אבטחת אתרי וורדפרס - טיפים מעניינים

קצת הקדמה לפני הכל

וורדפרס הינה המערכת הטובה ביותר וכהוכחה מס’ המשתמשים בה עולה מיום ליום ומשערים שיום אחד תחליף את כל הפלטפורמות האחרות בהנחה שקצב גידול המשתמשים בה והתמיכה העולמית והנרחבת של קהילת הקוד הפתוח בה אכן יתרמו לתוצאה הנ”ל.

אולם עם כל גידול בשימוש ובפופולריות כך גם גדלים הסיכונים שבה ובאופן טבעי גם עלייה בכמות החולשות של המערכת וזהו תהליך טבעי לגמרי במערכת שהולכת ומתפתחת כל הזמן.

פרצות אבטחה הן חלק מהמערכת אך ניתן לומר בוודאות שכל פרצה שמתגלה לאחר כמה שעות מתפרסם תיקון לאותו באג או פרצה וניתן בקלות לעדכן ולהחזיר את המערכת למצב הבטוח ביותר.

זהו מדריך \ מאמר שיפרט על הבעיות כמו גם הפעולות שיש לנקוט בהן לצורך אבטחה מושלמת (99.9% ) .

לא נעים כשהאתר שלכם נפרץ אז לא כדאי לחכות ופשוט כדאי מעכשיו ללמוד עוד ולנסות ליישם את כל התהליכים שכתובים במדריך זה.

מהן פגיעויות או בעצם חולשות וורדפרס? Valnerabilities

חולשות הן הדרכים לפגוע בטכנולוגיה המיושמת באתרי וורדפרס ולא רק , גם בשרתים שזה אומר חברות אחסון ומחשבים פרטיים.

הדרכת עובדים ועובדות בארגונים ובעסקים בנושא איומי סייבר ואבטחת מידע

הדרכות לאיומי סייבר ואבטחת מידע

תחזוקה – הקשחת וורדפרס hrdening wordpress.

פשוט צריך לבחור חברת אחסון ולא לפי המחיר אלא המלצות אמיתיות ולא של שותפים סמויים שימליצו גם על קורונה ויאמרו שהיא מגיפה כיפית כי אולי ייצא להם משהו מזה , כמה שקלים כי הפנו אתכם.

הטיפ השני הוא בחירת תוספים טובים ותבנית מקצועית ולא פרוצה.

הכי חשוב לקרוא ביקורות אמיתיות על כל מה שמתקינים בוורדפרס ולא להתפתות לסיפורים והבטחות של שיווק טוב.

תוספים לוורדפרס – אבטחת אתרי וורדפרס

אבטחת אתר וורדפרס – מה חשוב לדעת לפני הכל

אתרים באינטרנט ובמיוחד אתרים שיושבים על פלטפורמת וורדפרס ואו cms אחר חשופים להתקפות ובעיות אבטחת מידע .

להלן רשימת דברים שחובה לבדוק וליישם אם אתם רוצים הגנה ב99% מפני התקפות סייבר.

אחסון האתר -web site hosting

אחסון האתר הוא המקום בו דפי האתר וכל הקבצים הקשורים אליו נמצאים , כמו מגירה שבה יש מסמכים וארנק ודברים אחרים חשובים ופרטיים.

(אם לא היו פרטיים אז הם היו מחוץ למגירה)

שרת פרטי הכי טוב אבל לא כולם צריכים והוא גם עולה פי שניים או שלוש מחשבון אחסון רגיל.

חשבון אחסון רגיל מהסוג הכי נפוץ נמכר כמקום גם לאתרים אחרים שאולי פרוצים ואלו שלא מתישהו

ייפרצו (אולי) ואז גם האתר שלכם יהיה בסכנה גם אם הוא הכי מאובטח בשאר הפרמטרים שלא נוגעים לאחסון.

וורדפרס wordpress – מערכת ניהול האתר (הפלטפורמה)

חובה ואני מדגיש שוב ושוב , חובה

לעדכן את הגירסה בכל פעם שיוצאת גירסה חדשה

גרסא היא תיקוני באגים בקוד שלא רק ובהכרח קשורים לאבטחה אלא לתפקוד הכללי של האתר .

תוספים :

חובה ושוב פעם

חובה

לעדכן תוספים וחובה לבדוק מי החברה שפיתחה אותם וכל כמה זמן הם מעדכנים ומוציאים גרסה חדשה.

כאמור גרסאות חדשות פותרות באגים ופרצות אבטחה ידועות או שטרם התגלו (הסבר טכנולוגי מורכב יותר ניתן יהיה למצוא בהמשך במאמר טכני יותר) .

תבנית

מי החברה העומדת מאחורי פיתוח התבנית?

כל כמה זמן מוציאים גרסאות והאם הביקורות על המוצר והחברה טובות.

איך אתרים פרוצים משפיעים על הקידום בגוגל?

מאוד מהר, כל מה שצריך הוא כמה דק’ כדי לשלוח לגוגל בדיקה דרך DEV TOOL והאתר נכנס לאינדקס עם הפרטים של הפריצה

האתר הישראלי בתמונה (כל אתר אחר גם כן) נכנס לתוצאות של גוגל בפחות מ10 דק’ מרגע שנפרץ

ניתן לראות שהתיאור description כבר השתנה וגם הכותרת

אם לא יטופל מהר , הדומיין יתוייג כבעייתי ואז גם חודש לא יעזור בשביל לנקות מגוגל

תוספי אבטחה.

חשוב להגדיר אותם נכון אחרת עלולים בנוסף לאבטחה לגרום לנזק חמור יותר לאתר ולקידום מהמצב הקודם שקדם להתקנתם.

חוקי ברזל לאבטחה ולמי שלא רוצה שיפרצו לו.

סיסמאות קשות
שמות משתמש שלא ניתן יהיה לנחש
מיילים המאפשרים אימות מתקדם

גיבויים –

כל שבוע או כל חודש יש לבצע גיבוי ידני מעבר לזה שעושה או אמורה לעשות חברת האיחסון .

אם יש גיבוי ניתן יהיה לטפל ב90% מהמקרים ובקלות

האופציה השנייה של אין גיבוי?

תכינו את הארנק אז לתשומת לבכם : גיבוי!!

תוספי אבטחה כדאי לבדוק טוב בוורדפרס כי בעיות באבטחה של האתר עלולים לגרום לבעיות בקידום אורגני עם גוגל.

להלן כמה תוספי אבטחה לאתר נפוצים ומוכרים , כולם ניתנים לניסיון והגרסא בתשלום הרבה יותר טובה מהחינמית.

תוספי אבטחה לא יעזרו מפני התקפות שרת אבל יצמצמו את הסיכוי שהאתר ייפגע.

חשוב לזכור שתוספי אבטחה לאתרים עם מערכת ניהול וורדפרס דורשים הגדרות ועדכונים מידי שבוע בהתאם לצורך ומומלץ להיוועץ בחברה עצמה שמוכרת את התוסף או ביועץ אבטחה לאתר.

אבטחת אתרים עם מערכת וורדפרס.

לפני שמתחילים כדאי להכיר מושגים כגון אבטחת מידע ומערכות cms ועוד ..

– להלן רשימת מושגים :

אתר בוורדפרס – אתר אינטרנט צד שרת עם מערכת ניהול האתר מסוג וורדפרס

מהי מערכת צד שרת או אתר צד שרת ?

בשירטוט ניתן לראות בשלבים

1. הגולש מקליד כתובת של אתר או מחפש אתר בגוגל ולוחץ על תוצאה

2 בקשה לצפייה בתוכן האתר נשלחת לשרת דרך תוכנת צפייה (הדפדפן)

3. השרת מקבל את הבקשה לצפייה בתוכן שנמצא בתוכו

4. השרת שולח את העבודה שלו לאחר שפישט אותה לדפדפן במחשב של הגולש וזהו.

מערכת ניהול וורדפרס wordpress

פעם היה צריך לכתוב דפים דרך שימוש בקוד , כבר לא!

מערכת הניהול מאפשר למשתמש שאינו טכני או בקיא בקוד לערוך את דפי האתר ובקלות יחסית.

אבטחת מידע.

ענף מעץ ענק שנקרא מדעי המחשב ועוסק במיוחד בהגנה מפני שימוש , גישה או חשיפה עם שימוש בציתות ואו שיבוש נתונים כמו גם העתקה או גרימת נזק של מידע רגיש או פרטי ע”י מי שאינו מורשה לבצע את הפעולות הנ”ל.

לאבטחת מידע יש שלוש מטרות

שלמות – INTEGRITY

מדובר בהגנה מפני שינויים של מידע רגיש וגרימת נזק למידע המקורי

סודיות – confidentiality

הגבלת הגישה למניעת חשיפה של מידע רגיש לצורך שמירה על פרטיות וזכויות משפטיות כגון זכויות קניין.

זמינות – availability

אפשרות גישה בטוחה ונוחה למידע בכל עת .

טיפים נוספים לאבטחת אתרי וורדפרס .

1. עדכון מערכת וורדפרס לגירסא האחרונה – עדכון מערכת אינו רשות אלא חובה , בעדכוני גירסא מקבלים תיקוני באגים שעלולים להשפיע גם על הקידום האורגני.

2. עדכון תוספי וורדפרס – כמו למערכת וורדפרס חובה לעדכן תוספים מאותן הסיבות בדיוק של תיקוני באגים ובעיות שעלולות לפגוע בקידום האורגני.

3. עדכון תבנית וורדפרס – אם התבנית אינה מתעדכנת הנ”ל מהווה נקודת חולשה לפריצה שאותה עלולים לנצל פורצים.

4. גיבוי גיבוי גיבוי ועוד פעם גיבוי – אם אין לכם גיבוי יום אחד זה יכאב ומאוד.

אם האתר נפרץ ויש לכם גיבוי אז פשוט לא קרה כלום , מחזירים לאחור ופשוט נוקטים בצעדי מניעה שיפורטו בהמשך

מומלץ לבצע גיבוי אחת לשבוע לפחות גם במשך שנים.

5. שם משתמש ADMIN אינו שם טוב , ניתן לנחש את מיליארד הסיסמאות האפשריות וזה פשוט ייקח זמן אבל בסוף יקרה.

6. אימות דו שלבי – במילים פשוטות אימות שם משתמש וסיסמא יתבצעו בטלפון הנייד שלכם בנוסף למייל שבאתר . (מה הסיכוי שהפורץ יגנוב לכם את הטלפון כדי לפרוץ לכם לאתר? לא גבוה במיוחד!! )

7. כמה משתמשים באתר ולא גולשים זרים? מתן הרשאות מתאימות לכל משתמש

- מנוי – מישהו שנרשם לאתר אבל יכול לשנות את פרטיו האישיים
- תורם – יכול לכתוב דברים אבל לא לפרסם ללא אישור המנהל
- כותב – כותב ומפרסם את הפוסטים שלו עצמו ורק של עצמו.
- עורך – כותב ומפרסם לא רק את שלו אבל מוגבל בגישה למקומות רגישים כמו קוד

מנהל – יכול הכל , אלוהים באתר 🙂

הגבלת ניסיונות כניסה –

בעיקרון ניתן לקבוע שאחרי שגולש אפילו אתם כמנהלים טועים יותר מ5 פעמים בכניסה לאתר בהקלדת הסיסמא אז אפילו אתם לא תיכנסו למשך זמן מה או בתנאי אחר שייקבע ע”י תוסף אבטחה או קוד באתר.

שינוי הרשאות קבצים

שינוי הרשאות לקבצים רגישים מפני שינוי למשל לקובץ wp-config

בחירת חברת איחסון רצינית ומאובטחת .

אחסון איכותי יימדד במהירות ואבטחה , לא תמיד המחיר יהיה זה שקובע את האיכות אבל לרוב חברות האיחסון היקרות יותר גם טובות יותר .

קובץ הHTACCESS

קובץ שתפקידו לאפשר או יותר לא לאפשר פעולות מסוימות כמו גישה וכמובן שינוי קבצים ברמת השרת.

גוגל search console

בעבר היה נקרא webmaster tools

תוכנה חינמית זו מבית גוגל מתריעה על בעיות קוד או קידום ועוד כמה בעיות בעיני גוגל

אם תהיה בעיה קיימת סבירות של 95% שגוגל סרץ קונסול יתריע על כך.

לסיכום :

יד על הדופק !

אם באיזשהו שלב גיליתם שהייתה תנועה חריגה מהנורמה לאתר כנראה שיש סיבה לכך .

דוג’ מעניינת לפגיעה בקידום

כשאתר נפרץ או מבצע פעולות קידום שחור כמו בניית קישורים עם תוכנות אוטומטיות לפעמים זה יכול לחזור לאתר בצורה הכי כואבת.

בתמונה רואים בחיפוש אתר שנפרץ אבל זה לא קשור לתופעה של הקישורים שמיוצרים.

הקישורים שרואים בתמונה בתוצאות החיפוש מכילים את כתובת האתר (שנפרץ ובעונש) , זה קורה בגלל הפעלת תוכנות אוטומטיות לקידום כגון בניית קישורים באופן אוטומטי או שימוש ב”מומחים” מפייבר או הודים פקיסטנים “מומחי seo” שמפעילים תוכנות אלו.

איך ניתן להתגונן \ להילחם בתופעה?

לא מנסים לעבוד על גוגל!!

איך מוציאים מהעונש?

מטפלים באתר הפרוץ ולאחר שהכל תקין כחודש עד 4 חודשים אם עושים הכל נכון גוגל תוציא את הדומיין מהעונש.

מה אני הייתי עושה במקרה הזה?

לא הייתי נכנס למצב הזה אבל נניח שכן , פשוט קונה דומיין חדש ומשלם לאיש מקצוע שיודע מה הוא עושה (שזו גם בעיה )

הקשחת אבטחת מידע באתרי אינטרנט המבוססים על מערכת ניהול תוכן (CMS) דורשת מספר צעדים:

עדכונים תכופים:

חשוב לעדכן את מערכת ה-CMS ואת התוספים או התבניות המשויכים אליה לגרסאות האחרונות.
עדכונים אלה לרוב כוללים תיקונים לבאגים ולפרצות אבטחה.

הגבלת נסיונות התחברות:

הגבלת מספר הניסיונות להתחברות עלולה לעזור למנוע ניסיונות פריצה בטכניקת “brute force”.

אימות דו-שלבי (2FA):

הפעלת אימות דו-שלבי למשתמשים מספקת שכבת אבטחה נוספת.

הגדרות הרשאות משתמש:

קביעת הרשאות נכונות והגבלת גישה למשתמשים לפי צורך.
כך מונעים גישה בלתי מורשית לאזורים רגישים של האתר.

הצפנת תעבורה באמצעות SSL/TLS:
הצפנת התעבורה בין המשתמש לשרת באמצעות תעודת SSL/TLS מבטיחה שהנתונים הנשלחים הם מאובטחים.

גיבויים תכופים:

יצירת גיבויים תכופים של האתר יכולה למנוע אובדן מידע במקרה של תקלה או פריצה, ולאפשר שחזור מהיר של האתר.

בדיקות אבטחה ופענוח:

עריכת בדיקות אבטחה קבועות, כולל פענוח (Penetration Testing), על מנת לזהות ולתקן פרצות אבטחה אפשריות.

הגבלת גישה לקבצים ותיקיות:

קביעת הגבלות גישה לקבצים ותיקיות חשובים בשרת, כדי למנוע גישה בלתי מורשית.

שימוש ברשתות פרטיות וירטואליות (VPN):
הפעלת VPN עבור גישה מרחוק למערכת ה-CMS יכולה לשפר את האבטחה.

קביעת מדיניות סיסמאות חזקות:

אכיפת שימוש בסיסמאות חזקות ושינוי תכוף שלהן.

מעקב וניטור:

התקנת כלים לניטור האתר בזמן אמת יכולה לסייע בזיהוי מתקפות אבטחה ובקרות

הקשחת מדיניות robots/htaccess
honeypot creation
ביצוע PT לבן
הגדרת גיבויים והכנה למערכת disaster recovery
IDS/FW הכנה והגדרת אינטגרציה
הקשחת סיסמאות
ביצוע קוד למניעת XSS / SQLI / RFI / LFI
פילטרים בשדות INPUT וסגירת פורטים פגיעים במערכת וורדפרס
בדיקה והתאמת תעודת אבטחה SSL והגדרת HTTPS כולל ניטור הפניות ברירת מחדל.

לאחר ביצוע הפעולות כ24 שעות לאחר סיום ביצוע PT לבן מחדש והוצאת דו”ח
* אם כל מה שיבוצע יבוצע כהלכה, כמעט ולא יהיה ניתן לבצע PT לבן ויידרש אפור.

תוייג אבטחת אתרי וורדפרס איך מקדמים אתרים בגוגל