וורדפרס – 10 טיפים חשובים לאבטחת אתר WordPress
בימים אלה אנו שומעים לא מעט את המושג Cyber או אבטחת מידע, ולאור ההתקפות החוזרות ונשנות על אתרים ישראלים, אנו תוהים, מתקיני הוורדפרס, מה אנו יכולים לעשות בכדי להגן על האתר או הבלוג שלנו או של הלקוחות שלנו מפני פריצה, שימוש ופגיעה בתכנים. מאמר זה מציג 10 טיפים בסיסיים ואלמנטריים בכדי למנוע פריצה כזאת. כמובן, שינם אמצעי הגנה יותר רציניים ויותר מתוחכמים בכדי להגן על האתר שלך אך אנו למדים שהאתרים שנפגעו, לרוב, הם האתרים שלא ביצעו את הדברים המאוד אלמנטריים להגנת האתר שלהם.
1. הישארו מעודכנים
עדכנו את האתר שלכם כל העת, אנשי וורדפרס עמלים קשה בכדי לפתור ולזהות פרצות במערכת. וכל פעם שהם מוצאים מייד הם מעדכנים את מערכת וורדפרס. בנוסף, לאחר כל גל פריצות לאתרי וורדפרס הם למדים את הפריצה והפירצה ומייד מעדכנים את האתרים. לכן כנסו בממשק הניהול לאיזור העדכונים ובדקו עדכונים בשלושת הרמות הבאות:
- עדכוני מערכת
- עדכוני תוספים
- עדכוני תבניות
2. תשנו את קידומת ה WP_ במאגר הנתונים שלכם
הכי פשוט והכי צפוי. הדבר הראשוןן שההאקרים עושים הוא לחפש התקנות וורדפרס במאגרי הנתונים על פי הקידומת הדיפולטיבית של הטבלאות של וורדפרס WP_. במהלך ההתקנה ניתן לשנות את הקידומת למשהו פחות צפוי. אם מדובר באתר מותקן, זה לא דבר מורכב במיוחד, ניתן לקרוא את המאמר הבא.
3. שינוי מיקום תיקיית קבצי ממשק הניהול – wp-admin
תקיית קבצי ממשק הניהול, שהם נקודת גישה טובה לשרת על ידי ההאקרים אינה חייבת להיות בהכרח בספריית השורש WWW או /public_html היא יכולה להיות גם המקומות פחות צפויות. הפעולה של שינוי מיקום התקייה היא פעולה שדורשת קצת יותר ידע בוורדפרס, ניתן לקרוא את המאמר הבא שמתייחס גם לאתר חדש וגם לאתר קיים.
4. סיסמאות
סיסמאות הם הא' ב' של אבטחת האתר שלך. יש לעדכן את הסיסמאות של המשתמשים לפחות אחת שבועיים או חודש. יש ליצור ססמאות מורכבות מכמה סוגי תווים: אותיות קטנות, אותיות גדולות, מספרים ותווים אחרים לדוגמה: Bun!K25@46fQ . אין ליצור ססמאות צפויות: ססמאות שנגזרות משם האתר או הדומיין, סיסמאות עם תווים עקביים: 1234 או abcd וכו'. אין לשלוח ססמאות באימל כתווים אלא כתמונה.
5. מיעוט משתמשים
יש לצמצם במידת האפשר את מספר המשתמשים שפותחים בוורדפרס, עדיף להגדיר משתמש אחד ולשתף אותו עם כמה אנשים מאשר לפתוח לכל אחד מהם משתמש משלו. ככה אנו מצמצמים את נקודות הגישה לאתר.
6. קובץ HTACCESS לחסימת גישה לספריית wp-admin
חסימת ספריית ממשק הניהול wp-admin על ידי קובץ htaccess בספריית הניהול wp-admin דוגמה לקוד חסימה תוכלו למצוא בקישור הבא.
7. חסימת גישה לקובץ הקונפיגורציה wp-config.php
שימוש בקובץ htaccess דוגמה לקוד חסימה תוכלו למצוא בקישור הבא.
8. admin שם משתמש צפוי מידי
אל תשמש בשם המשתמש הדיפולטיבי והכל כך צפוי admin
9. הגבלת IP למספר ניסיונות כניסה מוגבל
ניתן להגביל את מספר ניסיונות הכניסה הכושלים לפי IP על ידי שימוש בתוסף: Login LockDown הצורה כזאת אנו מונעים מהאקרים לנסות מספר ססמאות עד כדי הצלחה.
10. גיבוי מאגרי נתונים וקבצים
אם בכל זאת פרצו לאתרך דאג שיהיה לך גיבוי של מאגר הנתונים וקבצים עדכניים ככל האפשר בכדי לבצע שחזור האתר, ולהחזירו לשמישות מהר ככל האפשר.
בהצלחה
