אבטחת אתרי וורדפרס – מדריך למתחילים ומתקדמים

אני רחוק מלהיות מומחה אבטחת לאתרים, אבל בתקופה האחרונה נושא אבטחת המידע, בדגש על אבטחת אתרי וורדפרס, התחיל לעניין אותי מאד.

למה? כי נאלצתי להתמודד בעצמי עם כמה אתרי אינטרנט שנפרצו, שהושתלו להם קודים זדוניים למיניהם, שקיבלו הודעת malware כאשר ניסו להיכנס אליהם ועוד כל מיני חוויות כאלה.

כל ההתעסקות הזאת עם אבטחת אתרים גנבה לי זמן יקר מההתעסקות השוטפת בקידום אתרים, אבל לימדה אותי כמה שיעורים חשובים על אבטחת אתרים וכן שיפרה את ההבנה שלי בכל הנושא (למרות שיש לי עוד כברת דרך).

למה אני בכלל מדבר על אבטחת אתרים, בדגש על אבטחת אתרי וורדפרס?

קצת רקע: מתוקף עיסוקי בתור מקדם אתרים, יש לי תשתית די נרחבת של אתרי אינטרנט (כמה עשרות רבות נכון לכתיבת שורות אלו), שהם מפוזרים על פני מעל 10 חברות אחסון אתרים שונות. הפסקתי לספור…

סטטיסטית, הסיכוי שאחד מהם ייפגע מפרצת אבטחה כזו או אחרת הוא די גבוה, מה שאומר התעסקות בענייני אבטחה מהצד שלי באופן כמעט שוטף.

בעל כורחי הפכתי להיות סוג של איש IT של אתרי וורדפרס, וכמו כל דבר שאני צובר בו נסיון, אמרתי למה שלא נעשה מזה מטעמים (להלן: הפוסט שלפניכם) ואולי גם נעזור למישהו בעולם?

כפי שהזכרתי לעיל, אסייג ואומר: אני לא מומחה אבטחת לאתרים.

אני מקדם אתרים ואיש שיווק, לא מומחה אבטחת מידע לאתרים וגם לא משהו קרוב. אבל למרות ואולי דווקא בגלל זה, הפוסט הזה כתוב בשפה נגישה, אפילו להדיוטות בלי המון רקע וידע באתרי וורדפרס. הטיפים שאני הולך לחלוק "נכתבו בדם", וסייעו לי לטפל בהמון סוגים של בעיות אבטחה, כפי שציינתי לעיל.

את הטיפים אני הולך לחלק לבסיסיים ומתקדמים יותר. כמו כן אתייחס גם לבעיות אבטחה ספציפיות, חלקן די נפוצות, ואתן המלצות כיצד לטפל בהן.

אבטחת אתר וורדפרס: איך לאבטח אתרי וורדפרס

הטיפים הבסיסיים ביותר עבור אבטחת אתרים

1. עדכנו את גרסת אתר הוורדפרס שלכם באופן קבוע

נכון, זה משהו שאמור להיות מובן מאליו, אבל עדיין – בתור אחד שיש לו גישה ללא מעט אתרי וורדפרס (כולל אתרים של לקוחות ואתרים שלא בבעלותי), אני נתקל בהמון אתרים עם הנוטיפיקציות האלה של העדכונים, שברור שאף אחד לא דואג לתחזק אותם באופן קבוע.

וורדפרס זה ה-CMS (מערכת לניהול תוכן) הפופולארי בעולם, מה שאומר שבתור מערכת היא מטרה מאד מבוקשת להאקרים וגם האקרים בשקל (כאלו שאין להם מושג בזה אבל עשו קצת גוגל והורידו תוכנת פריצה כלשהי).

אלו המבקשים לעשות נזק לאתר וורדפרס, תמיד יוכלו למצוא פרצות אבטחה שונות – בין אם זה בקוד הליבה של המערכת, בפלאגינים שונים, בתבניות ועוד.

אחת הסיבות שוורדפרס משיקה עדכוני גרסה בתדירות גבוהה יחסית, היא בכדי לסתום חורי אבטחה ולשפר את המערכת.

אשמח לבדוק את האתר שלך בחינם!

על מנת לראות את הפוטנציאל האורגני ותוך כמה זמן נכפיל לך את ההכנסות

ניתן לחייג למספר 052-9095200 או למלא את הטופס:

הערה חשובה: ככל שבאתר יש יותר תוספים (Plugins) שונים, וככל שהוא עבר יותר "קיסטום" – סיכוי גדול יותר שהעדכון גרסה יכול לשבור את האתר שלכם – כלומר לשבש את פעולתו.

ההמלצה היא תמיד לבצע גיבוי מלא לאתר (קבצים + דטאבייס) לפני שאתם מעדכנים אתר הוורדפרס שלכם. נדבר על נושא הגיבויים בהמשך…

2. עדכנו את הפלאגינים והתבניות באופן קבוע

בהמשך ישיר לסעיף הקודם, דווקא רוב הפרצות מגיעות מתוספים או תבניות לא מעודכנים ו/או כאלו שהורדו ממקומות לא אמינים.

אחד הדברים הבסיסיים במה שקשור אל אבטחת אתרי וורדפרס – זה לדאוג שהפלאגינים (תוספים) יהיו מעודכנים.

תמיד כדאי להוריד פלאגינים מהמאגר הרשמי של וורדפרס, ולא מאתרים שאתם לא מכירים, בטח אם הם לא שייכים לגורם שאפשר לסמוך עליו.

אפילו רכישה של פלאגינים ותבניות לא מבטיחה ב-100% שלא יהיו בהם פרצות אבטחה. אבל ככל שתשיגו את הנ"ל ממקורות אמינים שאפשר לסמוך עליהם, הסיכוי לכך שהם יהיו חשופים לפרצה יקטן.

ההמלצה לגבי גיבוי האתר שלכם לפני עדכון תבנית או תוסף תקפה גם פה. קוד פתוח זה דבר נהדר, אבל יש לו גם לא מעט חסרונות בהקשר הזה – כי לא תמיד ישנה תאימות מלאה בין כל הרכיבים של המערכת על שלל הגרסאות השונות שלהם.

3. גבו את האתר שלכם באופן קבוע

אי אפשר לדבר על אבטחת אתר וורדפרס או אבטחת אתרים בכלל, בלי לדבר על גיבויים.

לא מספיק לבצע גיבוי רק לפני עדכונים באתר, צריך שיהיה מערך גיבוי אוטומטי מלא של קבצי האתר + מסד הנתונים (דטאבייס). את זה בדרך כלל עושים באמצעות החברה של אחסון אתרים, אבל מומלץ גם לדאוג למקור חיצוני של גיבוי שלא תלוי ישירות בחברת האחסון.

גיבויים לאתרי וורדפרס

כמה תוספי גיבוי מומלצים לוורדפרס:

  • UpdraftPlus – אחד התוספים הפופולאריים של וורדפרס לנושא הגיבוי. עובד עם שירותי ענן פופולאריים כמו Dropbox, Google Drive, Amazon S3, ואחרים.
  • BackupBuddy – תוסף פרימיום בתשלום, מציע הרבה פיצ'רים מתקדמים. רוב המשתמשים בהחלט יכולים להתספק בתוסף הקודם שציינתי.
  • Duplicator – המטרה של התוסף היא בתכלס העתקה של אתר ממקום למקום (למשל במעבר בין חברות אחסון אתרים), אבל הוא גם משמש כתוסף גיבוי לכל דבר.

במידה והאתר שלכם נפרץ, ואין לכם מושג מה הגורם או מה בדיוק קרה, גיבוי זמין יאפשר לכם לחזור אחורה ולשחזר את האתר לקדמותו. זאת, בהנחה וה"תולעת" לא נמצאת כבר בגרסה הקודמת של הקבצים ורק מחכה להתפרץ – זה כבר מקרה מורכב יותר (ידובר גם על זה בהמשך המאמר).

4. שימוש נכון בשם משתמש וסיסמא

כלל מאד בסיסי של אבטחת אתרים זה הקשחה של הפרטי גישה לאתר – יוזר ובעיקר סיסמא.

לא מפתיע, אבל המון בעלי אתרים משתמשים ביוזר "admin" הדיפולטיבי, שקל מאד לנחש אותו. מומלץ להשתמש בשם משתמש אחר, כל דבר שעולה על רוחכם, רק שלא יהיה admin.

רק השינוי הבסיסי הזה יכול לצמצם את הסיכוי שינסו לפרוץ לכם בהתקפה מסוג Brute Force (התקפה שמטרתה לנחש את שם המשתמש והסיסמא של ניהול האתר בצורה אוטומטית ומהירה על ידי המון קומבינציות שונות) בכמה עשרות אחוזים.

אם כבר יש לכם משתמש בשם "admin", פעלו לפי השלבים הבאים:

  1. יצירת משתמש חדש עם אותה הרשאה (הסברתי על הרשאות וורדפרס בפוסט הזה)
  2. מחיקת המשתמש הקודם + שיוך התכנים שלו למשתמש החדש (וורדפרס ישאל אתכם את זה אוטומטית בעת מחיקת המשתמש הקודם).

השתמשו בסיסמא מורכבת – גם אם שיניתם את שם המשתמש, זה לא בדיוק יעזור יותר מדי אם הסיסמא שלכם היא "123456" או "abcde" או אפילו מספר הטלפון / ת"ז שלכם. נכון, אלו סיסמאות זכירות והכל – אבל הופכות את האתר שלכם למטרה סופר קלה להתקפות מהסוג הזה. ההמלצה היא להשתמש בסיסמא שמורכבת מאותיות קטנות וגדולות, סימנים ומספרים, כזאת שלא ניתן לנחש בשום אופן ובהרבה מקרים תגרום להאקר הפשוט לוותר ולחפש את המטרה הבאה.

דוגמא לסיסמא שכמעט בלתי אפשרית לפיצוח: nSJ@$#J24f8sn!nmSuWP

דרך טובה נוספת ומאד יעילה נגד התקפות מסוג Brute Force, היא להשתמש ב two step authentication  כלומר זיהוי כפול. פעם אחת מתחברים לאתר, ואז קוד אבטחה נשלח לסמארטפון שלכם ומבטיח שרק לכם תהיה גישה להיכנס לאתר.

ניתן להשתמש בפלאגין WordPress 2-step verification לצורך זה.

הגנה מפני פריצות עם סיסמא מאובטחת

5. תנו את ההרשאה המתאימה למשתמשים נוספים באתר

עוד נושא בסיסי של אבטחת אתרים – לתת את הגישה הרלוונטית למי שצריך.

במידה ואתם עובדים עם כותבי תוכן או מזיני תוכן, מומלץ לפתוח להם יוזר עם הרשאה מינימלית לפעולות שהם יצרכו לבצע.

לדוגמא, משתמש שמתעסק רק בתכנים (כתיבה + עריכה) לא צריך הרשאת מנהל. גישה מסוג "כותב" או "עורך" בהחלט יהיו מספקות. מי שכותב אצלכם פוסט אורח ואתם רוצים רק להוסיף את החתימה שלו בסוף הפוסט – יוכל להסתפק בהרשאת "תורם" בלבד.

להלן הסבר על הרשאות משתמשים בוורדפרס:

מנוי (Subscriber) – מישהו שרשום לאתר, ללא גישת עריכה כלשהי על תכני האתר, מלבד על הפרופיל שלו (במידה ויש כזה).

תורם (Contributor) – אפשר לכתוב ולנהל את הפוסטים של עצמך, אבל לא לפרסם אותם (הם יועברו לאישור מנהל). דוגמא קלאסית – אתרי מאמרים / אתרים המקבלים תוכן גולשים (ללא אישור אוטומטי).

כותב (Author) – אפשר לכתוב ולפרסם את הפוסטים של עצמך בלבד.

עורך (Editor) – אפשר לכתוב ולפרסם פוסטים ועמודים שלך ושל אחרים, אבל ללא גישות לאזורים "רגישים" באתר כמו ניהול תבניות, עריכת קבצים, ניהול תוספים ועוד.

מנהל (Administrator) – מנהל האתר, בעל הרשאה לכל הפיצ'רים שיש במערכת ניהול.

ככל שיש יותר הרשאות גבוהות ליותר משתמשים – כך יש יותר דרכי כניסה לאתר. תמזערו את דרכי הכניסה האלו ככל האפשר.

6. הגבלת ניסיונות הכניסה לאתר

עוד צעד שיעזור לכם להתמודד עם התקפות מסוג Brute-Force.

מדובר בטריק מאד פשוט – אם יוזר לא מצליח להתחבר לאתר לאחר 2-3 נסיונות (בדרך כלל ניתן להגדיר את מספר הנסיונות), הוא ייחסם לפרק זמן מסוים שגם אותו לרוב ניתן לקבוע.

תוסף מומלץ לפעולה זו (שמגיע גם עם ההתקנה של Softalicious): Loginizer.

7. בחירת חברת אחסון אתרים איכותית

לבחירת ספק אחסון אתרים יש משקל רב על ביצועי האתר שלכם, בכמה היבטים: מהירות האתר, הזמינות שלו וכן – גם בהיבט של אבטחת אתרים.

מומלץ תמיד להתאחסן בחברה שמודעת לנושאי האבטחה השונים, בדגש על נקודות התורפה של וורדפרס, ושמה את הנושא הזה בראש מעייניה.

אחסון אתרים איכותי יכול להיות יקר יותר מאשר אחסון אתרים "סטנדרטי" בכמה דולרים בודדים בכל חודש, אבל הפער הזה בהחלט שווה את השקט הנפשי ואת הזמן שלכם, לדעתי לפחות.

לטיפים נוספים בנוגע לבחירת אחסון אתרים – 10 השלבים שצריך לקחת בחשבון לפני שמחליטים על חברת האחסון.

אחסןו מאובטח ואיכותי לוורדפרס

8. צמצום השימוש בפלאגינים למינימום האפשרי

דיברתי על זה קצת בסעיף 2, אבל הרשו לי לחדד – פלאגינים הם אחד הגורמים הנפוצים ביותר לפרצות אבטחה באתרי וורדפרס.

העובדה שבמערכת מבוססת קוד פתוח כל אחד יכול לכתוב פלאגין ולהפיץ אותו לעולם (בין אם באמצעות המאגר הרשמי של וורדפרס, באתר פרטי או באתרים מפוקפקים למיניהם) בלי יותר בקרה – היא בגדר פרצה קוראת לגנב.

בנוסף, שימוש מוגזם בפלאגינים שלא צורך סתם מעמיס על המערכת ועשוי לגרום להאטה במהירות הטעינה של האתר. כתבתי על כך גם במאמר שלי 10 טעויות נפוצות באתרי וורדפרס.

על כן, ההמלצה היא למזער למינימום האפשרי את השימוש בפלאגינים, ולהשתמש רק באלו הנחוצים לתפקוד תקין של האתר. כל שינוי שניתן לבצע באתר ללא שימוש בפלאגין (ובהנחה שלא מדובר בשינוי קובץ מקור שיכול להידרס בגרסה הבאה של וורדפרס) – מומלץ לבצע באמצעים "נקיים".

9. סריקה קבועה של הקבצים באתר ותוספי אבטחת אתרים

כפי שיש לכם אנטי וירוס במחשב ואתם מבצעים סריקות על בסיס קבוע (אני מקווה), כך מומלץ שיהיה אנטי וירוס ובדיקות שגרתיות של קבצים נגועים בשרת עצמו.

יש כמה דרכים לבצע סריקה של האתר בהקשר של אבטחת אתרים:

א. סריקה באמצעות אנטי וירוס שנמצא על השרת עצמו (באמצעות cPanel למשל) – מנסיוני לא מעודכן יותר מדי ולא מאתר נוזקות שונות.

ב. סריקה באמצעות תוספי אבטחה שונים. להלן כמה פופולאריים:

  • Wordfence– תוסף האבטחה הפופולארי ביותר של וורדפרס. הזכרתי אותו גם במדריך שלי מעל 120 כלים לשיווק באינטרנט וקידום אתרים. התוסף הזה סוגר לא מעט פינות שאני מזכיר במאמר הנוכחי, אך כמו כל דבר – לא מעניק 100% הגנה אלא פשוט הופך את העבודה של ההאקרים ליותר קשה.
  • Sucuri Security – תוסף אבטחה פופולארי נוסף מבית חברת האבטחה Sucuri. קצת יותר קליל ווורדפנס אך גם מציע לא מעט פיצ'רים כולל סריקה של malware באתר, חומת אש, מניעת התקפות מסוג Brute Force ועוד.
  • iThemes Security – מציע פיצ'רים רבים שמסייעים לאבטחת האתר כמו Two-Factor Authentication, סריקת קבצים נגועים, לוגים ומעקב אחר פעילות משתמשים, השוואת קבצים לזיהוי וירוסים ועוד.

10. לחבר את האתר ל Search Console של גוגל

חיבור האתר לכלי מנהלי האתרים של גוגל לא רק שעוזר לתקשר עם גוגל בצורה ישירה ונותן מידע רחב באספקטים של קידום אתרים, אלא גם מאפשר לקבל התראות בנושאי אבטחה לגבי האתר.

בסוף המאמר תמצאו קייס סטאדי מעניין, אותו אני ממליץ לקרוא, שיעזור לכם להבין מה אפשר לעשות במידה ואתר קיבל אזהרה דרך כלי מנהלי האתרים של גוגל על malware, וירוס או משהו בסגנון, וכיצד להיפטר מההודעה המטרידה שעשויה לגרום נזק כלכלי לא מבוטל, במיוחד לאתר גדול ופעיל שמכניס כסף.

אבטחת אתרים: טיפים למתקדמים

הטיפים המתקדמים יותר עבור אבטחת אתרי וורדפרס וכן אבטחת אתרים בכלל, מיועדים למשתמשים שיודעים לעבוד עם שרתים, עם FTP, דטאבייסים ועוד.

לא חייבים להיות מומחה גדול באף אחד מהנ"ל, אבל כן עם נסיון בסיסי כלשהו על מנת לא לעשות שטויות.

11. שינוי הרשאות קבצים

בוורדפרס יש כמה קבצים וכמה סוגי תיקיות, חלקן מכילות מידע רגיע יותר וחלקן פחות. לכל סוג קובץ ותיקיה יש את ההרשאות הדיפולטיביות, אבל יש גם הרשאות מחמירות יותר שניתן להגדיר לקבצים רגישים (למשל wp-config) ו/או עם פוטנציאל לפריצה.

הרשאות קבצים

במאמר הזה (באנגלית) תמצאו הסבר מקיף על הנושא.

12. אבטחת אתרים באמצעות קובץ .htaccess

קובץ .htaccess אשר נמצא בשרתי Apache ויושב על התיקיה הראשית של האתר. זהו קובץ חשוב ועוצמתי שאחראי בין היתר לביצוע הפניות 301 מכתובת X לכתובת Y, לחסימה של הרשאות עבור קבצים או תיקיות מסוימות, ל Caching ברמת השרת, לחסימה של User-agents שונים ועוד.

יש אינספור פקודות בהן ניתן להשתמש לצורך הקשחה ושיפור רמת האבטחה באתרי וורדפרס. קטונתי מלהכיר הכל אבל נזכיר פה כמה מהדברים החשובים ופשוטים להטמעה שכדאי להכיר:

הגנה על קבצים חשובים:

מניעת גישה לקבצים חשובים כמו wp-config, php.ini וקובץ ה- Error log.

<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all
</FilesMatch>

מניעת גישה לתיקיות באתר:

מניעת גישה לתיקיות באתר מונעת ממשתמשים לצפות בתיקיות באתר באמצעות הדפדפן. פעולה זו מקשה על שרוצה להחדיר קובץ זדוני לתיקיה מסוימת, לראות אילו תוספים/תבניות מותקים באתר וכו'.

Options All –Indexes

חסימה של הפעלת קבצי PHP עם קוד זדוני בתיקיית uploads

בברירת המחדל, תיקיית uploads צריכה להכיל בעיקר תמונות / PDF. במידה ושתלו לכם שם קבצים עם סיומת php, הקוד הבא בקובץ htaccess ימנע את האפשרות להריץ קבצים אלו:

<Directory "/var/www/wp-content/uploads/">
<Files "*.php">
Order Deny,Allow
Deny from All
</Files>
</Directory>

13. מעקב אחר לוגים ופעילות באתר

מעקב אחר פעילות משתמשים באתר, מאפשר לכם, ממש עד רמת הפרט הכי קטן – לדעת אילו שינויים בוצעו באתר, להתחקות אחר פעילויות של משתמשים שונים ובכך אולי להעלות על שימוש בעייתי שיכול לגרום לנזק באתר.

תוסף מומלץ לכך הוא "יומן פעילות" של חברינו הישראלים Pojo. את התוסף (החינמי) תמצאו כאן.

14. הגנה על המחשב

וירוס לאתר יכול להגיע לא רק ממקור חיצוני, אלא גם מהמחשב שלנו. במידה והמחשב שלכם נגוע בוירוס, malware או כל דבר אחר, והקבצים הללו עושים דרכם אל השרת – מכאן הדרך קצרה להדבקה של האתר וזו מתכונת לצרות.

המלצה שלי – לא להתקמצן ולרכוש רשיון שנתי לתוכנת אנטי וירוס מקצועית שגם תבצע סריקה בזמן אמת בתיקיות שאתם נמצאים בהן ובאתרים שאתם גולשים בהן על מנת להתריע מפני נוזקות פוטנציאליות. בנוסף לאנטי וירוס, כדאי להצטייד בתוכנה שיודעת לסרוק ולהתמודד עם קבצי malware – לוקאלית על המחשב.

שהמחשב שלכם נקי, אתם לפחות יודעים שככל הנראה מקור הבעיה באתר היא לא מהמחשב שלכם. כמו כן, במידה ויש עוד משתמשים (בעיקר כאלו על הרשאות ניהול) לאתר, כדאי ליידע גם אותם על הנושא הזה.

הגנה על המחשב

15. שינוי הקידומת (Prefix) של הדטאבייס

אחת הפרצות הפופולאריות והנפוצות באתרי וורדפרס, מכונה "הזרקת SQL" (SQL Injection) שמטרתה ניצול חולשה במסד הנתוינם של האתר והחדרת קוד זדוני שיכול לבצע כל מיני פעולות שיכולות לתוקף הרשאות כמו פרטי גישה לאתר, מידע על משתמשים ועוד.

קידומת ברירת המחדל של בסיס הנתונים בוורדפרס היא wp_. שינוי של הקידומת, כמו כל דבר, לא יבטיח לכם הגנה הרמטית מפני הזרקות SQL אבל כן יאתגר קצת את התוקף שיצטרך להתאמץ יותר ולמצוא את מבנה הטבלאות במסד הנתונים, אולי אולי פשוט לדלג לקורבן הבא שיערים פחות קשיים.

מומלץ להגדיר קידומת שונה לטבלאות עוד משלב ההתקנה, אך ניתן לעשות זאת גם לאחר מכן – בין אם באמצעות פלאגין ובין אם בצורה ידנית.

כמעט סיימנו…

ברור לי שלא עברתי כאן על כל הסיכונים האפשריים של פריצה לאתרי וורדפרס, ובטח גם שלא דיברתי על כל הדרכים להתגונן. אבל אין לי ספק שיישום אפילו חלקי של מה שכתוב לעיל יעזור לכם להיות בצד של ה-20% מבחינת הסיכוי שיפרצו לאתר שלכם בהתקפה הבאה (להבדיל מ80% בכל אתר וורדפרס "רגיל").

אם קראתם הכל, או רפרפתם והגעתם לכאן, ועוד לא התייעפתם, אני מוסיף בונוס קטן:

בונוס – קייס סטאדי קצר: איך ניקיתי אתרים שלי מוירוסים

לא אחדש לכם אם אומר לגוגל יש עוצמה רבה מאד, וזה מתבטא גם בעניין האבטחה. למה אני מתכוון? ממש לאחרונה, כמה אתרים שלי קיבלו אזהרה דרך ה-Search Console בנוגע לקוד זדוני.

כך זה נראה:

הודעת Malware בקונסולת החיפוש של גוגל

וכך זה נראה בתוצאות של גוגל:

אתר שיכול לגרום נזק

* אין לי כוונה לפגוע באף אחד ולכן פרטי האתר מטושטשים.

מרגע שהאתר קיבל הודעה כזו (ואולי עוד לפני כן), הוא נכלל במעין רשימה שחורה של גוגל ופוטנציאלית גם של גורמים אחרים כמו חברות אבטחה וכו'.

דפדפנים שונים מציגים אזהרה אוטומטית בהתבסס על הרשימות האלו.

לדוגמא ההודעה המאיימת הבאה:

הודעת אזהרה בדפדפנים

בפועל, מאד יכול להיות שהאתר המדובר כבר נקי וחף מכל וירוס אך כאמור הדפדפן מתבסס (בין היתר) על הרשימה השחורה של גוגל.

מה עשיתי?

נעים להכיר – WordPress Clinic

WordPress Clinic זהו כלי מתקדם של חברת uPress (עליהם גם כתבתי קייס סטאדי שהחלפתי חברת אחסון) שמאפשר לסרוק אתרי וורדפרס, לבצע השוואה בין הקבצים הנוכחיים לקבצי המקור, לזהות PHP Exploits ופרצות אבטחה ידועות, לקבל מידע מקיף על מצב אבטחת האתר וגם למחוק ולשחזר קבצים נגועים. בנוסף, בכל הרצה של הכלי, הוא מבצע תיקון הרשאות לכל הקבצים והתיקיות.

הוידאו הבא מסביר את יכולות המערכת יותר טוב ממני:

השלבים שבוצעו לניקוי האתר היו כדלקמן:

  1. הורדת האתר הנגוע מהשרת והעלאתו לשרת של uPress לביצוע הבדיקות (במקרה הנ"ל האתר הנגוע היה מאוחסן על שרת אחר).
  2. ניקוי קבצי האתר באמצעות WordPress Clinic
  3. העלאה מחדש של הקבצים לשרת. ליתר בטחון מחקתי את כל הקבצים שהיו בשרת הקודם למעט wp-uploads (על מנת לשמור על התמונות) ו wp-config.php.
  4. הגשת האתר לבחינה מחודשת דרך ה Search Console

למי שתוהה, כך נראית ההודעה המשמחת מגוגל לאחר בחינה מחודשת שלהם:

הודעה שהאתר נקי - קונסולת החיפוש

ואם אין לי גישה לכלי הזה?

כמובן שאתם לא חייבים להשתמש ב WordPress Clinic לשם ניקוי של האתר מנוזקות שונות (למרות שזה כלי מאד אפקטיבי), במקרה כזה רוב הסיכויים שאחד מהכלים והשיטות שהוזכרו במאמר הנוכחי יסייעו לכם לבצע ניקוי לאתר, וגם אם לא – כנראה שכדאי להתייעץ עם מומחה אבטחה שיסייע לכם נקודתית להתמודד עם הבעיה.

לאחר שוידאתם שהאתר נקי, מומלץ להגיש בקשה דרך הSearch Console של גוגל לבחינה מחודשת של האתר. מהנסיון שלי זה לקח 5-6 שעות בממוצע לאתר (הם מצהירים על תשובה של עד 72 שעות) ובכל המקרים קיבלתי תשובה משמחת כי האתר נקי והודעה האזהרה בתוצאות של גוגל תוסר תוך שעות בודדות.

לסיכום – אבטחת אתר וורדפרס

מקווה שנהניתם מהמדריך. אם יש מומחי אבטחה בקהל שמעוניינים להוסיף, להעיר או אולי אפילו לפרגן, מאד אשמח לשמוע תגובות (וגם מכל אחד אחר, כמובן) 🙂

לא רק אבטחת אתרים! מדריכים נוספים באתר:

אהבת? גם ברשימת תפוצה שלי אני מפנק :-) ועל הדרך נותן מתנה >>
הרשמה לרשימת תפוצה

2 תגובות

  1. שלום
    מאמר מעולה!

    ברשותי אתר וורדפרס, איבטחתי את האתר בעבר, לאחר התעסקויות רבות בלוח הבקרה של וורדפרס נוכחתי לדעת כי האתר אינו מאובטח (הפך לHTTP מHTTPS)

    א. האם יתכן כי התעסקות בלוח הבקרה של וורדפרס לאתר יסיר את האבטחה, או שהאפשרות היחידה היא שפג תוקפנ של תעודת האבטחה? (לא אני רכשתי את התעודה לאתר לכן אינני יודע באיזה חברה מדובר)

    ב. האם תוכל להמליץ לי על חברות שיוכלו לבצע אבטחה לאתר שלי?
    מדובר על אתר משרד הנדסה ולא על אתר מכירות המצריך אבטחה כבדה

    האתר הוא: http://WWW.SHIRA-E.COM

    1. היי שירה
      א. ייתכן שהוסר תוסף שמסדר את העניין של ה-HTTPS (כל מה שקשור להפניות לגרסת HTTPS וכו') וזה גרם לזה.
      ב. סיבה אפשרית אחרת זה באמת שאולי פג תוקף התעודה.

      ממליץ לך לבדוק דרך חברת האחסון לגבי זה – הרבה חברות אחסון היום מספקות תעודות SSL בחינם או במחיר מוזל.
      בהצלחה 🙂

Comments are closed.

יש מצב שגם אלו יעניינו אותך...
Call Now Button חייגו עכשיו