אבטחת אתרי וורדפרס ברמת האתר והשרת

זה לא כל כך נעים לראות אתר פרוץ. פריצה לאתר וורדפרס יכולה לגרום לעסק שלכם נזק בטווח הקצר והארוך, במיוחד אם מדובר בפריצות חוזרות ונשנות. פריצה לאתר עלולה לגרום למחיקת נתונים מהאתר, ולהידרדרות במיקום במנועי חיפוש – בגלל עמודים חסרים או משום שגוגל מזהה שיש קוד זדוני באתר. מעריכים כי בכל יום נפרצים כ-30 אלף אתרי אינטרנט. יתרה מכך – כ-43% מהמתקפות על אתרים מתמקדות באתרים של עסקים קטנים, והנתונים מראים כי רק כ-14% מהאתרים האלה מוגנים בצורה נאותה. למה לכם להיות חלק מהסטטיסטיקה?

יש לא מעט פתרונות לאבטחת אתר הוורדפרס שלכם, וחלק ניכר מהם הם כאלה שאתם יכולים ליישם בעצמכם. זה נכון שאפשר לשחזר אתר וורדפרס במהירות אם יש לכם גיבוי עדכני (וחשוב מאוד שיהיה לכם) – אבל עדיף למנוע מראש את הטרחה, כאב הראש ובזבוז הזמן.

איך מאבטחים אתר וורדפרס?

סיסמאות חזקות

חלק ניכר מהמתקפות על אתרי וורדפרס כוללות כלים לניחוש סיסמאות. צרו סיסמאות חזקות וגם הקפידו על כך שכל המשתמשים באתר הזינו סיסמא חזקה. סיסמא כזו צריכה לכלול לפחות 12-16 תווים שונים, כולל אותיות גדולות וקטנות, ספרות ותווים מיוחדים. אתם יכולים גם להיעזר בוורדפרס עצמו, שמכיל מחולל סיסמאות בעמוד יצירת המשתמש.

התקינו תוסף אבטחה

יש כמה תוספי אבטחה טובים מאוד לוורדפרס, ואפילו הגירסה החינמית שלהם מספקת הגנה בסיסית טובה לאתר. תוספי אבטחה מומלצים לוורדפרס:

• וורדפנס
• Sucuri
• All In One WP Security & Firewall

חשוב לבדוק את הביצועים של האתר לאחר ההתקנה וההפעלה של תוסף האבטחה. אם התוסף יוצר בעיות או איטיות באתר, כדאי לנסות תוסף אחר. אל תשכחו לגבות את האתר לפני התקנת תוסף האבטחה.

הקפידו על עדכוני מערכת

וורדפרס מתעדכנת לעתים קרובות, ובחלק גדול מהמקרים מדובר בעדכוני אבטחה שמתקנים כל מיני חולשות ובעיות במערכת ניהול התוכן. חלק מהעדכונים מבוצע אוטומטית, אבל השדרוגים הגדולים ימתינו לכם, מכיוון שחשוב לבדוק את האתר לאחר מכן ולוודא שהכל עובד.

בעלי עסקים קטנים רבים מזניחים את האתר, ושוכחים לעדכן אותו. מערכת לא מעודכנת חושפת את האתר שלכם לפריצות – לכן חשוב להקפיד על ביקורים תכופים בממשק הניהול ועדכונים בהתאם.

אתם יכולים גם להפעיל עדכונים אוטומטיים באתר הוורדפרס שלכם, ופשוט לתת למערכת לעדכן את עצמה במידת הצורך.

שימו עין על התוספים והתבניות

גם את התוספים והתבניות של וורדפרס צריך לעדכן. למעשה, תוספים ותבניות מהווים נקודת חולשה שהאקרים אוהבים לנצל. תוספים ישנים ולא מעודכנים, למשל, יכולים בהחלט להוות סיכון אבטחה לאתר שלכם. אם המפתחים של התוסף הפסיקו לעדכן אותו, כדאי לשקול למחוק אותו או להחליף אותו בתוסף חדש.

עם תבניות המצב עלול להיות אפילו יותר מתסכל, מכיוון שהפיתוח שלהן ננטש לעתים קרובות, ושינוי העיצוב של כל האתר מטעמי אבטחה הוא לא משהו שעסקים קטנים נוטים לעשות. עם זאת, תבנית וורדפרס ישנה מאוד בהחלט מהווה סיכון אבטחה לאתר שלכם, וכדאי להחליף אותה, או להביא איש מקצוע שיעדכן את הקוד של התבנית.

הסתירו את מסך הלוגין של וורדפרס

וקטור התקפה נפוץ מאוד באתרי וורדפרס הוא מסך ההתחברות למערכת (מסך לוגין). בהתקנת וורדפרס, המסך הזה ממוקם ב-URL ספציפי וידוע מראש, מה שהופך אותו למטרה קלה מאוד לסריקה והתקפה. במקום שמסך הלוגין יהיה בכתובת שמסתיימת ב-wp-admin, אפשר להציב אותו בכתובת אחרת, למשל enterhere.php או כל סיומת אחרת שתבחרו.

שינוי הכתובת של מסך הלוגין יכולה להתבצע באמצעות עריכת הקוד של וורדפרס או באמצעות תוסף כמו WPS Hide Login.

ביטול בקשות xmlrpc.php

וורדפרס מגיעה עם פרוטוקול XML-RPC אשר מאפשר לתוכנות חיצוניות לפרסם פוסטים, לשמור עותקים, אפשרויות עריכה מתקדמות ועוד. האפשרויות הללו מהוות סיכון אבטחה לאתר שלכם מכיוון שהם פותחות פתח לקבלת מידע חיצוני ללא הפרעה.

החל מגירסה 3.5 של וורדפרס, הפונקציה הזאת פעילה כברירת מחדל, ואין דרך להפסיק אותה דרך ממשק הניהול של וורדפרס. עם זאת, ניתן לערוך קבצים דרך ממשק הניהול של אחסון האתר כדי לעצור אותה. כתבנו עבורכם מדריך: ביטול בקשות xmlrpc.php דרך שרת האחסון.

ודאו כי שירות האחסון משתמש בגירסה העדכנית ביותר של php

בדומה לעבודה עם גירסאות ישנות של וורדפרס, גם עבודה עם גירסאות ישנות של php אינה בטוחה. הגדרת גירסה ה-php מתבצעת בשרת אחסון האתרים שלכם, ובשירותי אחסון רבים אתם יכולים להגדיר את גירסת ה-php בעצמכם באמצעות סיפאנל. הקפידו לעבוד עם הגירסה העדכנית ביותר של php.

בחרו אחסון אתרים מאובטח

לפני שאתם רוכשים אחסון לאתר שלכם, בדקו האם שירות אירוח האתרים שם דגש מספיק על אבטחת האתרים וביצוע גיבויים. חפשו מידע ספציפי באתר חברת האחסון, או שאלו את שירות הלקוחות מה אמצעי האבטחה שננקטים בשרתים.

אחסון אתרים מאובטח יצמצם חלק ניכר מאפשרויות הפריצה לאתר שלכם ויחסוך לכם התעסקות וזמן רב.

העבירו את האתר לשרת וירטואלי

שרת וירטואלי מהווה פתרון מצוין לחיזוק מיידי ומהותי של אבטחת אתר הוורדפרס שלכם. בשרת שיתופי, אתם חולקים את המקום עם שכנים רבים, שחלקם עלולים להוות סיכון אבטחה – בלי קשר לאמצעי האבטחה שאתם נוקטים בהם בעצמכם.

כאשר אתם מאחסנים את אתר הווורדפרס שלכם על גבי שרת וירטואלי, אתם מעניקים לו תשתית איכותית, יציבה, מהירה וחזקה יותר, וכמובן – מאובטחת בצורה משמעותית. החלק שאתם יושבים עליו בשרת הוא כולו שלכם (ולכן קוראים לו "פרטי"), ולכן אתם לא בסכנה מהתנהלות לא זהירה או ממתקפות על אתרים שלא שייכים לכם.