אבטחת אתרי וורדפרס – כי לא פשוט לקדם אתר שנפרץ

על חשיבות האבטחה לאתרי וורדפרס אני חושב שלא צריך להרחיב, ובכל זאת מילה וחצי הקדמה, בגלל שוורדפרס זו כנראה הפלטפורמה הגדולה ביותר מבחינת כמות האתרים המשתמשים בה (ובלי ספק המערכת הגמישה ביותר מבחינת אפשרויות והתאמות), כתוצאה מפופולריות המערכת גם נסיונות הפריצה לאתרי וורדפרס הפכו פופולרי עם השנים, הפורצים מכירים ומנצלים את חורי האבטחה שמתגלים, וברגע שמתגלה פרצת אבטחה ההאקרים עובדים על כמות, מנסים לאתר ולתקוף כמה שיותר אתרים אשר חשופים לאותה פירצה (אם מדובר בפירצה בגרסה או בהגדרות אבטחת רופפות) עד שעדכון גרסה הבא יסגור את הפרצה בסבירות גבוהה.

גם אם אנחנו לא מומחי אבטחת מידע זה לא אומר שאנחנו צריכים לשבת בחיבוק ידיים עד לעדכון גרסה הבא, ישנם עשרות רבות של תוספי וורדפרס לצורכי אבטחת האתר, בחרתי להתמקד בשלושה תוספים יעילים במיוחד המקטינים משמעותית את סיכויי הפריצה לאתר או לשרת.

 

לשנות את שם המשתמש admin:

אחד השיטות הכי קלות ונפוצות לפרוץ לממשק הניהול של וורדפרס זה בעזרת brute force attacks  , מתקפות אלו מסתמכות על זה שיש משתמש בשם ברירת המחדל שהוא admin, עצם שינוי שם המשתמש הזה כבר יחסוך אלפי נסיונות פריצה של רובוטים בשנה.

 

הרשאות גישה לפי כתובת IP:

במידה ואתה הגולש היחיד שמעדכן את אתרך אז תוכל לאפשר גישה לממשק הניהול רק לכתובת IP מסויימת, עושים את זה בקלות בעזרת הוספת קובץ .htaccess  בתוך התיקייה wp-admin , עם הקוד הזה (יש לשנות את הXXX  לכתובת IP  שתקבל גישה:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “NO Access”
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from x.x.x.x
</LIMIT>

שינוי הכתובת של עמוד הלוגין wp-login.php:

פורצי אתרים מנצלים את הידע המשותף שיש להם על אתרי וורדפרס, כמו למשל כתובת הגישה לעמודי הלוגאין (wp-login.php) , צעד חשוב מאוד שעוזר למנוע נסיונות פריצה של בוטים לעמוד לוגין wp-login.php הוא לשנות את שם העמוד לשם אחר למשל wp-login_new.php.

אבל את השינוי הזה צריך לבצע בכמה מקומות בקוד, שינוי של שם הקובץ בלבד יגרום לבאגים שלא יאפשרו גישה למערכת הניהול. ישנה דרך קלה לערוך בפעם אחת את כל

הקוד שצריך, וזאת עושים דרך הCONSOLE , למשתמשי WIN / LINUX ניתן להתקין תוכנה בשם  PUTTY ולמשתמשי MAC לא צריך להתקין כלום, יש גישה ישירות בעזרת הSSH.

אחרי שמזינים פרטי שרת זו הפקודה שמשנה את הכתובת בכל שאר המקומות בקוד:

(השורה שבכתום צריכה להתאים לנתיב בשרת לתיקיית WP )

cd /path/to/wordpress/
sed -i.backup -e “s/wp-login.php/wp-login_new.php/” ./wp-login.php
echo “” ; ./wp-login.php

הפנייה אוטומטית מאתרים מועתקים:

העתקת אתר זה לא רק מרגיז זה גם עלול לפגוע מאוד במיקומי האתר עקב תוכן כפול, נשמע מוזר אבל לא כזה נדיר, אישית נתקלתי בכמה אתרים שהעתיקו את כל האתר שלהם לדומיין אחר, במידה והעתיקו את הקבצים כמו שהם ניתן להוסיף שורה אסטרטגית בקובץ htaccess. שמפנה אוטומטית אם הדומיין הוא לא הדומיין הרצוי:

RewriteEngine On
/ RewriteBase
[#RewriteCond %{HTTP_HOST} !www.meronlaw.co.il$ [NC
[#RewriteRule ^(.*)$ http://www.meronlaw.co.il/$1 [L,R=301

תוספי אבטחה לאתרי וורדפרס – WordPress Security plugins 

Wordfence scan:

תוסף חינמי עם גרסה בתשלום (30$ לשנה), הגרסה החינמית עושה עבודה טובה מאוד, התוסף יכול לסרוק קבצים באתר כולל THEMES  ו PLUGINS  ויאמר לנו אם ואיזה קבצים שונו, מתבצעת סריקה פעם ביום והיא מודיעה לנו אם קבצים שונו, מאפשר חסימה של כתובות IP עם התנהגות חשודה, ואם יש גרסאות של תוספים לעדכון.

Timthumb Scanner

קצת רקע – בשנת 2011 נמצאה פרצת אבטחה קריטית בקובץ timthumb.php  והרבה בעלי אתרים שבהם הקובץ היה קיים סבלו מפריצות. התוסף הזה סורק את  WPCONTENTומחפש שאריות של סקריפטים ישנים, זה עדכון קריטי, כי אם לאתר שלכם יש שאריות מהסקריפט הישן של timthumb  זה רק עניין של זמן עד שהאתר יפרץ!

WP security scan:

גם תוסף  חינמי שבודק את האתר שלכם ומחפש פריצות אבטחה ידועות, למשל נותן לערוך את השם של הDATA PREFIX   שם ברירת המחדל הוא  WP בעזרת התוסף ניתן לשנות את השם בקלות. ניתן גם להסתיר את גירסת וורדפרס המותקנת באתר בכדי שלא ניתן את המידע הזה להאקרים.

BackWpup:

יש לא מעט תוספי גיבוי, חלקם טובים יותר וחלקם פחות, היתרון של התוסף הזה מלבד שהוא חינמי, הוא שמבצע גיבויים אוטומטיים לא רק לשרת (אם פרצו לשרת אז ימחקו גם את הגיבוי) אלא ניתן לבצע גיבוי גם לחשבון Google drive, Azure, Dropbox, Ftp, Email, S3 ועוד.

חשוב לציין שכל הצעדים שהוזכרו למעלה עדיין לא ימנעו ב100% ניסיונות פריצה אבל הם יקשו מאוד על פורצים להשלים את המשימה.

ע”י מוטי חמו | אופטיוייז קידום אתרים

רוצים לחזור לקטע מיוחד במאמר?

שיתוף המאמר:

אולי יעניין אתכם גם:

כותבי המאמר: צוות אופטיוויז

Optiwise היא זרוע שירותי השיווק הדיגיטלי של חברת NGSoft ומתמחה במתן פתרון מקיף וכולל לשיווק מתקדם באינטרנט, באמצעות שורה של כלים מקצועיים מוכווני תוצאות. האפשרויות שמעניקה Optiwise מתאימות למגוון רחב של חברות ועסקים בתחומים שונים.

שירותיה של Optiwise מעניקים פתרון שיווקי כולל לעסקים בינוניים וגדולים המעוניינים להגדיל בצורה אפקטיבית את הנוכחות ברשת האינטרנט ולהביא יותר הזדמנויות עסקיות.

 

 
נגישות