נתונים סטטיסטיים מלמדים כי קרוב ל-30% מאתרי האינטרנט ברשת מנוהלים באמצעות מערכת וורדפרס. לפופולריות זו יש מחיר והוא בא לידי ביטוי לעיתים קרובות בהתמקדות של האקרים באתרי וורדפרס במטרה למנף אתרי וורדפרס לתועלתם. יש לציין כבר עתה, כי מטרת אבטחת אתרי וורדפרס הינה להפחית סיכונים אלו ולא במטרה לחסלם. הסיכון קיים תמיד ואבטחת אתרי וורדפרס היא תהליך מתמשך המחייב הערכה והיערכות תקופתית. נסקור להלן שיטות אבטחה בסיסיות וצעדי אבטחה אשר יסייעו לשפר את אבטחת אתרי וורדפרס ולהקטין את הסיכון שלהם להיפרץ או להינזק.
עדכוני תוכנה תדירים מפחיתים את סיכוני הפריצה לאתר וורדפרס
צוות האבטחה של וורדפרס פועל ללא לאות על מנת לספק עדכוני אבטחה ותיקון פרצות אבטחה, אולם שימוש בפלאגינים ותבניות עיצוב של חברות צד ג', עלולים לחשוף את משתמשי וורדפרס לאיומי אבטחה נוספים. פלאגינים וערכות עיצוב יכולים להיות פגי תוקף, מיושנים או שהם עלולים לכלול באגים המהווים סיכון אבטחה לאתר וורדפרס. מומלץ מאד לבדוק את תוקף הפלאגינים ותבניות העיצוב על בסיס קבוע, כאשר באמצעות התקנה שגרתית ושוטפת של גירסאות וורדפרס העדכניות, וגיסראות הפלאגינים העדכניות, ניתן להבטיח כי לאתר הוורדפרס קיימים כל עדכוני האבטחה החשובים ביותר. חשוב לזכור כי תוספים לא רצויים באתר וורדפרס מגדילים את סיכוני האבטחה באתר גם אם הם מושבתים ואין בהם שימוש פעיל.
הקפדה על בקרת הרשאות גישה לניהול אתר וורדפרס
לעתים קרובות מנצלים האקרים הרשאות חלשות של משתמשים באתר וורדפרס על מנת לקבל גישה לניהול תכני האתר והקבצים בו. על ידי שימוש בסיסמאות חזקות וייחודיות באתר וורדפרס, הגבלת הרשאות למשתמשים באמצעות הקצאת תפקידים, הפעלת אימות דו שלבי – ניתן לצמצם את הסיכון לפעולות בלתי מורשות באתר.
וורדפרס מאפשר למשתמשים לנסות לבצע כניסה לאתר מספר בלתי מוגבל של פעמים, אולם מצב זה משאר את האתר חשוף להתקפות Brute Force. ניתן להוסיף שכבת אבטחה נוספת על ידי הגבלת מספר ניסיונות הכניסה לפאנל ניהול האתר באמצעות פלאגין וורדפרס ייעודי או באמצעות חומת אש (WAF). דרך נוספת היא על ידי הוספת CAPTCHA במנגנון אימות שלא מדובר בנוזקה או ברובוט אשר מנסה להתחבר לפאנל ניהול האתר. מעבר לכך, הגבלת הגישה לדף הכניסה לפאנל ניהול האתר אך ורק ל- IP מורשה, תמנע מראש ניסיונות גישה בלתי מורשים.
גישה פרואקטיבית לאבטחת אתרי וורדפרס
תחום אבטחת מידע (InfoSec) אוהב להשתמש בביטוי "הגנה לעומק", אולם בכדי לפעול על פי עקרון זה, יש להבין כי לא קיים פתרון מלא של מאה אחוז אשר מסוגל להגן על כל סביבת אתר הוורדפרס. יחד עם זאת, קיימות דרכים אשר נועדו לזהות ולהקטין את ההתקפות על אתרי וורדפרס:
- תוסף אבטחה לאתר וורדפרס – קטגוריית מניעה: תוספי וורדפרס מעין אלו עשויים לספק רמה מסוימת של מניעה (הגנה היקפית) עבור האתר. המטרה של תוספים אלו הינה לעצור פריצות לאתר על ידי סינון התנועה הנכנסת אליו. חשוב לזכור כי התקפות נגד שרת אחסון אתר וורדפרס לא ניתן למנוע או לעצור באמצעות תופסי אבטחה ולכן מומלץ לשקול WAF מבוססי מחשוב ענן לשם כך.
- תוסף אבטחה לאתר וורדפרס – קטגוריית איתור: היכולת של תוסף וורדפרס איכותי לזהות פעולות העלולות לעבור את ההגנה ההיקפית, הינה בעלת ערך רב. יישומי תופסים אלו לאתרי וורדפרס ינסו לזהות פלישה לאתר באמצעות בדיקת שלמות הקבצים וחלקם אף מסוגלים להשוות בין ערכות עיצוב ותוספים של צד ג' בכדי לוודא שקבצי האתר אינם פועלים על בסיס קבצים שעברו התאמה או שינוי.
- תוסף אבטחה לאתר וורדפרס – קטגוריית ביקורת: בניגוד לאמונה הרווחת (אם עדיין קיימת כזו אצל משתמשי וורדפרס), אבטחת אתר וורדפרס אינה בשום פנים ואופן "שגר ושכח". בעלי אתר וורדפרס חייבים לעשות שימוש מושכל בתוספי אבטחה על מנת לבקר את המשתמשים המחוברים לאתר, איזה תוכן הישתנה ומה הישתנה בו. יישום ביקורת זו יסייע לזהות, לסכל ולהגיב לניסיונות שיבוש האתר.
- תוסף אבטחה לאתר וורדפרס – קטגוריית שירות: קטגוריית תוספים זו היא אולי אוסף הכלים המגוון ביותר של תוספי אבטחה לאתרי וורדפרס. בין התוספים ניתן למנות ערכות כלים כגון גיבויי אתר וורדפרס, פלאגינים לתחזוקה שוטפת המפעילים פונקציות אבטחה ספציפיות וכן, תוספי אבטחה ספציפיים אשר למשל משביתים את XML-RPC או מעבירים את דף הכניסה לפאנל ניהול האתר לכתובת שאיננה wp-admin.
אחסון אתרי וורדפרס – אחסון אתרים מאובטח
תחום אחסון אתרים ואחסון אתרים מאובטח עובר כל הזמן שיפורים טכנולוגיים. קיימות שלוש סביבות אחסון אתרים עיקריות לאתרי וורדפרס: אחסון אתרים שיתופי, אחסון אתרים VPS, אחסון אתרים בשרת ייעודי. תיאורטית, סביבות אחסון האתרים הללו עשוי לספק כלים ואמצעים שונים לאבטחת השרת עליו פועל אתר הוורדפרס אולם במציאות, סוג אחסון האתר צריך להיות מוכתב על ידי הצרכים הספציפיים של אתר הוורדפרס (נפח, תעבורה, ניצול משאבי זיכרון ומעבד), תוך שיקול היכולת של ספק אחסון האתר להגיב למצבים של סיכוני אבטחה ובעיקר כיצד הוא פועל פרואקטיבית למניעתם.
אפשרות גיבוי אתר וורדפרס, גיבוי בסיס הנתונים, גיבוי קבצים / תיקיות – מהווה נדבך חשוב ליכות של בעלי אתרי וורדפרס להתאושש במהירות מאסון על ידי שחזור האתר, בסיס הנתונים שלו, קבצים / תיקיות, חשבונות דוא"ל, Cron Jobs וכדומה. אך בהיות אפשרות השחזור מגיבוי פעולה בדיעבד, יש לוודא כי ספק אחסון וורדפרס מסוגל לתת ללקוחותיו את השקט הנפשי הדרוש לפעילות תקינה ושוטפת של האתר על ידי מנגנוני ניטור ובקרה הפועלים כל הזמן במטרה לזהות פעילות חשודה בגישה לשרת האחסון, פעילות חשודה באתר עצמו ופעילות נוזקה בזמן אמת.
חברת אחסון וורדפרס אשר מיישמת גישה פרואקטיבית של אחסון אתרים מאובטח תתריע לבעלי אתר וורדפרס אודות פעילות זו ואף תמליץ או תדרוש הקשחה של מערכות האבטחה אשר בשליטת בעלי האתר: קונפיגורציות ייחודיות בקובץ htaccess של האתר, פעולות ופקדים בקובץ wp-config.php, מתן אפשרות להפעלת שכבת SSL (ברכישה או Self Signed), הגבלת עריכה באמצעות SFTP/SSH בלבד ולא דרך פאנל ניהול האתר.
כדאי גם לקרוא: כיצד בחירת חברת אחסון תשפיע על קידום האתר?