fbpx

אבטחת אתר וורדפרס – 10 טיפים לבניית מערך אבטחה מנצח

אבטחת אתר וורדפרס – 10 טיפים לבניית מערך אבטחה מנצח

אבטחת אתר וורדפרס תמיד היתה מעט בעייתית עבור משתמשי המערכת. וורדפרס הפכה עם הזמן ליעד מועדף על האקרים רבים, במידה רבה בשל היותה פופולארית. כמה פופולארית אתם שואלים? נכון לכתיבת שורות אלו, קרוב לשליש מכל האתרים בעולם מבוססי וורדפרס. מבין האתרים מבוססי מערכות ניהול תוכן (CMS) וורדפרס חצתה את רף ה-60%! נתון מדהים בעיני שמצביע על הבעת אמון גורפת של משתמשי המערכת ושל חברות בניית אתרים.

כבעל האתר, תפקידך הוא לדאוג לאבטחת אתר הוורדפרס שלך ולהגן על המבקרים באתרך. אנו רואים במהלך כל השנה נסיונות פריצה לאתרים ונסיונות אלו לעיתים צולחים.

כישראלים אנו חשופים אף ליותר האקרים שרוצים ברעתנו, לא רק מסיבות כלכליות ומסחריות אלא גם מסיבות אידאולוגיות, אנטי-ישראליות. OpIsrael הוא דוגמה מצויינת לכך.

פריצה לאתר וורדפרס עלולה להיות כואבת מאוד ולהוביל להפסדי רווחים עצומים במישרין ובעקיפין. וכל זה עוד לפני שהזכרתי את הנזק התדמיתי שעלול להגרם וצפוי להכאיב לזמן רב עוד לאחר הטיפול בבעיה.

כדי לדאוג שלך זה לא יקרה, אתה צריך לעשות את המקסימום למען אבטחת אתר הוורדפרס שלך. התחלה טובה תהיה לעקוב אחר הטיפים המפורטים במדריך הזה. הם מבוססים על סטטיסטיקות של פריצות, נוסו, נבדקו והוכחו כיעילים. אז יאללה… נראה לי שהמוטיבציה ברורה, זה הזמן להפסיק לקשקש, בואו נתחיל!

גרף נתח השוק של מערכות ניהול תוכן - וורדפרס, ג׳ומלה, דרופל, שופיפיי, מג׳נטו ועוד
נתח השוק של מערכת וורדפרס מול מערכות אחרות כמו ג׳ומלה, שופיפיי, דרופל, מג׳נטו ועוד

1. אבטחת אתר וורדפרס מתחילה בעדכונים

היותה של וורדפרס מערכת המבוססת על קוד פתוח, במבחן אבטחת אתר וורדפרס, היא גם יתרון אך גם חסרון:
היתרון האבטחתי בקוד הפתוח הוא שברגע שמתגלה חור אבטחה כלשהו במערכת, מפתחי המערכת דואגים לסגור אותו מיד ולשחרר עדכון שפותר את הבעיה.
החסרון באספקט האבטחה הוא שברגע שיש חור אבטחה כזה, במידה והגורם האחראי על תחזוקת האתר לא עדכן את המערכת, האתר הופך לחשוף ופגיע. חור האבטחה ידוע להאקרים (כפי שהוא חשוף לכולם) וכל מה שנותר להם לעשות הוא למצוא אתר עם הגרסה הישנה שכוללת את חור האבטחה ומשם הדרך לעשיית נזקים סלולה להם.

כמה עדכונים?? עדכנו את מערכת הוורדפרס שלכם

אם כן, אחת הסיבות המרכזיות לכך שאתרי WordPress נפרצים הינה תחזוקה לוקה בחסר ואי ביצוע עדכונים על בסיס קבוע. דבר שכאמור גורמים עויינים ישמחו לנצל נגדכם ולהחריב את אתר הוורדפרס שלכם.

החלק המשמח בכל הנושא הזה, הוא שהפתרון לאבטחת אתר וורדפרס הוא פשוט! כל מה שעליכם לעשות כדי לוודא שלא תהיו חשופים לפרצות אבטחה שכבר נסגרו, הוא לדאוג לעדכן את המערכת על בסיס קבוע. ניתן לעשות זאת בפשטות מפאנל הניהול של וורדפרס.

במידה ואינכם מעוניינים לבצע זאת לבד, ובמידה ואתם חוששים שדברים ישתבשו באתר כי אינם תואמים את הגרסאות העדכניות ואתם אינכם מתכנתים שיכולים לפתור את הבעיות באופן עצמאי, תוכלו תמיד לרכוש שירותי תחזוקה לאתרכם ולתת לגורם מקצועי לטפל עבורכם בכל הנושא הזה.

2. אבטחת אתר וורדפרס ע״י שימוש בתוספים (פלאגינים) ובתבניות (טמפלטים) ממקורות מהימנים

אבטחת אתר וורדפרס מושפעת רבות מהרכיבים המהווים חלק מהמערכת. חברות בניית אתרים ומקימי אתרים מבוססי וורדפרס, מוצאים עצמם לא אחת, משתמשים בפלאגינים שונים – כדי להוסיף יכולות למערכת כמו גם בתבניות שונות – כדי לדאוג לצד הויזואלי של וורדפרס. לפני שאתם בוחרים באילו פלאגינים ובאיזו תבנית תרצו להשתמש, היו בטוחים שהורדתם אותם ממקור בטוח. מומלץ לקרוא חוות דעת על התבנית והפלאגינים, לוודא שהם נמצאים בפיתוח מתמיד ושמשתחררים להם עדכונים תכופים.

אם אתם ממש חדשים בתחום, אתם בטח תבחרו להתחיל עם תבנית עיצוב חינמית מ-wordpress.org. אם כן, אמליץ לכם לבחון היטב, גם בבחירת תבנית וגם לפני התקנת פלאגין, את ביקורות המשתמשים, את כמות ההתקנות הפעילות וכן את הדירוג (מספר הכוכבים) שהם קיבלו. המדדים הללו יסייעו לכם להבין עד כמה התבנית או הפלאגין מוצלחים. רכיב טוב יקבל ביקורות טובות ואתם תוכלו לזהות שקהל המשתמשים מרוצה.

טיפ נוסף הוא להציץ בביקורות השליליות, זה יוכל לתת לכם אינדיקציה לגבי מה פחות טוב (במיוחד אם אותן טענות חוזרות על עצמן) ואז תוכלו לשקול האם החסרון שעלה מפריע לכם, או שזה משהו שאתם יכולים ״לחיות איתו״. תמיד טוב לקבל החלטות מושכלות, כשכל הנתונים פרוסים מול העיניים.

אם תרצו לחקור אף יותר, עבור כל תבנית ופלאגין ניתן לקרוא אודות הַמְּפַתֵּחַ, מי שיצר את הרכיב שאתם שוקלים להוריד. תוכלו לראות דברים אחרים שהוא פיתח, לראות כיצד הוא עונה לבקשות של אנשים, האם הוא מסייע בפתרון בעיות או באגים שהתגלו על-ידי משתמשים ועוד.

זה אמור להיות די ברור, אבל ליתר בטחון אציין גם את זה: לעולם אל תעשו שימוש ברכיבים ״פרוצים״. הכוונה היא לרכיבים שאמורים להיות בתשלום והושגו בדרכים מפוקפקות. מלבד הפגיעה במתכנתים שעבדו קשה כדי לפתח את אותם תוספים, אתם פוגעים בעיקר בעצמכם.

כמו שאומרים, אין ארוחות חינם, קוד פרוץ כולל בתוכו, במרבית המקרים, קוד זדוני שיוכל לקחת את הסיסמאות שלכם ולהעביר אותן לגורמים חיצוניים או לחילופין, יאפשר לגורמים עויינים גישה למידע ולאתר שלכם.

לסיכום, התקינו תמיד רכיבי מערכת ממקורות שאתם סומכים עליהם. קראו ביקורות, בדקו דירוגים וערכו בדיקה יסודית לפני הבחירה ברכיב. בנוסף, דאגו תמיד להתקין רכיבים חדשים בסביבת פיתוח, אל תסכנו לעולם אתר חי (בסביבת פרודקשן).

3. אבטחת אתר וורדפרס באמצעות סיסמאות חזקות

אין תחליף לסיסמאות חזקות, זהו מרכיב הכרחי באבטחת אתר וורדפרס ולמעשה גם כל אתר אחר. זה לא משנה כמה צעדים מרחיקי לכת נקטת כדי להגן ולאבטח את אתר הוורדפרס, אם הסיסמה שלך חלשה, ההאקרים יוכלו לחדור לממשק ניהול האתר שלך. משם, מרגע שבוצעה חדירה כזאת, הכל פרוס בפניהם והם יכולים לעשות מה שרק ירצו.

סיסמה מאובטחת וקשה לפיצוח

סיסמה חלשה לדוגמה תכיל רצף מספרי כמו 123456, או שילוב של מילה ורצף כזה, liron1234 לדוגמה. חשוב להבין שהיום סיסמה שקל לפצח לא עומדת למבחן בפני מוחו הקודח של ההאקר. כיום האקרים עושים שימוש נרחב בבוטים. הבוטים פשוט מנסים להתחבר עם שמות משתמש וסיסמאות נפוצים, והם עושים את זה במאסות גדולות מאוד. לא תאמינו עד כמה אנחנו, בני האדם, לא מקוריים כשזה נוגע להמצאת סיסמאות.

איך נתגונן מפני פריצה, פשוטה אך הרסנית שכזו? כדי להתגונן, יש לנקוט באמצעים שיקשו את ההתחברות למערכת, הראשון שבהם, הוא בחירת סיסמה מאובטחת וקשה לפיצוח. תוכלו להשתמש במחוללי סיסמאות כדי ליצור סיסמה קשה לפיצוח (הינה Password Generator לדוגמה). אפשרות נוספת, היא לחייב את ההתחברות למערכת באימות דו-שלבי באמצעות פלאגין. אימות דו-שלבי מאפשר להתחבר למערכת רק לאחר שימוש באמצעי חיצוני כמו קבלת קוד בהודעת טקסט לטלפון הנייד או בשימוש בקוד זמני שמופק באמצעות אפליקציה יעודית.

סיסמה טובה תהיה מורכבת מאותיות גדולות וקטנות באנגלית (uppercase and lowercase), מספרים והיא גם תכיל תווים מיוחדים (כמו אלו לדוגמה: ^&%$~@!). על הסיסמה להיות ארוכה ככל שניתן (אנו ממליצים על 16 תווים לפחות). כמו כן, סיסמה מוצלחת תכיל רצפים רנדומליים של תווים ולא מילים מוכרות (כן, השם שלכם או של הכלב שלכם לא יהיה רעיון מוצלח במיוחד).

דבר חשוב נוסף, אל תדאגו רק לעצמכם! מדיניות סיסמאות טובה ובטוחה תהיה מוחלת על כלל המשתמשים במערכת כך שגם שאר היוזרים (ומכאן גם המערכת שלכם) יהיו מוגנים.

4. התגוננו מפני מתקפות ניחוש סיסמה לאבטחת אתר הוורדפרס שלכם

כפי שציינתי, ניחוש סיסמה הוא כבר לא דבר שמתבצע ע״י אדם באופן ידני. היום ניתן, בקלות יחסית, להפעיל בוטים שינסו להתחבר למערכת שלכם ויבצעו נסיונות חוזרים ונשנים עם קומבינציות של שמות משתמש וסיסמה. דבר זה עשוי להיות הרסני לכל מי שרוצה לשמור את אתר הוורדפרס שלו מאובטח.

כדי להתמודד עם מתקפות כאלו, המכונות Brute-Force-Attacks, מומלץ להגביל את כמות נסיונות ההתחברות. ניתן לעשות זאת בקלות ע״י פלאגין כמו לוגינייזר (Loginizer) לדוגמה. הפלאגין יחסום לזמן קצוב את כתובת ה-IP של משתמש שניסה להתחבר עם פרטים שגויים והגיע למספר הנסיונות המקסימאלי שהוגדר.

דרך זו הוכחה כיעילה בהתגוננות מפני מתקפות bruteforce.

* הערה קטנה ללקוחותינו שמשתמשים בשירותי אחסון אתרים ב-FastCloud. כיוון שנושא האבטחה הוא אחד הדברים שחרטנו על דגלנו, בניגוד למשתמשים אחרים שמתקינים את וורדפרס על שרתים אחרים, אתם מוגנים מהרגע הראשון! וזה כיוון שהפלאגין מוצע לכם להתקנה כחלק מההתקנה הבסיסית של וורדפרס ואף מסומן להתקנה כברירת מחדל, כשאתם משתמשים במתקין האוטומטי של וורדפרס (FastCloud Apps Installer).

5. סדר פסח – מחקו רכיבים שאינם נחוצים

פסח קורה אמנם רק פעם בשנה, אבל היי! זה לא אומר שהאתר שלכם צריך להיות מבולגן! אבטחת אתר וורדפרס היא גם קצת עשיית סדר ושמירה על ארגון.

זה די נפוץ היום למצוא אתר וורדפרס שמותקנים עליו פלאגינים ותבניות עיצוב שאינם בשימוש. זה אף הגיוני שהתנסתם במספר פלאגינים בעלי פונקציונאליות דומה, התקנתם אותם ובדקתם אותם באתרכם. עד כאן הכל בסדר. אבל מה קורה כאשר אתם מסיימים את הבדיקות? השלב בו אתם בטוחים שמצאתם את ״האחד״ ודבקתם בפלאגינים מסויים שמצאתם, זה זמן מעולה למחוק את המיותרים.

פלאגינים וטמפלטים, גם כאשר אינם בשימוש, הם ככל הרכיבים באתר ודורשים טיפול ותחזוקה כדי לוודא שאינם מהווים סיכון אבטחה. רכיבים שאינם בשימוש מוסיפים פרצות אבטחה פוטנציאליות, ומה הטעם להוסיפן אם הרכיבים הללו לא בשימוש?

על כן, אעודד אתכם עכשיו לעבור על כלל רכיבי המערכת שלכם ולמחוק את כל אלו שאינם נחוצים לכם. וכן, אני מתכוון ממש למחוק, לא רק לכבות (deactivate לא יספיק כאן).

6. שנו את כתובת ההתחברות לאתר

״כי בתחבולות תעשה לך מלחמה״ או בתחבולות תעשה לך אבטחת אתר וורדפרס, במקרה שלנו.

הסברתי כבר על כל נושא הקוד הפתוח ועל היותה של וורדפרס מערכת נפוצה מאוד שעושים בה שימוש נרחב. ככזאת, כתובות ההתחברות למערכת ידועים לכל. כדי להתחבר לממשק הניהול של וורדפרס באמצעות כתובות ברירת המחדל יש להכנס תחילה לכתובות הבאות:

www.your-wordpress-website.co.il/wp-login.php
www.your-wordpress-website.co.il/wp-admin

כמו שאתם ואני יודעים את זה, גם האקרים מכירים את הכתובות, והם מנצלים את הידע הזה כדי לתקוף. כפי שציינתי, האקרים מפעילים בוטים שמשתמשים בטכניקות שונות שמטרתן לנחש את הסיסמה, הבוטים מנסים להזין סיסמאות שונות מתוך מטרה להצליח לחדור לאתר ועושים זאת במאסות.

כדי להבין את הנושא הזה טוב יותר, דמיינו לכם שאתם נמצאים בתוך מבצר, אתם מוקפים בחומות גבוהות שקשה לחדור. אבל במבצר הזה, כיוון שיש אנשים שרשאים להכנס אליו, ישנה גם דלת כניסה, ומי שמכיר את הדפיקה המיוחדת על הדלת, הדלת נפתחת בפניו. עכשיו תארו לכם שהייתם יכולים להסוות את הדלת ולגרום לכך שיהיה קשה למצוא אותה, נכון שזה נשמע בטוח יותר?

מקווה שנשארתם איתי 🙂 בואו נחזור מהמבצר לאתר… כדי לפתור את הבעיה, עליכם לשנות את כתובות ברירת המחדל להתחברות לאתר (כלומר להחביא את דלת הכניסה למבצר). בדרך זו, למעשה תוסיפו עוד משוכה בדרכו של ההאקר ובנסיונותיו לפרוץ לאתרכם, ועכשיו הוא לא יוכל לשלוח את הבוטים שלו לכתובות שידועות לכולם, אלא הוא יצטרך למצוא קודם מאיפה בכלל מתחברים כדי לנסות להתחיל ולנחש סיסמאות. וכך דאגתם לשכבת הגנה נוספת כחלק ממערך אבטחת אתר וורדפרס.

7. השתמשו בתעודת אבטחה – SSL

אתר עם תעודת SSL מול אתר לא מאובטח

לאבטחת אתר הוורדפרס שלכם, אתם חייבים תעודת אבטחה שנקראת SSL/TLS certificate. המשמעות של SSL היא Secure Socket Layer ושל TLS (שזוהי הגרסה העדכנית יותר של הפרוטוקול) Transport Layer Security או בעברית אבטחת שכבת התעבורה. מבלי להכנס לעובי הקורה ברמה הטכנית, אציין בקצרה שהפרוטוקול נותן מענה לשלוש סוגיות: פרטיות, אימות והבטחת אותנטיות. בשימוש בפרוטוקול, כל האתר שלכם יעבוד ב-HTTPS במקום HTTP (ה-S הוא ל-Secure, כלומר מאובטח).

אתר בפרוטוקול מאובטח עם תעודת SSL יהפוך את החיים של ההאקרים להרבה יותר קשים ובזכותו אבטחת אתר הוורדפרס שלכם תקבל חיזוק. שימוש נכון בפרוטוקול SSL למעשה גורם לכך שכל המידע העובר בין השרת של האתר ובין הדפדפן של המשתמש יהיה מוצפן. כך, יהיה קשה יותר עבור האקרים ליירט את הנתונים, כולל נתונים רגישים כמו שם משתמש או סיסמה (וזה עוד לפני שדיברנו על נתונים ממש רגישים, כמו פרטי אשראי לדוגמה באתרי סחר).

אם כבר נגעתי בתעודת SSL וביתרון הגדול שהיא נותנת לאבטחת אתר הוורדפרס שלכם, אני חייב לציין עוד שני צ׳ופרים שגוגל החליטה לפרגן לכם אם אתם משתמשים בתעודת אבטחה SSL:

  • SEO / קידום אוגני – בגוגל הכריזו באופן רשמי כי תעודת SSL היא משהו שנלקח בחשבון בקביעת מיקום האתר בתוצאות החיפוש. אתרים בעלי תעודת SSL יקודמו יותר בגוגל. אם אתם עושים מאמצי קידום כלשהם, או שאתם פשוט הייתם מעוניינים לקדם את אתר הוורדפרס שלכם באחד הפרמטרים שגוגל מודד, הינה ההזדמנות שלכם.
  • הגברת אמינות האתר בעיני הגולשים – זה די ברור שגוגל רוצה שתשמשו בתעודת אבטחה ושתעברו לפרוטוקול HTTPS, וזה דבר חיובי כמובן. לדבריהם, המטרה שלהם היא להפוך את האינטרנט למקום טוב יותר עבור כלל המשתמשים (מה דעתכם? זו הסיבה?). בכל מקרה, גוגל מסמנת בשורת הכתובת של כרום (וכך עושות שאר החברות עם הדפדפנים הגדולים) את האתרים שאינם מאובטחים. נכון לזמן כתיבת שורות אלו, בעמודים עם טפסים הסימון הוא אף חמור יותר. בחלק מהמקרים אף קופצת הודעה כשהסימון של חוסר האבטחה הוא באדום. ברור שמקרים כאלו יגרמו ללקוחותיכם לדאוג ולתהות על מידת האמינות של האתר. שימוש תקין בתעודה, מבטיח כי הדפדפן יציג לגולשים הודעה או סימון על כך שהאתר הוא מאובטח ושניתן לסמוך עליו.

8. השתמשו בפלאגין אבטחה

פלאגין לאבטחת אתר וורדפרס

מומלץ לדאוג להתקנת פלאגין יעודי למטרות אבטחת וורדפרס. ע״י התקנת פלאגין אבטחה אתם יכולים לקבל, בקלות יחסית, שכבת הגנה מפני איומים נפוצים. בנוסף, פלאגינים אלו בד״כ מציעים סריקה מחזורית של האתר וקבלת דוח מצב.

אחד מהפלאגינים המוצלחים והמומלצים למטרות אבטחה הוא וורדפנס (Wordfence). הפלאגין מוצע לשימוש בחינם עם פיצ׳רים רבים ונהדרים שמטרתם להגן על האתר. את הפעולות ש-Wordfence עושה ניתן לחלק בגסות לשתי קבוצות עיקריות:

  1. התמודדות עם איומים מבפנים (כמו לדוגמה קוד זדוני שהושתל בתוך קבצי הליבה של וורדפרס כתוצאה מפריצה).
  2. התמודדות עם איומים מבחוץ (כמו נסיונות חדירה למערכת וניחוש שם משתמש וסיסמה – מתקפות הברוט פורס הידועות לשמצה שכבר הזכרתי קודם, broute-force-attacks).

תוכלו כמובן להשתמש בכל פלאגין אבטחה אחר, יש רבים וטובים, כמו iThemes security לדוגמה או אחרים.

9. השבתת עריכת קבצים

וורדפרס מאפשרת עריכה של קבצי תבנית העיצוב והפלאגינים אשר במערכת, ישירות מתוך ממשק הניהול. העורך נגיש מתוך עיצוב>עריכת תבנית או בוורדפרס באנגלית Appearance>Editor. דרך אחרת בה תוכלו למצוא את העורך היא מתוך תוספים>עריכת תוסף או בוורדפרס באנגלית Plugins>Editor.

למרות שמדובר בפיצ׳ר די מגניב שהופך את החיים לקלים כאשר צריך לבצע שינויים קטנים, למען אבטחת אתר הוורדפרס שלכם, מומלץ מאוד לעשות בו שימוש רק כל עוד האתר בפיתוח ולהשבית אותו כאשר מדובר באתר חי.

למה אני ממליץ להשביתו? אם האקרים יצליחו לחדור למערכת הניהול, במידה ואיפשרת את עריכת הקבצים משם, למעשה עזרת להם לקבל גישה רחבה הרבה יותר. כך יכולים ההאקרים לשתול קוד זדוני לטמפלט שלך ולפלאגינים שמשמשים אותך. פעמים רבות הקוד יהיה כה קצר עד שלא תוכל להבחין בו עד שיהיה מאוחר מדי.

על כן, אני ממליץ בחום לבצע את השלב הבא ובכך למנוע את ההרס הפוטנציאלי. כל מה שעליך לעשות הוא להדביק את הקוד הבא בקובץ wp-config.php.

define(‘DISALLOW_FILE_EDIT’, true);

הקוד הזה מגדיר לוורדפרס לא לאפשר את עריכת הקבצים דרך ממשק המשתמש ומהווה נדבך חשוב באבטחת אתר הוורדפרס שלכם. בעוד ששלב זה הוא מאוד פשוט וקל לביצוע, אני ממליץ כי יעשה אותו רק מתכנת מנוסה שמכיר את המערכת. כמו כן, (וזה נכון לכל שינוי שאתם עתידים לבצע במערכת), מאוד חשוב לבצע גיבוי לפני השינוי. בביצוע גיבוי תבטיחו לעצמכם כי אם משהו לא יעבוד כצפוי תוכלו לחזור לנקודה האחרונה בה הכל היה תקין ולהמשיך משם.

10. בחרו נכון את חברת האחסון שלכם

הצעדים שפרטתי חשובים מאוד לאבטחת אתר וורדפרס, אבל מה כל זה שווה, אם התשתית עליה האתר שלכם יושב לא מאובטחת?

כדי לדאוג לאבטחת אתר הוורדפרס שלכם מכל הכיוונים, 360 מעלות, עליכם לוודא שחברת אחסון האתרים שלכם דואגת לאבטחה ברמת השרת, הרשת והתשתיות.

ריכזתי לכם 10 נושאים ששווה לכם להתעכב עליהם. וודאו שחברת האחסון שלכם עומדת בסטנדרטים המינימאליים הללו שנוגעים לאבטחה (כמובן שיש עוד דברים חשובים רבים בנושאים שאינם קשורים לאבטחה, אבל זה כבר נושא למאמר אחר):

1. גרסאות PHP

עבודה עם גרסאות PHP מעודכנות היא תנאי הכרחי לאבטחת אתרי וורדפרס ואתרים בכלל. במידה ומדובר באחסון שיתופי, גרסאות ה-PHP מעודכנות ומתוחזקות ע״י חברת האחסון, לכן חשוב שחברת האחסון תדאג שתהיה לכם אפשרות לעבוד עם ה-PHP בתת הגרסה העדכנית עם כל עדכוני האבטחה, תיקוני הבאגים ושיפור הביצועים שיצאו.

דבר חשוב נוסף הוא שחברת אחסון האתר תאפשר תמיכה אחורה בגרסאות PHP קודמות למטרת תאימות, ישנם אתרים או קטעי קוד שלא הותאמו בהכרח לגרסה האחרונה ותאימות אחורה תאפשר זמן לעדכן את הקוד לפני שמתקדמים לגרסאת ה-PHP הבאה.

עם זאת, התמיכה אחורה, בגרסאות PHP קודמות, עם כל החשיבות שלה, באה עם הסתייגות קלה. ברגע שגרסת ה-PHP מגיעה ל-EOL, כלומר End-Of-Life, סיום מחזור החיים שלה, זה שלב שבו לא משתחררים עדכונים ולא נסגרות פרצות אבטחה. זהו שלב מסוכן שבו מומלץ מאוד לעזוב את הגרסה ולהתקדם לגרסה הבאה. חברת האחסון שלכם צריכה להיות מודעת גם לזה.

2. מניעת מתקפות DDoS

חברת אחסון טובה היא חברה שתדע להגן עליכם מפני מתקפות מניעת שירות ומתקפות מניעת שירות מבוזרות. ישנם מספר סוגי מתקפות נפוצות המשתייכות לקטגורית ה-DoS וה-DDoS, וזה זמן רב שהמתקפות הללו ידועות אך עד היום האקרים עושים בהם שימוש כדי לחבל בעבודתם התקינה של אתרים ומערכות שונות.

בעוד שלא אכנס לעומק הצד הטכני של הנושא במאמר זה, חשוב לי להאיר את עיניכם ולספר לכם כי כיום יש בידנו מספר כלים שניתן לעשות בהם שימוש וכן מספר דרכים להתגונן מפני מתקפות מהסוג הזה. כיום אנחנו יודעים, לדוגמה, להעביר את כל התעבורה דרך מכונה פיזית יעודית שכל תפקידה הוא לזהות ולחסום מתקפות מניעת שירות בדרכים מתקדמות שונות. מצער אותי לראות שחברות אחסון רבות, גם בימים אלו, למרות שכיחות המתקפות הללו, לא משקיעות את התקציבים הראויים בהגנה על לקוחותיהם.

3. מערכות Firewall

קשה להפריז בחשיבותן של מערכות פיירוול. בין אם מדובר בפיירוול פיזי, חיצוני לשרת או שמא מדובר ב-WAF – Web Application Firewall ברמת השרת או אף האתר, הגנה בסיסית באמצעות חומת אש (הייתי חייב פעם אחת בעברית 🙂 ) היא משהו חשוב שאתם לא רוצים לוותר עליו (ובמקרים מסויימים, בהם יש צורך, חשוב אף להשתמש בפתרון הזה בצורה מתקדמת שתתן מענה לאיומים הספציפיים שרלוונטיים עבור הפרויקט שלכם).

4. ניטור ובקרה שוטפת לשרתים

השרתים חייבים להיות מבוקרים ומנוטרים כדי להבטיח את יציבותם ותפקודם התקין.

במסגרת אחסון וורדפרס שיתופי, חשוב מאוד שחברת האחסון שלכם תנטר את השרתים 24/7 ותבטיח את פעילותם התקינה (ע״י מערכות אוטומטיות שמגיבות בזמן אמת וכן באמצעות בקרה אנושית במצב בו נדרשת התערבות מעבר).

במסגרת אחסון וורדפרס פרטי (בין אם זה קונטיינר, שרת וירטואליVPS או שרת יעודי), יש לוודא בידי מי מופקדת האחריות לנושא. בד״כ הגוף המנהל את השרת באופן שוטף (הלקוח או חברת האחסון, במידה והפקיד בידה את הניהול), דואג לניטור ומתן מענה בזמן אמת כשיש בכך צורך.

5. תכניות גיבויים מספקות

אתר הוורדפרס שלכם, מאובטח ככל שיהיה, חייב להיות מגובה. גיבוי יסייע לכם ברגעים הקשים של התאוששות מאסון. בד״כ נושא הגיבויים מופקד בידי חברת האחסון, בין אם מדובר בגיבויים ברמת Data, חשבונות אחסון, שרת מלא, snapshots או אחרים. אל תזניחו את הנושא הזה, וודאו תמיד שתכנית הגיבויים שלכם מספקת את הצרכים שלכם.

6. היערכות להתאוששות מאסון

מעבר לגיבויים, עליכם לוודא כי חברת האחסון שלכם יכולה לספק את מה שנדרש להתאוששות מאסון, בין אם מדובר בתקלה ברמת ה-Data Center, התשתית, חברת האחסון או משהו נקודתי באתרכם. להתאוששות מאסון נערכים ברוגע כשהכל תקין ולא ממתינים למשבר כדי להתמודד עם הנושא.

7. צוות שכולל גם מפתחים – כזה שחי ונושם וורדפרס

אתרי וורדפרס הם מיוחדים, רוב חברות האחסון מחזיקות אנשי IT שייתכן שמוכשרים מאוד במענה לבעיות כאלו ואחרות בשרתים, אך לא בהכרח בעלי מומחיות בוורדפרס. חברת אחסון אתרים בענן שצוותה כולל גם מפתחים מוכשרים שמכירים את מערכת וורדפרס על בוריה תתן לכם יתרון אדיר בעת שימושכם במערכת וורדפרס בכלל וכשתתקלו בבעיות הקשורות למערכת בפרט. צוות כזה יוכל לתת לכם מענה למגוון רחב של בעיות בשכבות השונות החל מרמת התשתית, דרך השרת, קונפיגורציות ייחודיות למערכת וורדפרס ועד לסיוע בבעיות הקשורות למערכת עצמה.

וודאו שהצוות בחברת האחסון שלכם כולל מפתחים ושהם מנוסים בעבודה עם וורדפרס, הטיפ הזה יחסוך לכם המון זמן יקר ועוגמת נפש ברגעים בהם באמת תזדקקו לתמיכה מתקדמת.

8. סריקות וירוסים קבועות וכן מתן גישה ישירה ללקוח לאנטי וירוס מממשק הניהול

אין הרבה להרחיב בנושא, מעבר להדגשת חשיבותה של תוכנת אנטי וירוס (Anti Virus) וביצוע סריקות תכופות אוטומטיות שיבטיחו שהחשבון שלכם נקי מוירוסים. המלצה נוספת שלי אליכם היא לוודא שהכוח נמצא בידיים שלכם ושיש לכם אפשרות להריץ על השרת סריקת וירוסים ישירות ממשק הניהול באופן עצמאי.

9. אפשרות להוסיף תעודת אבטחה בקלות

לעניין אבטחת אתר וורדפרס, נושא תעודות ה-SSL הוא חשוב מאוד וחשיבותו אף עולה כל העת, אך בכך כבר דנתי בהרחבה. כאן אציין שגם לחברת האחסון שלכם יש חלק בנושא, ועליכם לוודא שהיא מאפשרת הנפקה פשוטה של תעודות אבטחה והתקנתן בחשבון בקלות. יש חברות שמגדילות ומתקינות בשבילכם את התעודה בחשבון האחסון או לחילופין מאפשרות שימוש בכלי שעושה זאת אוטומטית עבורכם, וודאו שאתם מקבלים לפחות אחת משתי האפשרויות הללו כדי לחסוך לעצמכם התעסקות מסובכת עם הנפקות והתקנות תעודות SSL.

(טיפ קטן על הדרך: שימו לב שהתקנת תעודת האבטחה בחשבון האחסון אינה התקנה באתר הוורדפרס עצמו. זהו שלב נוסף שיהיה עליכם לבצע באמצעות מתכנת או איש טכני כזה או אחר ושם נדרש טיפול במופעי הכתובת בבסיס הנתונים, בקבצים, בהגדרות וכו׳. אם השלב הזה הוא משהו מתקדם שאינכם מעוניינים לעסוק בו, וודאו עם חברת האחסון שהיא יכולה לספק שירות כזה עבורכם, גם אם בתשלום נוסף. שמתם לב? גם כאן, יתרון ברור לחברת אחסון שמעסיקה גם מתכנתים).

10. ModSecurity

מבלי להלאות בפרטים טכניים, ModSecurity שמכונה גם ModSec לעיתים, הינה פיירוול מבוסס אפליקציית ווב (ה-WAF, אותו ציינתי קודם לכן). חומת האש הזאת תאפשר לכם שכבת הגנה נוספת על אתר הוורדפרס שלכם באמצעות קביעת סט כללים (SecRules) שיעובדו תוך ניטור התקשורת בזמן אמת ויאפשרו מניפולציות וסינון שלה.

לסיכום

לטובת אלו שקפצו ישר לסיכום בלי לקרוא את כל המאמר (הא! תפסתי אתכם!) אדגיש שוב את חשיבות השמירה על אבטחת המערכת. מערכת וורדפרס היא מערכת מדהימה ועם טיפול ותחזוקה נכונה היא יכולה גם להיות מאובטחת.

וזהו חברים, כאן מסתיימים הטיפים שלי לאבטחת אתר וורדפרס. רגע לפני סיום, אני רוצה להדגיש עובדה חשובה בנושא, אבטחת אתר וורדפרס היא לא פעולה של 'זבנג וגמרנו', לא מדובר במשהו שצריך להיעשות פעם אחת והופך את המערכת למאובטחת. מדובר בתהליך מתמשך שצריך לקרות תוך כדי תנועה. ישנם כמובן דברים שמוטב שיעשו מתחילת הדרך (כמו פעולות כאלו ואחרות להקשחת התחברות או בחירת חברת אחסון אתרים שתוכל לאבטח את המערכת בצורה טובה) אבל פעולות רבות צריכות להיעשות באופן שוטף כדי לשמור על תחזוקת המערכת.

אז המסקנה מכל העניין הזה, היא שאסור להזניח את המערכת. בין אם האחראי על תחזוקת המערכת הוא בעל האתר, עובד שהוגדר לכך בחברה ובין אם מדובר בחברה חיצונית ששכרתם את שירותיה לתחזוקת המערכת, חשוב מאוד שתחומי האחריות יוגדרו בצורה ברורה ושיהיה מי שאמון על תחזוקתה באופן שוטף. כך תשמרו על מערכת וורדפרס בריאה ומאובטחת, תקטינו את הסיכויים ל-Down Time ותוכלו ליהנות מכל הטוב שוורדפרס יכולה להציע גם לכם.