וורדפרס היא מערכת ניהול התוכן הפופולרית ביותר ברשת, מה שהופך אותה גם ליעד נפוץ לפריצות. החדשות הטובות – רוב ההתקפות ניתנות למניעה עם ההגדרות והפרקטיקות הנכונות.
תמצאו כאן מדריכים על הקשחת אתר וורדפרס, הוספת Security Headers ואבטחת ה-REST API. למדו גם להגדיר SSL, לשנות את כתובת ההתחברות ולמנוע ספאם בטפסים. ואם הגרוע כבר קרה, יש מדריך מפורט לשחזור אתר וורדפרס שנפרץ.
אם חברת ה-SaaS שלכם סיימה לאחרונה מבדק חדירה (Penetration Test), אני מניח שדו"ח הממצאים כבר נחת בתיבת המייל שלכם. ייתכן שזו דרישה של SOC 2, וייתכן שלקוח ארגוני דרש זאת במסגרת שאלון אבטחה. כך או כך, עליכם לטפל בממצאים לפני [...]
כל התקנה של וורדפרס מגיעה עם קובץ בשם xmlrpc.php בתיקיית השורש של האתר, מופעל כברירת מחדל. אם הצצתם אי פעם בלוגים של השרת, סביר להניח שראיתם אותו מנוצל לרעה. מדובר בנקודת קצה ישנה מסוג Remote Procedure Call שהוצגה עוד לפני [...]
סיסמאות לבדן כבר לא מספיקות כדי להגן על אתר הוורדפרס שלכם. התקפות Brute-force, מילוי אוטומטי של פרטי התחברות (Credential Stuffing) וסיסמאות שנגנבו הן בין הדרכים הנפוצות ביותר שבהן אתרי וורדפרס נפרצים. אימות דו-שלבי (2FA) מוסיף שלב אימות נוסף אחרי הסיסמה, [...]
אתר וורדפרס שנפרץ עלול לשבש את פעילות העסק, לחשוף מידע רגיש ולפגוע במוניטין שלכם. פעולה מהירה ומסודרת תעזור לכם לשחזר את האתר במלואו, לאבטח אותו מחדש ולחזור לפעילות במהירות. המדריך הבא מציג תהליך ברור ומדויק לזיהוי פריצה לאתר וורדפרס, ניקוי [...]
מערכת ה-REST API של וורדפרס היא תכונה חזקה שמאפשרת למפתחים לתקשר עם נתוני האתר בצורה תכנותית. למרות שהיא שימושית עבור Headless WordPress, אפליקציות מותאמות וקריאות AJAX – היא גם עלולה לחשוף מידע רגיש אם לא מאובטחת כראוי. כברירת מחדל, ה-REST [...]
reCAPTCHA מגנה על הטפסים באתר שלכם מספאם ומשליחות אוטומטיות של בוטים. לתוסף Contact Form 7 יש אינטגרציה מובנית עם reCAPTCHA, וההגדרה לוקחת כמה דקות. reCAPTCHA v3 עובדת ברקע – המשתמשים לא צריכים ללחוץ על כפתור ״אני לא רובוט״ או לפתור [...]
Security Headers בוורדפרס נוצרו בכדי להגן על אפליקציות ממתקפות תכופות ונפוצות ללא הצורך להוסיף או לשנות משהו בקוד של האפליקציה שלכם. לאבטחת אתרים או אפליקציות Web קיימים מספר אספקטים עליהם צריך לתת את הדעת, ומקום טוב להתחיל בחיזוק האבטחה של [...]
אחת מהדרכים הפופולריות ביותר לפריצה של אתרי וורדפרס היא Brute Force Attack. בהתקפה מסוג זו האקרים מנסים הרבה קומבינציות של שמות משתמש (usernames) וסיסמאות בכדי להכנס לממשק הניהול של וורדפרס. במיוחד כשכולם יודעים שכתובת הגישה לממשק הניהול של וורדפרס היא [...]
מעוניינים לשחזר את הסיסמה של וורדפרס באמצעות phphMyAdmin? אם אינכם יכולים לאפס את הסיסמה לוורדפרס מכל סיבה שהיא, ישנה דרך פשוטה לבצע זאת ישירות דרך מסד הנתונים דרך phphMyAdmin. במדריך זה נראה כיצד לשחזר, או בעצם, כיצד לאפס את הסיסמה [...]
בגירסאות 7.4.3 ומעלה של התוסף Contact Form 7 שאנו אוהבים, ניתן להוסיף reCaptcha של גוגל בקלות לטפסים. זהו הפתרון הסטנדרטי ואולי אף האידיאלי ל CAPTCHA ולמניעת ספאם בטפסים של CF7 בוורדפרס ובכלל הטפסים ברשת. reCaptcha אם אינכם יודעים הוא שירות חינמי שגוגל מספקת המגן [...]
ספאם / דואר זבל הן בעיה שכל בעלי האתרים נאלצים להלחם מולה. האמת המרה היא שאם יש לכם טפסים כלשהם שאוספים אינפורמציה מהגולשים באתר, אתם כנראה הולכים לקבל מספר פעמים דואר זבל (ספאם) במקרה הטוב, והמון דואר זבל במקרה הפחות טוב. [...]
עם נתח שוק של 30% צפונה, וורדפרס היא מערכת פופולרית היושבת מאחורי המון אתרים עסקיים. כמובן שפופולריות זו הופכת אותה למטרה אף יותר מעניינית וקוסמת להאקרים ולהתקפות זדוניות ואלו יכולות בקלות לפגוע באמון קהל הלקוחות שלכם ולהשאיר אתכם תקועים עם [...]