אבטחת אתר וורדפרס הפכה להיות משימה קבועה לכל בעל אתר בממשק וורדפרס שחווה בשנים האחרונות פריצות לאתר האינטרנט שלו. אם יש לכם אתר אינטרנט, אתם בטח כבר מכירים את נושא האבטחה והפריצות לאתרים שעולה בשנים האחרונות בקצב מדאיג.
אם בעבר פריצות לאתרים היו עניין נדיר יותר היום אנחנו כבר רואים מגוון רחב של סוגי פריצות לאתרים שגורמות לנזק לא מבוטל לאתרים שלנו, פוגע בדירוג האתר במנועי חיפוש ובעיקר גורם לדפיקות לב מואצות והתעסקות מיותרת בשחזור ותיקון הפריצה.
דוגמא לנזק מבאס שנגרם מפריצות לאתר הוא לדוגמא פריצות לאתרים של עסקים שמשקיעים מאמצי קידום אתרים אורגני באתר שלהם (וכנראה משקיעים בזה לא מעט זמן וכסף. אם אתם מקדמים את האתר שלכם בקידום אורגני בגוגל אז דעו לכם שפריצה לאתר שלכם עשויה לגרום לנזק חמור לאתר שיחבל במאמצי הקידום שלכם, אז נושא האבטחה הוא משמעותי עבורכם אפילו יותר משאר בעלי האתרים.
מניסיון אנחנו יודעים שיש מגוון עצום של סיבות לפריצה לאתרים אבל במאמר הזה אנסה לעזור לכם להגן על האתר שלכם ולאבטח אותו בצורה נכונה.
במאמר הזה אני מתייחס בעיקר לאבטחת אתר וורדפרס (שהיא הפלטפורמה המובילה בעולם לבניית אתרים) אבל העקרונות שאדבר עליהם כאן בהחלט ניתנים ליישום במערכות אחרות.
אז איך נאבטח את האתר שלנו בוורדפרס ונשמור עליו מפריצות?
רוצים ללמוד איך לאבטח אתר וורדפרס? צפו בסרטון
אבטחת אתר וורדפרס באמצעות ססמא מורכבת
אם אתם מתעסקים בשיווק דיגיטלי באופן קבוע, נושא הססמאות בטח לא זר לכם.
את השיטה הזו אתם בטח כבר מכירים אבל היא עדיין נחשבת לדבר הבסיסי והחשוב ביותר באבטחת האתר שלכם. שם משתמש ייחודי יחד עם ססמא קשה לפיצוח יכולים לשמור על האתר שלכם טוב טוב מפני פריצות שונות ומשונות וזה בעצם תנאי בסיסי והכרחי לאבטחת האתר שלכם.
אז מה עושים?
בוחרים בשם משתמש מורכב וייחודי שקשה לנחש. אתם בשום אופן לא בוחרים בשם משתמש כמו: admin או manager כי באופן טבעי אלו המילים הראשונות שמנסים בוטים והאקרים לנחש בטרם הם פורצים לאתר שלכם.
השתדלו בססמא שלכם לבחור ב-8 תווים לפחות ועשו שימוש בכל סוגי התווים – מספרים, אותיות גדולות וקטנות, סמלים מיוחדים כמו ! וזה אמור להבטיח הגנה מירבית נגד ניחוש הססמא שלכם. אם קשה לכם להחליט על ססמא טובה לאתר שלכם תוכלו לבחור באתר הזה ססמא מורכבת לאתר שלכם באופן אוטומטי.
מעבר לכך אני ממליץ לכם להחליף את הססמא לפחות אחת לחודשיים שלושה ובשום אופן לא לשלוח את הססמא לאף אחד בפייסבוק או במייל. במקרים שנתתם גישה למפתח, עורך תוכן או כל איש מקצוע אחר, החליפו מיידית את הססמא בסיום העבודה.
אז אחרי שהבנו שהססמא ושם המשתמש שלנו חיוניים להגנה על האתר שלנו, נעבור לצעדים הבאים בהגנה על האתר שלנו.
תבנית ותוספים מעודכנים
אז כאן כבר נדרשת מכם קצת יותר עבודה. חלק גדול מהפריצות לאתרי וורדפרס נגרמות מכך שהתוספים או התבנית שלכם לא מעודכנים. ברגע שתוסף או תבנית לא מתעדכנים יחד עם גרסת וורדפרס אזי עדכוני האבטחה לא מותקנים באופן מלא מה שגורם לאתר שלכם להיות חשוף לפריצות דרך אותם תוספים לא מעודכנים.
הפתרון לכך הוא כפול:
אתם לא מתקינים בשום אופן תבניות ותוספים שאין להם עדכונים שוטפים וכמות הורדות גדולה.
בצילום מסך שלפניכם אתם יכולים לראות שלכל תוסף שאתם מורידים יש 3 פרמטרים חשובים: כמות התקנות, תאימות גרסא ודירוג משתמשים. תשתדלו שכמות ההורדות תהיה לפחות כמה עשרות אלפי התקנות, שתאימות הגרסא תהיה תואמת לגרסת הוורדפרס העדכנית וכמובן שדירוג המשתמשים יהיה חיובי בצורה מובהקת. אם אתם לא בטוחים בתוסף מסויים עדיף לא להוריד אותו כי זה בפירוש מסכן את אבטחת האתר שלכם.
אבטחת אתר וורדפרס מתחילה בעדכון קבוע של התוספים שלכם באתר. חשוב מאוד להיכנס לאתר לפחות אחת לשבוע ולבדוק תוספים שלא מעודכנים ולבצע עבורם עדכון. שימו לב כי במידה ותוסף שלכם לא מתוחזק באופן קבוע על ידי מפתח התוסף אזי לא יהיו לו עדכונים והוא מסכן את האתר שלכם, לכן חשוב מאוד לבחור מלכתחילה בתוספים עם דירוג גבוה וכמות הורדות גבוהה מה שבדרך כלל מבטיח שיש מפתח או חברה שעומדים מאחורי התוסף ומתחזקים אותו.
תוספי אבטחה לאתרי וורדפרס
בדיוק לשם שיפור האבטחה באתר שלכם, קיים מגוון רחב של תוספים מומלצים לאבטחת האתר שלכם. התוסף הטוב ביותר שאני מכיר שניתן בחינם הוא תוסף שנקרא וורדפרנס wordfence שניתן להוריד בחינם מספריית התוספים של וורדפרס ולהשתמש בחופשיות.
הייתי כותב לכם כאן מה בדיוק כדאי לעשות עם התוסף אבל בדיוק בשביל זה הקלטתי הדרכה סופר יעילה של מספר דקות בה תוכלו לעשות יחד איתי את כל הצעדים החשובים באבטחת האתר שלכם באמצעות התוסף החינמי של וורדפנס.
אבטחת אתר באמצעות שמירה על שרת אחסון מאובטח
ידעתם שחלק לא מבוטל מהפריצות לאתר שלכם מגיע בכלל משרת האחסון שלכם?
לי באופן אישי יצא להיתקל בעשרות מקרי פריצות לאתרים שהגיעו בכלל משרת האחסון שלא היה מאובטח. הפורצים מצליחים להיכנס לשרת האחסון של האתר שלכם ומשם הדרך לגרימת נזק לאתר שלכם היא פשוטה ביותר. בדרך כלל את חברת האחסון שלכם אתם תבחרו בראשית תהליך בניית אתר האינטרנט שלכם לפני עלייה לאוויר אך ניתן להחליף אחסון בקלות גם לאחר שהאתר שלכם כבר פעיל ובאוויר.
במקרה הזה של פריצות לשרת האחסון שלכם, הפתרון תלוי כמעט לגמרי בחברת האחסון שלכם אבל בגדול זה מה שאני ממליץ לכם לעשות:
- בחרו בחברת אחסון שיש לה firewall מתקדם ועדכני (שאלו את נציגי החברה בטרם אתם רוכשים חבילת אחסון)
- וודאו עם החברה שבמקרה ויש פריצה אתם מקבלים גיבויים עדכניים בצורה אוטומטית שישחזרו את המידע שהיה באתר בטרם הפריצה
- לחברות רבות שמכבדות את עצמן יש כלי ניטור ואנטי וירוס מתקדמים שאמורים לשמור על האתרים ועל שרת האחסון בצורה טובה יותר, כדאי מאוד לבדוק ולוודא שלחברת האחסון שלכם יש את הפיצ'רים האלו.
- הגבילו גישה למערכת הניהול של השרת שלכם – שנו את הססמא לעיתים תכופות והשתמשו בססמאות מורכבות.
כמובן שיש עוד מגוון צעדים שאפשר לעשות, מתקדמים יותר ומתקדמים פחות, באבטחת האתר שלכם בוורדפרס, אבל אני מאמין שאם תעשו את הצעדים שמפורטים במדריך הזה, תוכלו להגן על עצמכם בצורה מצוינת ולשמור על האתר שלכם מאובטח ונגיש לכל הגולשים.