חיזוק אבטחה באתרי וורדפרס – אופטימיזציה וטיפים

נכון לעת זו וורדפרס היא ללא צל של ספק מערכת ניהול התוכן הפופולרית ביותר ברשת. וורדפרס תופסת כ 58% מכלל האתרים המשתמשים במערכות ניהול תוכן, וחישוב זריז מוביל למסקנה שיותר מ 30% מכלל האתרים משתמשים במערכת זו.

מאחר והמערכת תופסת נפח כה גדול מהשוק, היא מעלה את הסיכויים לנסיונות פריצה. אין לקחת את נושא האבטחה בקלות ראש, והאמינו לי שאינכם רוצים להגיע למצב בו האתר שלכם נפרץ.

אבטחת האתר הוא תהליך חד פעמי בניגוד לתחזוקה שוטפת וכרוך במספר פעולות. אך לפני שנבצע פעולות אלו, נשאלת השאלה האם וורדפרס בבסיסה היא מערכת מאובטחת? ייתכן ואנו עובדים לשווא??

האם וורדפרס היא מערכת מאובטחת?

מאחר ומתבצעות פריצות רבות לאתרי וורדפרס, עולה השאלה האם זו מערכת מאובטחת דיה. אם לומר במשפט אחד, וורדפרס לכשעצמה ובמיוחד קבצי הליבה שלה כתובים נכון מבחינה זו כך שיהיה מאד קשה לנצל אלו בכדי לפרוץ לאתר שלכם.

מרבית הפריצות המוצלחות לאתרי וורדפרס הן תוצאה של טעויות אנוש, קונפיגורציה שגויה או תחזוקה לא נכונה של המערכת. הסיבות המרכזיות שגורמות לאתר להיות פגיע הן גירסאות וורדפרס שאינן מעודכנות, תוספים לא מעודכנים, ו/או שימוש לא אחראי בתוספים או תבניות שלא עומד מאחוריהם מפתח מנוסה.

אז היכן בעצם וורדפרס כמערכת הכי פגיעה? WP-Scan מדווח ש 52% מכלל הפריצות המוצלחות נובעות מתוספים של וורדפרס. קבצי הליבה של וורדפרס אחראים ל 37%, ותבניות וורדפרס אחראיות ל 11% מכלל הפריצות. נתון זה אושר גם על ידי Wordfence המדווחים כי 55.9% מכלל הפריצות מקורן בתוספים.

במדריך זה אציג מספר פעולות שיחזקו את אבטחת האתר שלכם ויקשו על ניסיונות פריצה.

16 פעולות לחיזוק אבטחה באתרי וורדפרס

תמיד ישנו סיכוי שיצליחו לפרוץ לאתר שלכם ולעולם לא תוכלו למנוע זאת בצורה מוחלטת. אך בכדי להקשות על ניסיונות הפריצה יש לבצע מספר פרקטיקות ופעולות שיחזקו את אבטחת האתר שלכם.

1. בחרו את חברת האחסון הכי יקרה שאתם יכולים להרשות לעצמכם

גם אם תבצעו את כל פעולות האבטחה, אם אין מאחוריכם חברת אחסון טובה המאמצים שלכם לא יעזרו יותר מדי. דו״ח שפורסם על ידי WP White Security מראה כי  41% מכלל אתרי הוורדפרס נפרצים בעקבות פירצות ואבטחה לקויה של חברת האחסון עצמה.

אז אם אתם על שרת שיתופי, וודאו עם חברת האיחסון כי קיים בידוד לחשבון (Account Isolation). אפשרות זאת תמנע מאתר נגוע הקיים על השרת להשפיע על אתר הוורדפרס שלכם.

רעיון טוב יותר יהיה לעבוד עם חברת אחסון ייעודית לוורדפרס. בשרתי אחסון מנוהלים המתמחים בוורדפרס, תהיה סבירות גבוהה יותר למצוא חומת אש (Firewall) המתאימה לוורדפרס, כמו גם גירסאות PHP ו MySQL עדכניות, סריקה שגרתית של Malewares, שרת שמותאם ייעודית לוורדפרס‎ וצוות של אנשי תמיכה שמכירים את וורדפרס על בוריה.

2. השתמשו בגירסה האחרונה של PHP

PHP היא השפה עליה וורדפרס בנויה כך ששימוש בגירסתה האחרונה בשרת שלכם מאד חשובה. כל גירסה מז׳ורית של PHP נתמכת בד״כ כשנתיים לאחר שיחרורה. בזמן זה משתחררות המון גירסאות מינוריות ובהן תיקונים רבים של באגים ושל פירצות אבטחה.

כלומרבשלב הנוכחי כל מי שמשתמש בגירסת PHP7.4 או גירסאות קודמות הוא בעל חשיפה הרבה יותר גבוהה לפריצות כפי שניתן לראות בגרף המופיע בתמונה:

לכן עליכן לוודא כי אתם משתמשים בגירסה האחרונה ביותר של PHP אותה חברת האחסון שלכם מאפשרת.

יש לציין כי קיים גם הבדל בביצועים בין גירסאות ה PHP השונות ושימוש בגירסה חדשה יותר של PHP תשדרג את מהירות וביצועי אתר הוורדפרס שלכם.

3. וודאו כי וורדפרס והתוספים הקיימים באתר מעודכנים

מאד חשוב כי גרסת הוורדפרס באתר שלכם תהיה מעודכנת לגרסה האחרונה. כנ״ל לגבי התוספים בהם אתם משתמשים. מעבר לכך, השתמשו אך ורק בתוספים ותבניות עליהן אתם סומכים. התקינו תבניות ותוספים רק מהריפוזיטורי של וורדפרס ובחרו כאלו עם התקנות רבות ורק כאלו להם ציון גבוה בביקורות.

אם אתם נמצאים מאחור ברמת גירסאות אתם חשופים לפריצות רבות יותר מכיוון והאקרים נוטים לחפש ולתקוף גירסאות ישנות. הסיבה לכך היא שהאקרים כבר מודעים לליקויי האבטחה בגירסאות ישנות, ולכן פשוט יותר לפרוץ לאלו מאשר למצוא פירצות אבטחה חדשות בגירסאות חדשות.

נושא  חשוב לא פחות – הקפידו לבצע גיבוי של האתר שלכם! גיבוי יאפשר לכם לשחזר את האתר במהירות במקרה האתר שלכם נפרץ.

4. השתמשו בסיסמאות חזקות

היו חכמים בבחירת שם המשתמש והסיסמה לממשק הניהול של וורדפרס. אין להשתמש ב admin כשם משתמש ויש לבחור סיסמה מורכבת. זוהי כנראה אחת הפעולות החשובות ביותר למניעת פריצות, ובצורה אירונית גם הפעולה הכי פשוטה לביצוע.

ולמרות זאת, הרבה בעלי אתרים בוחרים סיסמה פשוטה כגון 1234567 בכדי לזכור זו בקלות. אסור לעשות זאת, בחרו בסיסמה מורכבת ושמרו אותה במקום בטוח.

5. שנו את ה Login URL ללוח הבקרה של וורדפרס

בכדי למנוע התקפות Brute Force, יהיה נכון לשנות את כתובת הגישה לממשק הניהול של וורדפרס. מכיוון וכולנו יודעים שהגישה לממשק הניהול מתבצעת עם wp-admin כברירת מחדל, האקרים ניגשים לכתובת זו ומנסים כל מיני קומבינציות של שמות משתמש וסיסמאות בכדי לנסות ולפרוץ לאתר שלכם.

בכדי להקשות עליהם עלינו לשנות את כתובת ה URL לממשק הניהול. ניתן לעשות זאת באמצעות תוסף מצויין וקל לתפעול בשם WPS Hide Login.

תנו מבט במדריך קצר שכתבתי המסביר כיצד לשנות את ה Login URL ללוח הבקרה של וורדפרס באמצעות תוסף זה.

6. הגבילו את מספר ניסיונות ההתחברות

כברירת מחדל, וורדפרס מאפשרת לנסות סיסמאות שונות ללא הגבלה כלל על כמות הניסיונות. זה הופך את האתר שלכם לחשוף למתקפות Brute Force. ניתן להטמיע מערכת הגבלת ניסיונות התחברות בקלות באמצעות תוסף ייעודי, כמו Limit Login Attempts Reloaded.

7. אבטחו את הקובץ wp-config.php

הקובץ wp-config.php מכיל את כל המידע הדרוש לגישה למסד הנתונים של האתר. זהו הקובץ החשוב ביותר בהתקנת הוורדפרס שלכם, ויש לאבטח אותו על ידי חסימת גישה דרך השרת. ניתן לעשות זאת באמצעות הוספת הקוד הבא לקובץ .htaccess:

<Files wp-config.php>
    order allow,deny
    deny from all
</Files>

שינויים בקובץ .htaccess מומלצים למשתמשים מנוסים בלבד.

8. בטלו את XML-RPC

XML-RPC מאפשר גישה מרחוק לאתר הוורדפרס שלכם, וכן תומך ב-trackbacks ו-pingbacks. האקרים עלולים לנצל את הפונקציונליות הזו לביצוע מתקפות DDoS.

ניתן לבטל את XML-RPC באמצעות תוסף פשוט כמו Disable XML-RPC, או על ידי הוספת הקוד הבא לקובץ .htaccess:

## חסימת בקשות XML-RPC
<Files xmlrpc.php>
   order deny,allow
   deny from all
   allow from 123.123.123.123
</Files>

שינויים בקובץ .htaccess מומלצים למשתמשים מנוסים בלבד.

9. הסתירו את גירסת הוורדפרס שלכם

עדכוני גירסה של וורדפרס בדרך כלל מכילים עדכוני אבטחה. אם תתנו מבט בקוד המקור של אתר הוורדפרס שלכם, תמצאו כי גירסת הוורדפרס שאתם משתמשים בה גלויה לכל.

אינפורמציה הזו נגישה להאקרים ונותנת להם מידע במידה והם מחפשים לתקוף אתרים המשתמשים בגירסאות וורדפרס ישנות יותר ובעלות פירצות אבטחה (שכבר ידועות לכל).

על מנת להסתיר את גירסת הוורדפרס הוסיפו את הקוד הבא לקובץ functions.php:

function wpversion_remove_version() {
    return '';
}
add_filter('the_generator', 'wpversion_remove_version');

10. השתמשו בתוסף אבטחה

קיימים לא מעט תוספי אבטחה לוורדפרס אשר יבצעו חלק מאותן פעולות שציינו במדריך זה ויעזרו למנוע מתקפות Brute-Force ולחזק את אבטחת האתר.

תוספים אלו יעזרו לחסום רשתות זדוניות, לחסום פירצות אבטחה, לחייב בחירת סיסמאות חזקות, לסרוק שינויים בקבצי הליבה של וורדפרס, להטמיע חומת אש (Firewall), לעקוב אחר שינויי DNS ועוד…

מקור: Wordfence Real-Time Traffic

הנה מספר תוספי אבטחה מומלצים וידועים שאתם יכולים לבדוק:

• Sucuri Security
• iThemes Security
• Wordfence Security
• Simple Security Firewall

11. השתמשו תמיד בחיבור מאובטח

לא משנה מהיכן אתם מתחברים לשרת שלכם, תמיד יש  לוודא שהחיבור בו אתם משתמשים הוא חיבור מאובטח. רצוי להשתמש בהצפנת SFTP אם חברת האחסון שלכם מאפשרת זאת (או SSH) בכדי להתחבר לאתר.  על חברת האחסון בה האתר שלכם מאוחסן להיות תמיד מאובטחת ולספק את הכלים הבטוחים ביותר להתחבר לשרת.

כשאני אומר מאובטחת אני מתכוון לשימוש בגירסאות תומכות אך מעודכנות של PHP ו MySQL, לבודד חשבונות ולהשתמש בחומות אש. המנעו מחברות אחסון זולות ושיתופיות מכיוון ובין היתר – אתם יכולים להתקל בבעיות של שרתים עמוסים יתר על המידה וחלוקה של IP's.

12. בטלו את אפשרות עריכת הקבצים מלוח הבקרה של וורדפרס

משתמשים אשר מחוברים כמנהלי מערכת יכולים לערוך את קבצי ה php של התבניות והתוספים באתר. מומלץ לבטל את אפשרות זו ולערוך קבצים אך ורק באמצעות FTP.

על מנת לבטל את האפשרות הוסיפו את השורה הבאה לקובץ wp-config.php :

define('DISALLOW_FILE_EDIT', true);

13. בטלו רמזים הקשורים להתחברות משתמשים לאתר

כאשר אתם מנסים להתחבר לממשק הניהול של וורדפרס עם שם משתמש או סיסמה לא נכונים, וורדפרס תציג הודעה המציינת איזה מהפרטים שהכנסתם היה שגוי (שם המשתמש או הסיסמה).

הודעה זו מרמזת לאלו המנסים לפרוץ לאתר שלכם איזו מהנתונים אינו נכון. ניתן לשנות הודעות אלו להודעה כללית יותר ע״י הוספת הפונקציה הבאה לקובץ functions.php:

function no_wordpress_errors(){
  return 'Wrong Details - Try Again';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

14. השתמשו בתעודת SSL להצפנת נתונים

הטמעת תעודת SSL חשובה מאד בכדי לאבטח את לוח הבקרה של וורדפרס. השימוש ב SSL דואג לתקשורת נתונים מוצפנת ומאובטחת בין המשתמש, הדפדפן והשרת, ובכך מקשה על האקרים לנצל תקשורת זו ולגנוב מידע שהכנסתם בדפדפן כגון שם משתמש או סיסמה.

בהרבה מקרים האופציה לתעודת SSL היא אפשרות חינמית המגיעה עם הרכישה  של חבילת האחסון ובד״כ התעודה היא של LetsEncyipt.

תעודת SSL משפיעה גם על הדירוג של אתר הוורדפרס שלכם בגוגל ומדרגת אתרים בעלי תעודת SSL גבוה יותר מאשר אתרים ללא תעודה. דירוג גבוה יותר = יותר תנועה לאתר שלכם… הנה מאמר שכתבתי המדבר בהרחבה על תעודות SSL והאם יש צורך בהן באתרי וורדפרס.

תעודת SSL באה יחד עם המעבר החשוב לפרוטוקול HTTPS שלו יתרונות בפני עצמו מעבר לאבטחת התקשורת אותה הזכרנו קודם לכן.

15. הוסיפו Security Headers

Security Headers בוורדפרס נוצרו בכדי להגן על אפליקציות ממתקפות תכופות ונפוצות ללא הצורך להוסיף או לשנות משהו בקוד של האפליקציה שלכם. אז אומנם פעולה זו אחרונה כרונולוגית בסדר הופעתה בפוסט, אך היא בהחלט אחת מהפעולות הראשונות והחשובות שיש לבצע.

תנו מבט בפוסט שכתבתי על הוספת Security Headers לאתרי וורדפרס.

16. אבטחו את REST API של וורדפרס

ה-REST API מאפשר למפתחים לתקשר עם נתוני האתר, מה שמועיל במיוחד באתרים מבוססי Headless, קריאות AJAX ואינטגרציות. אם הוא לא מאובטח הוא עלול לחשוף מידע רגיש כמו שמות משתמשים, פוסטים שלא פורסמו ועוד.

כברירת מחדל, משתמשים שאינם מחוברים יכולים לגשת למגוון נקודות קצה ב-REST API, מה שעלול להוביל לאיסוף נתונים או התקפות Brute Force.

יש כמה דרכים להגביל ולאבטח את הגישה ל-REST API, כולל:

• לאפשר גישה רק למשתמשים מחוברים
• לחסום נקודות קצה מסוימות כמו /wp-json/wp/v2/users
• להסתיר מידע רגיש של משתמשים כמו כתובות אימייל ושמות תצוגה
• להשתמש בתוספי אבטחה כדי לשלוט בגישה ל-REST API מבלי לכתוב קוד

כדי ללמוד כיצד לאבטח את REST API בצורה נכונה  מבלי לשבור פונקציונליות של תבניות או תוספים – קראו את המדריך המלא על כיצד לאבטח את REST API של וורדפרס.

לסיכום

כפי שאתם רואים ישנן הרבה פעולות שניתן לבצע בכדי לחזק את האבטחה של אתר הוורדפרס שלכם. הרבה מההמלצות לוקחות רק מספר דקות על מנת להטמיע אותן, עשו זאת ובכך תוכלו להיות קצת יותר רגועים לגבי אבטחת האתר.

אני מקווה שמצאתם מדריך זה מועיל, הרגישו חופשי להגיב ולשתף ומאד אשמח אם תכתבו בתגובות על טיפים נוספים שיש ברשותכם כך שכולנו נוכל ללמוד 🙂