מספר טיפים לאבטחת מערכת וורדפרס

אבטחת וורדפרס

אבטחת וורדפרס

אז בזמן האחרון, אני מאמין ששמתם לב, יש מתקפה חזיתית של האקרים ערבים מכל קצוות עולם על אתרים ישראלים. מאות ואפילו אלפי אתרים נפרצים מידי יום בארץ ובחו"ל, כאשר בגדש הוא על מערכות קוד פתוח. ולמה מערכות קוד פתוח?

הסיבה היא פשוטה: לכולם יש נגישות למבנה הבסיסי של מערכות קוד פתוח, כל אחד ואחת יכולים להיכנס לאתר הבית של וורדפרס ולהוריד משם את קוד המקור שלה. מה שזה אומר שכל האקר יכול לנתח את קוד המבנה הבסיס של וורדפרס ולהבין אם יש בה פרצות אבטחה, משם הדרך כבר לא כ"כ ארוכה עד לפריצה…

אממה… אם תשנו קצת את העניינים שם, אתם בהחלט תקשו מאוד על האקרים לחדור לאתר שלכם. אז לגבי מערכות קוד פתוח פופולאריות אחרות (ג'ומלה, דרופל), אני קצת פחות מבין, אז בפוסט הזה אני אתמקד במספר המלצות לאבטחה של מערכת וורדפרס.

1. התקנת תוסף BulletProof Security

תוסף מעולה אשר סוגר לכם באופן אוטומטי פרצות אבטחה אפשריות בוורדפרס, מעבר לכך, התוסף נותן לכם המלצות והתראות על פרצות אבטחה אפשריות (למשל אם התקנתם פלאג חדש) ומסביר לכם כיצד לפתור את הבעיות.

עוד תכונה טובה של התוסף היא אפשרות השחזור, התוסף מאפשר לכם לגבות את האתר ולשחזר אותו במידה ונפרץ.

להורדת התוסף: http://wordpress.org/extend/plugins/bulletproof-security/

2. הגנה על קובץ WP-config.php

הקובץ הנ"ל הוא בעצם הקובץ שאחראי על הגדרות המערכת שלכם, רוב מוחלט של הפריצות ע"י האקרים ערבים (ובכלל) נעשים ע"י שינוי הגדרות בקובץ זה, הם מצליחים לחדור אליו חיצונית בדרך לא דרך, אבל בשורה התחתונה מצליחים לא מעט בזמן האחרון ע"י ניצול פרצות אבטחה (זעירות אמנם) במערכת. מה שיפה במחשבים זה שבד"כ אתה צריך לעשות את הדברים רק פעם אחת, את הפעם השניה אתה כבר יכול לשכפל, זאת אומרת שאם חדרת פעם אחת לוורדפרס, אתה כבר יודע איך לעשות את זה, קשה ככל שיהיה, בפעמים הבאות אתה כבר יודע איך לעשות את זה ויכול לעשות את זה בקלות.

איך אנחנו מונעים גישה לקובץ למקורות חיצוניים?

מעלים קובץ בשם .htaccess לתקיה הראשית של האתר עם שורות הקוד הבאות, או מוסיפים את שורות הקוד לקובץ אם הוא כבר קיים על השרת.

# to protect wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>

עוד צעד בדרך לאבטחה שלנו.

3. שינוי הרשאות הקובץ WP-config.php

כאמור – זהו הקובץ הרגיש ביותר שיכול לדפוק לנו את מערכת הוורדפרס כולה, לכן ננסה לאבטח אותו מכל כיוון אפשרי, כעת ניגש לשרת שלנו, למי שאין הרבה ידע טכני ניתן לעשות זאת בקלות עם תוכנת fileZilla, שמאוד נוחה וידידותית למשתמש.

* למי שאין את פרטי השרת שלו – יכול להשיג אותם מחברת האחסון.

עכשיו ניגש לתיקיה הראשית שעליה מותקנת הוורדפרס, שם נראה את רשימת הקבצים ובינהם הקובץ wp-config.php, נלחץ עליו קליק ימני ואז על "הרשאות קובץ", שם נשנה את ההרשאות ל-644 ונשמור, מצורף צילומסך להמחשה.

שינוי הרשאות קובץ

שינוי הרשאות קובץ

אלו שלושת הצעדים הבסיסיים לאבטחת וורדפרס שאמורים למנוע רוב מוחלט של הפריצות. אם האתר בטוח לחלוטין? אין דבר כזה אתר בטוח לחלוטין, לא היה ולא יהיה, גם לאתר של הפנטגון פרצו, גם לאתר של ממשלת ישראל, גם לנאסא וגם לאתר של CAI, אין דבר כזה אתר מאובטח לחלוטין, וגילוי נאות, גם סחבק היה קורבן למתקפות כאלו כמה פעמים, לכן אני מעדכן את כולם כי חשוב לשים רמת אבטחה מינימלית בשרתים שלכם, כדי שלא תקומו מחר בבוקר ותראו איזה סמל בזוי של ארגון טרור באתר שלכם (או שתקבלו טלפון לחוץ מלקוח).

4. חסימת איי.פי של מניאקים

אם ניסו לפרוץ ספציפית לאתר שלכם (מתחרים שמשחקים מלוכלך או סתם אנשים מניאקים), כדאי לכם להתקין גם את הפלאג הבא שדוגם את כתובת האיי.פי של כל מי שמקיש סיסמה שגויה לממשק הניהול שלכם וחוסם אליו את הגישה. כמובן שאפשר להתחכם עם זה ע"י תוכנות של החלפת כתובות איי.פי, אבל בד"כ אנשים מניאקים הם לא כאלו מתוחכמים, ואת זה סחבק אומר לכם מנסיון 🙂

להורדת הפלאג: http://wordpress.org/extend/plugins/login-lockdown/

5. תוסף גיבוי ושחזור מתקדם

התוסף הבא מאפשרת לכם לגבות ולשחזר את המערכת בכל זמן נתון, תוכלו גם לתזמן גיבויים באופן אוטומטי, התוסף מגבה גם את קבצי המערכת וגם את בסיס הנתונים, כך שהוא יוכל להחזיר לכם את המערכת ותפקוד מלא לאחר פריצה במחיר של מקסימום איבוד פוסט או שניים, וזה במידה ואתם מעדכנים על בסיס יומיומי את הבלוג אתר.

זה אמנם תופס קצת מקום בשרת (קבצי הגיבויים), אבל זה עדיף מאשר האתר שלך יהפוך לתומך בטרור הפלסטיני….

להורדת הפלאג: http://wordpress.org/extend/plugins/backupwordpress/

מומלץ במיוחד גם למי שעוסק במקצוע בניית אתרים, אם פרצו לאתר של לקוח או משהו, אתה יכול להחזיר גיבוי…

עוד תוסף גיבויים פחות מתקדם אבל יותר נוח לתפעול: http://wordpress.org/extend/plugins/myeasybackup/

6. ואחרונים חביבים…. בדיקות אבטחה

התוספים הבאים בודקים אם יש לכם פרצות אבטחה במערכת או בתבנית (דברים שיכולים להשתנות כמובן) ויתנו לכם למידע כיצד לסגור את פרצות האבטחה.

תוסף לבדיקת פרצות אבטחה במערכת: http://wordpress.org/extend/plugins/wp-security-scan/

תוסף לבדיקת פרצות אבטחה בתבנית: http://wordpress.org/extend/plugins/tac/

זהו… עד כאן להיום, ובהזדמנות זו אני רוצה לאחל לכל קוראי הבלוג ולכל בית ישראל גמר חתימה טובה 🙂

8 תגובות
  1. פינטו
    פינטו says:

    כתבה מעולה ומועילה !
    דבר קטן לגבי סעיף 4 על התוסף שחוסם מאנייקים 🙂
    אם אני בעצמי טעיתי בהקשת הסיסמה (וזה קורה לפעמים) אפשר להגיד שאכלתי אותה כי זה יחסום אותי….

    הגב
    • YBPmedia בניית אתרים
      YBPmedia בניית אתרים says:

      בגדול נכון, אבל כמה דברים:

      1. אתה יכול להגדיר בתוסף אחרי כמה פעמים של הקשת סיסמה שגויה זה יחסום את האיי.פי.

      2. בד"כ אתה בכלל לא מקיש את הסיסמה, היא שמורה לך בקוקיז של הדפדפן.

      3. אם אתה מנהל את האתר ובמקרה זה חסם אותך – אתה יכול להסיר את הכתובת איי.פי שלך דרך הדטה בייס 🙂

      הגב
  2. אךדד
    אךדד says:

    כול הכבוד על הכיוון,
    ציינת בסעיף 4 את התוסף
    Login LockDown
    אבל הוא תומך עד גרסת וורדפרס מספר Compatible up to: 2.8.4
    שהיא ישנה מאוד, יש לך המלצה על משהוא עדעני שתומך בגרסה הנוכחית של וורדפרס?

    הגב
  3. מיכאל
    מיכאל says:

    אחלה פוסט. בהחלט אני כבר נכנס לקובץ wp-config שלי ומגדיר אותו בהתאם. לגבי האיי פי אני לא בטוח כי היום כל אחד יכול להחליף איי פי בשנייה (בחיבור ADSL על ידי ניתוק והתחברות מחדש) ובטח ובטח אם זה האקרים שמנסים לפרוץ.

    הגב
  4. איציק
    איציק says:

    אחלה כתבה
    גם אני הייתי קורבן להאקרים. הם פשוט מחקו לי את כל הקבצים.
    בזמן האחרון אני מקבל הרבה תגובות למאמרים מאנשים שבכלל לא נכנסו לי לאתר.
    יש דרך למנוע את זה? פלאגין? 

    הגב

השאירו תגובה

Want to join the discussion?
Feel free to contribute!

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *