6 אפריל 2017 | עידן סוקובסקי
מדריך – צעד אחרי צעד לאבטחת אתר וורדפרס

עם נפח של לפחות רבע מכלל האתרים ברשת, אתרי וורדפרס הם האתרים הפופולאריים בעולם. גוגל מחבבים אותם, מקימי אתרים ומנהלי אתרים נשענים עליהם ועולם הקוד הפתוח מחבק אותם. גם יזמים ובעלי עסקים נהנים מהם, שכן הם חוסכים להם הון תועפות ומאפשרים להם קידום יעיל, גמישות רבה, נוחות בניהול, נגישות רבה ומענה זריז ויעיל לכל עניין ונושא, כולל אבטחת האתר.

עם נפח של לפחות רבע מכלל האתרים ברשת, אתרי וורדפרס הם האתרים הפופולאריים בעולם. גוגל מחבבים אותם, מקימי אתרים ומנהלי אתרים נשענים עליהם ועולם הקוד הפתוח מחבק אותם. גם יזמים ובעלי עסקים נהנים מהם, שכן הם חוסכים להם הון תועפות ומאפשרים להם קידום יעיל, גמישות רבה, נוחות בניהול, נגישות רבה ומענה זריז ויעיל לכל עניין ונושא, כולל אבטחת האתר.

רבים פונים אלינו ושואלים אותנו לגבי אפשרויות האבטחה שעומדות לרשותם בהקמת אתר וורדפרס. ולכן החלטנו בחברת אקסטרה להכין לכם מדריך שילווה אתכם צעד אחר צעד ויציע לכם מספר מהלכי חובה בסיסיים לשמירה על בטחון האתר שלכם. אנחנו נעשה זאת לצד כמה מהכלים העדכניים והחזקים ביותר לאבטחת אתרים מבית וורדפרס, מערכת ניהול התוכן הנפוצה בעולם, וככל הנראה גם הבטוחה ביותר לשימוש.

 

 

השלב הראשון – אחסון נכון

גיבויים, מנגנוני אבטחה לאתר וכיוצא בזה, הכול טוב ויפה. אבל, למה לא לדאוג מראש למקם את האתר במבצר מאובטח היטב? רמת המיגון של השרת בו תאכסנו את האתר שלכם משפיעה באופן ישיר על רמת האבטחה של האתר. ודאו שלשרת שלכם יש חומת אש (Firewall) מותאמת אישית שתאפשר לכם להתאים את ההגנה לאתר, מנגנון DDoS שמתקיף מניעת שירות מבוזרת – תקיפה נפוצה מאוד ששרתים חכמים יודעים לזהות ולנטרל וכן אמצעי מיגון נוספים הכוללים גיבוי משלהם.

 

 


השלב השני – אתר מגובה הוא אתר בטוח

אין מה לעשות, לא ניתן לאטום את האתר באופן הרמטי מפני פריצות ותקלות. כך, שלצד כל המאמצים לשמירה על בטחון האתר שלכם, ישנו מהלך בסיסי וחיוני שחובה לעשות תמיד: גיבוי שוטף של האתר. הגיבוי מאפשר לכם לישון בשקט, בידיעה שגם אם מישהו הצליח לפרוץ את מנגנוני האבטחה שלכם ואת אלו של השרת שלכם ואפילו הפיל את האתר, עדיין תוכלו לשחזר אותו לגרסה העדכנית ביותר, בשתי לחיצות כפתור.

 

ישנם כמה כלים לגיבוי האתר, כל אחד עם יתרונות משלו, בהתאם לצרכים שלכם:

1. BackupBuddy: תוסף (פלאג אין / PLUGIN) עם נגישות גבוהה. מתקינים אותו כמו כל פלאג אין אחר. מפעילים (Activate) ובתפריט ה"התקנה המהירה" (Quick Setup) ממלאים כתובת דוא"ל, סיסמא לשחזור והפעלת הגיבוי. בוחרים מיקום לשמירת הגיבוי, ולוח זמנים לגיבוי, בין אם לוח חודשי, שבועי או מותאם לרמת התכיפות הדרושה לך. באפשרותך לשמור גם על השרתים של BackupBuddy בחינם עד לנפח של 1GB, והשחזור אורך דקות ספורות ומצריך כמה לחיצות כפתור. זהו תוסף נוח ויעיל.

 

2. Wordpress Backup to Dropbox: כלי נוסף נוח ויעיל שמאפשר גיבוי ישירות לדרופבוקס שלכם, מה שמאפשר נגישות גבוהה מכל מקום. יתרון נוסף לכלי זה הוא הגרסה העברית שהופכת את הפלאג-אין לנגיש גם למי שאינו שולט באנגלית.

 

בחירה נכונה בתוספים

השביל המוביל לתוך האתר שלכם נמצא לרוב בקוד ערכת העיצוב של האתר ובקוד של התוספים שנמצאים באתר. הקפדה יתרה על בחירת התוספים שאתם מתקינים היא צעד חיוני לבריאות האתר ולבטיחותו, שכן ייתכן שעם כל אמצעי הביטחון שנקטתם, בסופו של דבר שתלתם במו ידיכם פרצה הקוראת לגנב בדמות תוסף פיראטי או חינמי שנועד בדיוק למטרה זו.

מוטב לעבוד רק עם תוספים ועם ערכות עיצוב ברמה גבוהה. תוספים פופולאריים, מחברות בעלות שם ועם עדכונים מתמידים. המהדרין שולחים את התוסף או את ערכת העיצוב לבדיקה אצל מומחים (כמו SUCURI) ואפשר לחפש את התו שאומר שהתוסף עבר בדיקה ואושר.

 

שם משתמש וסיסמא

להגיע לעמוד הכניסה לאתר וורדפרס זה קל מאוד. לצערנו, גם כניסה בדרך המלך עם שם משתמש ועם סיסמא היא לעיתים קרובות מהלך קל מדי. הרבה מאוד בעלי אתרים אינם טורחים לשנות את שם המשתמש מה-ADMINהאוטומטי של וורדפרס, ולצד העצלות הממוצעת של בעל האתר או של מנהל האתר בבחירת הסיסמא, כל מה שנותר לפורץ הממוצע הוא להקליד את שם המשתמש הנפוץ, להריץ תוכנת פריצת סיסמאות על טייס אוטומטי ולחכות לאישור הכניסה. אפשר למנוע את הפריצות הללו בכמה צעדים פשוטים.

ראשית, בחרו שם משתמש ייחודי וארוך, וסיסמא בלתי מתקבלת על הדעת – אותיות, אותיות ראשיות, סימנים, מספרים ומספר רב של תווים, או במילים אחרות – השתמשו בסיסמא שוורדפרס נותנים לכם – היא מורכבת בצורה הנכונה ביותר.

שנית, הגבילו את מספר ניסיונות החיבור האפשריים עד לנעילה אוטומטית, כך ששימוש בתוכנת הפריצה האוטומטית יוגבל בעזרת התוסף "הגבל ניסיונות כניסה". זה יעשה לפורץ הפוטנציאלי כאב ראש לא קטן, והוא יעדיף להמשיך הלאה לאתר הבא.

לבסוף, אפשר גם לשנות את ה-URLשל עמוד הכניסה לממשק עם תוסף כמו WPS Hide Login, מה שאומר שרוב הפורצים לא ימצאו את העמוד שמהווה שער פריצה למרבית האתרים.

 



השלב הסופי: תוספים לגיבוי

אחרי שביצעתם את כל המהלכים הללו, הגיע הזמן לוודא כי אתם מאובטחים על-ידי תוספים ייעודיים, שכל מטרתם היא לשמור על האתר מפני פריצות. לפניכם שני תוספים מעולים שעושים את עבודתם נאמנה:

· WordFence: פלאג אין עם רשימה ארוכה במיוחד של תכונות שכולן מוכוונות למטרה אחת – לגונן על האתר שלך. לדוגמא: הכרות מוקדמת עם IP של פורצים ועם רשתות פורצים דרך איסוף נתונים ממאות אלפי משתמשים בזמן אמת, מה שמאפשר להם למנוע פריצה ממקומות אלו עוד לפני שהיא מתרחשת. סריקה של קוד האתר למציאת קוד שמעמיד את האתר בסיכון וכיוצא באלה.

 

· iThemes Security: תוסף אבטחה נוסף ומאוד פופולארי שמציע לנעול את האתר לכניסות בלתי מורשות, לסרוק ולתקן פרצות נפוצות, לזהות תקיפות אוטומטיות ולעצור אותן, ועוד למעלה משלושים כלים שונים.

 

 

השלב הפוסט-סופי: לא לשכוח לעדכן

ערכות נושא של חברות רציניות ותוספים של מתכנתים שלוקחים את העבודה ברצינות (לרוב גרסאות פרמיום) מתעדכנים באופן שוטף. חלק גדול מהעדכונים כולל עדכוני אבטחה, שכן עולם הפריצות והאבטחה מתעדכן תדיר, והקוד צריך להתאים את עצמו לממצאים. ודאו כי התוספים שלכם מתעדכנים באופן אוטומטי – לא רק תוספי האבטחה. בדקו גם שגרסת הוורדפרס שלכם מתעדכנת באופן תדיר.

 

כל זה אולי נשמע כמו הרבה עבודה, אך מדובר בעבודה שמתבצעת פעם אחת, והטיפול השוטף הופך למהיר ולאוטומטי. בסופו של דבר, אם תבצעו את כל המהלכים המומלצים, האתר שלכם יהיה מאובטח ברמה גבוהה מאוד, כפי שראוי שיהיה.

תגובות
הוסף תגובה

* אין לשלוח תגובות הכוללות מידע המפר את תנאי השימוש של StartIsrael לרבות דברי הסתה, דיבה וסגנון החורג מהטעם הטוב.