גל של פריצות אתרי וורדפרס ממשיכה ברשת ובחלקם מהמקרים המערכת בכלל לא זאת שאשמה בחורי האבטחה האלו אלא המשתמשים ובעלי האתרים עצמם. שימוש לא נכון במערכת ושימוש בגרסאות ישנות של וורדפרס זאת אחת מהסיבות שפריצות כאלה מצליחות לעבור. בפוסט הזה נעבור על 10 טיפים הכי קריטיים שיכולים לעזור לך להגן על האתר בפני התקפות רבות ולסגור דלתות שיכולות לסייע לפריצות אבטחה.
אחת מהסיבות שאני כותב את הפוסט הזה, הוא בעקבות שאלות שחוזרות על עצמן ע"י סטודנטים שלומדים קורס בניית אתרים ובעלי אתרים רבים אשר מבקשים עזרה בכל הקשור לאבטחת מידע. אחת הבעיות הידועות של רוב בעלי האתרים, הוא שאף אחד לא דואג לאבטחה עד לפריצה הראשונה. זאת האמת, והאמת לפעמים כואבת אבל רוב רובו של בעלי אתרים לא ממש משקיעים זמן להגן על המערכת, להגן על הקבצים ואני רואה זאת כל יום ויום כשאתרים רבים קמים ו-90 אחוז מהם (אם לא יותר) בכלל לא עושים שום צעד כדי להגן על המערכת מפריצות.
זה טוב לסמוך על המערכת, ויש הרבה סיבות למה כדי לכם לסמוך על וורדפרס אבל יחד עם זאת אתם בתור בעלי אתרים צריכים להיות ערניים לכל מה שמתרחש שם אם זאת ברמת המערכת ואם זאת ברמת השרת אחסון.
[toc]
זה טוב להאמין שהכל ורוד בעולם ואפשר תוך דקות ספורות להקים אתר אינטרנט, אבל…. מעבר לזה יש דברים שחשובים לא פחות כדי לשמור על המידע שנשמר אצלכם באתר, כדי לשמור על הביטחון ותקינות האתר שלכם.
שימו לב, שפריצות לא רק יכולות לפגוע באתרכם ברמת הקבצים וברמת פעילויות הטכניות של האתר אלא גם ברמת ה-Seo. מכירים את המקרים בהם אתם מנסים לגשת לאתר כלשהו ודפדפן מציג לכם הודעת הזהרה בכניסה לאתר? הדבר הזה יכול לגרום להסרה מלאה מאינדקס של מנועי החיפוש ושלא נדבר על שיטות קידום אתרים בכובע שחור.
קידום אתרים בכובע שחור ידוע בפריצות מסוג אחר שבעל האתר אפילו לא מודה לכך שפרצו לו לאתר וגם לא נעשה שום שינוי ברמת העיצוב או ברמת התכנים שאפשר לזהות זאת בקלות. ברוב המקרים, בעלי אתרים לא ידעו על הפריצה וימשיכו את חייהם הרגילים. אני לא אכנס לנושא הזה, מכיוון שזה לא רלוונטי כאן ועכשיו, אבל אולי בהמשך העשה סיקור מלא ודרכי שיווק באמצעות קידום בכובע שחור.
נחזור חזרה לנושא של אבטחת מערכת וורדפרס. תפנו לעצמכם כמה דקות ואולי את השעה הקרובה לטיפול באתר שלכם. כנסו לפנל ניהול של וורדפרס וגם של השרת אחסון ותכינו את עצמכם לשינוים טכניים..
טיפים לאבטחת וורדפרס
- בדוק אם יש עדכונים של וורדפרס ותעדכן מיד
- מומלץ לכבות את האפשרות עריכת תוספים ותבניות דרך ממשק הניהול של המערכת.
פתרון: עריכה של תוספים ותבניות לא נעשות לעיתים קרובות ולכן אין סיבה שאפשרויות העריכה יהיו מופעלות. כדי לסגור אפשרויות עריכת קוד מתוך פנל ניהול של המערכת גשו לשרת האחסון, ותפתחו את הקובץ wp-config הנמצא בתיקיה הראשית של וורדפרס.
הוסיפו את השורה הבאה בקובץ ההגדרות:- define('DISALLOW_FILE_EDIT',true);
הערה: כדי לערוך קבצים של התבנית או של התוספים, ניתן לעשות זאת דרך השרת או במחשב המקומי באמצעות תוכנות עריכה כמו Notepad++ או Dreamweaver או באמצעות Coda או Textedit במחשבי Mac. לא מומלץ שאפשרות עריכת קוד יהיה נגיש דרך המערכת.
- משתמשים יכולים לראות את גרסת וורדפרס אותה אתה מריץ באמצעות קובץ readme.html
פתרון: מומלץ להסיר את הקובץ הנ"ל מהשרת הנמצא בתיקיה הראשית של Wp.
הערה: שים לב שבעדכון הבא של וורדפרס הקובץ יופיע שוב. - קובץ ההתקנה של וורדפרס נגיש.
פתרון:גשו לתיקיית wp-admin, הסירו את הקובץ install.php הנמצא בתוך תיקיה הזאת.
הערה: ניתן להסיר את הקובץ הזה ללא חשש. - להגן על הקבצים באמצעות htaccess
פתרון: אנחנו יכולים לנעול את הקבצים באמצעות קובץ htaccess. יש קבצים רבים שאפשר להגן במערכת, אך חשוב ביותר להגן על הקובץ wp-config.php המכיל כניסה למסד נתונים. פתח את הקובץ htaccess והכנס את השורות הבאות אל תוכו.- <Files wp-config.php>
- Order Deny,Allow
- Deny from all
- </Files>
- להגן על בסיס נתונים באמצעות בחירת קידומת ייחודית לטבלאות
פתרון: שינוי הקידומת של ברירת המחדל (wp_)לטבלאות בבסיס נתונים היא אחת הדרכים הטובות ביותר להגן עליה. בוטים ותוכנות למינהם המיועדים לביצוע פריצות אבטחה וביצועי SQL injection יודעים היטב את הקידומת ברירת המחדל של כל מסדי נתונים של וורדפרס. לתוכנות אלו קל יותר יחסית לתקוף כאשר הם יודעים את הפרטים אלו לכן מומלץ לשנות את הקידומת למשהו ראנדומלי למשל "asYUBHdadeIsh7Qfm_". הדבר יגרום לקושי מסוים לתקוף ולגלות את הקידומת הזאת עבור בוטים. שינוי קידומת טבלאות ברירת המחדל של בסיס נתונים היא אחת הדרכים הטובות ביותר להגן על Database.
כדי לשנות את הקידומת כל מה שעליך לעשות זה להיכנס לקובץ wp-config.php לפני התקנת וורדפרס ולרשום את השורה הבאה:
- $table_prefix = 'asYUBHdadeIsh7Qfm_';
הערה: כדי לשנות את הקידומת למערכת מותקנת באתר, קיים 2 דכרים לביצוע. אחת, היא לעשות זאת באמצעות תוסף והשניה היא ידנית (מדריך יבוא בהמשך).
- הגדרה ושינוי של מפתח סודי
פתרון: בעת פתיחת קובץ קונפיגורציה של וורדפרס כפי שתואר בסעיפים הקודמים, נגלה 4 מפתחות סודיות שנראות כך:- define('AUTH_KEY', ' ');
- define('SECURE_AUTH_KEY', ' ');
- define('LOGGED_IN_KEY', ' ');
- define('NONCE_KEY', ' ');
אני נידהם כמה אנשים לא משנים את המפתחות האלו באופן ידני. הדבר נועד כדי להצפין ולהגן על הסיסמאות של המערכת. כדי לקבל מפתחות סודיות, כל מה שעליכם לעשות זה להכנס לקישור המצורף ולעתיקם אל תוך הקובץ במקום ברירת המחדל: https://api.wordpress.org/secret-key/1.1
הערה: לאחר שמירה ושינוי מפתחות, כל המשתמשים אשר מחוברים למערכת יוזרקו החוצה לאתר להתחבר חזרה לפנל ניהול של וורדפרס שוב באמצעות שם משתמש וסיסמה (כולל אותך). - להסיר את Windows Live Writer מהקוד.
פתרון: וורדפרס מאז גרסתה ה-3.0 כוללת תכונה המאפשרת להתחבר למערכת דרך windows live writer כדי ליצור פוסטים מתוך המחשב וכיביכול לא להדליק דפדפן. הקוד המאפשר לעשות זאת מופיע בין תגיות header. היא מותמאת באופן אוטומטי באמצעות המערכת. לדעתי התכונה הזאת מיותרת ולא יעילה ואף מסוכנת שיוצרת ומאפשרת התחברות חיצונית ללא צורך אמיתי.
למרות ההמלצות, יש לא מעט בעלי אתרים העושים שימוש בתוכנה הזאת כדי לכתוב ולפרסם מאמרים באתרם.
כדי להסיר את הפיצ'ר הנחמד הזה שמתווסף לכל אתר ואתר גם אם משתמשים ובה וגם אם לא, כל מה שעליכם לעשות זה להכניס את השורות הבאות אל לתוך קובץ Functions.php של התבנית בה אתם משתמשים.
- remove_action('wp_head', 'wlwmanifest_link');
הערה: למרות המחלוקת בדעות על כתבן של ווינדואוס לצורך כתיבת פוסטים, אני ממליץ לא להשתמש בכלי הזה מכיוון שאין לכם צורך בכך. הרבה יותר נוח ופשוט לעבוד באמצעות דפדפן במקום תוכנה מקומית במחשב. במידה ולא השתמשתם בה עד עכשיו, אז אין צורך שהיכולת הזאת תופעל על בסיס קבוע באתר שלכם לכן פשוט תבטלו אותה ע"י קוד שצויין למעלה. (הדבר יכול להאיץ ברמה מינורית אבל עדיין להאיץ טעינת האתר)
- טיפ אחרון הוא התקנת 2 תוספים הבאים. AntiVirus ו- BBQ
הסבר: תוסף BBQ הוא ראשי תיבות של Block Bad Queries נועד כדי להגן אחרי שאילתות זדוניות דרך ה URL (למשל אם כתובת הדף הוא ארוך יותר מ-255 תווים וכו').
תוסף AntiVirusל-Wordpress מגן בפני התקפות, תוכנות זדוניות ושתילת ספאם באתרכם.תכונות התוסף:- התראות של התוסף בבר העליון של וורדפרס.
- סריקה יומית עם התראות במייל
- בדיקת טבלאות בבסיס נתונים ותבניות.
- בדיקות ידניות.
הערה: מומלץ להשתמש בשני התוספים או לפחות ב- BBQ בכל אתר. גם היום מתבצעים ניסיונות פריצה באמצעות שאילתות זדוניות ב-URL וחלקם גם מצליחים לעבור.
בואו ניקח רגע כדי להסתכל על הסיבות העיקריות לפריצות שאנו רואים היום:
- ניהול כושל של סיסמאות והרשאות Ftp, פנל ניהול של וורדפרס, שרת אחסון, בסיס נתונים ועוד..
- ניהול המערכת ברמה ירודה
- שרתי אחסון לא מקצועיים
- מערכות לא מעודכנות – php, וורדפרס, תוספים, תבניות, מסדי נתונים
- חוסר ידע באינטרנט
- חוסר ידע באבטחה
5 תוספים שיעזרו לכם באבטחת וורדפרס
6Scan Security
קישור: http://wordpress.org/extend/plugins/6scan-protection
פרטים נוספים: התוסף מספק הגנה אוטומטית מפני פריצות לוורדפרס. היא מבצעת סריקה מלאה של המערכת ובודק חורי אבטחה רבים + מבצע תיקון.
Better WP Security
קישור: http://wordpress.org/extend/plugins/better-wp-security
כמה מילים: תוסף מעולה לאבטחת מערכת וורדפרס. רק חשוב לומר, שאם אתם לא יודעים מה אתם עושים איתו, הוא יכול לפגוע בפעילות האתר ובמערכת כולה. יש הגדרות העושה שינוים ברמת המערכת כמו שינוי שמות של תיקיות ברירת המחדל של וורדפרס וזה יכול לפגוע בתקינות האתר ובאתר כולו כולל בסיס נתונים. לכן תשתמשו בתוסף הזה בזהירות ורק אם אתם יודעים מה שאתם עושים.
LockerPress
קישור: http://wordpress.org/extend/plugins/lockerpress-wordpress-security
הסבר קצר: LockerPress מגן על האתר שלכם מפני פריצות באמצעות מגוון פתרונות בהתאמה אישית. אבטחת וורדפרס באמצעות תוסף "לוקרפרס" יכול לספק פתרונות אבטחה רבים כגון שינוי URL של עמוד ההתחברות למערכת, שינוי קידומת לטבלאות בבסיס נתונים, שינוי שם משתמש ועוד.
WordPress File Monitor Plus
הפניה: http://wordpress.org/extend/plugins/wordpress-file-monitor-plus
הסבר: מפקחת על WordPress עבור קבצים שנוספו / נמחקו או שונו במערכת. כאשר מזוהה שינוי קובץ כלשהו, ישלח התראה לכתובת דוא"ל של מנהל האתר.
No Soup
קישור: http://wordpress.org/extend/plugins/no-soup
הסבר: במידה ואתם מעוניינים לחסום גולשים ממדינות מסויימות, מספקי אינטרנט שונים או לחסום משתמשים ספציפיים, התוסף No Soup מאפשר לכם להגדיר טווח כתובות IP לחסימה. למשל חסימת גלישה ממדינות כמו למשל טורקיה שידוע בלא מעט התקפות ופריצות אתרי אינטרנט ישראלים. אם אין לכם כל צורך שאתרכם יהייה נגיש בכל המדינות בעולם, ניתן להגדיר את טווח כתובות IP בתוסף הזה לחסימה.
לסיכום
אפשר להבין שהקמת אתר אינטרנט לא מסתיים בהתקנת וורדפרס וכדאי מאוד שכל בעל האתר יבין את זה במיוחד שאנו חיים כעת בעולם דיגיטלי שהכל נגיש וכולם רוצים להגשים את חלומם של "הצלחה עסקית" באמצעות שימוש בכלים חינמיים ויחד עם זאת יורים לעצמם ברגל. ראיתי אנשים מוכשרים מאוד נופלים במלכודת הזאת לא פעם ולא פעמיים.
גנבת מידע זה דבר מסוכן ויכול להסתכם בפגיעה משמעותית לכל עסק. לכן מומלץ מאוד לעזר באנשים מוכשרים שיש לא מעט היום כדי לטפל בבעיות לפני שנפגעים. לא להיזכר שאתם צריכים עזרה רק אחרי שאתר שלכם נפרץ ומידע רגיש נגנב מאתרכם או נעשו פעולות שונות שיכול להיחשב כהפסד בעסק.
בנוסף להכל, אני לא מוכן לקבל את התשובות מהסוג הזה: "אני עסק קטן, אתר שלי לא גדול מספיק כדי לטפל בו, יש מעט מאוד כניסות אליו, אף אחד לא ירצה לפרוץ אליו" וכו'.
יש לך שאלה או הערה בכל מה שקשור לפוסט? פרסמו אותה למטה.