אבטחת אתר וורדפרס – iThemes Security

הקדמה

אבטחת מידע בכלל ואבטחת אתרי וורדפרס הינם נושא בו אני נוגע לעתים תקופות יחסית, כבר כתבתי לא פעם על אבטחת מידע בוורדפרס, אך מכיוון שמדובר בנושא מאוד דינמי, אני חושב שתמיד יש מקום לעדכונים.

היום אני הולך לספר לכם על תוסף חדש בשם iThemes Security שייעזור לכם לאבטח את אתר הוורדפרס שלכם בצורה מעולה ולדעתי מהווה היום את התוסף הטוב ביותר לאבטחת אתרי וורפדרס.

אבל לפני כן, בו ונדבר קצת על אבטחת אתר וורדפרס באופן כללי.

למה וורדפרס "קורצת" לפורצים ?

וורדפרס בהיותה מערכת מאוד פופולרי, מהווה קרקע פורייה להאקרים, אשר מנסים בקדחנות למצוא בה פריצות אבטחה, אך חשוב להבין – רוב הפריצות לאתרי וורדפרס, לא נעשות בצורה מכוונת או אישית לאתר ספציפי.

לרוב, מדובר על סקריפטים אשר רצים כל הזמן (תוכנות), ומחפשים אתרי וורדפרס אקראים. ברגע שהם מוצאים את וורדפרס, הם מנסים לפרוץ אותו בשלל שיטות.

התקפות כוח ברוטאלי:

התקפות אלה, הן התקפות מאוד פופלריות – הפורץ, מזהה שמדובר באתר וורדפרס. הוא סורק את המשתמשים אשר קיימים במערכת (מאוד קל למצוא את המשתמשים אשר רשומים באתר הוורדפרס שלכם) ומחפש את המשתמש שנקרא Admin, או, אם אין בנמצא כזה – את המשתמש עם ה ID מספר 1 (כלומר המשתמש הראשון שנרשם לאתר).

ברגע שהמשתמש נמצא, יפעיל הפורץ סקריפט/תוכנה שתריץ עשרות סיסמאות בדקה מתוך מאגר סיסמאות של עשרות אלפי סיסמאות. התוכנה תפסיק ברגע שתמצא את הסיסמא הנכונה (או שייגמר המאגר).

ההתקפה הזאת אפקטיבית בעיקר עם יש לכם סיסמא שכיחה יחסית (כמו iLuvIc3cr3am).

ואם אין הגנה שמונעת הרצת יותר מ X ניסיונות התחברות בפרק זמן מסוים (מייד נגיע לזה).

פריצות אבטחה /דלת אחורית:

וורדפרס, בניגוד לאולי למה שחשבתם, נחשבת למערכת מאוד מאובטחת וטובה. החבר'ה מאחוריה דואגים לעדכן אותה תמיד, ולדאוג לסגור פריצות אבטחה במהירות שיא. אבל, חורי אבטחה קיימים תמיד. הסכנה העיקרית היא לאתרים אשר לא נוהגים לעדכן לעיתים תקופות את האתר שלהם ואת התוספים שלהם.

האקרים תמיד מנסים למצוא פריצות אבטחה בוורדפרס ובתוספים שלה, לכן מאוד חשוב לעדכן את האתר שלכם, ולעדכן את כל התוספים, וגם לדאוג שהתוספים שאתם מתקינים יהיו תוספים איכותים, שמתעדכנים בצורה תדירה. זה יימנע אחוז גדול מאוד מבעיות האבטחה באתר שלכם

התוסף iThemes Security

התוסף iThemes Security בעבר נודע בשם WP Better Security, הוא נקנה ע"י חברת iThemes אשר שכתבה אותו מחדש והיום הוא מהווה את התוסף הטוב ביותר לדעתי לאבטחת אתר וורדפרס.

הוא מגיע בשתי גרסאות – גרסה בתשלום וגרסה חינמית, במדריך זה אדבר על הגרסה החינמית. הגרסה בתשלום כוללות עוד שתי אופציות חשובות , חסימת גולשים מארצות מסוימות ו  Two Step Authentication, אבל מלבד זאת היא זהה ולכן המדריך הזה רלוונטי גם אליה.

התקנת התוסף:

ההתקנה של התוסף היא פשוטה ביותר, פשוט לחפש את התוסף  iThemes Security במאגר התוספים של וורדפרס ולהתקין אותו. ניתן גם להוריד אותו ישירות מכאן.
לאחר ההתקנה יצוץ חלון כחול למעלה, יש ללחוץ על Secure Site Now, זה יעביר לדף הניהול של התוסף.

הגדרות ראשוניות:

בחלון שיצוץ יהיה שלושה שלבים, אני ממליץ לעשות את כולם:

  1. גיבוי מסד הנתונים למקרה שמשהו יישתבש.
  2. אפשור לתוסף לבצע שינויים שהוא צריך על מנת לאבטח את האתר.
  3. "אבטחה בלחיצה אחת" – הכפתור הזה יפעיל הגדרות ראשוניות ומומלצות.

שינויים שמומלץ לעשות בהגדרות התוסף:

ההגדרות הראשוניות אמנם טובות, אך יש מספר דברים שאני ממליץ לעשות על מנת לשפר עוד יותר את האבטחה. נלך ל Settings ונחפש את האפשרויות הבאות:

Detection 404

האפשרות הזאת תחסום משתמשים אשר מגיעים יותר מדיי פעם לדפים שלא נמצאים – זה רומז על כך שהם מנסים למצוא פריצות באתר.

Admin User

לסמן את שני האפשרויות, הראשונה תבקש להחליף את שם המשתמש Admin למשהו אחר (במידה וכך נקרא המשתמש המנהל שלכם) והשנייה תחליף לו את ה ID. זה יקשה על הפורץ הפונטציילי לדעת מי הוא מנהל האתר.

Banned Users

האפשרות הזאת תחסוף משתמשים יעודים לשימצה. מומלץ לשים את ה IP שלכם ב whitelist על מנת שלא תחסמו בטעות מהאתר שלכם.

File Changes

גם את האפשרות הזאת אני ממליץ בחום להפעיל, היא תדאג להגיד לכם אם מישהו שינה איזשהו קובץ באתר שלכם בלי רשות. מה שקורה הרבה במקרה שהתרחשה פריצה.

Hide Login Area

עוד אפשרות מומלצת – תדאג לשנות את הכתובת לניהול האתר שלכם מ wp-admin למשהו אחר (אתם יכולים להחליט למה)

תחת System Tweeks

אני ממליץ לסמן את האפשרויות Directory Browsing אשר תימנע גלישה בתקיות באתר שלכם. ואת האפשרות Uploads אשר תימנע הרצה של קבצי php מתקיית ה uploads שלכם.

לסיכום:

אבטחת מידע, באופן כללי, באה לצמצם סיכונים. יש מספר דברים שאתם יכולים לעשות כדי לצמצם בצורה משמעותית את הסיכוי שיפרצו לאתר הוורדפרס שלכם:

  • להשתמש בסיסמא מוגנת וקשה לפיצוח.
  • לדאוג לעדכן תמיד את המערכת.
  • להתקין תוסף אבטחה, כמו  iThemes Security.

שרותי כמאבטח אתרי וורדפרס:

במידה ואתם זקוקים לעזרה מקצועית, אני כמובן אשמח לעזור. יש לי ניסיון באבטחת אתרי וורדפרס ובניקיון של אתרים שניפרצו. ניתן ללמוד עוד אודתי וליצור עימי קשר, דרך העמוד הזה.[/vc_column_text][/vc_column][/vc_row]

גל חדד בניית אתרי וורדפרס

צור קשר
טלפון: 054-4886634
מייל: gal@wpsite.co.il