דף הבית  >> 
 >> 

הרשם  |  התחבר


אבטחת אתרי וורדפרס - האם האתר שלי מוגן? 

מאת    [ 10/07/2023 ]

מילים במאמר: 718   [ נצפה 410 פעמים ]

מערכות קוד פתוח היום הינם מערכות מדהימות ברמת השימוש, פיתוח וקידום, אך מה עושים בנושא האבטחה?

זכיתי בימים האחרונים לפריצה איראנית לשרת, שהפילה לי את האתרים הקיימים שעדיין ישבו על השרת, אך באחד מהדומיינים המחוברים היה מכתב איראני באנגלית ערבית, עם מוסיקה ברקע איראנית שהצהיר כל כך שהאתר שלי נמצא ב "רשימה השחורה" שלהם ושכשאנחנו הישראלים נפסיק להפציץ אותם הם יפסיקו להפציץ אותנו.

בנוסף היו תמונות מזוויעות של נפגעי טרור איראני וחיילי צהל שיורים לעברם.
מיותר לציין שמדובר בטרוריסטים ולא ניתן להכליל עם או עדה, אך בכל מקרה הפריצה היא לא זו שחשובה אלה המניעה מפריצות. הנושא סקרן אותי איך אני מונע מהפריצה לקרות שוב, ואיך אני מגן על עצמי ועל האתרים שלי בכל דרך אפשרית כדי לא להפיל אתרים שמטרתם לייצר לי פרנסה דרך האינטרנט.

אז מה עושים כדי לא לפגוע בפרנסה?

אז קודם כל, משימה שהוספתי לעצמי לבצע על בסיס יומי וזוהי המלצה שלי אליכם, כל סוף יום להתחבר ל FTP ופשוט להוריד את כל האתר אליכם לשולחן עבודה,
לשולחן עבודה לתוך תיקייה, ובשם התיקייה לרשום גם את תאריך הגיבוי.
כך שאם במידה ויש נפילת שרתים, או וירוס לאחר הטיפול תואכלו מיד להעלות גיבוי, כי ישנם חברות אחסון שהגיבוי בהם עולה כסף.

- דבר שני כנסו לphp my admin והוריד גיבוי לדטה בייס. ב cpanel ישנה גם אפשרות לגבות דטה בייס, אני פשוט עושה את שניהם.
- דבר שלישי, אם זהו אתר שמרכז הרבה מידע חשוב, ומידע פרטי של אנשים, כמו פרטי אשראי או קהילה, מומלץ להעביר את האתר לשרת מאובטח https,
עם רישיון שנתי.
- דבר נוסף מאד חשוב הוא לסרוק את המחשב שלכם, לפני שאתם מתחילים לעבוד לראות שאין וירוסים, או סוסים טרויינים שאחר כך יכנסו לשרתים שלכם.
- מומלץ לשלם כסף על תוכנת אנטי וירוס טובה כמו לדוגמא NOD32, וכך לקבל את כל האפשרויות שאין גרסאות חינמיות.
- דבר נוסף, שאמנם לא נוח אך חייבים לעשות זאת, הוא להחליף סיסמאות תקופתית לסיסמאות מסובכות, תכינו לעצמם מסמך שמרכז את כל הסיסמאות או על דף
או באקסל וכל חודש תחליפו ססמאות.
- בחברה ממליצים להשתמש ב דף לייצור סיסמאות רנדומליות של חברת GRC, של סטיב גיבסון (Steve Gibson.
- וכמובן להטמיע ססמאות שונות לאתרים שונים, כיוון שססמא אחידה תעזור לפרוץ את כל האתרים שלכם.
- חשוב מאד לשנות הרשאות לעריכת קבצים בשרת מה שימנע פריצות.
- אל תשתמשו בשם המשתמש admin כיוון שכולם משתמשים בו, וכך נשאר להם לפרוץ את הססמא.
- מומלץ לפתוח יוזר נוסף ולמחוק את המקור שאותו מכירים הפורצים ברשת.
- גוגל יכולה לסרוק את הקבצים של האתר שלכם, כך גם הפורצים. באמצעות קוד שתטמיעו בקובץ ה htaccess בתיקייה הראשית של קבצי ההתקנה.Options - indexes" ".
- במאמר הבא ישנם הנחיות לכתיבת קוד htaccess בצורה נכונה, אנא בדקו את הקובץ שלכם בכדי למנוע פריצות אבטחה.
- בהגדרות בוורדפרס ניתן לבטל "אפשרות הרשמה לכולם" לאתרים קטנים זה מיותר ומונע פריצות אבטחה.
- כל הקבצים המיותרים בשרת מומלץ למחוק, כמו readme files וכו.
- שלושת התוספים AddThis, WPtouch, ו-W3 Total Cache שונו לאחרונה מומלץ למחוק אותם ולהתקין אותם מחדש.
את התיקייה WP-ADMIN ניתן לאבטח באמצעות ססמא, במידה וברשותכם CPanel, תוכלו להשתמש ב-Directory Protection Tool
- באמצעות robots.txt ניתן למנוע גישה לקבצים שלכם מסריקת גוגל, וכך מניעת סיכויי הפריצה. להלן דוגמא:

User-agent: *
Disallow: /cgi-bin/
Disallow: /wp-content/
Disallow: /wp-admin/
Disallow: /wp-includes/

קוד פתוח מה ניתן לעשות ?

לאחרונה automattic.com החברה שעומדת מאחורי וורדפרס הודיעה על גל ניסיונות לפריצה, מה שגרם להם להוציא:
1. ממשק חדש מאובטח יותר.
2. עדכוני אבטחה חשובים.

אז נורא חשוב לעדכן את המערכת שלכם, ואת התופסים שלכם לגרסאות האחרונות.
המון תוספים לא מאובטחים נמכרים היום ברחבי השת, והם דלתות פתוחות לפריצות.

להאקרים היום יש מספר נתונים שעוזרים להם לפרוץ לוורדפרס בצורה מהירה יותר.

1. הם יודעים אלו תיקיות הינם עם הרשאות שניתנות לפריצה.
2. הם לוקחים בחשבון ששם המשתמש שלכם הוא ADMIN לרוב וכך יש להם למצוא רק ססמא.
3. הם מוצאים תוספים לא מעודכנים שדרכם הם יכולים לפרוץ.

אין לכם עדיין אתר וורדפרס? קראו על בניית אתר וורדפרס

ישנם מספר תוספים חשובים להתקנה בוורדפרס לשיפור אבטחה

1. תוסף לגיבוי הדטה בייס WP-DB-Backup.
2. תוסף למניעת ספאם בוט Bad Behavior.
3. תוסף למניעת פריצות ברורות WordPress Firewall 2.
4. מניעת מספר ניסיונות ההתחברות לפי IP Limit Login Attempts.
5. תוסף שסורק את קבצי ההתקנה שלכם למען אבטחה Wp security scan.
6. תוסף להוספת captcha לאתר Si captcha - anti spam.

עצות נוספות כדי למנוע העברת מידע כמו ססמאות לידיים הלא נכונות להשתדל כמה שפחות לשלוח מידע כמו ססמאות, ישירות בתוכן מייל או בהודעה פרתית באחד מהרשתות החברתיות.
 

צריך להיות קובץ שמור ומגובה בכמה מקומות של כל הססמאות, וכמובן להחליף את הססמאות כל שבוע או חודש.
ואם אתם מחליטים לשלוח קובץ במייל, אתם יכולים לקבץ בראר כמה קבצעי טקסט עם הסממאות ולשים ססמא לקובץ ה rar.

מקווה שלא יפרצו גם לכם לשרתים בהצלחה




מאמרים חדשים מומלצים: 

חשבתם שרכב חשמלי פוטר מטיפולים? תחשבו שוב! -  מאת: יואב ציפרוט מומחה
מה הסיבה לבעיות האיכות בעולם -  מאת: חנן מלין מומחה
מערכת יחסים רעילה- איך תזהו מניפולציות רגשיות ותתמודדו איתם  -  מאת: חגית לביא מומחה
לימודים במלחמה | איך ללמוד ולהישאר מרוכז בזמן מלחמה -  מאת: דניאל פאר מומחה
אימא אני מפחד' הדרכה להורים כיצד תוכלו לנווט את קשיי 'מצב המלחמה'? -  מאת: רזיאל פריגן פריגן מומחה
הדרך שבה AI (בינה מלאכותית) ממלאת את העולם בזבל דיגיטלי -  מאת: Michael - Micha Shafir מומחה
ספינת האהבה -  מאת: עומר וגנר מומחה
אומנות ברחבי העיר - זרז לשינוי, וטיפוח זהות תרבותית -  מאת: ירדן פרי מומחה
שיקום והעצמה באמצעות עשיה -  מאת: ילנה פיינשטיין מומחה
איך מורידים כולסטרול ללא תרופות -  מאת: קובי עזרא יעקב מומחה

מורנו'ס - שיווק באינטרנט

©2022 כל הזכויות שמורות

אודותינו
שאלות נפוצות
יצירת קשר
יתרונות לכותבי מאמרים
מדיניות פרטיות
עלינו בעיתונות
מאמרים חדשים

לכותבי מאמרים:
פתיחת חשבון חינם
כניסה למערכת
יתרונות לכותבי מאמרים
תנאי השירות
הנחיות עריכה
תנאי שימוש במאמרים



מאמרים בפייסבוק   מאמרים בטוויטר   מאמרים ביוטיוב