אבטחת אתרי וורדפרס הינו תחום מאוד חם בשנים האחרונות, במיוחד לאור זה שוורדפרס מריצה קרוב ל-30% מהאתרים.
אנחנו בעידן שבו הכל ממוחשב ומידע נגיש בצורה קלה ומהירה מאי-פעם.
בלחיצת כפתור אנחנו מקבלים את המידע שאנחנו רוצים ולפעמים יותר ממה שאנחנו רוצים.
עם עידן הרשתות החברתיות והמסחר האלקטרוני, המושג פרטיות איבד מערכו כי כיום אנחנו חושפים כמעט כל דבר.
בתור בעלי אתרים, במיוחד כאלו אשר מכילים פרטי גולשים, אבטחת מידע הינו תחום שחייב להיות בעדיפות גבוהה.
אבטחת אתרי וורדפרס
WordPress הינה אחת המערכות ניהול תוכן (CMS) בקוד פתוח הנפוצות בעולם כיום.
כל אתר חמישי (בממוצע) משתמש בה בתור מערכת ניהול התוכן של האתר, החל מאתרים קטנים (כמו שלנו) ועד אתרים ענקיים.
ל-WordPress מעל ל-32 אלף תוספים אשר מרחיבים את היכולות שלה ומאפשרים לה להפוך לחנות אינטרנטית, או לפורום וכד׳.
אך כמו כל מערכת, היא פריצה, ויש המון האקרים אשר ירצו להשיג את המידע ששמור אצליכם באתר או אפילו להשחית אותו.
לפני מספר ימים הכריז ארגון אנונימוס כי בתאריך ב-07/04/2015 תתבצע מתקפת סייבר על אתרים ישראליים.
על מנת להקדים תרופה למכה, החלטנו לתת לכם מספר טיפים אשר יעזרו לכם לעבור את המתקפה בשלום.
גם אם אתם לא חוששים או בטוחים שלא ישחיתו את האתר שלכם, תמיד טוב לדעת שהאתר שלכם מאובטח.
טיפים להגברת אבטחת אתרי וורפרדס
לאחר שהבנו את חשיבות אבטחת אתרי וורדפרס, נתייחס לצעדים אותם ניתן לבצע על מנת להגביר את אבטחת המידע.
סיסמאות
סיסמאות הן נקודת התורפה הגדולה ביותר של האתר שלכם, מידי שנה מתפרסם מאמר ובו רשימה של הסיסמאות הכי נפוצות של אותה השנה, סיסמאות כמו dorwssap, או 123456, או dor1301 הם לא הסיסמאות הכי בריאות לאתר שלכם.
לזכור סיסמאות זה דבר קשה, ולהגדיר סיסמא קלה כמו השם שלכם + תאריך היום הולדת שלכם זה לא הדבר הכי חכם לעשות אם כי הכי קל, כי תוך זמן קצר מאוד נוכל לעלות על תאריך הלידה שלכם ואת השם שלכם אנחנו כבר יודעים.
מרבית ההאקרים משתמשים בשיטה שנקראת Brute Force אשר מנסה את כל הסיסמאות האפשריות עד שהוא מצליח לפרוץ או עד שהאתר נופל (בדוגמא למתקפת DDOS) או עד שההאקר מתייאש.
זכרו! ככל שהסיסמא יותר מורכבת ויותר ארוכה כך יקח לו יותר זמן לפצח אותה.
לכן, נמליץ לכם להשתמש הסיסמאות שאורכן לא פוחת מ-8 תווים שמורכבות מ:
- אותיות לועזיות קטנות (a-z)
- אותיות לועזיות גדולות (A-Z)
- מספרים (1-9)
- תווים ( *,!-+$#@& וכד')
המחולל סיסמאות הכי טוב שיצא לו להשתמש הוא Password Generator. האתר מציע לכם לחולל סיסמאות ואפילו דרכים איך לשנן את אותה הסיסמא.
Two-Step Authentication
שימוש בסיסמא בלבד או אמצעי זיהוי אחד בלבד נקרא One-Step Authentication, ע"י שימוש באלמנט זיהוי נוסף.
אמצעים כמו טביעת אצבע או מפתח זיהוי ייחודי (Yubico) או קוד מתחלף כל 30 שניות, יאפשרו לנו להוסיף שכבת הגנה שנייה.
ישנן מספר שיטות להטמיע את שיטה זו באתר, והזמינה והחזקה ביותר היא שימוש במחוללם קודים אוטומטי בדומה ל-Google Authenticator.
השיטה עובדת בצורה הבאה, בעת ביצוע אימות ראשוני (שם משתמש/אימייל + סיסמא) נדרש להכניס קוד בין 6 ספרות אשר מתחלף אחת ל-30 שניות.
הקוד ייחודי לאותו אתר ומשתמש ככה יותר קשה לפרוץ לאתר כי צריכה להיות גישה להאקר להתקן הפיזי שמייצר את הקודים.
יש לזכור כי אם הוכנס קוד לא נכון, הוא אוטומטית מסומן כקוד לא תקין וצריך לחכות לקוד הבא.
שימו לב כי נדרש להתקין את האפליקציה Google Authenticator על הסמראטפון שלכם ולבצע סנכרון בין שרתי גוגל לבין התוסף.
הוספת שכבת הגנה שנייה, או אימות משני, ישפר פלאות את אבטחת אתרי וורדפרס בבעלותכם.
תוסף: WP Google Authenticator
אבטחת מידע באתר ובשרת
פריצה לאתר לא מתבטאת רק ע"י קבלת גישה לפאנל הניהול של האתר, ניתן להשחיט את האתר ע"י הזרקת קטעי קוד או אפילו קבצים שלמים לשרת, לכן יש לבצע מספר צעדים:
- בדקו עם חברת האיחסון שלכם כי השרתים שלהם מאובטחים כנגד מתקפות DOS ו-DDOS.
- בדקו כי אף אחד מהתיקיות שלכם (כולל תיקיית
uploads) לא בעלת הרשאות (CHMOD) מסוג 777 – ניתן לבדוק מה ההרשאות הרצויות לכל קובץ ותיקייה ב-Codex הרישמי של WordPress. - התקינו תוסף אבטחה למערכת WordPress אשר יתן לכם הגנה נרחבת – Wordfence או iThemes Security.
- שנו את הסיסמא של השרת שלכם כולל גישה ה-FTP לסיסמא של לפחות 16 תווים.
- צרו משתמש ניהול חדש באתר שלכם עם שם משתמש שלא יהיה קל לפצח (כן, להשתמש בשם שלכם זה עדיין קל לפיצוח) ועם סיסמא מאוד נוקשה, ואת המשתמש ניהול הישן מחקו.
- במידה ויש לכם כתובת IP קבועה מהספק אינטרנט שלכם, הגדירו כי הגישה לפאנל ניהול היא אך ורק מהכתובת שלכם.
- הגדירו סיסמא חזקה מאוד למשתמש של מסד הנתונים שלכם ואל תשחכו גם לשנות אותה לחדשה בקובץ
wp-config.php.
עדכון גרסאות להגברת אבטחת מידע
עדכון גרסאות התוספים, תבניות והמערכת עצמה הן חלק מאוד חשוב מאבטחת האתר, בכל עדכון נסתמים עוד ועוד חורי אבטחה אשר נוצרו בעת פיתוח המערכת/תוסף/תבנית.
לכן דאגו ש-WordPress תוכל לעדכן אוטומטית את גירסת המערכת והתוספים.
מאמר: עדכון אוטומטי של תוספים והמערכת
הגדרות htaccess לצורך אבטחת וורדפרס
קובץ זה הינו הקובץ שמוכר לכם בתור הקובץ שמאפשר לכם להשתמש ב-"קישורים יפים" אך לקובץ זה יכולות רבות אשר מאפשרות לו להגביר את אבטחת השרת והאתר שלכם.
אנחנו ממליצים לכם להעתיק את הקוד הנ"ל ולהדביק אותו בקובץ מתחת לשורות של WordPress.
# BEGIN Theme Security
# Disable Directory Listing
Options -Indexes
# Disable Tracking
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
# Protect wp-config.php
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
# Limit Access to /wp-includes/
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
# Protect .htaccess
<Files ~ "^.*\.([Hh][Tt][Aa])">
Order Allow,Deny
Deny from all
Satisfy all
</Files>
# END Theme Securityגיבויים
במידה והאתר שלכם מתעדכן בתדירות גבוהה, הגדירו דרך הפאנל ניהול כי פעם ביום או אפילו מספר פעמים ביום יתבצע גיבוי כולל של האתר + המסד נתונים ובסיום ישלח אליכם מייל.
כאשר נוצר גיבוי הורידו אותו למחשב ושמרו אותו במקום שיהיה לכם קל למצוא כאשר תצרכו לשחזר.
אנחנו ממליצים להגדיר גיבוי אוטומטי של האתר לפחות פעם ביום ולשמור לפחות 7 גיבויים אחורה ב-2 מקומות.
סיכום
אבטחת המידע היא דבר שאין לזלזל בו, במיוחד אם אתם אתר אשר שומר מידע רגיש אודות הגולשים שלכם.
זליגת מידע משמעותה פגיעה בלקוחות והמוניטין שלכם וחושף אתכם לתביעות ולפיצויים של הלקוחות שלכם.
אך יש לזכור כי איום סייבר אינו דבר שיש בגללו צורך להוריד את האתר או חלילה לסגור את הבאסטה.
המדינה שלנו מתפקדת כמעצמת סייבר ועשרות סטארטאפים בתחום הסייבר קורמים עור וגידים פה בארץ.
תודה על ההסבר המפורט!
בכיף! שמח לשמוע שנהנית מהמאמר 🙂