף: Akismet

WPS Hide Login – הסתרת עמוד ההתברות

תוסף אבטחה זה הוא גם מבין האהובים עליי, הוא קליל ופשוט, לאחר ההתקנה, ניגשים ומגדירים מה תהיה כתובת ההתחברות החדשה.

אחת הבעיות היום של אתרי וורדפרס זה שדף ההתחברות למערכת לא מוסתר וחשוף לכל אדם בכתובת /wp-admin מה שיכול להיות בעייתי, כי ברגע שאני יודע מה כתובת ההתחברות אני יכול להתחיל ולהריץ סקריפט Brute Force אשר ינסה לפצח את הסיסמה והמשתמש של מנהל האתר.

התוסף הוא חינמי לגמרי ומתעדכן בתדירות גבוהה, לרוב אחת לשבועיים-שלושה.

לעמוד התוסף: WPS Hide Login

Limit Login Attempts Reloaded – הגבלת ניסיונות התחברות

אחד התוספים הוותיקים, התחיל לפני קרוב ל-7 שנים 😱, ומאז מוציא עדכונים באופן תדיר. לתוסף יש הרבה אופציות והוא סה״כ עושה עבודה טובה ולא מזייף.

התוסף יאפשר לנו להגדיר כמה ניסיונות התחברות כתובת יכולה לבצע בזמן מסויים, ולכמה זמן היא תחסם. בנוסף נוכל להגדיר גם התראות למייל על חסימות.

לעמוד התוסף: Limit Login Attempts Reloaded

Two Factor – אימות דו-שלבי

אחד הנושאים הוותיקים באבטחת טפסי התחברות הוא MFA (או Multi-Factor Authentication), שזה בעצם אימות רב שלבי, כלומר לא רק שם משתמש וסיסמה. בעצם מוסיפים עוד שכבת הגנה, אתם בטוח מכירים את זה שאתם מתחברים לחשבון הבנק או לתיבת הג׳ימייל שלכם, ונשלחת לכם הודעת SMS עם קוד בעל 6 ספרות.

הוספה של שכבת הגנה הנוספת הזאתי תקשה על משתמשים אשר הצליחו להשיג את הסיסמה שלכם, אבל אין להם את קוד האימות הדו שלבי.

התוסף הזה הוא תוסף קהילתי, כלומר אין לו אבא אחד, הוא מפותח ע״י הקהילה ועל פניו כל אחד יכול לתרום אליו.

לעמוד התוסף: Two Factor

VaultPress – גיבוי ושחזור אתר

אספקט נוסף של אבטחת אתרי וורדפרס זה גיבוי, תמיד צריך להיות מוכנים ליום גשום 🌧. התוסף הזה הוא גם מבית Automattic, והוא דווקא בעלות יחסית זניחה, מה שבטוח הוא יותר זול מלהקים אתר חדש כי פרצו והשחיטו לכם האתר הקיים.

אני אף פעם לא ממליץ להסתמך על זה שלחברת האחסון יש גיבוי של האתר, כבר קרו מקרים שאנשים הסתמכו על זה ובסוף איבדו את האתר שלהם בעקבות פריצה לחברת האחסון.

לעמוד התוסף: VaultPress

תוספי אבטחה לוורדפרס נוספים

מלבד החמישייה המנצחת הזאתי ישנם עוד מספר תוספי אבטחה לוורדפרס אשר אני חושב שכדאי להזכיר, כי הם בהחלט נותנים ערך מוסף, אך הם מתאימים לרוב לאתרים גדולים יותר 💪🏻.

  1. Jetpack Protect – תוסף לסריקת האתר מבית Automattic.
  2. Wordfence – התוסף הכי טוב להוספת Web Application Firewall שינטר את תעבורת האתר.
  3. Sucuri Security – אחד התוספים הוותיקים והמקיפים בתחום, ממש שכפ״צ לאתר.

סיכום

כל מפתח שתשאלו אותו יתן לכם רשימה אחרת של תוספי אבטחה לוורדפרס, הדרך הכי טובה היא פשוט להתנסות ועם הזמן תהיה לכם גם רשימה משלכם.

חמשת תוספי אבטחה לוורדפרס שציינתי במאמר הזה הינם החמישייה הפותחת שלי בכל אחר שאני מלווה, ואני מאמין בלהתקין מספר תוספים רזים מאשר תוספי Bloatware שכוללים הרבה זבל ושדוחפים תשלום לגרון 🙄.

    כתיבת תגובה

    1. דור שיף

      קצר וממוקד.
      WPS Hide Login מצטרף לכל התקנת וורדפרס שאני עושה.

      הגב
      1. דור צוברי

        היי דור 👋,
        לגמרי, אחד התוספים השימושיים שיש ובהחלט נמצאים בכל אחד מהאתרים.

    2. דרור

      התקנתי אבל איך מקנפגים את האימות הדו שלבי?

      הגב
      1. דור צוברי

        היי דרור 👋🏽,
        אתה צריך להיכנס למשתמש ברלוונטי בפאנל ניהול ויהיה לך שם אפשרות לבחור את צורת האימות 🙂

    אפשר להציע לך עוגיות? יש גם קפה! השימוש בקוקיז עוזר לשפר את הביקור שלך באתר. המשך גלישה אומר שהסכמת למדיניות הפרטיות שלי, וגם לקפה.

    שתפו