איך לא לאבטח את אתר וורדפרס שלך

איך לא לאבטח את אתר וורדפרס שלך

מה הדבר הראשון שהיית עושה כשאתה רוצה לאבטח את אתר WordPress שלך? גלה את חמשת תוספי האבטחה המובילים, שקול כמה הם משתלמים ואז קדימה להתקין אחד מהם. זה נעשה, עכשיו אתה יכול לשבת ולהירגע, נכון? לא בסדר!


השימוש בתוסף אבטחה אינו מבטיח אבטחה. אבטחה אינה דבר מוחלט ואף אחד לא יכול להבטיח אבטחה מלאה. הטוב ביותר שאפשר לעשות הוא להפחית את הסיכון לפריצה. ובניגוד לאמונה הרווחת, בעל האתר צריך להיות מעורב בשמירה על בטיחות האתר. לדעת מה עליכם לעשות ולא צריך לעשות זה משמעותי.

אמנם ישנם מספר מדריכים למה שעליך לעשות כדי לשמור על בטיחות אתר וורדפרס שלך, אך אנו מציעים לך מדריך על מה עליך להמנע לעשות במקום זאת. תשימו לב כי העצות כאן מנוגדות לאמונה הכללית. אך מניסיוננו, הרבה עצות שם אינן מיושנות ומציעות תחושת ביטחון כוזבת.

אם עניין האבטחה של וורדפרס מסמר אותך כמו שהוא עושה לנו, התבונן בהמשך.

1. אל תשתמש יותר מדי בתוספי אבטחה

בהתחשב במגוון התוספים הרחב הקיים שם, עם קבוצות תכונות שונות, זה מפתה להשתמש ביותר מתוסף אבטחה של וורדפרס אחד. אם להיות כנה, זה הרס יתר. להיות חרד לאבטחת האתר שלך זה דבר רגיל, אבל אתה צריך לשאול את עצמך אם אתה באמת זקוק ליותר מתוסף אבטחה אחד? מהן התכונות החיוניות לדרישת האתר שלך? האם התכונות הולכות לדרוך זו על בהונותיו של זה?

למשל, עלול להיווצר סכסוך כאשר התוספים מתחילים לשנות קבצים כמו wp-config.php או htaccess. תוספים יכולים להתעסק בקלות בקבצים אלה אך הם לא משנים אותם באופן אחד פה אחד. זה יכול ליצור קונפליקטים ולהפוך את האתר שלך לאט.

באתרי וורדפרס הדברים יכולים להשתבש מדי פעם. כולם שונאים את המסך הלבן האיום של המוות. שימוש בתוספים מרובים שמשפיעים מאוד על האתר שלך, עלולים להקשות על בעיות באגים. אם היה רק ​​תוסף אחד, מציאת ותיקון הגורם לשגיאה הייתה קלה ופחות מסובכת.

2. אל תשנה קידומת DB

ישנן כמה דרכים בהן ניתן להתפשר על אתר וורדפרס. האקר עשוי לקבל גישה למסד הנתונים של האתר באמצעות התקפת הזרקת SQL. ניתן להשתמש בפגיעות בתוסף או בערכת נושא לפריצה למסד הנתונים של האתר (וזו הסיבה שאנו ממליצים להשתמש במקום זאת ב- תוסף גיבוי בסיסי של WordPress כדי למנוע מכשולים דומים). אחת השיטות הפופולריות למניעת האקרים להיכנס עמוק יותר לאתר שלכם היא על ידי שינוי קידומת טבלת ברירת המחדל. כפי שאתה יכול לראות בתמונה למטה, בוורדפרס, קידומת הטבלה המוגדרת כברירת מחדל היא ‘wp_.’ וורדפרס מאפשרת לך לשנות קידומת טבלה (לומר ‘xzy_’) כדי להסתיר טבלאות מסוימות..

קידומות בסיסי נתונים של וורדפרס

על פני השטח זה נראה כמו רעיון טוב. אם ההאקרים אינם יודעים את שם הטבלה, הם לא יכולים לאחזר מהם את הנתונים. אולם זו נימוק שווא. ברגע שמישהו פורץ למסד הנתונים שלך, עדיין יש דרכים לגלות את הטבלאות. מכאן ששינוי שמות הקידומת אינו מועיל. יתר על כן שינוי קידומת ברירת המחדל עלולה לגרום להתנהגויות שגויות של כמה תוספים.

יתרה מזאת, קשה ליישם שינויי זרימת Midfight של קידומת מסד הנתונים ועלולה לגרום להתרסקות האתר שלך. הסיבה לכך היא שיש הרבה שינויים שצריך לבצע בכל רמה. כל שגיאה בתהליך תתגלה כקטסטרופלית לאתר שלך.

3. הימנע מהסתרת דף הכניסה שלך

תמיד יש מישהו שמנסה לפרוץ לאתר שלך על ידי פיצוח הסיסמה שלך. במהלך התקפות כוח בריוט, האקרים מנסים להיכנס לאתר שלך באמצעות שילוב של שמות משתמש וסיסמאות פופולריים. אז מה אם נסתיר את דף הכניסה? זה יהרוג שתי ציפורים באבן אחת, נכון? האקר לא יוכל למצוא את דף ההתחברות והעומס בשרת שלך יופחת.

ל- WordPress יש עמוד כניסה ברירת מחדל. כתובת האתר לדף נראית בדרך כלל כמו דוגמה זו.com/wp-login.php. דרך ידועה אחת להציל את אתר האינטרנט שלך מהתקפה של כוח ברוט היא להסתיר או לשנות את דף הכניסה לברירת המחדל למשהו אחר כמו example.com/mylogin.php. אף על פי שזה נשמע כמו תוכנית חסינת תקלות, בואו לגלות עד כמה יעילה השיטה לשמירה על אתר וורדפרס שלכם.

הפחתת עומס שרת

לאחר שתסתיר או תשנה את המיקום של דף הכניסה שלך, בכל פעם שמישהו ינסה לפתוח אותו, יתקל בשגיאה 404. עם זאת, ניסיונות כניסה הם תהליך כבד. בכל פעם שדף השגיאה 404 נטען, הוא אכל הרבה משאבי השרת שלך. ובסופו של דבר האטת האתר שלך. מכאן שהאמונה הרווחת כי הסתרת דף הכניסה שלך תפחית את העומס בשרת אינה נכונה.

כתובת אתר אלטרנטיבית לא קשה לנחש

חלק מההצלחה של וורדפרס כ- CMS נובעת מתוספים המקלים על שינויים באתר. אין זה מפתיע שדרך פופולרית להסתיר דף כניסה לאתר היא באמצעות תוסף. תוספים אלה מגיעים עם קבוצה של כתובת אתר התחברות אלטרנטיבית המוגדרת כברירת מחדל כמו xzy.com/wplogin.php וכו ‘. הוכשרנו פשוט להשתמש בהגדרות ברירת המחדל. ברגע שאנו מתקינים את הפלאגין ומשנים את כתובת האתר שלנו, אנו לא נותנים בו מחשבה רבה. אבל יש רק כל כך הרבה כתובות אתרים שתוסף יכול להציע. זה לא קשה מדי לגלות את כתובת האתר להתחברות המוגדרת מראש. לכן השימוש בכתובת אתר חלופית עשוי להיות לא יעיל ברוב המקרים.

סוגיות שמישות

היופי של וורדפרס הוא שהוא קל לשימוש. זו פלטפורמה מוכרת. עבור אתר עם ריבוי משתמשים, שינוי או הסתרה של דף הכניסה עשוי להוות בעיות מסוימות. מספר פעמים נתקלנו בפוסטים בפורומים של וורדפרס בהם משתמשים נעולים מחוץ לאתר בגלל שינוי בכתובת האתר להתחברות. ברוב המקרים השינויים בוצעו באמצעות תוסף והמשתמשים לא הובאו מודעים למצב הגורם לכאוס.

4. אל תחסום כתובות IP באופן ידני

אם מותקן באתר שלך תוסף אבטחה, תקבל הודעה בכל פעם שמישהו ינסה להיכנס לאתר שלך. אתה יכול בקלות להשיג את ה- IP בשליחת בקשות זדוניות אלה חסום אותם באמצעות קובץ ה- .htaccess. זו עבודה אינטנסיבית ידנית ולא תרגול נוח במיוחד.

לא ידידותי למשתמש

אדם לא טכני שמנסה לשנות את קבצי ה- .htaccess הוא מתכון לאסון. למערכת ניהול תוכן כמו וורדפרס יש עיצוב קפדני מאוד. אפילו השימוש בכלים הפופולריים ביותר כמו FTP / SFTP הוא מאוד מסוכן. שגיאה קלה או מיקום פקודה שגוי עלולים לגרום לקרס האתר.

יותר מדי כתובות IP לחסימה

כדי להימנע מלהופיע ברשימה השחורה, האקרים משתמשים בכתובות IP מרחבי העולם. בעבר דנו על חסימת ידנית של כתובות IP המנסות כל הזמן לפרוץ לאתר שלך. העבודה (כפי שצייננו קודם) דורשת הרבה זמן ומאמץ אך אינה בדיוק שימוש יעיל ביותר בזמן. אבל אם אתה משתמש באחד מתוספי האבטחה המובילים של וורדפרס, למשל, Malcare, אתה יכול להפוך את תהליך החסימה לאוטומטי. תוספי אבטחה כאלה דואגים לכל פרצות האבטחה של WP.

5. הסתרת וורדפרס

יש הנחה כללית כי הסתרת ה- CMS שלך מקשה על אנשים עם כוונה נבילה לפרוץ לאתר שלך. מה אם היינו יכולים להסתיר את העובדה שאתר האינטרנט שלך פועל ב- WordPress. זה יגן על האתר שלך מפני האקרים שרוצים לנצל פגיעויות נפוצות. דרך קלה לעשות זאת היא באמצעות (ניחשתם נכון) באמצעות תוסף. אך השיטה נכשלה כאשר להאקרים לא אכפת באיזה פלטפורמה האתר שלך פועל. חוץ מזה, יש המון דרכים לברר אם אתר פועל בוורדפרס.

מלבד השימוש בתוסף, ניתן לבחור לבצע את העבודה ידנית. אבל זהו תהליך שדורש זמן רב. עדכון וורדפרס יחיד יכול לבטל את כל מה שאתה עובד תוך מספר שניות. מה שאומר שתצטרך לחזור על התהליך שוב ושוב או להימנע מעדכוני WP. דילוג על עדכוני וורדפרס זה כמו לפתוח את דלת הכניסה עבור האקר שיכנס ישר לביתכם.

6. הגנת סיסמה wp-admin לא עובדת

דף ההתחברות לברירת המחדל של וורדפרס (שנראה כך – example.com/wp-admin) הוא שער לאתר שלך. דף כניסה טיפוסי נראה כמו בתמונה למטה.

כאן תצטרך להשתמש בתעודות שלך כדי לגשת ללוח המחוונים של וורדפרס. הגנה באמצעות סיסמא על דף הכניסה עוזרת להסתיר או להגן על שער זה ללוח המחוונים. זה רעיון טוב אבל לא בלי הפרצות שלה.

דוגמה להגן על סיסמת LookLinux

תמונה באדיבות: LookLinux

ראשית, קשה לתחזק את הסיסמה או אפילו לשנות אותה, אם במקרה תאבד אותה. מלבד היותו לא יעיל במתן אבטחה נוספת, שינויים כאלה באתר שלך יכולים להוכיח כמסוכנים מאוד. לדוגמה, כשאתה מגנה באמצעות סיסמה על דף הניהול, בקשה כגון /wp-admin/admin-ajax.php לא יכולה לעקוף את ההגנה. ישנם תוספים שעשויים להיות תלויים בפונקציונליות Ajax של האתר שלך. וכאשר הם לא מצליחים לגשת לפונקציונליות זו, הם מתחילים להתנהג כשורה. מכאן שהדבר יכול לגרום לשבירת האתר.

אליך

אם יש לך שאלות או הצעות לגבי מה צריך להימנע כדי לאבטח את אתר WordPress של אחד, יידע אותנו בתגובות.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map