חיזוק אבטחה באתרי וורדפרס – אופטימיזציה וטיפים

נכון לעת זו, וורדפרס היא ללא צל של ספק מערכת ניהול התוכן הפופולרית ביותר. מתוך כל האתרים המשתמשים במערכות ניהול תוכן כלשהן, וורדפרס תופסת כ 58%, וחישוב קצר מראה כי השימוש בוורדפרס בכלל האתרים הקיימים הינו מעל 30% בקירוב.

מאחר ווורדפרס תופסת נפח כה גדול מהשוק, היא מביאה איתה סכנות אבטחה ומעלה את הסיכון לנסיון פריצה כאשר מתגלות פרצות אבטחה במערכת.

אין שליכם לקחת את נושא האבטחה בקלות ראש והאמינו לי שאינכם רוצים להגיע למקום בו האתר שלכם נפרץ. הקדימו תרופה למכה ואבטחו את אתר הוורדפרס שלכם בצורה המיטבית, השקעה של מספר שעות עבודה מקסימום.

מדריך זה נכתב לפני מספר שנים. אתם מוזמנים להמשיך ולקרוא, אך על זה להתעדכן והוא יעודכן בקרוב בכדי לשקף נכון יותר את הפעולות שיש לבצע.

אז במדריך פרקטי זה נראה יותר מ 20 פעולות שניתן לבצע בהקשר של אבטחת אתרי וורדפרס… נתחיל.

פגיעות בוורדפרס – Vulnerabilities

מאחר ומתבצעות פריצות רבות לאתרי וורדפרס, עולה השאלה האם זו מערכת מאובטחת דיה. אם לומר במשפט אחד, אז וורדפרס לכשעצמה, ובמיוחד קבצי הליבה  שלה כתובים נכון ומאובטחים כראוי כך שלא קל יהיה לנצל אלו בכדי לפרוץ לאתר שלכם.

רוב הפריצות המוצלחות הן בדרך כלל תוצאה של טעויות אנוש, בין אם זה קונפיגורציה שגויה או תחזוקה לא נכונה של וורדפרס. אי ביצוע עדכונים שוטפים לוורדפרס, לתוספים הקיימים באתר, והתקנת תוספים  שמאחוריהם מפתח לא מנוסה הם בדרך כלל הסיבות העיקריות לאבטחה לקויה ואתר פגיע.

אז היכן בעצם אתם הכי פגיעים כשמדובר באתר וורדפרס? על פי WP Scan, כ – 52% מכלל הפגיעות והפריצות שדווחו נבעו מתוספים של וורדפרס. קבצי הליבה של וורדפרס אחראים ל 37%, ותבניות וורדפרס אחראיות ל 11% מכלל הפריצות. נתון זה אושר גם על ידי Wordfence אשר דיווחו כי 55.9% מכלל הפריצות מקורן מתוספי וורדפרס.

25 פעולות לחיזוק אבטחה באתרי וורדפרס

אתם נמצאים בסיכון מתמיד שאתר שלכם ייפרץ או יותקף ולעולם לא תוכלו למנוע זאת ב 100%.  אך הדבר הנכון לעשות הוא להטמיע את הפרקטיקות הכי טובות על מנת להגן על אתר הוורדפרס שלכם ולמנוע עד כמה שניתן פריצות עתידיות.

במדריך זה ישנם מספר פעולות המתייחסות לאתרי וורדפרס אשר מותקנים על שרת לינוקס בלבד.

1. וודאו כי וורדפרס והתוספים הקיימים באתר מעודכנים

מאד מאד חשוב כי תשמרו על גירסת הוורדפרס שבאתר שלכם מעודכנת. כנ״ל לגבי התוספים בהם אתם משתמשים. אם אתם נמצאים מאחור ברמת גירסאות אתם חשופים לפריצות רבות יותר מכיוון והאקרים נוטים לחפש ולתקוף גירסאות ישנות.

הסיבה המרכזית לכך היא שבגירסאות ישנות ושאינן מעודכנות כבר ידועה הדרך לפרוץ וידועים ליקויי האבטחה בגירסאות אלו, ולכן פשוט יותר לפרוץ לאלו מאשר למצוא פירצות אבטחה חדשות בגירסאות חדשות.

מעבר לכך, השתמשו אך ורק בתוספים ותבניות עליהן אתם סומכים. התקינו תבניות ותוספים רק מהריפוזיטורי של וורדפרס ובחרו כאלו עם התקנות רבות ורק כאלו להם ציון גבוה בביקורות.

נושא  חשוב לא פחות – הקפידו לבצע גיבוי של האתר שלכם! גיבוי יאפשר לכם לשחזר את האתר במהירות במקרה האתר שלכם נפרץ.

2. השתמשו בסיסמאות חזקות

היו חכמים בבחירת שם המשתמש והסיסמה לממשק הניהול של וורדפרס. אין להשתמש ב admin כשם משתמש ויש לבחור סיסמה מורכבת. זוהי כנראה אחת הפעולות החשובות ביותר למניעת פריצות, ובצורה אירונית גם הפעולה הכי פשוטה לביצוע.

ולמרות זאת, הרבה בעלי אתרים בוחרים סיסמה פשוטה כגון 1234567 על מנת שיהיה להם קל לזכור סיסמה זו. אין לעשות זאת, בחרו בסיסמה מורכבת ושמרו אותה במקום בטוח.

הצטרפו לרשימת התפוצה!

3. השתמשו בתוסף אבטחה

קיימים לא מעט תוספי אבטחה לוורדפרס אשר ״יינעלו״ את האתר שלכם ויעזרו לכם למנוע מתקפות Brute-Force (בין היתר).

תוספי אבטחה יאפשרו לכם לחסום רשתות זדוניות, לחסום פירצות אבטחה, לחייב בחירת סיסמאות חזקות, לסרוק שינויים בקבצי הליבה של וורדפרס, לראות אילו קבצים השתנו, להטמיע חומת אש (Firewall), לעקוב אחר שינויי DNS ועוד…

הנה מספר תוספי אבטחה מומלצים וידועים שאתם יכולים לבדוק. אלו אגב מבצעים הרבה מהפעולות שאני מציין בפוסט זה:

4. חסמו בוטים שאינם רצויים (Block Bad Bots)

ישנם בוטים, תולעים ושטויות אחרות אשר גונבים רוחב פס ומשבשים את האנליטיקות של האתר שלכם. תוכלו למצוא רשימה של מרביתם באתר botreports.com. רוב תוספי האבטחה המוזכרים מעלה עושים עבודה מצויינת בחסימת אלו.

עם זאת, לפעמים תרצו לעשות זאת בעצמכם וברמת השרת. אם תרצו לחסום מספר "User-Agents" במקביל, תוכלו לעשות זאת על ידי הוספת הקוד הבא לקובץ .htaccess. בקוד מצורפים מספר בוטים שניתן / רצוי לחסום:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR]
RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:craftbot@yahoo.com [OR]
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR]
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR]
RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR]
RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR]
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR]
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus
RewriteRule ^.* - [F,L]

הזהרו ובצעו גיבוי לקובץ htaccess לפני שאתם משנים אותו. שגיאה קטנה בקלות יכולה להפיל את האתר שלכם.

5. השתמשו תמיד בחיבור מאובטח

לא משנה מהיכן אתם מתחברים לשרת שלכם, תמיד יש  לוודא שהחיבור בו אתם משתמשים הוא חיבור מאובטח. רצוי להשתמש בהצפנת SFTP אם חברת האחסון שלכם מאפשרת זאת (או SSH) בכדי להתחבר לאתר.  על חברת האחסון בה האתר שלכם מאוחסן להיות תמיד מאובטחת ולספק את הכלים הבטוחים ביותר להתחבר לשרת.

כשאני אומר מאובטחת אני מתכוון לשימוש בגירסאות תומכות אך מעודכנות של PHP ו MySQL, לבודד חשבונות ולהשתמש בחומות אש. המנעו מחברות אחסון זולות ושיתופיות מכיוון ובין היתר – אתם יכולים להתקל בבעיות של שרתים עמוסים יתר על המידה וחלוקה של IP's.

6. בדקו הרשאות של תיקיות וקבצים

חשוב כי ההרשאות לקבצים ולתיקיות באתר הוורדפרס שלכם מוגדרים נכון. ספרייה עם הרשאה 777 יכולה לאפשר להאקרים להעלות קובץ לאותה ספרייה ואף לשנות קובץ קיים. לפי הדוקומנטציה של וורדפרס ההרשאות הבאות הן ההרשאות הנכונות:

  • כל הספריות צריכות להיות 755 או 750
  • כל הקבצים צריכים להיות 644 או 640
  • הקובץ wp-config.php צריך להיות 600

בדקו את המאמר הבא ב WordPress.org על מנת לקבל מידע נוסף על הדרך לשנות ההרשאות אלו. במידה ואינכם בטוחים כי ההרשאות באתר שלכם נכונות, או אינכם יודעים כיצד לשנות אותן, בקשו מחברת האחסון שלכם לבדוק זאת עבורכם.

7. אבטחו את מסד הנתונים

מעבר להרשאות הקבצים שהזכרנו בסעיף הקודם, ניתן ורצוי גם לחזק את האבטחה של מסד הנתונים. פעולה אחת שניתן לעשות היא לשנות את קידומת הטבלאות במסד הנתונים (table prefix).

כברירת מחדל וורדפרס משתמשת בקיומת wp_. אם תשנו זאת למשהו כגון sa4vv_ יהיה לבוטים ופורצים הרבה יותר קשה לנחש זאת. ניתן לשנות את קידומת הטבלאות במסך ההתקנה של וורדפרס:

אבטחת מסד הנתונים בוורדפרס

במידה וכבר וורדפרס מותקנת, תוכלו להשתמש באחד מהתוספים הבאים על מנת לשנות את קידומת הטבלאות או לשנות זאת דרך phpMyAdmin.

שינוי קידומת לאחר מעשה היא כי פעולה שיכולה להסתבך ותרומתה מועטה לשיפור האבטחה באתרי וורדפרס. תנו מבט במאמר שינוי קידומת טבלאות לא עוזרת לשיפור אבטחת אתר וורדפרס.

8. חסמו XSS

באפשרותכם להוסיף קוד זה בכדי לחסום מספר סוגים של התקפות מסוג (XSS (cross-site scripting. בכדי להגן על עצמכם מ״הזרקות״ סקריפטים (scripts injections) ונסיונות לשחק עם המשתנה הגלובלי של PHP, הוסיפו את הקוד הבא לקובץ .htaccess:

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule .* index.php [F,L]

9. הסתירו את גירסת הוורדפרס שלכם

עדכוני גירסה של וורדפרס בדרך כלל מכילים עדכוני אבטחה. אם תתנו מבט בקוד המקור של אתר הוורדפרס שלכם, תמצאו כי גירסת הוורדפרס שאתם משתמשים בה גלויה לכל.

אינפורמציה הזו נגישה להאקרים ונותנת להם מידע במידה והם מחפשים לתקוף אתרים המשתמשים בגירסאות וורדפרס ישנות יותר ובעלות פירצות אבטחה (שכבר ידועות לכל).

הסתירו את גירסת הוורדפרס

על מנת להסתיר את גירסת הוורדפרס הוסיפו את הקוד הבא לקובץ functions.php:

remove_action('wp_head', 'wp_generator');

ניתן לחילופין להשתמש בקוד הבא:

function wpversion_remove_version() {
    return '';
}
add_filter('the_generator', 'wpversion_remove_version');

בנוסף, רצוי כי תמחקו את הקובץ readme.html הנמצא בתיקייה הראשית של התקנת הוורדפרס שלכם מכיוון וגם הוא מכיל את גירסת הוורדפרס שלכם.

10. אבטחו את הקובץ wp-config.php

הקובץ wp-config.php מכיל את כל האינפורמציה הנחוצה לפולשים על מנת לקבל גישה למסד הנתונים שלכם. זהו הקובץ החשוב ביותר בהתקנת הוורדפרס שלכם. אבטחו את הקובץ ומנעו גישה אליו על ידי הוספת ההקוד הבא לקובץ .htaccess:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

עוד מידע על אופטימיזציה לקובץ wp-config.php בוורדפרס בקישור המצורף.

11. בטלו את הגישה לתיקיית wp-includes

עוד בעיה ידועה היא שבעלי אתרים נוטים להשאיר את הגישה לתיקיית http://domain.co.il/wp-includes/ פתוחה. האקרים יכולים לנצל זאת על ידי בדיקה של הקבצים בתיקייה זו ואף לגלות את גירסת הוורדפרס שלכם. ניסיון גישה לתיקייה זו צריך להחזיר הודעת שגיאה 403 או 404.

על מנת למנוע גישה לתיקייה זו הוסיפו את הקוד הבא לקובץ .htaccess:

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

12. בטלו XML-RPC

מגירסת וורדפרס 3.5 ומעלה, אפשרות XML-RPC פתוחה כברירת מחדל. זו מאפשרת לכם להתחבר מרחוק לאתר הוורדפרס שלכם באמצעים שונים. כמו כן היא מאפשרת trackbacks & pingbacks באתר שלכם. לצערינו, האקרים יודעים לנצל זאת על מנת לבצע מתקפות DDoS.

אתם יכולים לבטל XML-RPX על ידי שימוש בתוסף פשוט הנקרא Disable XML-RPC או על ידי הוספת השורות הבאות לקבוץ .htaccess:

## block any attempted XML-RPC requests
<Files xmlrpc.php>
order deny,allow
deny from all
allow from 123.123.123.123
</Files>

13. בטלו JSON Rest API

הפונקציונליות של JSON Rest API הוצגה לראשונה בגירסת וורדפרס 4.4. ב – Rest API נעשה שימוש על ידי לא מעט מפתחי תוספים בכדי לקבל מידע באמצעות בקשות GET, כמו כן, פונקציונליות זו מאפשרת את השימוש ב WordPress Rest API. נורא נחמד, אך אפשרות זו פותחת את האתר שלכם למתקפות DDoS וצרות אחרות.

JSON Rest API יכול להקל על האקרים כאלו ואחרים לגלות מידע על המשתמשים שלכם. לדוגמה – הוסיפו /wp-json/wp/v2/users לאחר כתובת האתר שלכם וראו JSON מסודר של כל המשתמשים באתר שלכם והפרטים שלהם.

אמנם שם המשתמש והסיסמה אינם מוצגים, אך חשבו כל כך – במידה ויש לי את השם המלא של אחד המשתמשים די בקלות ניתן למצוא את האימייל שלו ברשת.

ניתן בפשטות לבטל פונקציונליות זו על הוספת הקוד הבא לקובץ functions.php:

function sv_no_rest_api_4_7( $access ) {

    return new WP_Error( 'rest_cannot_access', 'Soooooryyyy', array(
        'status' => 403
    ) );

}
add_filter( 'rest_authentication_errors', 'sv_no_rest_api_4_7' );

יש לשים לב כי במצבים מסויימים ביטול JSON Rest API יכול לשבור תוספים מסויימים (במידה והם משתמשים בפונקציונליות זו), עם זאת ובדרך כלל – במידה וזאת נחוצה לאותם תוספים תקבלו אזהרה כאשר תבטלו את הפונקציונליות.

נציין בנוסף כי אתם משתמשים בוורדפרס בגירסה 5.0+ אין לבצע פעולה זו מכיוון והעורך החדש בגירסה זו (גוטנברג) משתמש באותו Rest API.

התוסף Contact Form 7 למשל עושה שימוש ב Rest API. אם אתם נעזרים ב CF7 אני מציע כי תשתמשו בתוסף Disable Rest API שמאפשר לכם להגדיר בקלות אילו endpoints להשאיר פעילים ואילו לא.

14. בטלו את אפשרות עריכת הקבצים מלוח הבקרה של וורדפרס

משתמשים אשר מחוברים כמנהלי מערכת יכולים לערוך את קבצי ה php של התבניות והתוספים באתר. מומלץ לבטל את אפשרות זו ולערך קבצים אך ורק על ידי SFTP.

ביטול אפשרות עריכת קבצים בלוח הבקרה של וורדפרס

על מנת לבטל את האפשרות הוסיפו את השורה הבאה לקובץ wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

15. מנעו גישה לתיקיות האתר

רוב אתרי הוורדפרס אינם מבטלים האפשרות לצפייה בתיקיות האתר. זה כולל את תיקיית התוספים ותיקיית ה media. מאחר ואינכם רוצים כי לאנשים תהיה אפשרות לדפדף בתיקיות האתר בשרת הוסיפו את השורה הבאה לקובץ .htaccess הנמצא בספרייה הראשית של האתר:

Options All -Indexes

בנוסף, וודאו כי ישנם קבצי index.php ריקים בתיקיית wp-content/themes ובתיקיית wp-content/plugins על מנת להסתיר את התוכן של תיקיות אלו.

16. בטלו רמזים הקשורים להתחברות משתמשים לאתר

כאשר אתם מנסים להתחבר לאתר וורדפרס עם שם משתמש או סיסמה לא נכונים, וורדפרס תציג הודעה האומרת לכם בין אם שם המשתמש אינו נכון או הסיסמה. זה מרמז לאנשים אשר מנסים לפרוץ לאתר שלכם איזו מהנתונים אינו נכון. ניתן לשנות הודעות אלו להודעה כללית יותר ע״י הוספת הפונקציה הבאה לקובץ functions.php:

function no_wordpress_errors(){
  return 'הנתונים שגויים, אנא נסו שנית';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

17. הגבילו את מספר נסיונות ההתחברות

מפעם לפעם האקרים מנסים לפרוץ לאתר הוורדפרס שלכם על ידי ניחוש הסיסמה. כברירת מחדל, וורדפרס מאפשרת לנסות סיסמאות שונות ללא הגבלה כלל. ניסיון פריצה זה ידוע כמתקפת Brute-Force. ניתן לשנות זאת על ידי הוספת שכבה נוספת של הגנה לאתר הוורדפרס שלכם.

ישנם לא מעט תוספים המאפשרים הגבלה של מספר ניסיונות ההתחברות לוורדפרס, אחד הידועים הינו Limit Login Attempts. כמו כן, רוב תוספי האבטחה המוזכרים מעלה מאפשרים לעשות זאת.

18. שנו את ה Login URL ללוח הבקרה של וורדפרס

בכדי להמנע מהתקפות Brute Force, יהיה נכון לשנות את כתובת הגישה לממשק הניהול של וורדפרס. זאת מכיוון והאקרים – שיודעים כמו כולנו כי הגישה לממשק הניהול הינו על ידי הכתובת wp-admin, מנסים כל מיני קומבינציות של שמות משתמש וסיסמאות על מנת לנסות ולפרוץ לאתר הוורדפרס שלכם.

נכון יהיה להקשות עליהם בכך שתשנו את כתובת הגישה לממשק הניהול וזאת באמצעות תוסף מצויין וקל לתפעול. תנו מבט במדריך קצר המסביר כיצד לשנות את ה Login URL ללוח הבקרה של וורדפרס.

19. מנעו קישור חיצוני לתמונות שלכם (hotlinking)

אמנם אין קשר ישיר לאבטחה, אך זה עדיין מעצבן וחשבתי שנכון לרשום זאת פה. לא רק שאנשים יכולים לקשר לתמונות באתר שלכם (ללא רשותכם), הם גם עושים זאת על חשבון רוחב הפס שלכם. מצב זה נקרא hotlinking ובכדי למנוע זאת הוסיפו את הקוד הבא לקובץ .htaccess:

# Prevents image hotlinking
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite2.com [NC]
RewriteRule \.(jpe?g?|png|gif|ico|pdf|flv|swf|gz)$ - [NC,F,L]

במידה ואתם משתמשים ב cPanel דעו כי ישנה אפשרות לחסום hotlinking דרכו…

20. הסתירו את שם המשתמש שלכם

כברירת מחדל בוורדפרס, נורא קל לגלות את שם המשתמש שלכם. מכיוון שברוב המקרים הכותב הראשי של האתר הוא גם מנהל האתר (administrator), אז נורא בקלות ניתן למצוא את שם המשתמש של מנהל האתר.

זה לא טוב חברים. זה מקל על פורצים ומספק מידע אשר מקל עליהם לתקוף את האתר מכיוון וברגע שיש ברשותם את שם המשתמש, הדבר היחידי שנשאר להם לעשות הוא לגלות את הסיסמה שלכם.

למזלנו ניתן לפתור זאת בקלות על ידי הוספת מעט קוד לאתר. קוד זה יגרום לכך שבמידה ותנסו לגלות את שם המשתמש על ידי הוספת ?author=1 בסוף ה URL, זה לא יציג את שם המשתמש שלכם אלא יבצע הפנייה לדף הבית של אתר הוורדפרס שלכם.

הוסיפו את הקוד הבא לקובץ functions.php:

<?php
/* prevents hackers from getting your username by using ?author=1 at the end of your domain url */
add_action('template_redirect', savvy_template_redirect);

function savvy_template_redirect() {
    if (is_author()) {
        wp_redirect( home_url() ); exit;
    }
}
?>

21. ודאו כי mod_security מופעל

המודול mod_security הוא מודול אבטחה מאד שימושי ל apache שפותח על ידי בחור בשם Ivan Ristic, מחבר הספר Apache Security. סביר להניח כי מודול זה מופעל אצלכם כברירת מחדל במידה והנכם משתמשים בשרת שיתופי.

לא נרחיב על מודול זה אך חשבתי כי נכון לציין אותו. דעו כי ישנה אפשרות להפעיל ולכבות מודול זה בצורה פשוטה במידה ואתם משתמשים ב cPanel:

mod-security-cpanel

22. הוסיפו תעודת SSL להצפנת נתונים

הטמעת תעודת SSL (Secure Socket Layer) היא אחד הדרכים היותר חזקות בכדי לאבטח את לוח הבקרה של וורדפרס. השימוש ב SSL דואג לתקשורת נתונים מוצפנת ומאובטחת בין המשתמש, הדפדפן והשרת, ובכך מקשה על האקרים לפרוץ או לחדור לתקשורת זו ולגנוב מידע שהכנסתם בדפדפן כגון שם משתמש או סיסמה.

בהרבה מקרים האופציה לתעודת SSL היא אפשרות חינמית המגיעה עם הרכישה  של חבילת האחסון ובד״כ התעודה היא של LetsEncyipt.

תעודת SSL משפיעה גם על הדירוג של אתר הוורדפרס שלכם בגוגל ומדרגת אתרים בעלי תעודת SSL גבוה יותר מאשר אתרים ללא תעודה. דירוג גבוה יותר = יותר תנועה לאתר שלכם… הנה מאמר שכתבתי המדבר בהרחבה על תעודות SSL והאם יש צורך בהן באתרי וורדפרס.

תעודת SSL באה יחד עם המעבר החשוב לפרוטוקול HTTPS שלו יתרונות בפני עצמו מעבר לאבטחת התקשורת אותה הזכרנו קודם לכן.

23. השתמשו בגירסה האחרונה של PHP

PHP היא השפה עליה וורדפרס בנויה כך ששימוש בגירסתה האחרונה בשרת שלכם מאד חשובה. כל גירסה מז׳ורית של PHP נתמכת בד״כ כשנתיים לאחר שיחרורה. בזמן זה משתחררות המון גירסאות מינוריות ובהן תיקונים רבים של באגים ושל פירצות אבטחה.

כלומר בשלב הנוכחי כל מי שמשתמש בגירסת PHP7.0 או גירסה קודמת לה הוא בעל חשיפה הרבה יותר גבוהה לפריצות. ולמרות זאת – נראה כי נכון לזמן עדכון מדריך זה יותר מ 50% ממשתמשי וורדפרס עדיין משתמשים בגירסת PHP5.6 או גירסה נמוכה ממנה. אם נוסיף את אלו שמתשמשים בגירסת PHP7.0 מדובר על כ 75% שמשתמשים בגירסאות PHP שאינן נתמכות יותר וזהו נתון די מפחיד.

אז וודאו כי אתם משתמשים בגירסה האחרונה ביותר של PHP אותה חברת האחסון שלכם מאפשרת. יש לציין כי ההבדל בביצועים בין הגירסאות הוא מאד משמעותי ושימוש בגירסה חדשה יותר של PHP תשדרג את מהירות וביצועי אתר הוורדפרס שלכם.

24. בחרו את חברת האחסון הכי יקרה שאתם יכולים להרשות לעצמכם

אתם יכולים לבצע כל הטריקים הכי עדכניים בנושא אבטחה, אך אם אין מאחוריכם חברת אחסון טובה, המאמצים שלכם לא יעזרו יותר מדי. לפי דו״ח שפורסם על ידי WP White Security, כ – 41% מכל אתרי הוורדפרס נפרצים בעקבות פירצות אבטחה של חברת האחסון עצמה.

אז אם אתם משתמשים בשרת שיתופי, וודאו עם חברת האיחסון כי קיים בידוד לחשבון (Account Isolation). אפשרות זאת תמנע מאתר נגוע הקיים על השרת להשפיע על אתר הוורדפרס שלכם.

אך רעיון הרבה יותר טוב יהיה לעבוד עם חברת אחסון ייעודית לוורדפרס. בשרתי אחסון מנוהלים המתמחים בוורדפרס, תהיה סבירות גבוהה יותר למצוא חומת אש (Firewall) המתאים לוורדפרס, כמו גם גירסאות PHP ו MySQL עדכניות, סריקה שגרתית של נוזקות (Malewares), שרת שמותאם ייעודית לוורדפרס‎ וצוות של אנשי תמיכה שמכירים את וורדפרס על בוריה.

לסיכום

מעבר לסעיפים מעלה, אל תשכחו את הדברים הבאים והקפידו לבצע אלו על בסיס קבוע:

  • שמרו על המחשב שלכם נקי מוירוסים ועדכנו את תוכנת האנטי וירוס שלכם.
  • תמיד שמרו גיבויים (של קבצי האתר ומסד הנתונים).
  • תמיד השתמשו בסיסמאות חזקות ושנו אותם אחת לתקופה ואל תשמרו סיסמאות ל FTP וכדומה בדפדפן שלכם.
  • כשניתן, ובמידה ואתם משתמשים בתבניות, השתדלו להצמד לתבניות premium בעל דירוג גבוה.

אבטחה של אתרי וורדפרס אינו עניין של מה בכך ואין לקחת זאת בקלות ראש. כפי שאתם רואים במאמר זה, ישנם הרבה מאד דרכים על מנת לחזק את האבטחה של אתר הוורדפרס שלכם. הרבה מההמלצות לוקחות רק מספר דקות על מנת להטמיע אותן, עשו זאת ובכך תוכלו להיות קצת יותר רגועים לגבי אבטחת אתר הוורדפרס שלכם.

אני מקווה שמצאתם מדריך זה מועיל, הרגישו חופשי להגיב ולשתף ומאד אשמח אם תכתבו בתגובות על טיפים נוספים שיש ברשותכם כך שכולנו נוכל ללמוד 🙂

רועי יוסף
רועי יוסף

שמי רועי יוסף, מפתח אתרי וורדפרס בעל תשע שנות ניסיון. אני מפתח מנוסה המייצר תבניות יעודייות ותפורות ללקוח על בסיס עיצוב. אוהב טיפוגרפיה, צבעים וכל מה שבינהם ומכוון לספק אתרים רספונסיבים עם ביצועים גבוהים, בעלי קוד ולידי, סמנטי ונקי.

36תגובות...
  • רוב 20 באוקטובר 2016, 12:24

    התוסף All In One WP Security & Firewall נחשב לטוב?

    • רועי יוסף 21 באוקטובר 2016, 4:41

      לא ניסיתי תוסף זה מעולם האמת, אך ממה ששמעתי / קראתי הוא בהחלט תוסף אבטחה ראוי…

      • רוב 25 באוקטובר 2016, 8:53

        תודה

    • adgr 25 בנובמבר 2018, 13:45

      שלום.

      לגבי תוסף All in One SEO Pack מאת: Michael Torbert. כמקדם מזה 15 שנים. אני לאחרונה משתמש בו לא מעט. הוא טוב, עד טוב מאוד. תלוי מה הידע וההבנה שלך בקידום.

      באופן בסיסי מאפשר כתובות קנוניות, טייטלים, תיאור, טאגים, מפת אתר, בחירת סוגים דפים לאינדוקס, צורת תצוגה, הטמעת גוגל אנליטיקס

  • עופר 19 ביוני 2017, 14:58

    שלום רועי, תודה על הכתבות האיכותיות.
    כנראה שנפגעתי מהתקפה וכל נסיון התחברות שלי מוביל לעמוד הבית הרגיל. אין לי אפשרות להכנס למערכת הניהול. כרגע הקבצים שלי ב DIRECT ADMIN ואני לא יודע איך להביא למצב של איחזור הסיסמא שלי משם.

    האם לדעתך זה יכול לעזור ? האם תוכל לסייע לי ולמי שעוד נפגע בשלבים איך לעשות זאת דרך ה DIRECT ADMIN ? חיפשתי בגוגל וכל המדריכים הם על CPANEL..

    תודה מראש,
    עופר.

    • רועי יוסף 19 ביוני 2017, 15:48

      היי עופר 🙂
      איני מבין מה יעזור לך לאחזר סיסמא, האם כשאתה מנסה להתחבר למערכת הניהול של וורדפרס אתה מקבל הודעה שהפרטים שגויים? אם זה לא המצב שחזור סיסמא לא יעזור לך..

      • עופר 19 ביוני 2017, 16:18

        תודה על התגובה המהירה,
        אני לא מקבל הודעת שגיאה אלא מיד מתבצע REDIRECT לעמוד הבית. כאילו נכנסתי מ"בחוץ".

        • רועי יוסף 19 ביוני 2017, 17:17

          אז כפי שאמרתי אחזור סיסמא לא יעזור לך, הפיתרון נמצא במקום אחר..

  • סלבה איסקוב 31 במרץ 2018, 12:20

    שלום רועי תודה רבה על המדריך אך יש לי שגיאה 500 בגלל שניסיתי להתעסק בקוד אפילו שאני לא יודע?
    אתה אולי יכול לתת לי הסבר איפה הטעות שלי? אני פשוט הוספתי בכל מקום שכתבת מבלי לחשוב פעמיים ואחד מתחת על השני.
    תודה רבה לך.

    • slava 31 במרץ 2018, 12:23

      עובד לי עכשיו אחרי שניקיתי את פאקטשיאון אתה אולי יודע מה הבעיה? שעשיתי?

      • רועי יוסף 2 באפריל 2018, 21:53

        היי סלבה,

        קשה לי לומר מה הבעיה שנתקלת בה ומדוע אתה מקבל שגיאה 500. אני מציע שתעבור אחד אחד על הסעיפים ותבדוק איזה מהם מפיל את האתר….

        אתה מוזמן לשתף איזה מהם היה בעייתי ואבדוק..

        • SlavaIskov 14 במאי 2018, 20:32

          תודה רבה על המדריך והשגיאה 500 שאני מקבל זה בגלל הבוטים ניסיתי הכל אף לא עובד ולא יודע למה

  • אלחנן 22 במאי 2018, 10:15

    האם Wordfence מטפל בחלק מהעניינים האלה בעצמו?

    • רועי יוסף 22 במאי 2018, 10:18

      כן, בחלק מהעניינים אך הוא אינו פתרון כולל…

  • כפיר 17 באוגוסט 2018, 18:00

    מאמר מעולה. כל הכבוד על ההשקעה.

  • אלחנן לבבי 1 בספטמבר 2018, 23:03

    לדעתי disable rest api פוגע בשליחה של טפסי CF7 בניידים.

    כיוון שCF7 מאוד פופולרי, כדאי לציין שצריך לאפשר עבורו rest api דרך האפשרויות של disable rest api. בנוגע לשאר התוספים לא נתקלתי בבעיות.

    • רועי יוסף 13 בספטמבר 2018, 13:24

      הוא פוגע באופן כללי, לא רק בניידים אלחנן ובהחלט שווה לציין זאת. אעדכן את המאמר בהקדם…

  • יניב ששון 29 בספטמבר 2018, 10:19

    מאמר מושקע ומקיף את כל האפשרויות, כל הכבוד על התרומה.

    תודה רבה

  • רוני 31 באוקטובר 2018, 12:33

    היי, תודה רבה!! מפורט מאוד. לגבי סעיף 12 – בטלו את הגישה לתיקיית wp-includes, הדבקתי את הקוד…הוא הסתיר הרבה מהקבצים אבל חלקם עדיין מוצגים. האם יש קוד שחוסם גם אותם?

    תודה!

    • רועי יוסף 31 באוקטובר 2018, 12:40

      איזה קבצים לדוגמה עדיין מוצגים? בעיקרון המטרה היא להסתיר קבצי PHP.

  • adgr 25 בנובמבר 2018, 13:48

    לגבי אתר וורדפרס ופישינג.חברת האחסון טוענת שיש פריצה לאתר שלי, וכל פעם מבוצע פישינג לאתר.
    מגיעים לאתר ומופנים מייד לאתר החטפן אפילו לשניים. האם אפשר למחוק , לתקן, לפתור בעיה זו ?
    תודה.

    • רועי יוסף 15 בדצמבר 2018, 18:24

      סליחה על התגובה המאוחרת ואני מניח שנפתרה הבעיה כי בהחלט אפשר. תעזר בבעל מקצוע..

  • שלומי 19 בפברואר 2019, 19:53

    אחלה פוסט, כל הכבוד.
    שאלה, לגבי מניעת גישה לתיקיות באתר, אני צריך לסגור עם תג כלשהו? כי אני רואה שעדיין ניתן לצפות ברשימת התיקיות והקבצים?

    Options All -Indexes

  • יוני 8 באפריל 2019, 10:10

    תודה על המדריך המשוקע, יש לך אולי מדריך או הסבר מה עושים במקרה שכבר קיימת מתקפת DDOS על האתר?

    • רועי יוסף 8 באפריל 2019, 13:53

      תודה יוני,

      לצערי אין מדריך על הנושא בשלב הנוכחי….

  • אהרן 26 ביולי 2019, 1:03

    לגבי פתרון 21 ניסיתי להעתיק את הקוד (דרך העורך של וורדפרס) וזה התשובה שקבלתי בנסיון לשמור: "השינויים בקוד PHP שוחזרו בגלל שגיאה בשורה 36 בקובץ wp-content/themes/scoop/functions.php. נא לתקן ולשמור שנית.״

    syntax error, unexpected '<', expecting end of file"

    תודה אהרן

    • רועי יוסף 10 באוגוסט 2019, 17:07

      היי אהרון, שים לב שאינך מעתיק את תגית ה PHP הפותחת והסוגרת בקוד זה.

  • שיר ש 19 באוגוסט 2019, 16:12

    היי, האם יש הגדרה שלא מאפשרת לגשת לפריט ב MEDIA של WORDPRESS , ממסמך WORD (באמצעות לינק) ?

  • שיר ש 19 באוגוסט 2019, 16:53

    תודה ….
    מקבלת 403 בפניה מ WORD לרכיב ב MEDIA …

    • רועי יוסף 19 באוגוסט 2019, 17:06

      את מדברת על קישור רגיל מוורד לקובץ Media כלשהו בוורדפרס? מה הקישור? (אנא המשיכי את השיחה באותה תגובה ואל תפתחי תגובה חדשה)..

      • שיר ש 20 באוגוסט 2019, 9:12

        תודה ….
        מקבלת 403 בפניה מ WORD לרכיב ב MEDIA …

        האם תרצה ממש את הלינק שלקחתי מה MEDIA?

      • שיר ש 20 באוגוסט 2019, 12:31

        אכן קישור רגיל שאני לוקחת מהמדיה של WP ושותלת בוורד – לא נפתח שם.

        • רועי יוסף 20 באוגוסט 2019, 12:51

          בדקי את הגדרות ב WORD… לא מאמין שזה קשור לאתר..

  • זאב פינקלשטיין 13 במאי 2020, 14:05

    שלום
    מאמר מעולה!

    ברשותי אתר וורדפרס, איבטחתי את האתר בעבר, לאחר התעסקויות רבות בלוח הבקרה של וורדפרס נוכחתי לדעת כי האתר אינו מאובטח (הפך לHTTP מHTTPS)

    א. האם יתכן כי התעסקות בלוח הבקרה של וורדפרס לאתר יסיר את האבטחה, או שהאפשרות היחידה היא שפג תוקפנ של תעודת האבטחה? (לא אני רכשתי את התעודה לאתר לכן אינני יודע באיזה חברה מדובר)

    ב. האם תוכל להמליץ לי על חברות שיוכלו לבצע אבטחה לאתר שלי?
    מדובר על אתר משרד הנדסה ולא על אתר מכירות המצריך אבטחה כבדה

    האתר הוא: http://WWW.SHIRA-E.COM

    • רועי יוסף 17 במאי 2020, 13:31

      היי זאב,

      כן – ייתכן ששינויים בלוח הבקרה יגרמו לבעיות HTTPS. אתה מוזמן לדבר איתי לגבי אבטחה האתר דרך עמוד הצור קשר באתר.

השאירו תגובה

 

פעימות
Up!
לבלוג