אנחנו בדרך כלל חוששים שיפרצו לנו לבית או לאוטו, אבל לאתר? למה שמישהו יפרוץ לאתר שלנו?
ובכן, אתם תופתעו עד כמה זה נפוץ, ועד כמה אבטחת אתר וורדפרס (או אבטחת אתרים בכלל) היא חשובה.
אז קודם כל, למי שלא מכיר את המערכת הסופר נפוצה הזו: וורדפרס היא מערכת ניהול התוכן (CMS) הכי פופולרית בעולם בכלל ובישראל בפרט. בניית אתר וורדפרס מומלצת מאלף ואחת סיבות, דוגמת פשטות מצד אחד ומגוון אפשרויות התאמה מתקדמות מהצד האחר, "ידידותיות" למנועי חיפוש, סטנדרטים גבוהים של מהירות ועוד. וורדפרס היא מערכת קוד פתוח, לטוב ולרע. לטוב, כי היא חינמית וכוללת אינספור עדכונים ותוספים מועילים. לרע, מפני שככה שיש מי שרוצים לפרוץ לאתרי וורדפרס ויש גם דרכים לעשות את זה. החל מהאקרים צעירים משועממים ועד לכנופיות סייבר שבטוחות שהן עושות צדק בעולם על ידי פריצה לאתרים ישראלים – הסיכוי שהאתר שלכם ייפרץ הוא כנראה הרבה יותר גבוה משאתם חושבים.
אז בשביל לנסות ולמנוע מצב לא נעים שכזה, כתבתי את המדריך הבא שיספק לכם מספר טיפים חשובים על אבטחת אתר וורדפרס שיעזרו לכם לשפר בצורה משמעותית את רמת האבטחה של האתר שלכם.
מה זה תעודת SSL? ולמה אתם צריכים אותה?
ברמה הכללית, יש שני תקני אבטחה עיקריים באבטחת אתרים – SSL ו-TLS.
תקן ה-SSL הוא תקן אבטחה שמגן בעיקר על הגולשים ומונע את האפשרות שצד ג' יפרוץ לתקשורת בין הגולשים לשרת ויגנוב את הפרטים שלהם, למשל.
אתר שעומד בתקן צריך גם תעודת SSL בתוקף, המסומנת על ידי מנעול שמופיע ליד כתובת האתר, ועל ידי קידומת אתר של HTTPS שמופיעה במקום הקידומת הרגילה של HTTP.
תכלס – כל אתר צריך תעודת SSL, גוגל אומרת בעצמה שזה חשוב עבור קידום אתר וורדפרס וגם אם עכשיו אין לזה חשיבות גדולה בקידום, בעתיד זה יכול להפוך להיות סטנדרט.
אבל… בפועל זה לא ממש מאבטח לכם את האתר, זה בעיקר מגן על הגולשים.
אתם עדיין חייבים לאבטח את האתר שלכם – אז בואו נדבר על איך עושים את זה.
אבטחת אתר וורדפרס מתחילה בחברת אחסון טובה
אחד ממקורות הפריצה הנפוצים ביותר לאתרי וורדפרס הוא דרך שרת האחסון של האתר. הצרה הגדולה עם פריצה כזו היא לא רק שהיא מבאסת ברמה האישית, אלא שהיא גם מגיעה עם הרבה בלאגן. לחברת האחסון לוקח זמן לטפל בזה ואתם לא יכולים לעשות יותר מדי.
פריצה כזו קרתה ממש לאחרונה כן בישראל, כשאתרים רבים המאוחסנים על השרתים של חברת אחסון אתרים יופרס נפרצו על ידי האקרים, כנראה איראניים, והתמלאו בתכנים אנטי-ישראליים. פריצות ברמת השרת יכולות לקרות תמיד, אבל אצל חברות אחסון ברמה נמוכה הן הרבה יותר נפוצות.
אחסון זול יכול להיות מפתה, אני יודע. בכל זאת, כסף שאתם לא מבזבזים על שרת אחסון יכול להיות מושקע בתוכן איכותי, או באיזו ארוחה טובה. אבל כמו שאתם לא חוסכים על ביטוח, אתם גם לא רוצים לחסוך כאן. שלמו עוד כמה דולרים על חברת אחסון איכותית, מוכרת ורצינית – הראש שלכם יהיה שקט ותוכלו להיות הרבה יותר רגועים.
תכל'ס? זה גם לא כזה יקר, אז אין באמת סיבה להתפשר! אם אתם צריכים עזרה עם זה אתם מוזמנים לפנות אליי.
פלאגינים ותבניות – רק מאתרים אמינים
תבניות פרימיום ופלאגינים יקרים לגמרי בחינם – מי יכול להגיד לזה לא? הבעיה עם תבניות ופלאגינים לא מקוריים או כאלו שלא הגיעו ממקורות רשמיים ואמינים, היא שבעיות אבטחה הן כמעט ודאיות. חלק גדול מהפריצות ותקלות האבטחה שתחוו באתרי וורדפרס יגיעו כתוצאה מפלאגינים ותבניות, בדרך כלל דרך פרצות אבטחה שקיימות בהם.
עכשיו, תבניות ופלאגינים המגיעים ממקור אמין נבנו על ידי מפתחי וורדפרס מקצועיים שביצעו בדיקות אבטחה כדי לוודא שלא קיימות פרצות אבטחה כאלו. לעומת זאת, פלאגינים ותבניות לא חוקיים שתורידו דרך אתרים לא מהימנים בדרך כלל הגיעו אליכם בדרך לא דרך. תבניות ופלאגינים כאלו בדרך כלל נקראים Cracked או Nulled. במקרים האלו, מישהו פרץ את התבנית או הפלאגין בצורה לא חוקית כדי שתוכלו להוריד אותם בחינם.
לא רק שהסיכוי שתהיה במוצר כזה תקלת אבטחה הוא גדול – יכול מאוד להיות שבתוך הקוד מסתתר וירוס או אלמנט כלשהו שיאפשר לפרוץ לכם לאתר בקלות או לשאוב את נתוני הגולשים באתר שלכם.
אני ממליץ על התקנת מינימום תופסים באתר, גם מבחינת מהירות אתר וגם מבחינת אבטחה.
דרך טובה נוספת להבין האם כדאי לבחור בהתקנת תוסף כזה או אחר היא לשים לב למספר פרמטרים:
- תאריך עדכון אחרון של התוסף
- היקף התקנות
- גרסת התוסף – האם הוא נמצא בשלב ראשוני, או שכבר עבר מספר פיתוחים והתאמות
- ביקורות גולשים
אז בשורה התחתונה, פלאגינים ותבניות מורידים רק מאתרים רציניים ומהימנים – כמו האתר של וורדפרס כמובן.
פלאגין שהופך אבטחת אתר וורדפרס למשימה קלה
וורדפרס היא מערכת קוד פתוח, מה שאומר שכל אחד וכל אחת יכולים לבנות עבורה פיצ'רים, פלאגינים ותבניות. מכיוון שהיא כל כך פופולרית, באמת יש המון (המון!) פלאגינים. הפלאגינים האלו יעזרו לכם למנוע פריצות באתרי וורדפרס, לקדם את האתר שלכם, לעשות אופטימיזציה לקוד האתר ועוד המון דברים נוספים.
יש פלאגינים רבים של אבטחת אתרי וורדפרס והם יכולים להיות מאוד יעילים.הפלאגינים האלו עושים דברים כמו:
- לחסום כתובות IP זדוניות
- לנטר אחר את הפעילות באתר
- לוודא שהקבצים שעולים לאתר אמינים
- לסרוק את קוד האתר כדי לאתר וירוסים ופרצות אבטחה
- לשלוח לבעל האתר התראות על פעילות חשודה ולספק עדכוני אבטחה
יש מבחר גדול של פלאגינים, ולפי הביקורות – נראה שהדעות חלוקות לגבי כמה מהפופולריים ביותר.
אחד מהאהובים הוא Sucuri, אבל לאחרונה נכתבו עליו לא מעט ביקורות שליליות. שווה לנסות גם את הפלאגין של Wordfence.
אני בסך הכול אוהב את שניהם.
אבטחת אתרי וורדפרס מתחילה בסיסמה חזקה
רובנו רק רוצים שיהיה לנו קל לזכור את הסיסמה שלנו, אבל אנחנו שוכחים שתכלס, המטרה של הסיסמה של המשתמש שלנו באתר היא לאבטח אותו.
כשאתם קובעים סיסמאות למשתמשים של האתר שלכם, אתם רוצים שהן יהיו כמה שיותר מורכבות. הסיבה היא שיש האקרים שפורצים אתרים בשיטת ה-Brute Force, או בתרגום חופשי – "כוח פראי". הם משתמשים בתוכנות שמנסות לנחש את הסיסמה שלכם, וככל שהן קלות ופשוטות יותר כך הסיכוי שיפרצו לאתר שלכם גבוה יותר.
אז לפני שתורידו פלאגינים של אבטחת אתרי וורדפרס, וודאו שהסיסמה שלכם קשה לניחוש. שלבו בין מספרים לאותיות גדולות וקטנות באנגלית, וגם סימנים שונים כמו %, ^ או * ואחרים.
עוד דרך מעולה למנוע מפורצים להיכנס אל האתר שלכם דרך המשתמשים באתר שלכם היא להשתמש באימות דו שלבי, מה שנקרא באנגלית Two Factor Authentication.
אימות זה דורש מהמשתמש לבצע שני שלבים של זיהוי לפני שיקבל גישה למערכת, למשל, גם סיסמה קבועה וגם והקלדת קוד חד פעמי שקיבל ב-SMS.
התוסף שמאפשר אימות דו שלבי באתרי וורדפרס הוא תוסף בשם מאוד לא מתחכם – Two Factor Authentication.
הגבילו את גישת המשתמשים באתר שלכם למינימום
ככל שיש יותר נקודות גישה לאתר שלכם, כך גדל הסיכוי שיפרצו לאתר שלכם. גם אם כן יפרצו לאחד המשתמשים באתר שלכם, ככל שההרשאה של אותו משתמש תהיה ברמה נמוכה יותר – פוטנציאל הנזק יהיה קטן יותר.
בגלל זה, חשוב מאוד להיות "קמצנים" כשנותנים הרשאות למשתמשים באתר. יש כל מיני סוגי משתמשים – מנהל, עורך, כותב, תורם וגם מנוי. למשתמשים שהם מנהלים יש גישה לעשות פחות או יותר הכל באתר שלכם. גם משתמשים שהם עורכים יכולים לפרסם תכנים ולשנות עמודים ופוסטים קיימים, אבל מכאן והלאה הפוטנציאל לנזק פוחת ופוחת.
מה זה אומר? פשוט מאוד: אין סיבה לתת למשתמש הרשאה גבוהה יותר ממה שהוא צריך בפועל, ואין סיבה שיהיו משתמשים רשומים שלא לצורך (למשל, כאלו שאינם פעילים). אז אם יש לכם עובדים או כותבים שמזינים תכנים לאתר שלכם, תנו להם את ההרשאה שהם צריכים ולא יותר מזה.
