כמו בכל שנה, לפני פסח בתאריך ה-07 לאפריל, תחל מתקפת סייבר נגד ישראל ע״י ארגון אנונימוס. במאמר הבא אסביר על מספר שיטות איך לאבטח את האתר שלנו.

עברו בדיוק שנתיים מאז שפרסמתי את המאמר אבטחת מידע באתר מבוסס וורדפרס, והחלטתי השנה לכתוב מאמר חדש עם שיטות נוספות ומודרניות יותר.

אחסון אתר

סיסמת התחברות

החלק הבסיסי הראשון ביותר הוא שרת האחסון שלנו, השלב הראשון שנעשה הוא לשנות את הסיסמא של פאנל הניהול של השרת שלנו (cPanel, DirectAdmin, Plesk וכד׳), במידה ואין לכם את האפשרות לשנות את הסיסמא, בקשו מספק האחסון שלכם לאפס לכם את הסיסמא. דאגו שהסיסמא שלכם תהיה לפחות באורך של 12 תווים והיא תכלול, אותיות, מספרים ותווים מיוחדים.

פרטי מסד הנתונים

אחרי ששינינו את פרטי ההתחברות שלנו לשרת, נעבור לשינוי סיסמת המסד שלנו. מכיוון שסיסמת המסד אינה משהו שצריך לזכור מומלץ ליצור סיסמא באורך של 24 תווים. לאחר ששינינו את הסיסמא, יש לזכור לעדכן את הסיסמא בקובץ wp-config.php תחת השורה DB_PASSWORD. דאגו לעשות את שינוי זה בשעות שאתם יודעים שאין תנועה ערה באתר שלכם מכיוון שזה יצור השבתה של האתר למספר דקות (תלוי כמה מהר אתם עובדים).

גרסת PHP

נושא חשוב מאוד הוא גירסת ה-PHP של האתר שלכם, נכון להיום גרסת ה-PHP הכי חדשה היא 7.1.3, אך אין הרבה חברות אחסון שמריצות את גרסה זו את גרסה 7 בכללי. מומלץ לוודא כי גרסת ה-PHP שבשרת שלכם היא לפחות 5.6. במרבית פאנלי הניהול ניתן לראות את גרסת ה-PHP שמתקנת. במידה ואתם לא יודעים תמיד תוכלו לשאול את ספק האחסון שלכם או ליצור קובץ PHP המכיל את הקוד הבא:

<?php php_info(); ?>

שימו לב! אחרי שביררתם מה גרסת ה-PHP שלכם מחקו את הקובץ שיצרתם, קיים בו מידע רב אשר יכול להיות שמיש במתקפה נגדיכם.

גיבויים

אחד הדברים שיוכלו להציל אתכם במידה והאתר שלכם נפרץ הוא גיבוי של האתר, דאגו לגבות את קבצי האתר ואת המסד נתונים לפני המתקפה, אל תסתמכו על כך שספק האחסון שלכם מחזיק גיבוי עדכני של האתר שלכם. אחרי שעשיתם גיבוי, דאגו להוריד אותו ולשמור אותו במחשב האישי שלכם וגם בחשבון ה-Google Drive או Dropbox שלכם.

שם מתחם

השלב הבא הוא לדאוג ששם המתחם שלנו מאובטח כמו שצריך, דאגו לשנות את הסיסמא של חשבון הניהול של הרשם דומיין שלכם לסיסמא באורך של לפחות 12 תווים. בנוסף, אם יש את האפשרות להפעיל אימות דו שלבי בחשבון שלכם בצעו זאת.

חשבון המייל שלכם

הרבה פעמים אנשים לא חושבים שהם צריכים לאבטח את חשבון המייל הפרטי שלהם, אך זהו דבר חשוב מאוד, מכיוון שלא משנה כמה תאבטחו את החשבונות שלכם, לכל החשבונות הללו יש אפשרות לאיפוס סיסמא, ובמידה ולא תאבטחו את חשבון המייל שלכם כמו שצריך, התוקפים יוכלו לבצע איפוס סיסמא לשרת אחסון, לחשבון ברשם הדומיין ואפילו לאתר עצמו ולחטוף לכם את החשבון.

אתר ה-WordPress שלכם

סיסמת חשבון המנהל

החלק האחרון הוא אתר ה-WordPress שלכם, הצעד הראשון הוא לשנות את סיסמת החשבון משתמש שלכם, ניתן לעשות זאת ע״י התחברות לפאנל הניהול > משתמשים > פרופיל אישי, שם יש ללחוץ על ״צור סיסמא״ תחת ״סיסמה חדשה״ וללחוץ על עדכן פרופיל.

שינוי שם המשתמש

אם שם המשתמש שלכם הוא admin או root או כל שם משתמש ג׳נרי, מומלץ לשנות את שם המשתמש שלכם.
הדרך הכי נכונה לבצע זאת היא:

  1. צרו משתמש חדש באתר עם הרשאות מנהל.
  2. התנתקו והתחברו עם פרטי החשבון החדש.
  3. לכו למשתמשים ומחקו את החשבון הישן.
  4. כאשר תשאלו האם למחוק את התכנים של המשתמש, בחרו על האפשרות להעביר את התכנים וברשימת המשתמשים בחרו את המשתמש החדש.

עדכוני תוכנה

השלב הבא הוא עדכון התבנית, התוספים וגרסת ה-WordPress של האתר שלנו, דאגו לבצע גיבוי מלא של האתר ושל מסד הנתונים לפני שאתם מבצעים שדרוגים. עדכוני גרסאות הם נושא חשוב מאוד מכיוון שבמרבית עדכוני התוכנה נסתמים חורי אבטחה קריטיים.

תוסף אבטחה

במידה וקרה כי לא מותקן לכם תוסף אבטחה Wordfence או iTheme Security, דאגו לעשות זאת במהרה. כמובן שהתקנה של התוסף אינה מספיק, מומלץ לעבור על ההגדרות השונות ולבצע הגדרות והפעלה של פיצ׳רים מיוחדים אשר יקשיחו את האתר שלכם. במידה ואינכם יודעים איך להגדיר את תוסף האבטחה, תוכלו להיעזר בבעלי מקצוע בקבוצות השונות בפייסבוק.

חיבור ל-CloudFlare

CloudFlare הינו שירות חינמי (עם פיצ׳רים מתקדמים בתשלום), אשר מאפשר לכם להגן מפני מתקפות DDoS, ע״י הגשת האתר שלכם דרך השרתים שלהם, כלומר, כאשר נכנסים לאתר שלכם, אתם פותחים תקשורת מול השרת של CloudFlare, ו-CloudFlare מבצע התקשרות מול השרת שלכם. ע״י שימוש בחוצץ זה, כתובת ה-IP של השרת שלכם מוסוות וככה השרת שלכם מוגן יותר. אומנם פתרון זה הוא לא 100% נכון, כי עדיין ניתן לאתר את כתובת ה-IP של השרת שלכם.

מאמר הסבר אודות חיבור האתר שלכם ל-CloudFlare ניתן לקרוא בקישור הבא – CloudFlare כאמצעי להגנה מפני מתקפות DDoS.

צעדים נוספים

ישנם דרכים נוספות לאבטח יותר את האתר שלכם, אשר יעזרו לכם להתכונן יותר ליום המתקפה, ניתן לקרוא בקישור הבא – אבטחת מידע באתר מבוסס וורדפרס.

בהצלחה!

    כתיבת תגובה

    1. שלומי

      גרסת php 5.6 עוד מעט כבר גם תהיה 'מסוכנת'

      הגב
      1. דור צוברי

        היי שלומי,
        זה לא בדיוק תהיה מסומנת כמסוכנת, היא פשוט כבר לא תהיה מתוחזקת.

        אני גם מקווה שרוב האתרים ירוצו על 7, אבל יש עם זה בעיה, כי יש עדיין חברות אחסון שלא מאפשרות תמיכה ב-7.

    אפשר להציע לך עוגיות? יש גם קפה! השימוש בקוקיז עוזר לשפר את הביקור שלך באתר. המשך גלישה אומר שהסכמת למדיניות הפרטיות שלי, וגם לקפה.

    שתפו