כמה פעמים חשבתם שאתם מוגנים מפריצות? הצהרות כמו "פרצו לי לאתר" לא נשמע כהפתעה בימים אלו. לאחרונה נתקלתי בהרבה הודעות מהסוג הזה באתרים ובפורומים שונים. פריצה לאתרים הוא נושא שיהיה רלוונטי להרבה שנים הבאים וכל עוד אנחנו מחוברים לאינטרנט. הרבה בלוגרים ואתרים שהוקמו באמצעות וורדפרס אינם מעדכנים את גרסתם לאורך זמן רב מה שחושף אותם לפריצות. גם תלמידים שעברו קורס בניית אתרים אינם מודעים לבעיה שאי שדרוג המערכת, יכול לגרור לרשימה ארוכה של תקלות וחשיפה לפריצות.
כל בלוג או אתר שהוקם באמצעות מערכת וורדפרס, כוללת בתוכה תגית מטה שמציג את גרסתה העדכנית של המערכת.
לדוגמה:
האקרים מחפשים תגית זו כדי למצאו גרסאות ישנות של מערכת הוורדפרס, ואז הם מבצעים את ההתקפה ופריצה לאתרים הלא מעודכנים. לדוגמה, אם גרסה עדכנית של וורדפרס נכון להיום הוא 3.2.1 , האקרים יחפשו אתרים שגרסתם נמוכה מזו , וכמובן הפריצה דרך חורי אבטחה שהתגלו בגרסאות הקודמות קלה הרבה יותר (יחסית). כדי לא להיות קורבן בסוגיה הזאת, צריך לעשות 2 דברים כדי להגן על האתר.
1. לעדכן את גרסת המערכת וורדפרס לגרסה העדכנית
2. להסתיר את הגרסה של וורדפרס המוצגת בתוך קוד המקור של האתר בתגית meta generator.
אני אדלג על עדכון הגרסה ונעבור ישירות לשלב 2.
כדי להסתיר את התגית meta generator, יש צורך לבצעה תהליך קצר ומהיר להסרת הקוד.
עליך להיכנס לקובץ בשם Functions.php בתוך התבנית שבה אתה משתמש.
עליך להוסיף פקודה הבאה בסוף המסמך ולפני תגית סגירה של מסמך php. זה נראה כך: ?>
remove_action('wp_head', 'wp_generator');
נא לשמור את הקובץ לאחר שינוים.
במידה ותחפשו את התגית meta generator באמצעות דפדפן ע"י צפיה במקור (באנגלית – View Source), לא תמצאו אותה יותר.
כך אפשר ליצור עוד מנגנון אבטחה נוסף כדי להקשות על אלו שמנסים למצאו גרסאות וורדפרס הלא מעודכנות כדי לתקוף ולהזיק.
כל גרסה חדשה של המערכת וורדפרס שיוצאת לדרך, כוללת בתוכה שיפור של מגנוני אבטחה בנקודות רגישות שהתגלו בגרסאות הקודמות. לכן חשוב מאוד לעדכן את גרסתו של המערכת כל הזמן.