כל מה שאתם צריכים לדעת על אבטחת אתר וורדפרס ועל תעודת SSL

אבטחת אתר וורדפרס

ניווט מהיר במאמר

אבטחת אתר וורדפרס – למה זה חשוב ואיך עושים את זה כמו שצריך?

אנחנו בדרך כלל חוששים שיפרצו לנו לבית או לאוטו, אבל לאתר? למה שמישהו יפרוץ לאתר שלנו?
ובכן, אתם תופתעו עד כמה זה נפוץ.

וורדפרס היא מערכת ניהול התוכן (CMS) הכי פופולרית בעולם בכלל ובישראל בפרט, והיא גם מערכת קוד פתוח – ככה שיש מי שרוצים לפרוץ לאתרי וורדפרס ויש גם דרכים לעשות את זה.

החל מהאקרים צעירים משועממים ועד לכנופיות סייבר שבטוחות שהן עושות צדק בעולם על ידי פריצה לאתרים ישראלים – הסיכוי שהאתר שלכם ייפרץ הוא כנראה הרבה יותר גבוה משאתם חושבים.
אז בשביל לנסות ולמנוע מצב לא נעים שכזה, כתבתי את המדריך הבא שיספק לכם מספר טיפים חשובים על אבטחת אתר וורדפרס שיעזרו לכם לשפר בצורה משמעותית את רמת האבטחה של האתר שלכם.

 

מה זה תעודת SSL?

יש שני תקני אבטחה עיקריים באבטחת אתרים – SSL ו-TLS.
אז מה היא תעודת SSL ולמה אתם צריכים כזו?

תקן ה-SSL הוא תקן אבטחה שמגן בעיקר על הגולשים, ומונע את האפשרות שצד ג' יפרוץ לתקשורת בין הגולשים לשרת ויגנוב את הפרטים שלהם, למשל.
אתר שעומד בתקן צריך גם תעודת SSL בתוקף, המסומנת על ידי מנעול שמופיע ליד כתובת האתר, ועל ידי קידומת אתר של HTTPS שמופיעה במקום הקידומת הרגילה של HTTP.

תכלס – כל אתר צריך תעודת SSL, גוגל אומרת בעצמה שזה חשוב עבור קידום אתרים וורדפרס וגם אם עכשיו אין לזה חשיבות גדולה בקידום, בעתיד זה יכול להפוך להיות סטנדרט.
אבל… בפועל זה לא ממש מאבטח לכם את האתר, זה בעיקר מגן על הגולשים ואתם עדיין חייבים לאבטח את האתר שלכם – אז בואו נדבר על איך עושים את זה.

 

אבטחת אתר וורדפרס מתחילה בחברת אחסון טובה

אחד ממקורות הפריצה הנפוצים ביותר לאתרי וורדפרס הוא דרך שרת האחסון של האתר.
הצרה הגדולה עם פריצה כזו היא לא רק שהיא מבאסת ברמה האישית, אלא שהיא גם מגיעה עם הרבה בלאגן – לחברת האחסון לוקח זמן לטפל בזה ואתם לא יכולים לעשות יותר מדי.

השאירו פרטים וקבלו הצעה לקידום האתר שלכם

פריצה כזו קרתה ממש לאחרונה כן בישראל, כשאתרים רבים המאוחסנים על השרתים של חברת אחסון אתרים יופרס נפרצו על ידי האקרים, כנראה איראניים, והתמלאו בתכנים אנטי-ישראליים.

פריצות ברמת השרת יכולות לקרות תמיד, אבל אצל חברות אחסון ברמה נמוכה הן הרבה יותר נפוצות.
אחסון זול יכול להיות מפתה, אני יודע. בכל זאת, כסף שאתם לא מבזבזים על שרת אחסון יכול להיות מושקע בתוכן איכותי, או באיזו ארוחה טובה.

אבל כמו שאתם לא חוסכים על ביטוח, אתם גם לא רוצים לחסוך כאן.
שלמו עוד כמה דולרים על חברת אחסון איכותית, מוכרת ורצינית – הראש שלכם יהיה שקט ותוכלו להיות הרבה יותר רגועים.

תכלס? זה גם לא כזה יקר, אז אין באמת סיבה להתפשר, אם אתם צריכים עזרה עם זה אתם מוזמנים לפנות אלי.

 

פלאגינים ותבניות – רק מאתרים אמינים

תבניות פרימיום ופלאגינים יקרים לגמרי בחינם – מי יכול להגיד לזה לא?
הבעיה עם תבניות ופלאגינים לא מקוריים או כאלו שלא הגיעו ממקורות רשמיים ואמינים, היא שבעיות אבטחה הן כמעט ודאיות.

חלק גדול מהפריצות ותקלות האבטחה שתחוו באתרי וורדפרס יגיעו כתוצאה מפלאגינים ותבניות, בדרך כלל דרך פרצות אבטחה שקיימות בהם.
עכשיו, תבניות ופלאגינים המגיעים ממקור אמין נבנו על ידי מפתחי וורדפרס מקצועיים שביצעו בדיקות אבטחה כדי לוודא שלא קיימות פרצות אבטחה כאלו.

לעומת זאת, פלאגינים ותבניות לא חוקיים שתורידו דרך אתרים לא מהימנים בדרך כלל הגיעו אליכם בדרך לא דרך.
תבניות ופלאגינים כאלו בדרך כלל נקראים Cracked או Nulled.
במקרים האלו, מישהו פרץ את התבנית או הפלאגין בצורה לא חוקית כדי שתוכלו להוריד אותם בחינם.
לא רק שהסיכוי שתהיה במוצר כזה תקלת אבטחה הוא גדול – יכול מאוד להיות שבתוך הקוד מסתתר וירוס או אלמנט כלשהו שיאפשר לפרוץ לכם לאתר בקלות או לשאוב את נתוני הגולשים באתר שלכם.

אני ממליץ על התקנת מינימום תופסים באתר, גם מבחינת מהירות אתר, וגם מבחינת אבטחה.

דרך טובה נוספת להבין האם כדאי לבחור בהתקנת תוסף כזה או אחר:

  • תאריך עדכון אחרון של התוסף
  • היקף התקנות
  • גרסת התוסף – האם הוא נמצא בשלב ראשוני או שכבר עבר מספר פיתוחים והתאמות
  • ביקורות גולשים

אז בשורה התחתונה, פלאגינים ותבניות מורידים רק מאתרים רציניים ומהימנים, כמו האתר של וורדפרס כמובן.

 

פלאגין שהופך אבטחת אתר וורדפרס למשימה קלה

וורדפרס היא מערכת קוד פתוח, מה שאומר שכל אחד וכל אחת יכולים לבנות עבורה פיצ'רים, פלאגינים ותבניות.

מכיוון שהיא כל כך פופולרית, באמת יש המון (המון) פלאגינים.
הפלאגינים האלו יעזרו לכם למנוע פריצות באתרי וורדפרס, לקדם את האתר שלכם, לעשות אופטימיזציה לקוד האתר ועוד המון דברים נוספים.
יש פלאגינים רבים של אבטחת אתרי וורדפרס והם יכולים להיות מאוד יעילים.

הפלאגינים האלו עושים דברים כמו:

  • לחסום כתובות IP זדוניות
  • לנטר אחר את הפעילות באתר
  • לוודא שהקבצים שעולים לאתר אמינים
  • לסרוק את קוד האתר כדי לאתר וירוסים ופרצות אבטחה
  • לשלוח לבעל האתר התראות על פעילות חשודה ולספק עדכוני אבטחה

יש מבחר גדול של פלאגינים, ולפי הביקורות – נראה שהדעות חלוקות לגבי כמה מהפופולריים ביותר.
אחד מהאהובים הוא Sucuri, אבל לאחרונה נכתבו עליו לא מעט ביקורות שליליות, שווה לנסות גם את הפלאגין של Wordfence.
אני בסך הכל אוהב את שניהם.

 

אבטחת אתרי וורדפרס מתחילה בסיסמה חזקה

רובנו רק רוצים שיהיה לנו קל לזכור את הסיסמה שלנו, אבל אנחנו שוכחים שתכלס, המטרה של הסיסמה של המשתמש שלנו באתר היא לאבטח אותו.
כשאתם קובעים סיסמאות למשתמשים של האתר שלכם, אתם רוצים שהן יהיו כמה שיותר מורכבות.
הסיבה היא שיש האקרים שפורצים אתרים בשיטת ה-Brute Force, או בתרגום חופשי – כוח פראי.

הם משתמשים בתוכנות שמנסות לנחש את הסיסמה שלכם, וככל שהן קלות ופשוטות יותר כך הסיכוי שיפרצו לאתר שלכם גבוה יותר.
אז לפני שתורידו פלאגינים של אבטחת אתרי וורדפרס, וודאו שהסיסמה שלכם קשה לניחוש.
שלבו בין מספרים לאותיות גדולות וקטנות באנגלית, וגם סימנים שונים כמו %, ^ או * ואחרים.

עוד דרך מעולה למנוע מפורצים להיכנס אל האתר שלכם דרך המשתמשים באתר שלכם היא להשתמש באימות דו שלבי, מה שנקרא באנגלית Two Factor Authentication.
אימות זה דורש מהמשתמש לבצע שני שלבים של זיהוי לפני שיקבל גישה למערכת, למשל, גם סיסמה קבועה וגם והקלדת קוד חד פעמי שקיבל ב-SMS.
התוסף שמאפשר אימות דו שלבי באתרי וורדפרס הוא תוסף בשם מאוד לא מתחכם – Two Factor Authentication.

 

הגבילו את גישת המשתמשים באתר שלכם למינימום

ככל שיש יותר נקודות גישה לאתר שלכם, כך גדל הסיכוי שיפרצו לאתר שלכם.
וגם אם כן יפרצו לאחד המשתמשים באתר שלכם, ככל שההרשאה של אותו משתמש תהיה ברמה נמוכה יותר – פוטנציאל הנזק יהיה קטן יותר.
בגלל זה, חשוב מאוד להיות "קמצנים" כשנותנים הרשאות למשתמשים באתר.

יש כל מיני סוגי משתמשים – מנהל, עורך, כותב, תורם וגם מנוי.
אין סיבה לתת למשתמש הרשאה גבוהה יותר ממה שהוא צריך בפועל ואין סיבה שיהיו משתמשים רשומים שלא לצורך, כאלו שאינם פעילים.

למשתמשים שהם מנהלים יש גישה לעשות פחות או יותר הכל באתר שלכם.
גם משתמשים שהם עורכים יכולים לפרסם תכנים ולשנות עמודים ופוסטים קיימים, אבל מכאן והלאה הפוטנציאל לנזק פוחת ופוחת.

אז אם יש לכם עובדים או כותבים שמזינים תכנים לאתר שלכם – תנו להם את ההרשאה שהם צריכים, לא יותר מזה.

שיתוף ב whatsapp
WhatsApp
שיתוף ב facebook
Facebook
שיתוף ב linkedin
LinkedIn
שיתוף ב email
Email
שיתוף ב whatsapp
שיתוף ב facebook
שיתוף ב linkedin
שיתוף ב email
ניר אזולאי

ניר אזולאי

ניר אזולאי - מקדם אתרים, בוגר BA במערכות מידע וכלכלה, יזם דיגיטלי, מומחה קידום אתרים עם למעלה מ-7 שנות ניסיון בגוגל, כולל פיתוח אתרי וורדפרס ובניית תהליכי שיווק דיגיטליים שמביאים תוצאות.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אז על מה בא לכם לקרוא?

ניווט מהיר

עוד באותו נושא:

מגיע לך יותר לקוחות!

לאחר מילוי הטופס אחזור אליך עם כל הפרטים

ניר אזולאי