אבטחת אתרי וורדפרס – כי לא פשוט לקדם אתר שנפרץ

26 ביוני 2013 /

על חשיבות האבטחה לאתרי וורדפרס אני חושב שלא צריך להרחיב, ובכל זאת מילה וחצי הקדמה, בגלל שוורדפרס זו כנראה הפלטפורמה הגדולה ביותר מבחינת כמות האתרים המשתמשים בה (ובלי ספק המערכת הגמישה ביותר מבחינת אפשרויות והתאמות), כתוצאה מפופולריות המערכת גם נסיונות הפריצה לאתרי וורדפרס הפכו פופולרי עם השנים, הפורצים מכירים ומנצלים את חורי האבטחה שמתגלים, וברגע שמתגלה פרצת אבטחה ההאקרים עובדים על כמות, מנסים לאתר ולתקוף כמה שיותר אתרים אשר חשופים לאותה פירצה (אם מדובר בפירצה בגרסה או בהגדרות אבטחת רופפות) עד שעדכון גרסה הבא יסגור את הפרצה בסבירות גבוהה.

גם אם אנחנו לא מומחי אבטחת מידע זה לא אומר שאנחנו צריכים לשבת בחיבוק ידיים עד לעדכון גרסה הבא, ישנם עשרות רבות של תוספי וורדפרס לצורכי אבטחת האתר, בחרתי להתמקד בשלושה תוספים יעילים במיוחד המקטינים משמעותית את סיכויי הפריצה לאתר או לשרת.

 

לשנות את שם המשתמש admin:

אחד השיטות הכי קלות ונפוצות לפרוץ לממשק הניהול של וורדפרס זה בעזרת brute force attacks  , מתקפות אלו מסתמכות על זה שיש משתמש בשם ברירת המחדל שהוא admin, עצם שינוי שם המשתמש הזה כבר יחסוך אלפי נסיונות פריצה של רובוטים בשנה.

 

הרשאות גישה לפי כתובת IP:

במידה ואתה הגולש היחיד שמעדכן את אתרך אז תוכל לאפשר גישה לממשק הניהול רק לכתובת IP מסויימת, עושים את זה בקלות בעזרת הוספת קובץ .htaccess  בתוך התיקייה wp-admin , עם הקוד הזה (יש לשנות את הXXX  לכתובת IP  שתקבל גישה:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "NO Access"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from x.x.x.x
</LIMIT>

שינוי הכתובת של עמוד הלוגין wp-login.php:

פורצי אתרים מנצלים את הידע המשותף שיש להם על אתרי וורדפרס, כמו למשל כתובת הגישה לעמודי הלוגאין (wp-login.php) , צעד חשוב מאוד שעוזר למנוע נסיונות פריצה של בוטים לעמוד לוגין wp-login.php הוא לשנות את שם העמוד לשם אחר למשל wp-login_new.php.

אבל את השינוי הזה צריך לבצע בכמה מקומות בקוד, שינוי של שם הקובץ בלבד יגרום לבאגים שלא יאפשרו גישה למערכת הניהול. ישנה דרך קלה לערוך בפעם אחת את כל

הקוד שצריך, וזאת עושים דרך הCONSOLE , למשתמשי WIN / LINUX ניתן להתקין תוכנה בשם  PUTTY ולמשתמשי MAC לא צריך להתקין כלום, יש גישה ישירות בעזרת הSSH.

אחרי שמזינים פרטי שרת זו הפקודה שמשנה את הכתובת בכל שאר המקומות בקוד:

(השורה שבכתום צריכה להתאים לנתיב בשרת לתיקיית WP )

cd /path/to/wordpress/
sed -i.backup -e "s/wp-login.php/wp-login_new.php/" ./wp-login.php
echo "" ; ./wp-login.php

הפנייה אוטומטית מאתרים מועתקים:

העתקת אתר זה לא רק מרגיז זה גם עלול לפגוע מאוד במיקומי האתר עקב תוכן כפול, נשמע מוזר אבל לא כזה נדיר, אישית נתקלתי בכמה אתרים שהעתיקו את כל האתר שלהם לדומיין אחר, במידה והעתיקו את הקבצים כמו שהם ניתן להוסיף שורה אסטרטגית בקובץ htaccess. שמפנה אוטומטית אם הדומיין הוא לא הדומיין הרצוי:

RewriteEngine On
/ RewriteBase
[#RewriteCond %{HTTP_HOST} !www.meronlaw.co.il$ [NC
[#RewriteRule ^(.*)$ http://www.meronlaw.co.il/$1 [L,R=301

תוספי אבטחה לאתרי וורדפרס – WordPress Security plugins 

Wordfence scan:

תוסף חינמי עם גרסה בתשלום (30$ לשנה), הגרסה החינמית עושה עבודה טובה מאוד, התוסף יכול לסרוק קבצים באתר כולל THEMES  ו PLUGINS  ויאמר לנו אם ואיזה קבצים שונו, מתבצעת סריקה פעם ביום והיא מודיעה לנו אם קבצים שונו, מאפשר חסימה של כתובות IP עם התנהגות חשודה, ואם יש גרסאות של תוספים לעדכון.

Timthumb Scanner

קצת רקע – בשנת 2011 נמצאה פרצת אבטחה קריטית בקובץ timthumb.php  והרבה בעלי אתרים שבהם הקובץ היה קיים סבלו מפריצות. התוסף הזה סורק את  WPCONTENTומחפש שאריות של סקריפטים ישנים, זה עדכון קריטי, כי אם לאתר שלכם יש שאריות מהסקריפט הישן של timthumb  זה רק עניין של זמן עד שהאתר יפרץ!

WP security scan:

גם תוסף  חינמי שבודק את האתר שלכם ומחפש פריצות אבטחה ידועות, למשל נותן לערוך את השם של הDATA PREFIX   שם ברירת המחדל הוא  WP בעזרת התוסף ניתן לשנות את השם בקלות. ניתן גם להסתיר את גירסת וורדפרס המותקנת באתר בכדי שלא ניתן את המידע הזה להאקרים.

BackWpup:

יש לא מעט תוספי גיבוי, חלקם טובים יותר וחלקם פחות, היתרון של התוסף הזה מלבד שהוא חינמי, הוא שמבצע גיבויים אוטומטיים לא רק לשרת (אם פרצו לשרת אז ימחקו גם את הגיבוי) אלא ניתן לבצע גיבוי גם לחשבון Google drive, Azure, Dropbox, Ftp, Email, S3 ועוד.

חשוב לציין שכל הצעדים שהוזכרו למעלה עדיין לא ימנעו ב100% ניסיונות פריצה אבל הם יקשו מאוד על פורצים להשלים את המשימה.

ע"י מוטי חמו | אופטיוייז קידום אתרים

פוסטים שאולי יענינו אותך

6 ביולי 2015 /

מהעולם הריאלי לעולם הוירטואלי

נכתב ע"י ניסן בכר

תחילת הדרך אז עד לפני 8 חודשים היית במצב שלכם, כשעוד חשבתי לעצמי מה כדאי לי לעשות עם עצמי בחיים, לאן עליי לפנות וכמו שהמבוגרים אומרים "מה עם לימודים". אם גם אתם באותו מצב כרגע, הגעתם למקום הנכון. כשעניתי לטלפון

1 באפריל 2014 /

הרפתקאות 1 באפריל גרסת 2014, איך יפתיעו אותנו השנה?

נכתב ע"י מנשה אברמוב

החלטתי לעשות סיכום קטנטן ומתומצת של מתיחות ה 1 באפריל שאותם הספקתי לתפוס השנה.
בעיקר בתחום שלנו.
ראיתי שחלק מהמתיחות כבר עברו מפה לאוזן, וחלקם עדיין לא הספיקו להפתיע אותנו

13 בפברואר 2014 /

קידום אתר וורדפרס מול לקדם אתר וויקס Wix Vs WordPress

נכתב ע"י מוטי חמו

הקדמה על חברת Wix   לפני שנתחיל לעשות את ההשוואה (הלא הכי הוגנת) בין מערכת ניהול התוכן WIX לבין מערכת ניהול התוכן (CMS) של WORDPRESS, אני רוצה לציין שאני מכיר את החבר'ה בWIX והם עושים אחלה עבודה כמה שנים רצופות, לא

כתיבת תגובה


האימייל לא יוצג באתר. שדות החובה מסומנים *

נגישות