על חשיבות האבטחה לאתרי וורדפרס אני חושב שלא צריך להרחיב, ובכל זאת מילה וחצי הקדמה, בגלל שוורדפרס זו כנראה הפלטפורמה הגדולה ביותר מבחינת כמות האתרים המשתמשים בה (ובלי ספק המערכת הגמישה ביותר מבחינת אפשרויות והתאמות), כתוצאה מפופולריות המערכת גם נסיונות הפריצה לאתרי וורדפרס הפכו פופולרי עם השנים, הפורצים מכירים ומנצלים את חורי האבטחה שמתגלים, וברגע שמתגלה פרצת אבטחה ההאקרים עובדים על כמות, מנסים לאתר ולתקוף כמה שיותר אתרים אשר חשופים לאותה פירצה (אם מדובר בפירצה בגרסה או בהגדרות אבטחת רופפות) עד שעדכון גרסה הבא יסגור את הפרצה בסבירות גבוהה.
גם אם אנחנו לא מומחי אבטחת מידע זה לא אומר שאנחנו צריכים לשבת בחיבוק ידיים עד לעדכון גרסה הבא, ישנם עשרות רבות של תוספי וורדפרס לצורכי אבטחת האתר, בחרתי להתמקד בשלושה תוספים יעילים במיוחד המקטינים משמעותית את סיכויי הפריצה לאתר או לשרת.
לשנות את שם המשתמש admin:
אחד השיטות הכי קלות ונפוצות לפרוץ לממשק הניהול של וורדפרס זה בעזרת brute force attacks , מתקפות אלו מסתמכות על זה שיש משתמש בשם ברירת המחדל שהוא admin, עצם שינוי שם המשתמש הזה כבר יחסוך אלפי נסיונות פריצה של רובוטים בשנה.
הרשאות גישה לפי כתובת IP:
במידה ואתה הגולש היחיד שמעדכן את אתרך אז תוכל לאפשר גישה לממשק הניהול רק לכתובת IP מסויימת, עושים את זה בקלות בעזרת הוספת קובץ .htaccess בתוך התיקייה wp-admin , עם הקוד הזה (יש לשנות את הXXX לכתובת IP שתקבל גישה:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “NO Access”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from x.x.x.x
</LIMIT>
שינוי הכתובת של עמוד הלוגין wp-login.php:
פורצי אתרים מנצלים את הידע המשותף שיש להם על אתרי וורדפרס, כמו למשל כתובת הגישה לעמודי הלוגאין (wp-login.php) , צעד חשוב מאוד שעוזר למנוע נסיונות פריצה של בוטים לעמוד לוגין wp-login.php הוא לשנות את שם העמוד לשם אחר למשל wp-login_new.php.
אבל את השינוי הזה צריך לבצע בכמה מקומות בקוד, שינוי של שם הקובץ בלבד יגרום לבאגים שלא יאפשרו גישה למערכת הניהול. ישנה דרך קלה לערוך בפעם אחת את כל
הקוד שצריך, וזאת עושים דרך הCONSOLE , למשתמשי WIN / LINUX ניתן להתקין תוכנה בשם PUTTY ולמשתמשי MAC לא צריך להתקין כלום, יש גישה ישירות בעזרת הSSH.
אחרי שמזינים פרטי שרת זו הפקודה שמשנה את הכתובת בכל שאר המקומות בקוד:
(השורה שבכתום צריכה להתאים לנתיב בשרת לתיקיית WP )
cd /path/to/wordpress/
sed -i.backup -e “s/wp-login.php/wp-login_new.
echo “” ; ./wp-login.php
הפנייה אוטומטית מאתרים מועתקים:
העתקת אתר זה לא רק מרגיז זה גם עלול לפגוע מאוד במיקומי האתר עקב תוכן כפול, נשמע מוזר אבל לא כזה נדיר, אישית נתקלתי בכמה אתרים שהעתיקו את כל האתר שלהם לדומיין אחר, במידה והעתיקו את הקבצים כמו שהם ניתן להוסיף שורה אסטרטגית בקובץ htaccess. שמפנה אוטומטית אם הדומיין הוא לא הדומיין הרצוי:
RewriteEngine On
/ RewriteBase
[#RewriteCond %{HTTP_HOST} !www.meronlaw.co.il$ [NC
[#RewriteRule ^(.*)$ http://www.meronlaw.co.il/$1 [L,R=301
תוספי אבטחה לאתרי וורדפרס – WordPress Security plugins
תוסף חינמי עם גרסה בתשלום (30$ לשנה), הגרסה החינמית עושה עבודה טובה מאוד, התוסף יכול לסרוק קבצים באתר כולל THEMES ו PLUGINS ויאמר לנו אם ואיזה קבצים שונו, מתבצעת סריקה פעם ביום והיא מודיעה לנו אם קבצים שונו, מאפשר חסימה של כתובות IP עם התנהגות חשודה, ואם יש גרסאות של תוספים לעדכון.
קצת רקע – בשנת 2011 נמצאה פרצת אבטחה קריטית בקובץ timthumb.php והרבה בעלי אתרים שבהם הקובץ היה קיים סבלו מפריצות. התוסף הזה סורק את WPCONTENTומחפש שאריות של סקריפטים ישנים, זה עדכון קריטי, כי אם לאתר שלכם יש שאריות מהסקריפט הישן של timthumb זה רק עניין של זמן עד שהאתר יפרץ!
גם תוסף חינמי שבודק את האתר שלכם ומחפש פריצות אבטחה ידועות, למשל נותן לערוך את השם של הDATA PREFIX שם ברירת המחדל הוא WP בעזרת התוסף ניתן לשנות את השם בקלות. ניתן גם להסתיר את גירסת וורדפרס המותקנת באתר בכדי שלא ניתן את המידע הזה להאקרים.
יש לא מעט תוספי גיבוי, חלקם טובים יותר וחלקם פחות, היתרון של התוסף הזה מלבד שהוא חינמי, הוא שמבצע גיבויים אוטומטיים לא רק לשרת (אם פרצו לשרת אז ימחקו גם את הגיבוי) אלא ניתן לבצע גיבוי גם לחשבון Google drive, Azure, Dropbox, Ftp, Email, S3 ועוד.
חשוב לציין שכל הצעדים שהוזכרו למעלה עדיין לא ימנעו ב100% ניסיונות פריצה אבל הם יקשו מאוד על פורצים להשלים את המשימה.