מדריך ידני לאבטחת וורדפרס

עם עליית הפרצות באבטחת הרשת, חשוב ביותר לנקוט צעדים מונעים כדי לשמור על האתר שלך מאובטח מפני פולשים. אז אם יש לכם אתר וורדפרס, המשיכו לקרוא. אנו נספק לך מספר טיפים וכלים שבהם תוכל להשתמש בכדי להפוך את אתר WordPress שלך לבטוח ובטוח.


“זה לא יכול לקרות לאתר שלי!” זו המחשבה הכללית שיש לרובנו כשאנחנו שומעים שהאקר הפר את אבטחת האתר.

אולי, האדם עם האתר שנפרץ מאמין שהוא ודאי עשה משהו לא בסדר במיוחד כדי לדלוף מידע חיוני. אולי האדם עשה את הטעות הנוראה בלקח את האבטחה באתר שלו כמובן מאליו.

אתה עלול להרגיש בטוח באמצעות פלטפורמת CMS ובלוגים פופולריות במיוחד כמו WordPress עבור האתר שלך. עם זאת, תציין היטב כי הפופולריות הגלובלית העצומה של וורדפרס היא אחת הסיבות העיקריות לכך שהאקרים מכוונים לאתרים המבוססים על פלטפורמה זו..

וורדפרס היא פלטפורמה מאוד ידידותית למשתמש וזה הופך אותה לפגיעה עוד יותר להתקפות מצד האקרים וספאם. כבר מההתחלה, עליך להפוך את האבטחה לעדיפות עליונה לאתר שלך יחד עם האירוח ועיצוב האינטרנט.

להלן מחקר מעמיק אודות האמצעים השונים שעליך לנקוט כדי לשפר את האבטחה באתר וורדפרס שלך. נסקור גם את הטיפים המובילים להגנה על אתר וורדפרס, על תוספי האבטחה המובילים של וורדפרס וכלי הבדיקה.

עליכם להבין ששום אתר אינו יכול להיות מאובטח במאה אחוז ואפילו המידע המשותף כאן לא יהפוך את האתר שלכם לבטוח לחלוטין. המטרה הסופית היא לסייע לכם לנקוט בכל אמצעי הזהירות הנדרשים בכדי לשמור על אתר וורדפרס שלכם מאובטח מרוב ההתקפות.

יסודות אבטחת אתרים

אתם עשויים לחשוב שזה מאוד לא סביר שהאתר שלכם ייפרץ בעתיד מכיוון שהוא מעולם לא התמודד עם בעיות אבטחה בעבר בנוגע לתוכנות זדוניות, קוד זדוני או אפילו תגובות זבל..

עם זאת, אחד הדברים הבסיסיים ביותר שיש לזכור באבטחת רשת הוא שאתה צריך להישאר פעיל ולא להיות מגיב. פירוש הדבר שאתה צריך לנקוט כמה צעדים זהירים מההתחלה, במקום להאמין שמישהו לא יכול לפרוץ את האתר שלך, ולפעול למען שיפור האבטחה שלו.

כמו כן, לפני שקופצים לשלבים לאבטחת וורדפרס, עליכם להבין את החשיבות של קיום האבטחה הזו.

המון אנשים מבקרים באתר שלך. חלקם עשויים להירשם לעלוני האתר שלך, וחלקם עשויים להירשם כחברים בפורומים של האתר שלך. הנתונים המשותפים על ידי המבקרים שלך חשופים גם להתקפות אם האתר שלך נפרץ. לכן, באחריותך להבטיח את אבטחת נתוני האתר שלך, אשר, בתורו, תגן על נתוני המבקרים שלך.

אם אתר וורדפרס שלך מושך תנועה מועטה, אתה יכול לטעון שאין סיבה שהאקר יתקוף את האתר שלך כשיש אלפי אתרים פופולריים אחרים הזמינים ברשת. אם זה כך, כנראה שהגיע הזמן שתבינו את הסיבות לכך שהאקר עשוי לנסות להפר את האתר שלכם.

האקרים אינם מודאגים אם האתר שלך מושך אליו מבקרים מעטים בלבד מכיוון שברגע שהם מקבלים גישה לאתר שלך, הם יכולים להשתמש בשרת שלך כדי לשלוח דוא”ל ספאם. הם עושים זאת כדי לעזור להם לשווק את השירותים, המוצרים או האתרים שלהם.
עם עלייה בסוג זה של פעילויות דואר זבל מהשרת שלך שנפרץ, הסיכוי שכתובת ה- IP שלך תופיע ברשימה השחורה עולה מאוד. לחלופין, ההאקרים עשויים להעדיף להשתמש בשרת שלך לצורך פעילויות באתר שלהם מכיוון שכתובות ה- IP שלהם כבר מופיעות ברשימה שחורה.

מלבד הבנת הסיבות לפריצה, עליכם להבין גם את הדרכים השונות בהן האקר או דואר זבל עשויים לתקוף את האתר שלכם. זה יעזור לך יותר לתכנן את פעילויות האתר שלך באופן שהאתר שלך הופך להיות פחות חשופים לאיומי ביטחון.

הם יכולים לתקוף דרך כל תוסף או נושא של וורדפרס. למעשה, ישנם מקרים בהם בעיות בתוסף אבטחה אפשרו להאקרים לתקוף אתר שהשתמש בתוסף. כמו כן, האקרים יכולים לנצל כל פגיעות אבטחה בפלטפורמת האירוח שלכם ולהשתמש בכל פרמטר URL כדי לגשת למסד הנתונים.

בדרך זו הם יכולים לשנות את הנתונים שלך, לשנות את הסיסמה שלך או אפילו למחוק נתונים. מפתיע לדעת כי התקפות רבות אפילו מתרחשות בגלל סיסמא חלשה לגישה לפאנל הניהול של וורדפרס או אפילו לגישה ללוח הבקרה של אירוח..

לאחר שפיתחת הבנה בסיסית של הצורך לאבטח את אתר וורדפרס שלך, כעת תוכל לקרוא בהמשך כדי ללמוד על הדרכים שבהן תוכל לשפר את האבטחה באתר שלך..

9 טיפים לאבטחה להגנה על אתר וורדפרס שלך מפני האקרים

עדכן את אתר הוורדפרס שלך

אם אתה כל הזמן מתעכב בעדכון אתר הוורדפרס שלך מכיוון שאתה חושש שתאבד נתונים עקב עדכון שגוי, עליך מיד להתחיל לבצע גיבויים. לאחר שתבצע גיבוי לאתר שלך, תוכל להמשיך ולעדכן את גרסת הוורדפרס לגירסה האחרונה. עליך לעשות זאת מכיוון ש- WP מתקן את באגי האבטחה של הגירסה הקודמת עם כל גרסה חדשה שהופכת לזמינה.

כמו כן, מידע וורדפרס מודיע לציבור על תיקונים אלה, מה שהופך את האתר המיושן שלך לפגיע עוד יותר. לכן, הפוך את זה להרגל להשתמש באפשרות “עדכן זמין” באופן קבוע לאחר כניסה ללוח המחוונים למנהל המערכת של וורדפרס.

עדכן את הנושאים והתוספים שבהם אתה משתמש ומחק את הדפים שאינם בשימוש

אתה צריך לשמור על שלך תוספי וורדפרס ונושאים שעודכנו מאותן סיבות שאתה צריך לעדכן את גרסת הוורדפרס הכוללת. האקר יכול בקלות לתפעל תוסף או נושא מיושן (דרך חורי אבטחה) כדי לקבל גישה למנהל האתר שלך.

לכן, אל תדאגי לגבי תאימות התוסף שלך לנושא הנוכחי שלך, אך עליך לוודא שתשתמש תמיד בגרסאות האחרונות של שניהם..

לאורך קווים דומים, וודא שחלק התוספים בלוח המחוונים למנהל המערכת של וורדפרס מכיל רק את התוספים שבהם אתה משתמש. מחק את אלה שאינך משתמש בהם מכיוון שפחות סביר שתעדכן תוספים כאלה, וזה שוב מגדיל את הפגיעות שלהם להתקפות אבטחה.

שימו לב שחשוב “למחוק” את התוספים הלא-שימושיים ולא רק “לבטל” אותם.

הימנע מהורדת ערכות נושא או תוספים ממקורות לא ידועים

אתה עשוי להתפתות להוריד כמה תוספים או נושאים מובחרים בחינם אפילו אם הם ממקורות לא ידועים.

למרות שאתה עלול להרגיש נרגש בקבלת תכונות מתקדמות ללא עלות, אתה עלול לשכוח לשים לב לאיום הביטחוני שתכונות אלה עלולות להביא. תוסף ממקור לא ידוע עשוי להכניס תוכנה זדונית או להכניס קוד זדוני לאתר שלך. במקום לקחת סיכון כה גדול, מומלץ תמיד להוריד רק ערכות נושא ותוספים ממקורות ידועים.

באפשרותך להשתמש בתוסף צ’ק או בדיקת ערכות נושא כדי לבדוק את קוד התוספים והנושאים שלך בהתאמה. קוד כתוב בצורה לא טובה עשוי להקל על האקרים לקבל גישה לאתר שלך.

אם אינך בטוח לגמרי לגבי המקור ואינך יודע לבדוק את איכות הקוד, אתה יכול פשוט לבחור בעיצובי WordPress בחינם מפלטפורמת WordPress.org..

יש שם משתמש וסיסמא של מנהל מערכת וורדפרס חזק

כדי ליצור את האתר שלך באמצעות פלטפורמת וורדפרס, אתה מקבל גישה ללוח המחוונים האחורי. כברירת מחדל, WP מייצרת שם משתמש (admin) וסיסמה חזקה כדי שתוכל להתחבר ללוח המחוונים של מנהל המערכת במהלך התקנת WordPress. אך לאחר ההתקנה, עליכם לשנות את שם המשתמש של הניהול של WordPress למשהו שמיוחד לכם.

יחד עם זאת, אתה צריך לזכור לשנות את הסיסמה למשהו שלא ידוע על ידי אנשים סביבך או מביקרי האתר שלך. לדוגמה, אם האתר שלך חושף את תאריך הלידה שלך או את שם בן / בת הזוג שלך, וודא שהסיסמה שלך לא מכילה אף אחד. זה מקשה על כל האקר לנחש את הסיסמה שלך. עליך לשמור סיסמה מאובטחת עבור חשבון לוח הבקרה שלך.

בנוסף, אתה יכול לנסות להוסיף CAPTCHA לדף הכניסה שלך ל- WordPress כדי להגביר עוד יותר את האבטחה באתר שלך. זה יבטיח שבוט או סקריפט לא יוכלו לקבל גישה לאתר האינטרנט שלך באמצעות מתקפת כוח ברוטה.

הוסף אימות אבטחה של וורדפרס דו-שלבי

כמה סיסמאות אחזיק ואמשיך להתעדכן באופן קבוע? ייתכן שיש לך שאלה זו בנוגע לשמירה על סיסמאות חזקות עבור נקודות כניסה שונות לפאנל וורדפרס או לוח הבקרה שלך.

ובכן, תוכלו ליהנות מכניסה חופשית באמצעות סיסמה לפאנל הוורדפרס שלכם באמצעות משהו כמו מפתח תוסף אימות דו-גורמי. באמצעות תוסף זה אתה יכול להשתמש בטלפון הנייד שלך כדי לאמת את הכניסה המאובטחת שלך ללוח המחוונים של הניהול של WordPress יחד עם מספר זיהוי אישי או טביעת אצבע. לכן, גם אם הטלפון שלך אבד, פרטי חשבון ה- Clef נשארים בטוחים.

לחלופין, אתה יכול להשתמש ב- המאמת של גוגל כדי להבטיח אימות דו-שלבי. עם זה, עליך להשתמש בסיסמה שלך כמו גם להזין קוד כניסה שנוצר באופן ייחודי שמגיע כ- SMS לטלפון שלך.

חפש חברת אירוח מאובטחת

קבלת גרסת האתר הוורדפרס האחרונה לא תהיה חשובה אם ההאקר יכול לפצח את גרסת ה- PHP הישנה של הפלטפורמה המארחת את האתר שלך. לכן עליכם להשתמש בשירותי אירוח של ספק אירוח אתרים אמין במיוחד.

למארח שלך תהיה אפשרות להרחיב את התמיכה בגירסאות MySQL האחרונות ובגרסאות PHP. עליו להיות בעלת מערכת איתור חדירה יעילה לזיהוי התקפות בזמן והיא אמורה להציע לאתר שלך חומת אש ליישומי אינטרנט לאבטחה משופרת..

הגבל את מספר ניסיונות הכניסה

האקרים משתמשים בהתקפות כוח סוערות כדי לפצח את הסיסמה בה אתה משתמש בכניסה לחלונית הוורדפרס שלך. הם מנסים ברציפות ניסיונות כניסה אקראיים עד שהם מצליחים.

גם אם הסיסמה שלך חזקה, זה עוזר לזהות כמויות כה בלתי סבירות של ניסיונות כניסה ולהגביל את כתובות ה- IP שעושות ניסיונות אלה. לאחר מכן תוכל לאסור כתובות IP כאלה לתקופה מוגדרת. אתה יכול לעשות על ידי שימוש בתוספים כמו נעילת כניסה או פתרון אבטחת כניסה.

קבעו גיבויים תכופים לאתרכם

זהו צעד חשוב מאחר שהוא אפילו עוזר לך כשמישהו פריצה או פשרות באתר שלך. כשמישהו פריצה לאתר שלך, אתה יכול לחזור בקלות לגירסה הקודמת של האתר שלך שלא נפגעה. אתה יכול גם להשתמש בכל אחד מהפתרונות האוטומטיים לגיבויים, כגון VaultPress או BackUpBuddy.

שמור על שטח הניהול של וורדפרס שלך מוגן היטב

רק למספר נבחרים של אנשים צריך גישה למרכז השליטה במנהל המערכת. כמו כן, בכל מקום אפשרי, נסה להגביל הרשאה למי שנכנס למרכז השליטה שלך. זה יעזור לך להפחית את האיום של התקפות ממקורות לא ידועים.
עליכם לוודא כי לאחרים יש גישה מוגבלת או ללא גישה לתיקיית WordPress / wp-admin / או לקובץ wp-login.php. אתה יכול לאפשר גישה לכתובת ה- IP שלך על ידי הוספת פיסת הקוד הבאה בקובץ .htaccess:

צו לשלול, לאפשר
להכחיש מכל
אפשר מ- zz.zz.zz.zz

בקוד שלעיל, עליך פשוט להחליף את “zz.zz.zz.zz” בקבוצה של כתובות IP משלך עבור מיקומים או התקנים שונים..

אם אינך מתמודד עם כתובות IP סטטיות, ייתכן ששיטה זו לא תעבוד עבורך. במקרים כאלה, אתה יכול להשתמש בתוספים שנדונו לעיל כדי להגביל את ניסיונות הכניסה.

תוספי אבטחה של וורדפרס לאיתור קוד זדוני באתרך

אם האקר תוקף את האתר שלך, זה יעזור להגביל את הנזק או לנקוט בפעולה בזמן אם תלמד עליו מייד. אז בואו נראה כמה מתוספי האבטחה המובילים בוורדפרס שיכולים לאתר קוד זדוני המוחדר לאתר שלך.

הגנת אתר אנטי-וירוס WP

התוסף הפופולרי הזה, המוצע על ידי SiteGuarding.com, מסייע באיתור והסרה של וירוסים וקוד זדוניים שנמצאו באתר וורדפרס שלך. הוא סורק פריטים כמו קבצי התוספים, קבצי הנושא וכל העלאות בכדי לאתר במהירות איומי אבטחה, כולל דלתות אחוריות, תוכנות ריגול, תוכנות ריגול, ערכות שורש, תולעים, סוסים טרויאניים וכלי הונאה..

אם אתה ממשיך להוריד ערכות נושא ותוספים מאתרי סיקור (במקום לקנות את העותקים המקוריים מהמפתחים), עליך להתקין תוסף מסוג זה כדי להבטיח אבטחה טובה יותר..

Wordfence אבטחה

תוסף זה מציע אבטחה ברמה ארגונית בחינם על ידי הגנה על האתר שלך מפני תוכנות זדוניות כמו גם פריצות אפשריות. זה בודק אם לאתר שלך כבר יש זיהום ועושה סריקה עמוקה בצד השרת של קוד המקור של האתר שלך.
זה משווה את הקוד למאגר הוורדפרס הרשמי עבור תוספים, גרעינים ונושאים. זה לא רק מאבטח את האתר שלך מפני רוב האיומים, אלא גם הופך את האתר שלך מהיר פי 50 מבעבר.

Wordfence מאפשרת גם חסימה בזמן אמת של תוקפים ידועים. פירוש הדבר שאם האקר תוקף את התוסף הזה באתר אחר, ההאקר ייחסם אוטומטית גם מהאתר שלך.

זה יכול לחסום רשת שלמה של כתובות IP זדוניות כאשר יש איום להכנסת קודים זדוניים לאתר שלך. זה עוזר עוד יותר לחסום איומים בצורה של מגרדים, סורקים ובוטים שזוהו במהלך סריקות האבטחה. זה גם סורק אחר סוסים טרויאנים, קוד חשוד, דלתות אחוריות, כתובות אתרים של דיוג, תוכנות זדוניות, פגיעות של HeartBleed וכן הלאה.

אם אתה משתמש פרימיום, אתה יכול גם לחסום מדינות ותוכל לעתים קרובות לתזמן סריקות לתקופות ספציפיות.

ניצול סורק

Exploit Scanner תמיד מחפש משהו חשוד בקבצים ובמאגר הנתונים של WordPress שלך, כולל פוסטים וטבלאות תגובה.

זה גם סורק את התוספים שבהם אתה משתמש עבור כל שמות קבצים מטעים או חריגים. אם הוא מוצא קוד או קובץ זדוני כלשהו, ​​התוסף הזה מספק דוח מפורט למנהל האתר ומותיר אותו לו או לה להסיר את הקוד הזדוני..

אבטחת סוקורי

זוהי ערכת כלי אבטחה מקיפה לשימוש בגילוי תוכנות זדוניות, התקשות אבטחה וניטור שלמות אבטחה. זוהי תמיכה נהדרת לתכונות האבטחה של האתר הקיים שלך.

חלק מפונקציות המפתח של תוסף זה כוללות ניטור שלמות קבצים, ניטור ברשימה השחורה, ביקורת על פעילויות אבטחה, סריקת תוכנות זדוניות מרחוק, התקשות אבטחה ופעולות אבטחה שננקטו לאחר פריצות, התראות אבטחה וחומת אש באתר..

כיצד לסרוק את אתר הוורדפרס שלך עבור תוכנות זדוניות מוסתרות?

מכיוון שוורדפרס היא פלטפורמת קוד פתוח, היא חשופה בקלות לזיהומים או הזרקות זדוניות על ידי האקרים. כמה מהדרכים הנפוצות בהאקרים עלולים להזרים תוכנות זדוניות לאתר שלך כוללות את הדברים הבאים:

  • פריצות פארמה (זריקות זבל במסד הנתונים או בקבצים שלך)
  • דיוג (רכישת מידע רגיש, כגון כתובות דוא”ל, סיסמאות ושמות משתמש)
  • הפניות זדוניות (הפניית המבקרים באתר שלך לדף אתר אחר שיש בו קובץ נגוע או קוד זדוני שהורד)
  • הזרקות קבצים ומסדי נתונים (הוספת קוד זדוני במסד הנתונים או בקבצים של האתר שלך)
  • דלתות אחוריות (קבלת גישה לאזור הניהול או לחשבון ה- FTP שלך)
  • כל ההאקרים רוצים להבטיח שבעל האתר לא ילמד שהם פרצו את האתר שלו. זה מאפשר להאקרים להדביק את מבקרי האתר באמצעות דואר זבל רציף במשך תקופה ארוכה יותר.

לכן המטרה שלך היא להמשיך לחפש אחר תוכנות זדוניות מוסתרות באתר שלך שאינך יודע עליו ולהיפטר מהקבצים או התיקיות הנגועים..

תוכלו לעשות זאת על ידי שימוש בתוספי וורדפרס פופולריים לסריקות זדוניות כמו אלה המפורטים להלן:

להשתמש ב סורק בדיקת האתר של סוקורי לסרוק אחר תוכנות זדוניות אפשריות. פשוט עבור לאתר כאן והזן את כתובת האתר של האתר שלך. סורק חינמי זה יבצע סריקה מקיפה של האתר שלך לצורך תוכנות זדוניות, שגיאות באתר, סטטוס של רשימה שחורה ותוכנה מיושנת..

החיסרון היחיד הוא שאתה צריך לבצע סריקה זו ידנית עם הגרסה החינמית. אתה יכול לשדרג לתוכניות הפרימיום ולקבל התראות באמצעות טוויטר, דואר אלקטרוני או RSS, בכל פעם שהוא מגלה תוכנות זדוניות.

הסר את האתר שלך מכל רשימות שחורות אם האקר השתמש בשרת שלך כדי לספאם במשך זמן רב. שירותי הפרימיום עוזרים גם בהסרת התוכנה הזדונית. אתה יכול אפילו לנסות את תוסף האבטחה Sucuri שנדונו בעבר להגנה משופרת מפני תוכנות זדוניות.

להשתמש ב סורק נגד תוכנות זדוניות כדי לחפש תוכנות זדוניות, וירוסים, דלתות אחוריות ואיומים ידועים דומים כמו גם כדי להסיר אותם באופן אוטומטי. מאפיין הפרימיום העיקרי של תוסף זה הוא תיקון הדף שלך wp-login.php כדי להפסיק התקפות בכוח.

בנוסף, אתה יכול להשתמש בכל אחד מתוספי האבטחה של וורדפרס שנדונו לעיל לצורך זיהוי קוד זדוני.

כלי בדיקת אבטחת אתרים

על מנת להגן על אתר האינטרנט שלך מפני התקפות, עליך לבדוק ללא הרף את רמת האבטחה של האתר שלך באמצעות כלי בדיקה מסוימים כגון:

Wapiti מגלה נקודות תורפה (גילוי קבצים, הזרקת מסד נתונים, הזרקת סקריפטים חוצה אתרים, תצורות htaccess חלשות ועוד) באתר שלך. כלי זה משתמש בגישת הסריקה של הקופסא השחורה.

פירוש הדבר שהוא לא לומד את קוד המקור של היישום אלא בודק את דפי האינטרנט אם יש טפסים ותסריטים היכן הוא יכול להזרים נתונים. זה מזריק עומסים כדי לזהות את התסריטים הפגיעים. הוא מספק דוחות בפורמטים שונים, כגון HTML, XML, טקסט ו- JSON.

גוגל נוגוטופיל בודק את תעבורת הרשת של האתר כדי לאתר ולתקן חיבורי TLS או SSL חלשים ותעבורת Cleartext רגישה במכשירים שונים. אתה יכול גם להגדיר אותו כשרת VPN או שרת פרוקסי או אפילו כנתב.

אתה יכול לנסות את סורק הקוד הבודק ושמו וגה. פלטפורמה מבוססת GUI זו נמצאת ב- Java ועובדת עם פלטפורמות OS X, Windows ו- Linux. זה מורכב מפרוקסי מיירט לביצוע בדיקה טקטית וסורק אוטומטי לביצוע בדיקות מהירות.

ניתן להשתמש בכלי זה לזיהוי סקריפטים בין-אתרים (XSS), הזרקת SQL ופגיעויות דומות.
אנו מקווים כי טיפים ומידע אלה בנושא אבטחת וורדפרס יסייעו לכם לשפר במידה רבה את האבטחה באתר.

האם ניסית כבר כמה תוספים או שיטות המשפרים את האבטחה של אתר וורדפרס שלך בצורה ניכרת? אנא שתף ​​את החוויה שלך והמשיך להפיץ מודעות לחשיבות אבטחת האתר ברשת שלך.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map