מהי אבטחת אתרים? אתר מאובטח מתחיל עם שרת מאובטח! אם השרת בו אתם מאחסנים לא מעדכן בצורה קבועה את הממשק שלו הרי שאתם פגיעים מאינספור כיוונים. בכדי לפרוץ לאתר שלכם צריך ההאקר גישה אל קבצים / ממשק ההתחברות ולכן חשוב לבחור בחברת אחסון אתרים מקצועית.
כאן המקום להזכיר מאמר זה נוצר מתוך רצון לעזור לכם להגן על האתר וורדפרס שלכם מפני פריצות. חברת שגיב Seo – קידום אתרים בגוגל מסירה אחריות אישית לכל פעולה שתבצעו בעקבות קריאה של מדריך זה. מדריך זה נועד למנהלי אתרים מיומנים אשר מבינים דבר מה בוורדפרס ואבטחת אתרים.
דרישות בסיס לאתר וורדפרס מאובטח
וודאו כי המחשב שלכם מוגן
חשוב לוודא כי המחשב ממנו אתם מפרסמים פוסטים לאתר וורדפרס שלכם מוגן ואין בו סוסים טרויאנים. אם פרצו לאתר וורדפרס שלכם עשו כצעד ראשון סריקת וירוסים וmalware. זה בהחלט אפשרי שתוכנה מסוימת מקליטה את הסיסמה והמשתמש שאתם מקלידים כשאתם נכנסים לנהל את האתר שלכם ולכן פעם אחר פעם מקבל ההאקר את פרטי הכניסה שלכם. למידע נוסף בקרו במאמר וורדפרס: פרצו לי לאתר
וודאו כי התקנת וורדפרס שלכם עדכנית
גם לוורדפרס עצמה חולשות. אמנם וורדפרס מנסה כל הזמן לשפר את העמידות שלה בפני התקפות אך גם אתם צריכים לקחת חלק ולשמור על גרסה מעודכנת של התקנת וורדפרס ושל פלאגאינים בהם אתם משתמשים כדי לנהל את האתר שלכם. אפילו אם עבר רק חודש לפני הזמנתם בניית אתר וורדפרס חדש יתכן כי יצאה גרסה חדשה ולכן חשוב מאוד ולכן הקפידו לעדכן מיד כשיוצאת גרסה חדשה.
חולשות של רשת האינטרנט
אם אתם עובדים ברשת אלחוטית דעו כי אתם חשופים. באינטרנט אלחוטי אתם למעשה שולחים קבוצות של מידע בחלקים באינטרנט אותם ניתן לאסוף ולהמיר לנתונים וזה אפילו דיי קל. מידע זה מכיל לרוב ססמאות כניסה לאתרים שונים ומגוונים בהם אפשר לאסוף מידע נוסף עליכם אז היזהרו ואל תנהלו אתר מרשת אלחוטית לא מאובטחת.
ניהול הראשות לקבצים
חלק מהאפשרויות היותר מדליקות של וורדפרס מאפשרות לשרת לכתוב לקבצים של האתר. למרות זאת, לאפשר לאפליקציות לכתוב לקבצים זה מסוכן ובמיוחד באחסון משותף שהוא סוג האחסון הנפוץ ביותר והסטנדרטי ברשת.
במקרה הטוב ומנקודת מבט של אבטחת אתרים כדאי להגדיר לקבצים מסוימים אפשרויות כתיבה רק כאשר אנו זקוקים לכך ולאפשר לתיקיות אחרות יותר חופש פעולה כמו תיקיות של העלאת תמונות וכו'.
הרשאות קבצים – הגדרות ברירת מחדל
644 -rw-r--r-- /home/user/wp-config.php 644 -rw-r--r-- /home/user/cgi-bin/.htaccess 644 -rw-r--r-- /home/user/cgi-bin/php.ini 755 -rwxr-xr-x /home/user/cgi-bin/php.cgi 755 -rwxr-xr-x /home/user/cgi-bin/php5.cgi
הרשאות קבצים – הגדרות מאובטחות
600 -rw-r--r-- /home/user/wp-config.php 604 -rw----r-- /home/user/cgi-bin/.htaccess 600 -rw------- /home/user/cgi-bin/php.ini 711 -rwx--x--x /home/user/cgi-bin/php.cgi 100 ---x------ /home/user/cgi-bin/php5.cgi
הרשאות תיקיות בוורדפרס
תיקיות ראשיות בוורדפרס מכילות את כל המידע של התקנת וורדפרס וגם את התבנית / עיצוב של וורדפרס אשר נוצר קרוב לוודא על ידי בונה האתר. חשוב להגדיר תיקיות אלו עם הרשאות מתאימות וכך לוודא שאין לאחרים גישה לתיקיות ולקבצים בתוכן.
| תיקייה | הרשאה | הסבר |
| wp-admin | 755 | התיקייה בה נמצאים כל הקבצים של ניהול האתר וורדפרס שלכם כלומר בתיקייה זאת הקבצים אשר מייצרים את ממשק הניהול של וורדפרס. לתיקייה זאת צריך להיות הראשות כתיבה רק למנהלי האתר! |
| wp-includes | 755 | זאת תיקייה מעט יותר מורכבת. אם אתם מפתחים אתם צריכים לתת הרשאות כתיבה לכם ולקבוצה. בכל מקרה אחר שאני חושד שהוא ב99% המקרה הזה בו אתם מנהלים אתר וורדפרס מהמניין |
| wp-content | 755 | תיקייה זאת מכילה את תבניות העיצוב של וורדפרס. אם לתבנית העיצוב שלכם יש ממשק ניהול פנימי המשולב בממשק הניהול של וורדפרס עליכם לתת הרשאות כתיבה 777 או להשאיר אותה כמו שהיא. |
| wp-content/themes/ | 755 | תיקייה זאת מכילה את כל התוספים של אתר הוורדפרס שלכם ואתם צריכים לתת הרשאות כתיבה רק לכם! כלומר הרשאת 755 |
| wp-content/plugins/ | 755 | תיקייה זאת מכילה את כל התוספים של אתר הוורדפרס שלכם ואתם צריכים לתת הרשאות כתיבה רק לכם! כלומר הרשאת 755. |
שיטות פריצה לאתר וורדפרס
מרבית הפריצות אל אתרי וורדפרס מתבצעות באחת משתי דרכים:
1 שליחת פקודת http מותאמת לתוסף מיושן כלשהו אשר מנצלת חולשה של הפלאגאין וכך מאפשרת הרשאות כתיבה לקבצים אחרים בהתקנת האתר. שיטה זאת עושה לרוב שימוש בטכניקה אשר נקראת הזרקת SQL או מתקפת XSS, FLI ועוד כל מיני ראשי תיבות שהופכים למינוחים ארוכים.
2 ניסיון להשיג גישה מלאה לאתר ע"י התקפת כוח כלומר תוכנה אשר מנסה פעם אחר פעם לגלות את המשתמש סיסמה שלכם. לכן התקנות חדשות של וורדפרס מאפשרות לבחור שם משתמש אחר מadmin וכך להגביל אפשרות זאת.
פלאגאינים שעוזרים לאבטח את וורדפרס
הגדולה של וורדפרס היא כמות הפלאגאינים אשר מאפשרים שליטה מורחבת בוורדפרס. גם מאספקט של אבטחת אתר יש מספר פלאגינים אשר עוזרים לנו לשמור על אתר וורדפרס מאובטח יותר
- WP Security Scan פלאגאין אשר עושה סריקה של השרת בו אתם מאחסנים את האתר שלכם ומודיע לכם אם הגרסה של השרת המאחסן ישנה לצד שלל פרמטרים אחרים. הוא מגיע עם סורק אשר בודק אם הרשאות האתר לתיקיות שונות מוגדרות נכון ומזהיר אתכם אם לא.
- WordPress firewall פלאגאין אשר שומר על האתר וורדפרס מטקטיקות ספציפיות של פריצה לאתרים לרוב דרך תגובות או הפצצה של האתר עם פניות רצופות על ידי תוכנה. בכל מקרה פלאגאין מעולה אותו מעדכנים בצורה שוטפת.
- Limit Login Attempts פלאגאין אשר מונע את האפשרות של פריצה עם תוכנה אשר מנסה פעם אחר פעם קוד אחר. הפלאגאין הזה (בהתאם להגדרותיכם) ינעל את האפשרות להתחבר אל האתר / בלוג לאחר מספר פעמים בהם ניסו להכניס סיסמה.
- Bad Behavior פלאגאין אשר בודק את כתובת הIP של הגולש המבקר באתר אל מול רשימה "שחורה" של ספאמרים, האקרים וכל מיני עושי רעות ומונע מהם לשלוח מידע אל האתר ובמקרים מסוימים אפילו לראות את האתר שלכם.
שימוש נכון בתוספים
כל שימוש בתוסף באתר וורדפרס שלכם חייב להיעשות בחכמה! בדקו כי התוסף עודכן לאחרונה וכי הוא תואם לגרסה של הוורדפרס שלכם. קחו רגע וקראו מה כתב המחבר על התוסף, מה הוא עושה והאם יש הצבעות = המלצות של גולשים עליו.
לסיכום
אני מקווה שמצאתם מאמר זה מועיל ומעניין וכי עזרתי לכם לשמור על אתר הוורדפרס שלכם בטוח יותר ופחות נגיש לפריצות של האקרים. שווה לבקר בקטגוריה פיתוח אתרי וורדפרס כדי לקרוא מידע מעודכן בנושא אבטחת אתר וורדפרס או להירשם לרשימת התפוצה שלנו כדי לקבל עדכונים באימייל.
Pingback: איך למנוע פריצה לאתר וורדפרס | פרצו לך לאתר?