5 כללי ברזל לאבטחה, התגוננות ומניעת פריצות לאתרי וורדפרס

הכללים החשובים ביותר לאבטחת אתר וורדפרס ומניעת פריצות אפשר לדבר רבות על וורדפרס ועל השינויים החיובים שהפלטפורמה הביאה עמה לעולם הפיתוח ולעולם ה-WEB 2.0 בכלל – ואכן התרומות הן רבות מספור ! בזכות מערכת וורדפרס, תהליך בניית אתר אינטרנט ותחזוקתו הפך לנוח ופשוט יותר ביחס לימים עברו – הימים בהם עבדנו עם מערכות ניהול תוכן […]

הכללים החשובים ביותר לאבטחת אתר וורדפרס ומניעת פריצות

אפשר לדבר רבות על וורדפרס ועל השינויים החיובים שהפלטפורמה הביאה עמה לעולם הפיתוח ולעולם ה-WEB 2.0 בכלל – ואכן התרומות הן רבות מספור !

בזכות מערכת וורדפרס, תהליך בניית אתר אינטרנט ותחזוקתו הפך לנוח ופשוט יותר ביחס לימים עברו – הימים בהם עבדנו עם מערכות ניהול תוכן ייחודיות שפיתחנו בעצמנו או פלטפורמות קוד ותבניות מורכבות ביותר.
בזמנים ההם, כל שינוי באתר ו/או במערכת הניהול, היה הליך מורכב, הן מבחינת הפיתוח (הרי- מדובר במערכת ייחודית לנו, לכן לא נוכל להשתמש בפלאגינים או הרחבות של מתכנתים אחרים, אלא אך ורק לפתח בעצמנו) והן מבחינת חיפוש אחר בעלי מקצוע מתאימים, שכן- כשמדובר במערכת ניהול תוכן שפותחה באופן ייחודי, הליך החיפוש אחר מתכנתים מתאימים הופך קשה יותר, היות ומדובר במערכת שאינם מכירים ונדרש זמן ללמוד את אופי עבודתה וכיצד ניתן לבצע בה שינויים. להבדיל ממערכות אשר פיתחו בעלי האתרים בעצמם, היו אלה המערכות קוד פתוח הגדולות והמגושמות שהעמיסו על זמני הפיתוח, ויצרו צוואר בקבוק בשימוש בפלאגאינים מורכבים ומסובכים בשביל לבצע פעולות פשוטות כמו הקמת עמוד נחיתה מעוצב.

כמעט 30% מהאתרים בעולם מבוססים על מערכת וורדפרס ורובם חשופים לפעילות זדונית

כיום, ובזכות וורדפרס, תמונת המצב שונה לגמרי: בזכות הרזון שלה, היעילות וקלות ההפעלה, מערכת וורדפרס הפכה למערכת ניהול התוכן הפופולרית ביותר בעולם, כאשר 30% מסך האתרים ברשת (!) מבוססי וורדפרס. זהו נתון משמח למדי!

קל מאוד למצוא וובמסטרים, מקדמי אתרים ומתכנתים המכירים ושולטים במערכת.
מעטים המצבים בהם נידרש לפיתוח ייחודי של רכיבים כאלו ואחרים, שכן- אודות לפופולריות הרבה של המערכת, סביר להניח שקיימים פלאגינים והרחבות אשר יכולים להוות בסיס פיתוח יציב ומתקדם ובכך לחסוך עבורנו זמן פיתוח יקר.

אך יחד עם הפופולריות והפלוסים הרבים, כשמדובר במערכות קוד פתוח– ישנן סכנות רבות. במילים פשוטות: מערכת קוד פתוח פירושה- כל אדם בכל זמן נתון, יכול לקבל ולצפות בקבצי הליבה של המערכת. זה תקף כמובן גם לגבי התבניות והפלאגינים (פרט למקרים בהם התבנית ו/או הפלאגין פותחו מאפס ובאופן ייחודי ע"י חברת בניית אתרים) ועל כן- הכנו את העקרונות החשובים ביותר באבטחת אתרי וורדפרס ומניעת פריצות ושתילת תוכנות זדוניות.

5 נקודות תורפה שחושפות את אתר הוורדפרס שלכם לסכנות פריצה

 

  1. עדכוני מערכת תקופתיים
    מדובר בחלק החשוב ביותר ולכן זהו הסעיף הראשון. חשוב מאד לשמור על הגרסה העדכנית ביותר של וורדפרס.
    עדכונים משתחררים לקהל הרחב באופן אוטומטי כאשר מדובר בעדכון אבטחה.
    כאן תוכלו לעקוב אחר עדכוני האבטחה האחרונים ששוחררו.
    למשל: בתאריך 16.01.2018 שוחרר עדכון אבטחה לחולשת XSS בגרסה 4.9.2
  2. "כבדהו וחשדהו" – היזהרו מפלאגאינים
    גם סעיף זה חשוב מאוד ואינו נופל מהסעיף הראשון. בחנו לעומק באילו פלאגינים ו/או תבניות אתם משתמשים.
    הקפידו לעבוד עם תוספים/תבניות פופולריים, אשר קיבלו דירוג חיובי ובעלי אחוז שימוש גבוהה.
    יש להימנע מלהוריד באופן פיראטי תוספים/תבניות, שכן- סביר להניח שאלו מכילים חורי אבטחה המכונים Backdoors. כמובן ששימוש בתבניות/פלאגינים פרוצים ימנעו ממכם לקבל עדכונים בזמן.
    חשוב לציין כי גם פלאגינים מוכרים ופופולארים, חשופים לבעיות אבטחה כאלו ואחרות, למשל, באחרונה דווח כי הפלאגין YITH WooCommerce Wishlist (המאפשר לגולשים ליצור רשימת משאלות באתרי E-commerce מבוססי ווקומרס) נמצא פריץ עם חור אבטחה מסוג SQL Injection. היוצרים מיהרו לשחרר עדכון, שכן מדובר בחור אבטחה קריטי ומסוכן המאפשר חדירה מלאה לאתר הוורדפרס שלכם, לכן- חשוב להקפיד ולשמור את הפלאגינים המותקנים באתר שלכם מעודכנים.
  3. הקפידו על סיסמאות חזקות והימנעו משמות משתמש פופולרים
    אמנם מדובר בטיפ בנאלי, אך לצערי, רבים וטובים עדיין חוטאים בו. הקפידו לבחור סיסמאות חזקות והימנעו משמות משתמש כמו 'admin' ודומיו.
    אתרי וורדפרס רבים נפרצים באמצעות מתקפה מסוג Brute Force ("כוח גס") בה התוקף מחזיק במאגרי סיסמאות וכינויים נפוצים ומנסה בשיטת ניסוי וטעייה של כל האפשרויות…. מה שמוביל אותנו לטיפ הבא.
  4. הגבילו את מספר ניסיונות ההתחברות למערכת
    הגבילו את מספר הניסיונות וחיסמו כתובות IP אשר ניסו להתחבר מעל כמות הניסיונות המותרת. זה כמובן ימנע ניסיונות Brute Force ומשחקים של גולשים משועממים.
    ניתן לעשות זאת עם תוספים כדוגמת Limit Login Attempts או Wordfence (עליו נרחיב בהמשך)
  5. בטלו את אפשרות עריכת הקבצים דרך ממשק הניהול
    וורדפרס מאפשרת למנהלים לערוך את קבצי התבנית והפלאגינים דרך ממשק הניהול. אופציה זו מאפשרת לתוקפים (בהנחה ואלו השיגו גישה לממשק הניהול) להוסיף ולערוך קוד זדוני.
    ניתן לבטל אופציה זו ע"י הוספת השורה הבאה בקובץ wp-config.php:

    define( 'DISALLOW_FILE_EDIT', true );

    תוכלו למצוא קינפוגים ופרטים נוספים הקשורים לקובץ החשוב ביותר במערכת שלכם כאן

אתר הוורדפרס שלכם נפרץ?

במידה ואתר הוורדפרס שלכם נפרץ, או שאתם מכירים חורי אבטחה חשובים או עקרונות נוספים שלדעתכם חשוב להוסיף למאמר – כתבו לנו בתגובות

1
הגב

avatar
1 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
1 Comment authors
שלומי Recent comment authors
  Subscribe  
newest oldest most voted
Notify of
שלומי
Guest
שלומי

מאמר מעניין מאוד. אתרי וורדפרס בהחלט חשופים לפריצות וחשוב להקפיד על מה שציינתם וגם לבחור בחברת אחסון נכונה

בואו נתחיל שיחה