מה זה וורדפרס וכיצד תשמרו על אבטחת האתר שלכם?

וורדפרס היא מערכת ניהול התוכן הפופולרית ביותר בעולם. היתרון הבולט שלה הוא היכולת לשקף היטב למנוע החיפוש של גוגל מה כולל האתר שלכם. בדרך זו היא המערכת האופטימלית למטרת קידום אתרים. 

על פי ההערכות, 40% מהאתרים בכל העולם בנויים על גבי מערכת וורדפרס.

כחלק מהאבולוציה של עולם הדיגיטל, המגמה היא שיותר ויותר אתרים יעברו לוורדפרס. 

האם כדאי לבנות אתר בוורדפרס?

התשובה היא כן.

הרבה מאוד בעלי עסקים מתלבטים האם לבנות אתר וורדפרס או להעביר את האתר שלהם לוורדפרס. למשל, אחת האופציות שלהם היא WIX, בשל התבניות הקבועות, המבנים והיכולת להלביש עיצובים בקלות. אפשרות נוספת היא שופיפי לאתרי מכירות.

עם זאת, לוורדפרס יתרונות משמעותיים ומובהקים, על אף העובדה שבניית אתר וורדפרס עלולה להיות מעט יותר יקרה. 

מה היתרונות של בניית אתר בוורדפרס?

• פופולריות – אין כמעט בונה אתרים שלא יודע לעבוד איתה
• קלות השינויים – עדכונים ושינויים פשוטים וקלים לביצע
• תוספים – אינספור תוספים שחוסכים כתיבת קוד יקרה
• תבניות מובנות – חיסכון בזמן ובכסף בתהליך הבנייה
• מהירות טעינה – ניתן ליישם כלים שמגבירים את מהירות האתר

היתרון של וורדפרס כמערכת בקוד פתוח

וורדפרס היא מערכת בקוד פתוח. למי שזה נשמע סינית נסביר שזהו יתרון גדול מאוד. ובקצרה, העובדה שמדובר במערכת בקוד פתוח מאפשרת למשתמשים נבחרים, להשקיע בעדכוני תוכנה שוטפים ותדירים. כלומר, המערכת מתעדכנת כל הזמן ומשתפרת כל הזמן, ללא תלות באף גורם מסחרי.

היתרון הוא שבגלל הקוד הפתוח, אין לאף משתמש, חזק ככל שיהיה, את היכולת לייצר עדכונים או מניפולציות המשרתות גוף עסקי מסוים. כל זאת בניגוד, למערכות בניית אתרים אחרים שמאחוריהם עומדים אינטרסים עסקיים שונים.

המצב הזה מבטיח מוצר שמטרתו נטו להביא ערך למשתמשים.

איך תשמרו על אבטחת אתר וורדפרס שבניתם?

אז בזמן האחרון, אני מאמין ששמתם לב, יש מתקפה חזיתית של האקרים ערבים מכל קצוות עולם על אתרים ישראלים. מאות ואפילו אלפי אתרים נפרצים מידי יום בארץ ובחו"ל, בדגש על מערכות קוד פתוח.

ולמה מערכות קוד פתוח?

הסיבה היא פשוטה: לכולם יש נגישות למבנה הבסיסי של מערכות קוד פתוח.

כל אחד ואחת יכולים להיכנס לאתר הבית של וורדפרס ולהוריד משם את קוד המקור שלה.

מה שזה אומר שכל האקר יכול לנתח את קוד המבנה הבסיס של וורדפרס ולהבין אם יש בה פרצות אבטחה, משם הדרך כבר לא כ"כ ארוכה עד לפריצה.

הרבה נמצא בשליטה שלכם, אתם יכולים להקשות על האקרים לפרוץ לאתר שלכם.

אז לגבי מערכות קוד פתוח פופולאריות אחרות (ג'ומלה, דרופל), יש להן חוקים אחרים ונתמקד בהם במאמר אחר. 

1. התקנת תוסף BulletProof Security

תוסף מעולה אשר סוגר לכם באופן אוטומטי פרצות אבטחה אפשריות בוורדפרס.

התוסף נותן לכם המלצות והתראות על פרצות אבטחה אפשריות. למשל, אם התקנתם פלאג חדש ומסביר לכם כיצד לפתור את הבעיות.

עוד תכונה טובה של התוסף היא אפשרות השחזור. התוסף מאפשר לכם לגבות את האתר ולשחזר אותו במידה ונפרץ.

2. הגנה על קובץ WP-config.php

הקובץ הנ"ל הוא בעצם הקובץ שאחראי על הגדרות המערכת שלכם, רוב מוחלט של הפריצות ע"י האקרים ערבים (ובכלל) נעשים ע"י שינוי הגדרות בקובץ זה.

הם מצליחים לחדור אליו חיצונית בדרך לא דרך. אבל בשורה התחתונה מצליחים לא מעט בזמן האחרון ע"י ניצול פרצות אבטחה (זעירות אמנם) במערכת.

מה שיפה במחשבים זה שבד"כ אתה צריך לעשות את הדברים רק פעם אחת, את הפעם השניה אתה כבר יכול לשכפל. זאת אומרת שאם חדרת פעם אחת לוורדפרס, אתה כבר יודע איך לעשות את זה, קשה ככל שיהיה, בפעמים הבאות אתה כבר יודע איך לעשות את זה ויכול לעשות את זה בקלות.

איך אנחנו מונעים גישה לקובץ למקורות חיצוניים?

מעלים קובץ בשם .htaccess לתקיה הראשית של האתר עם שורות הקוד הבאות, או מוסיפים את שורות הקוד לקובץ אם הוא כבר קיים על השרת.

# to protect wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>

עוד צעד בדרך לאבטחה שלנו.

3. שינוי הרשאות הקובץ WP-config.php

כאמור – זהו הקובץ הרגיש ביותר שיכול לדפוק לנו את מערכת הוורדפרס כולה, לכן ננסה לאבטח אותו מכל כיוון אפשרי, כעת ניגש לשרת שלנו, למי שאין הרבה ידע טכני ניתן לעשות זאת בקלות עם תוכנת fileZilla, שמאוד נוחה וידידותית למשתמש.

* למי שאין את פרטי השרת שלו – יכול להשיג אותם מחברת האחסון.

עכשיו ניגש לתיקיה הראשית שעליה מותקנת הוורדפרס.

שם נראה את רשימת הקבצים ובינהם הקובץ wp-config.php, נלחץ עליו קליק ימני ואז על "הרשאות קובץ", שם נשנה את ההרשאות ל-644 ונשמור, מצורף צילומסך להמחשה.

אלו שלושת הצעדים הבסיסיים לאבטחת וורדפרס שאמורים למנוע רוב מוחלט של הפריצות. אם האתר בטוח לחלוטין? אין דבר כזה אתר בטוח לחלוטין, לא היה ולא יהיה, גם לאתר של הפנטגון פרצו, גם לאתר של ממשלת ישראל, גם לנאסא וגם לאתר של CAI, אין דבר כזה אתר מאובטח לחלוטין, וגילוי נאות, גם סחבק היה קורבן למתקפות כאלו כמה פעמים, לכן אני מעדכן את כולם כי חשוב לשים רמת אבטחה מינימלית בשרתים שלכם, כדי שלא תקומו מחר בבוקר ותראו איזה סמל בזוי של ארגון טרור באתר שלכם (או שתקבלו טלפון לחוץ מלקוח).

4. חסימת איי.פי של משתמשים עוינים

אם ניסו לפרוץ ספציפית לאתר שלכם (מתחרים שמשחקים מלוכלך או סתם אנשים מניאקים), כדאי לכם להתקין גם את הפלאג הבא שדוגם את כתובת האיי.פי של כל מי שמקיש סיסמה שגויה לממשק הניהול שלכם וחוסם אליו את הגישה. כמובן שאפשר להתחכם עם זה ע"י תוכנות של החלפת כתובות איי.פי, אבל בד"כ אנשים מניאקים הם לא כאלו מתוחכמים, ואת זה סחבק אומר לכם מנסיון 

להורדת הפלאג: https://wordpress.org/extend/plugins/login-lockdown/

5. תוסף גיבוי ושחזור מתקדם במערכת וורדפרס

התוסף הבא מאפשרת לכם לגבות ולשחזר את המערכת בכל זמן נתון, תוכלו גם לתזמן גיבויים באופן אוטומטי.

התוסף מגבה גם את קבצי המערכת וגם את בסיס הנתונים, כך שהוא יוכל להחזיר לכם את המערכת ותפקוד מלא לאחר פריצה במחיר של מקסימום איבוד פוסט או שניים, וזה במידה ואתם מעדכנים על בסיס יומיומי את הבלוג \ אתר.

זה אמנם תופס קצת מקום בשרת (קבצי הגיבויים), אבל זה עדיף מאשר האתר שלך יהפוך לתומך בטרור הפלסטיני….

להורדת הפלאג: https://wordpress.org/extend/plugins/backupwordpress/

מומלץ במיוחד גם למי שעוסק במקצוע בניית אתרים, אם פרצו לאתר של לקוח או משהו, אתה יכול להחזיר גיבוי…

עוד תוסף גיבויים פחות מתקדם אבל יותר נוח לתפעול: https://wordpress.org/extend/plugins/myeasybackup/

6. ואחרונים חביבים…. בדיקות אבטחה

התוספים הבאים בודקים אם יש לכם פרצות אבטחה במערכת או בתבנית (דברים שיכולים להשתנות כמובן) ויתנו לכם למידע כיצד לסגור את פרצות האבטחה.

תוסף לבדיקת פרצות אבטחה במערכת: https://wordpress.org/extend/plugins/wp-security-scan/

תוסף לבדיקת פרצות אבטחה בתבנית: https://wordpress.org/extend/plugins/tac/