כל אתר שנמצא על האינטרנט חשוף לפריצות. אתרי וורדפרס נוטים להיות בסיכון גבוה במיוחד לפריצה, וזאת ממגוון סיבות – העובדה שחלק נרחב מאוד מהאתרים באינטרנט בנויים על וורדפרס, הופכת אותה ליעד אטרקטיבי להאקרים שמחפשים חולשות אבטחה באתרים על מנת לנצלן לפריצה. סיבות נוספות שהופכות אתרי וורדפרס לחשופים לפגיעות אבטחה הן שימוש בתוספים ותבניות המכילים קוד ממקור חיצוני, תחזוקה לקויה, שירות אחסון לא מאובטח, ועוד. לפניכם מספר המלצות שתוכלו ליישם בקלות רבה על מנת להגביר משמעותית את האבטחה באתר הוורדפרס שלכם.
כל אתר שנמצא על האינטרנט חשוף לפריצות. אתרי וורדפרס נוטים להיות בסיכון גבוה במיוחד לפריצה, וזאת ממגוון סיבות – העובדה שחלק נרחב מאוד מהאתרים באינטרנט בנויים על וורדפרס, הופכת אותה ליעד אטרקטיבי להאקרים שמחפשים חולשות אבטחה באתרים על מנת לנצלן לפריצה. סיבות נוספות שהופכות אתרי וורדפרס לחשופים לפגיעות אבטחה הן שימוש בתוספים ותבניות המכילים קוד ממקור חיצוני, תחזוקה לקויה, שירות אחסון לא מאובטח, ועוד.
לפניכם מספר המלצות שתוכלו ליישם בקלות רבה על מנת להגביר משמעותית את האבטחה באתר הוורדפרס שלכם.
1. התקנת תוסף אבטחה אחד הדברים החשובים (וגם הפשוטים) שאתם יכולים לעשות בשביל להעלות את רמת האבטחה של האתר שלכם, הוא התקנת תוסף אבטחה. כל תוסף אבטחה עובד בצורה קצת שונה, אבל רוב תוספי האבטחה הסטנדרטיים יאפשרו לכם לסרוק את האתר ולנקות קבצים זדוניים, לקבל דיווחים על קבצים חשודים שנוספו לאתר ותוספים עם סיכוי גבוה להכיל פירצת אבטחה, חסימת בוטים, רשימה שחורה וחסימה לפי כתובת IP, ועוד. תוספי אבטחה מומלצים (ועם אפשרות לגרסה חינמית): Wordfence, Sucuri, Malcare
2. אימות דו שלבי –2FA כמו בכל אתר או אפליקציה שמכילים מידע רגיש, גם בכניסה למערכת הניהול של אתר הוורדפרס שלכם כדאי להפעיל אימות דו שלבי. אימות דו שלבי מוסיף עוד שלב בתהליך האימות, על ידי שליחת קוד ייחודי למכשיר הנייד שלכם. את הקוד הזה תתבקשו להכניס בעמוד הכניסה לאתר, יחד עם שם המשתמש והסיסמה. במידה ויש אימות בין המספר שנשלח למספר שהכנסתם, המערכת תאפשר לכם להיכנס לאתר. אימות דו שלבי יכול להיעשות באמצעות מייל, SMS, או אפליקציה ייעודית. יש מגוון רחב של תוספים חינמיים לאימות דו שלבי. לפני שבוחרים תוסף, כדאי לוודא שיש לו כמות גדולה של הורדות, וביקורות חיוביות.
3. בחירת סיסמה קשה לניחוש בחירת סיסמה חזקה וקשה לניחוש היא גורם משפיע מאוד בתהליך האבטחה על האתר. אתרי וורדפרס חשופים לbrute force attacks - בוטים שמנסים לנחש את הסיסמה שלכם לאתר על ידי ביצוע מספר מאוד גדול של ניסיונות שונים. כשיוצרים משתמש חדש במערכת של וורדפרס, המערכת מציעה סיסמה רנדומלית. הסיסמה הזאת מספיק ארוכה ומורכבת ולכן מומלץ להשתמש בה או בסיסמה דומה מבחינת האורך וסוג התווים.
4. שינוי כתובת הכניסה לאתר שלכם כברירת מחדל, עמוד הכניסה למערכת הניהול של וורדפרס או הכתובת של האתר שלכם עם הסיומת /wp-admin, לדוגמה – yourdomain.com/wp-admin. יש אפשרות לחסום את כתובת ברירת המחדל, ולהשתמש בכתובת אחרת לבחירתכם, מוסתרת מהאקרים ובוטים. גם את זה ניתן לבצע באמצעות התקנה של תוסף – לדוגמה WPS hide login.
5. עדכון גרסת וורדפרס ופלאגינים כדי לשמור על האתר מאובטח, חייבים לעדכן תוספים וגרסת וורדפרס על בסיס קבוע. האקרים יודעים לנצל פירצות וליקויי אבטחה בפלאגינים וגירסאות וורדפרס קודמות, ולכן יש צורך לעדכן את האתר לעיתים תכופות יחסית. לפני עדכון האתר, מומלץ מאוד לקחת גיבוי מלא של האתר כדי להחזיר לגרסה הקודמת במידה ודברים משתבשים במהלך העדכון. דברים כאלה יכולים לקרות לעיתים די קרובות, במיוחד באתרים שלא עודכנו חודשים רבים. באופן כללי, כדאי שאת העדכונים יבצע מתכנת וורדפרס שיידע לגבות את האתר ולתקן את השגיאות שעלולות להיווצר בעקבות העדכונים השונים.
לסיכום
אבטחת אתרי וורדפרס היא נושא מאוד רחב, שיכול לעתים להיות מורכב ולדרוש ידע טכני. עם זאת, יש לא מעט דברים שגם מנהלי אתרים ללא ידע טכני יכולים לעשות בקלות, על מנת לשפר משמעותית את האבטחה באתר. בכל מה שקשור לפריצה לאתר, המון בעלי אתרים מאמינים ש"לי זה לא יקרה". לצערנו, פריצות לאתרי וורדפרס הן דבר שבשיגרה, ויכולות לקרות בכל סוג אתר – החל מאתרי תוכן קטנים ועד לאתרי סחר. יישום הנקודות שצויינו במאמר לא יבטיח שהאתר שלכם לא ייפרץ, אך בהחלט יישפר משמעותית את האבטחה, ויקטין מאוד את הסיכוי לפריצה.
לפניכם מספר המלצות שתוכלו ליישם בקלות רבה על מנת להגביר משמעותית את האבטחה באתר הוורדפרס שלכם.
1. התקנת תוסף אבטחה אחד הדברים החשובים (וגם הפשוטים) שאתם יכולים לעשות בשביל להעלות את רמת האבטחה של האתר שלכם, הוא התקנת תוסף אבטחה. כל תוסף אבטחה עובד בצורה קצת שונה, אבל רוב תוספי האבטחה הסטנדרטיים יאפשרו לכם לסרוק את האתר ולנקות קבצים זדוניים, לקבל דיווחים על קבצים חשודים שנוספו לאתר ותוספים עם סיכוי גבוה להכיל פירצת אבטחה, חסימת בוטים, רשימה שחורה וחסימה לפי כתובת IP, ועוד. תוספי אבטחה מומלצים (ועם אפשרות לגרסה חינמית): Wordfence, Sucuri, Malcare
2. אימות דו שלבי –2FA כמו בכל אתר או אפליקציה שמכילים מידע רגיש, גם בכניסה למערכת הניהול של אתר הוורדפרס שלכם כדאי להפעיל אימות דו שלבי. אימות דו שלבי מוסיף עוד שלב בתהליך האימות, על ידי שליחת קוד ייחודי למכשיר הנייד שלכם. את הקוד הזה תתבקשו להכניס בעמוד הכניסה לאתר, יחד עם שם המשתמש והסיסמה. במידה ויש אימות בין המספר שנשלח למספר שהכנסתם, המערכת תאפשר לכם להיכנס לאתר. אימות דו שלבי יכול להיעשות באמצעות מייל, SMS, או אפליקציה ייעודית. יש מגוון רחב של תוספים חינמיים לאימות דו שלבי. לפני שבוחרים תוסף, כדאי לוודא שיש לו כמות גדולה של הורדות, וביקורות חיוביות.
3. בחירת סיסמה קשה לניחוש בחירת סיסמה חזקה וקשה לניחוש היא גורם משפיע מאוד בתהליך האבטחה על האתר. אתרי וורדפרס חשופים לbrute force attacks - בוטים שמנסים לנחש את הסיסמה שלכם לאתר על ידי ביצוע מספר מאוד גדול של ניסיונות שונים. כשיוצרים משתמש חדש במערכת של וורדפרס, המערכת מציעה סיסמה רנדומלית. הסיסמה הזאת מספיק ארוכה ומורכבת ולכן מומלץ להשתמש בה או בסיסמה דומה מבחינת האורך וסוג התווים.
4. שינוי כתובת הכניסה לאתר שלכם כברירת מחדל, עמוד הכניסה למערכת הניהול של וורדפרס או הכתובת של האתר שלכם עם הסיומת /wp-admin, לדוגמה – yourdomain.com/wp-admin. יש אפשרות לחסום את כתובת ברירת המחדל, ולהשתמש בכתובת אחרת לבחירתכם, מוסתרת מהאקרים ובוטים. גם את זה ניתן לבצע באמצעות התקנה של תוסף – לדוגמה WPS hide login.
5. עדכון גרסת וורדפרס ופלאגינים כדי לשמור על האתר מאובטח, חייבים לעדכן תוספים וגרסת וורדפרס על בסיס קבוע. האקרים יודעים לנצל פירצות וליקויי אבטחה בפלאגינים וגירסאות וורדפרס קודמות, ולכן יש צורך לעדכן את האתר לעיתים תכופות יחסית. לפני עדכון האתר, מומלץ מאוד לקחת גיבוי מלא של האתר כדי להחזיר לגרסה הקודמת במידה ודברים משתבשים במהלך העדכון. דברים כאלה יכולים לקרות לעיתים די קרובות, במיוחד באתרים שלא עודכנו חודשים רבים. באופן כללי, כדאי שאת העדכונים יבצע מתכנת וורדפרס שיידע לגבות את האתר ולתקן את השגיאות שעלולות להיווצר בעקבות העדכונים השונים.
לסיכום
אבטחת אתרי וורדפרס היא נושא מאוד רחב, שיכול לעתים להיות מורכב ולדרוש ידע טכני. עם זאת, יש לא מעט דברים שגם מנהלי אתרים ללא ידע טכני יכולים לעשות בקלות, על מנת לשפר משמעותית את האבטחה באתר. בכל מה שקשור לפריצה לאתר, המון בעלי אתרים מאמינים ש"לי זה לא יקרה". לצערנו, פריצות לאתרי וורדפרס הן דבר שבשיגרה, ויכולות לקרות בכל סוג אתר – החל מאתרי תוכן קטנים ועד לאתרי סחר. יישום הנקודות שצויינו במאמר לא יבטיח שהאתר שלכם לא ייפרץ, אך בהחלט יישפר משמעותית את האבטחה, ויקטין מאוד את הסיכוי לפריצה.