5 איומי אבטחה ברירת מחדל בוורדפרס וכיצד לתקן אותם

וורדפרס אבטחה

וורדפרס היא תוכנת פופולארית בעלת קוד פתוח לחלוטין. הדבר הגדול בזה מבחינה ביטחונית, הוא שיש קהילה ענקית שעובדת איתה, שמסוגלות לגלות באגים כמו גם סיכוני אבטחה במהירות רבה יותר ממה שאפשר עם פיתרון CMS מהבית. (קשה לברר על חולשות כאשר דרך אחת לגלות היא למעשה ניצול החולשה, והשימוש בבסיס משתמשים עצום הופך את הסיכוי להרבה יותר לגילוי.)


החיסרון הוא שהאקרים עם כוונות רעות יודעים בדיוק כיצד האתר שלך בנוי. יש להם כבר את ‘התוכנית’ לאתר שלך. ואם יש חולשות בליבה, ערכות הנושא או התוספים שאתה משתמש בהן, זה משהו שהם יוכלו לדעת מבלי לקבל גישה לעולם האחורי של האתר שלך.

אז בפוסט זה, אני אראה לכם כיצד לתקן 5 איומי אבטחה הקיימים בכל התקנת ברירת מחדל לחלוטין של WordPress. (אם כבר נקטת אמצעי זהירות כלשהם, ייתכן שתגלה שכבר תיקנת אחד או שניים, אך חשוב לתקן את כל החמישה כדי למזער את הסיכון שלך להיפרץ.)

האתר שלך מראה שאתה משתמש בוורדפרס, בנוסף לגרסה

גרסת וורדפרס

בגרסת ברירת המחדל של וורדפרס יהיו שורות קוד המסגירות כי האתר שלך בנוי באמצעות וורדפרס, אפילו עד הגרסה לאנשים שיודעים לאן לחפש. בהתאם לנושא, יתכן שהוא אפילו יוצג באופן חזותי בכל עמוד באתר שלך.

הסיבה שזה יכול להיות סיכון ביטחוני היא שאנשים עשויים למקד לאתר שלך ללא סיבה אחרת מאשר שהוא בנוי על וורדפרס. אם מישהו ימצא חולשת אבטחה בליבת וורדפרס, נושא או תוסף, הוא עשוי למצוא את דרכו לאתר שלך כדי לנצל זאת. ואילו אם היית מסתיר בהצלחה שאתרך נבנה באמצעות וורדפרס, אנשים שמחפשים אתרי וורדפרס המשתמשים בבוטים או בסורקים היו מרוממים לחשוב שהאתר שלך אינו יעד בר קיימא.

איך לתקן את זה:
כדי לתקן זאת, אתה יכול להשתמש בתוסף Hide My WP. בעזרת התוסף הקטן והועיל הזה תוכלו להימנע מתעבורה מיותרת בשרת שלכם, ובו בזמן להישאר בטוחים מפני התקפות שמכוונות ספציפית לאתרי וורדפרס.

כולם יודעים היכן ממוקם דף הכניסה / אזור הניהול

כניסה ל- WordPress

אם אתה עדיין מראה שאתה משתמש בוורדפרס (aka, לא מסתיר אותה באופן אקטיבי על ידי שימוש בתוסף כמו Hide My WP), אנשים עם כוונות רעות כבר יידעו היכן לנסות פיגוע בכוח הזרוע באתר שלך.

איך לתקן את זה:
כדי לתקן את האיום הזה, ולהוריד בצורה דרסטית את הסיכויים להיפרץ, ולהפחית את מתח השרתים, עלינו למנוע מאנשים זדוניים ובוטים להגיע לדף הכניסה שלנו..

ישנן שתי דרכים עיקריות לעשות זאת. אתה יכול לשנות את המיקום הפיזי של דף הכניסה שלך למשהו אחר באמצעות תוסף (או כמה שורות קוד), או שאתה יכול להגביל את הגישה לדף ההתחברות ולאזור הניהול באמצעות כתובות IP. אתה יכול לעשות זאת באמצעות תוסף שמוקדש לדבר מסוים זה, או עם תוסף אבטחה כמו Sucuri, גדר המילים, iThemes Pro Pro או הכל באחד WP אבטחה וחומת אש.

לוורדפרס יש קידומת ברירת מחדל לטבלה שכולם משתמשים בה

קידומת טבלה של וורדפרס

קידומת טבלה היא שמגיעה לפני שמות הטבלאות במסד הנתונים. במקום משתמשים, עם הקידומת הרגילה של וורדפרס, זה יהיה wp_users. אם אתה משתמש בקידומת ברירת המחדל של הטבלה, הדבר יקל על אנשים להשיג גישה לאתר שלך על ידי ניצול חולשות הזרקה של sql. מכיוון שהם יודעים בדיוק היכן להזרים מידע למסד הנתונים שלך ואז לקבל גישה לאתר שלך.

בפועל היה לי אחד מהאתרים שלי שנפרצו בגלל הזרקת sql, אז זהו איום אמיתי מאוד שעליך לנקוט באמצעים נגד נגד.

איך לתקן את זה:
למרבה המזל קל מאוד להסיר את האיום הזה. אם כבר התקנת את וורדפרס באמצעות קידומת ברירת המחדל wp_, אתה יכול לשנות אותה בקלות באמצעות תוסף כמו Sucuri. ראשית, עליך לגבות את מסד הנתונים לפני שתשתמש באפשרות זו מכיוון שיש סיכוי קלוש שמשהו ישתבש. אתה יכול לעשות זאת בלחיצת כפתור. אז אתה יכול לבחור קידומת חדשה, או פשוט לאפשר לסוקורי ליצור באופן אקראי את הקידומת החדשה עבורך.

הערה: אם אתה פשוט מתקין את WordPress בפעם הראשונה, אתה יכול לשנות את זה בממשק ההתקנה.

ניתן לערוך קבצי ערכות נושא ותוספי וורדפרס דרך לוח המחוונים

עורך תוספי וורדפרס

הבעיה עם זה היא שאם האקר יזכה בגישה לאתר שלך, הם יכולים לגרום נזק רב. הם יכולים לגרום לאתר שלך לשרוף אנשים אחרים עם תוכנות זדוניות (מה שעלול להסתיים בכך שהאתר שלך יופיע ברשימה השחורה של גוגל ומיוסר ממנועי חיפוש), להחליף את האתר שלך או לפתוח בקלות דלתות אחוריות..

איך לתקן את זה:
אתה יכול להוסיף שורת קוד זו לקובץ wp-config.php שלך:

הגדירו ('DISALLOW_FILE_EDIT', נכון);

או השתמש בתוסף אבטחה כדי לעשות זאת עבורך (שבדרך כלל רק יכניס את שורת הקוד עבורך). הבעיה היחידה היא שיש תוספים שמאפשרים לאנשים להפעיל ולכבות את היכולת הזו, כך שהאקר ייעודי מאוד עשוי להיות מסוגל להתקין תוסף, להפעיל את התוסף ואז לקבל גישה לקוד העריכה ללא גישה ל- FTP.

אם אתה רוצה להיות יסודי ביותר ולהגן מפני זה, אתה יכול להשבית את כל עדכוני התוסף / ערכות הנושא והתקנה על ידי הוספת שורת קוד זו ל- wp-config.php:

הגדירו ('DISALLOW_FILE_MODS', נכון);

אך ברור שזה אומר שתצטרך לשנות את הערך לשווא בכל פעם שרצית לעדכן או להתקין תוסף או נושא (אנחנו לא ממש ממליצים על אפשרות זו, שכן שמירה על עדכני ערכות נושא ותוספים היא אחת הדרכים הטובות ביותר כדי להבטיח שהאתר שלך פחות פגיע).

ל- WordPress הגדרות חומת אש פתוחות מאוד שיכולות לאפשר אפילו לבוטים זדוניים ידועים לנסות התקפות

עגילי חומת אש של וורדפרס

הגדרות ברירת המחדל של חומת האש של וורדפרס הן למעשה בצד הליברלי. המשמעות היא שחלק מהבוטים הבלתי צפויים ומבקרים לא רצויים אחרים מקבלים אור ירוק.

איך לתקן את זה:
אתה יכול לשפר זאת על ידי התקנת כללי חומת האש של הרשימה השחורה 5G, על ידי העתקה ידנית לקובץ ה- .htaccess שלך ((תוכל למצוא אותו כאן) או על ידי התקנה. התוסף הזה, או השתמש בתוסף אבטחה כדי לייעל טוב יותר את הכללים ב- .htaccess שלך.

ניסיונות כניסה וורדפרס ללא הגבלה

הגדרת ברירת המחדל היא אכן ניסיונות כניסה ללא הגבלה, ייתכן שבחרת להגביל ניסיונות כניסה כאשר התקנת את WordPress באתרך. אם לא עשית זאת, זהו תיקון קל להפליא.

איך לתקן את זה:
פשוט התקן את ה- הגבל את התוסף ניסיונות כניסה. לחלופין, אם אתה משתמש באירוח WPEngine זו תכונה שהם כבר מובנים עבורך – אין צורך בתוסף! אם אתה כבר מגן על אזור ההתחברות שלך רק על ידי מתן כתובות IP משלך לגשת אל לוח המחוונים, לא תצטרך לעשות זאת. אבל אם רק הסתרת את הכתובת של דף הכניסה שלך, זו הגנה כפולה נחמדה מפני התקפות אפשריות בכוח.

סיכום

פשעי הסייבר צומחים במהירות והאינטרנט בדרך להפוך לבית לעבריינים רבים יותר מאשר “העולם האמיתי”. במדינות מסוימות זה כבר קרה. ולמרות שחלק גדול מכך מדובר בהונאות כרטיסי אשראי והבנקים, ישנו מספר הולך וגדל של האקרים בחוץ, וכבעלי אתרים עלינו להגן על עצמנו ואתרינו כמיטב יכולתנו.

בעוד שלמתקנת ברירת המחדל של וורדפרס יש כמה חולשות, היופי של וורדפרס הוא באמת בקלילות שבה אתה יכול לפתור כמעט כל אחת מהבעיות שלך באתר שלך, כולל איומי האבטחה המוזכרים בפוסט זה. מעבר להחזקת שם משתמש ייחודי וסיסמא חזקה, על ידי התקנת תוסף אבטחה, עריכה של כמה הגדרות ואולי הכנסת שורת קוד או שתיים, אתה כבר יכול להפחית באופן משמעותי את הסיכון שהאתר שלך ייפרץ או תיגע בתוכנות זדוניות..

האם נקטתם באמצעים לשיפור האבטחה של אתר הוורדפרס שלכם? איזה סוג? נשמח לשמוע כמה מהטיפים והטריקים שלך! אנא הודע לנו בתגובות.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me