ישנן שתי סיבות עיקריות לכך שתקיפות אלו מצויות באתרי וורדפרס. ראשית, דף הכניסה המוגדר כברירת מחדל עבור כל אתר וורדפרס ניתן למצוא אותו בקלות. כל אחד יכול פשוט לקחת את כתובת האתר הראשית של האתר, /wp-admin או /wp-login.php, ולקבל גישה לדף הכניסה.
כמו"כ, שם הכניסה והסיסמה שנוצרים בברירת מחדל לאתר וורדפרס, זה "admin" עם סיסמה פשוטה לכל האקר מתחיל, וכך התוקפים יכולים לקבל גישה בקלות, בלי להתאמץ יותר מידי.
כיצד מתבצעות פריצות לאתר?
הדרך הנפוצה ביותר לפריצת אתרים היא באמצעות בוטים וכלים אוטומטיים, בדרך הזו האקרים פורצים אתרים במהירות רבה.
היות ומערכת וורדפרס היא פלטפורמה מבוססת קוד פתוח, וניתן להתקין עליה תוסיפים (plugin) רבים, אז ההאקרים מנסים לנצל כל מיני חולשות אבטחה שיש בתוספים פופולריים, ודרכם פורצים לאתר.
כיצד ניתן לזהות פירצה לאתר?
באתר סחר, אתם פתאום תראו הרבה מאוד מוצרים שמתווספים, או שהעיצוב של הדפים ישתנה בצורה מוזרה
דרך ה- google search console אתם תראו שהתווסף לכם הרבה דפים לאתר
באמצעות פקודת site:https://www.yourdomain.com
הקישורים השתנו, כאשר גולש ילחץ על בתפריט על "אודות", זה יעביר לאתר אחר.
כשנכנסים לגלוש אתר, זה מפנה לאחר כמה שניות לאתר אחר.
תוכנה זדונית תוטמע באתר שלך, והרוחב פס שיש לך בשרת יצטמצם לחלוטין, ולא תצליח לגלוש באתר. בעצם זה הופך את השרת שלך, לשרת שיתופי של קבצים.
דרך נוספת היא, שזה שולח עשרות אלפי מיילים לרשימה שהאקר שותל, והם מקבלים את זה מהכתובת של האתר שלך, במצב כזה, זה פוגע לך בדומין באופן קשה ביותר, כך שכל ההודעות שתשלח מהיום, יזוהו כספאם והם לא יישלחו אן שישירות ייכנסו לספאם.
דרך נוספת היא, שמחדירים תוכנה זדונית, שמקליטה את פעולת המשתמש, ובחנות איקומרס לדוגמה, יהיה ניתן להקליט את המספרים של הכרטיס אשראי שהלקוחות מזינים, ואת השאר תחשוב לבד…
כיצד למנוע פריצה לאתר?
ישנם הרבה דרכים לצמצם את הפריצה לאתר בעשרות אחוזים (כמובן שלמנוע לחלוטין זה בלתי אפשרי, לא רק בוורדפרס…)
בכל מקרה, כל שינוי הכי קטן שאתם הולכים לעשות באתר, תבצעו גיבוי לפני! או שתיישמו את זה על גירסת פיתוח. כך שבמידה ויהיה תקלה כלשי, תוכלו בצורה מיידית לשחזר לאחור.
מצורף כאן רשימה, שתעזור לכם למנוע את הפריצה:
1. להשתמש רק בתבניות תוספים של חברות מוכרות ועם מוניטין. לפני התקנת תוסף כלשהו, תבדקו ש:
- כמה התקנות יש לתוסף/לתבנית
- מי עומד מאחורי התוסף/התבנית? האם זה חברה רצינית? תכנסו לאתר שלהם ותבדקו מי הם.
- מתי היה עדכון אחרון של התוסף/התבנית.
2. במידה ויש לכם הרבה פלאגינים באתר, תדאגו שהם מעודכנים כל הזמן! תוכלו כמובן לאפשר עדכונים אוטומטיים לפלאגינים, ע"פ רוב זה לא יעשה בעיות רק תעשו מעקב שהכל בסדר. כל פעם שתוסף מתעדכן באפון אוטומטי, אתם תקבלו על כך הודעה למייל.
3. לבדוק תמיד שגירסת הוורדפרס מעודכנת! גם בזה תוכלו לעשות עדכון אוטומטי.
4. ישנם גרסאות וורדפרס שפחות בטוחות לשימוש, ואם לא ביצעתם עדכון והגירסה שלכם חשופה, זה ממש כמו להזמין את הפורצים לבית שלך. תוכלו להסתיר את הפירצה באמצעות הקוד הבא:
function webe_remove_version() {
return '';
}
add_filter('the_generator', 'webe_remove_version');
5. השבת את עריכת הקבצים דרך המערכת ניהול באמצעות הקוד הבא:
define(‘DISALLOW_FILE_EDIT’, true);
6. לשנות את הודעת השגיאה בעת נסיון התחברות שכשל. הוסיפו את הקוד הבא:
function webe_no_wordpress_errors(){
return 'שגיאה באחד הנתונים';
}
add_filter( 'login_errors', 'webe_no_wordpress_errors' );
7. הסתירו את שם המשתמש שלכם.
ניתן בקלות למצוא את שם המשתמש של מנהל האתר, באמצעות הוספת ?author=1 לאחר הדומיין שלכם. כדי להסיר זאת, השתמשו בקוד הבא:
/*Hide administrator username from hackers*/
add_action(‘template_redirect’, ‘webe_template_redirect’);
function webe_template_redirect(){
if (is_author() ) {
wp_redirect( home_url() ); exit;
}
}
8. לא לעשות סיסמה חלשה! תשתדלו להשתמש באות גדולה אותיות קטנות, מספרים וסימנים.
9. השתמשו בשרת מוכר ומאובטח! השרת שאני ממליץ עליו הוא cloudways (לרכישה לחץ כאן)
חברת cloudways עושים שכבת הגנה עם כמה מהפיצ'רים של חברת האבטחה malcare.
10. לא לסמוך על גיבוי של חברת האחסון.
יש לעשות גיבוי באמצעות תוסף, שעושה גיבוי יומי אוטומטי לגוגל דרייב או לדרובוקס. התוסף שאני ממליץ עליו הוא backup guard
11. להסיר תבניות ופלגינים שלא בשימוש.
12. לעשות מעקב על המשתמשים הרשומים באתר ומסווגים כ"מנהל", ולראות אם יש משתמש חשוד
13. לא להשתמש בתוכנות ברכישה פיראטית שמציעים באינטרנט במחירים זולים. זכרו, עם כמה שורות קוד פשוטות בJS ניתן לעשות לכם בלאגן אדיר באתר!
14. תוסיפו אימות דו גורמי בעת כניסה לאתר. זה הכניסה הכי בטוחה שיש.
15. תגבילו את ניסיונות ההתחברות ושנה את הסיסמה שלך לעתים קרובות. באמצעות התוסף הבא (אם אתם משתמשים ב- cloudflare, לאחר 3 ניסיונות זה חוסם את המשתמש).
16. תתקינו חומת אש לאתר. התוסף הפופולרי ביותר הוא Wordfence
17. נתיב הכניסה שמופיע בברירת מחדל בכל אתרי וורדפרס הוא זזה, (/wp-admin או /wp-login.php), פשוט תשנו אותו לנתיב אחר. התוסף שאני ממליץ Wps Hide Login.
18. השתמשו ב- SSL. אם אתם משתמשים בשרת של cloudways, ה-SSL הוא בחינם.
19. הגנו על הקובץ wp-config.php באמצעות הוספת הקוד הבא לקובץ htaccess.
<Files .htaccess>
order allow,deny
deny from all
</Files>
20. לבדוק שגירסת הPHP ו-MySQL מעדכנות. תוכלו לעשות זאת דרך הממשק ניהול של השרת או דרך הcpanel.
האם יש שירות או תוסף לאבטחת אתר?
בוודאי! ישנם שלושה תוספם מומלצים
את האתרים שאני מפתח, אני משתמש בתוסף iThemes Security Pro, שהוא מכסה חלק גדול מבעיות האבטחה
ההמלצה שלי, שאם זה אתר שחשוב לכם, תבקשו מהמפתח להטמיע אותו באתר שלכם וכך תמנעו 90% מהפריצות
פרצו לי לאתר, מה לעשות?
להעלות גיבוי מהזמן האחרון של האתר שאתה חושב שהוא היה בטוח
לשכור מישהו שיתקן לכם את זה – מישהו שאתם סומכים עליו שיבצע את העבודה בצורה טובה ונקיה
לשלם לחברה מוכרת שתפתור לכם את הבעיה.
