מרכז הלקוחות > מאגר מידע > אבטחה > טיפים לאבטחת אתר וורדפרס

טיפים לאבטחת אתר וורדפרס

וורדפרס היא אחת המערכות הנפוצות ביותר לאתרים כיום. אמנם המערכת נבנתה לניהול בלוגים אך רבים משתמשים בה כיום למגוון מטרות. העובדה שהיא כה נפוצה מהווה יתרון גדול על מערכות אחרות, המערכת בנויה בקוד פתוח כך שמשתמשים מכל העולם תורמים לשיפור המערכת ומפתחים לה הרחבות שונות. היתרון עלול להפוך לחסרון גדול אם לא מקפידים על מספר כללים. בדיוק כמו שמפתחים משתפים פעולה כדי ליצור, ישנם גורמים שמשתפים פעולה על מנת להרוס. אף פעם אי אפשר לדעת מה יהיה החור הבא שימצא במערכת שיאפשר פריצה למערכת אבל אנחנו יכולים לנקוט מספר צעדים שיסגרו חורי אבטחה ידועים ולא להקל על מי שמעוניין לגרום נזק או לגנוב מידע.

עברו שלב אחר שלב:

1. משתמשים רבים ממלאים את שם המשתמש והסיסמה של פאנל הניהול עבור מסד הנתונים בעת ההתקנה.
זהו חור אבטחה שמאפשר לכל פלאגין זדוני גישה מלאה לחשבון האחסון.
אל תשתמשו בשם המשתמש ו/או סיסמת פאנל האחסון שלכם עבור התקנת הוורדפרס, אף פעם!

2. לבצע עדכונים באופן שוטף. מלבד שיפורים למערכת עדכונים סוגרים חורי אבטחה ידועים.

3. שימו לב ממי אתם מורידים את ערכות העיצוב והפלאגינים שלכם. הרבה אתרים מציעים טמפלטים בחינם שמכילים קוד זדוני. מומלץ תמיד לבצע את
ההורדה מאתר המקורי ולא להתפתות לגירסאות חינם ממקור לא ידוע. בכל אופן, מומלץ לסרוק עם תוכנת אנטי וירוס טובה כל קובץ לפני שהוא עולה לאתר שלכם.

4. יוצרים משתמש חדש עם הרשאות ניהול מלאות ומוחקים את המשתמש ADMIN, פעולה פשוטה שתמנע ניסיונות לניחוש הסיסמה של מנהל המערכת.

5. הגבילו את הגישה לאזור הניהול של האתר. צרו את הקובץ .htaccess (עם הנקודה) בתיקיית wp-admin, אם יש לכם כתובת IP יעודית הוסיפו את השורות הבאות לקובץ:

order deny,allow
deny from all
(לכל כתובת בטוחה שרוצים לאפשר גישה) allow from xxx.xxx.xxx.xxx

כדי ליצור סיסמה לתיקיית הניהול עליכם ליצור קובץ נוסף שיכיל את שם המשתמש והסיסמה, את הקובץ יוצרים במיקום שלא זמין לדפדפן,מחוץ לתיקיית האינטרנט שלכם. שם הקובץ יכול להיות כל דבר והוא יתחיל בנקודה כדי שהוא יהיה מוסתר.

תוכן הקובץ הוא שם המשתמש והסיסמה:

username:md5-secure-password

כדי ליצור סיסמה מאובטחת אפשר להשתמש בכלי הזה: https://apps.db.ripe.net/crypt/crypt.html

לאחר מכן, בקובץ ה .htaccess שלכם בתיקיית wp-admin מוסיפים את השורות הבאות:

AuthUserFile "/נתיב לא פומבי לקובץ הסיסמה/.passwdfile"
AuthGroupFile /dev/null
AuthName "Public access is not allowed"
AuthType Basic
require valid-user

6. מנעו גישה לקבצים חשובים בעזרת קובץ ה .htaccess הראשי של האתר על ידי הוספת השורות הבאות:

# protect .htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>

# protect wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>

7. מנעו דפדוף בקבצים בתיקיית האתר שלכם על ידי הוספת השורות הבאות לקובץ ה .htaccess הראשי:

# disable directory browsing
Options All -Indexes

# prevent folder listing
IndexIgnore *

8. אם לא עשיתם את זה עדיין, החליפו את המפתחות בקובץ wp-config.php,
השתמשו בקישור הבא כדי ליצור מפתחות חדשים: https://api.wordpress.org/secret-key/1.1

9. אם אתם משתמשים בתוכנת FTP אתם מוכרחים לדעת ש FTP הוא פרוטוקול תקשורת שמעביר נתונים בצורת plain text, כלומר,
שם המשתמש והסיסמה שלכם חשופים בפני כל מי שהשיג גישה לאחת התחנות בדרך לשרת שלכם. הפתרון הוא להעדיף תמיד חיבור מאובטח (SSL).

10. הסתירו את גרסת הוורדפרס שלכם, הוספת שורה זו לקובץ functions.php תעשה את העבודה בדרך כלל:

<?php remove action(‘wp_head’, ‘wp_generator’); ?>

אם גרסת הוורדפרס עדיין מופיעה בקוד המקור של האתר אז קיים תג מטה בקובץ header.php של הטמפלט שרצוי להסיר. הוא אמור להראות כך:

<meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>">

11. מומלץ להסתיר גם את התגיות הבאות אם אתם לא משתמשים בשירות Windows Live Writer על ידי הוספת שורות אלו לקובץ functions.php, אם המונח לא מוכר לכם, סביר להניח שאתם לא משתמשים בו.

remove_action('wp_head','rsd_link');

remove_action('wp_head','wlwmanifest_link');

12. מנעו סריקה ואינדוקס של תיקיות הניהול, הוסיפו לקובץ robots.txt את השורה הבאה:

Disallow: /wp-*

13. קיימים פלאגינים רבים שעוזרים לשמור על המערכת שלכם בטוחה, אנו ממליצים בחום על הפלאגינים הבאים:
http://wordpress.org/extend/plugins/better-wp-security
http://wordpress.org/extend/plugins/block-bad-queries

בטוח שישנם עוד הרבה עצות טובות ושונות לאבטחת האתר שלכם, ברור לנו שלא כיסינו את כולן. הדבר החשוב ביותר היא לפתח מודעות (לא פאניקה) לנושא אבטחת האתר. אמנם חברות אחסון מפעילות כלים שונים כדי להגן עליכם אך אם משאירים את הדלת פתוחה, מישהו יעבור בה בסופו של דבר...

האם מצאת תוכן זה כמועיל? כןלא

הוסף למעודפים שלי    הדפס מאמר זה

Powered by WHMCompleteSolution