תצורות אבטחה בסיסיות של וורדפרס נוטות לא להיות מאובטחות במיוחד. קיים שפע של דרכים שונות שבעלי אתרי וורדפרס יכולים לנעול את האתר ובמאמר זה נסקור מנגנוני הקשחת אבטחה שבעלי אתרי וורדפרס יכולים להשתמש בהם בכדי לשפר את האבטחה שלהם.
נעילת wp-admin – נתחיל מדף הכניסה הבסיסי של פאנל ניהול וורדפרס: דף הכניסה לניהול וורדפרס הוא כברירת מחדל פתוח לכל העולם ואין לו מגבלה על מספר ניסיונות האימות שנכשלו וזה הופך אותו לפגיע להתקפות. ביצוע שיטות עבודה מומלצות לאימות הוא ללא ספק אחד ההיבטים החשובים ביותר באבטחת אתר וורדפרס. יש לא מעט דברים שונים שניתן לעשות כדי להפחית את הסיכון להצלחת מתקפות:
הגבלת גישה לכתובות IP
הגבלת גישה ל- IP היא ככל הנראה המדד החזק ביותר שנוכל לנקוט כדי לנעול את פאנל ניהול וורדפרס מכיוון שכל בקשה ל- wp-admin שלא תגיע מכתובת IP שהוגדרה כמאופשרת, תביא לשגיאה 403 (פעולה אסורה). שימוש בהגבלת גישה ל- IP באמצעות חומת האש הוא קל למדי. אפשר להגביל גישה לפאנל הניהול שלא באמצעות חומת אש וזאת, בקובץ htaccess בסביבות שרתי אחסון אתרים APACHE כדי למנוע גישה בלתי מורשית. יש להתחבר לשרת אחסון האתר באמצעות FTP ועם תוכנית כמו Filezilla או לגשת למנהל הקבצים מתוך cPanel של חשבון אחסון האתר. בספריית wp-admin יוצרים קובץ htaccess ועורכים אותו כמו בדוגמא להלן:
IP address order deny, allow
IP address deny from all
IP address allow from IP address
באופן זה, כל בקשה ל- wp-admin שלא תגיע מכתובת ה- IP שצויינה לאחר allow, תביא לשגיאה 403 (פעולה אסורה). במידה ומתקבלת שגיאה 403 עבור כתובת IP שלך ברשימה הלבנה, מומלץ לפנות לספק אחסון האתר כדי לראות אם מופעלת חומת אש או תצורה אחרת הגורמת לחסימה.
אימות רב גורמים
הפופולריות של הוספת בקשת אימות נוספת בכניסה לפאנל ניהול וורדפרס עולה. ישנם מספר סוגים שונים של 2FA והנפוץ ביותר הוא קוד כניסה שנשלח למכשיר הנייד של בעלי האתר או הודעת SMS. תוסף כזה שניתן להשתמש בו הוא WP-2FA – תוסף חינמי לאתרי וורדפרס. ישנן מספר אפשרויות בתוסף זה, כולל האפשרות לציין אילו משתמשים נדרשים לאמת באמצעות קוד הכניסה. הטמעת תוסף WP-2FA תאלץ האקרים לקבל גישה פיזית למכשיר הטלפון הנייד של בעלי האתר על מנת לבצע אימות. יתרונות השימוש ב- 2FA בוורדפרס: קל, אמין ויעיל. חסרונות השימוש ב- 2FA בוורדפרס: איבוד הטלפון יהיה בגדר סכנה מוחשית מאד.
שימוש ב- CAPTCHA
רוב ההתקפות על אתרי וורדפרס הן אוטומטיות. האקרים מחפשים "עבודה קלה" ומשמעות הדבר היא פגיעה באתרי וורדפרס ופאנלים לניהול וורדפרס המתגלים כפגיעים ביותר ומוגנים בסיסמאות חלשות. מסיבה זו יהיה זה מועיל להטמיע CAPTCHA בכניסה לעמוד wp-admin על מנת למנוע פעילות בוטים והאקרים. אף אחד לא אוהב CAPTCHAs, אך שירות reCAPTCHA של גוגל הופך את התהליך לכואב פחות. הפעלת השימוש בשירות reCAPTCHA מתבצעת בצורה קלה באמצעות תוסף וורדפרס: Advanced Nocaptcha Recaptcha. לאחר ההתקנה, הגדרת התוסף היא די פשוטה: יש לעבור למסוף הניהול של אתר reCAPTCHA, לרשום את האתר ולהוסיף את מפתחות ה- API שנוצרו להגדרות התוסף. אם האתר מאפשר למשתמשים ליצור חשבונות, מומלץ להוסיף שירות reCAPTCHA גם לדף רישום המשתמשים. באתר וורדפרס למסחר אלקטרוני, מומלץ לאפשר זאת גם בדף הקופה כדי למנוע התקפות של גניבת פרטי כרטיסים ועסקאות מזויפות. יתרונות השימוש ב- CAPTCHA בוורדפרס: מפחית התעללות של בוטים בפאנל הניהול. חסרונות השימוש ב- CAPTCHA בוורדפרס: מעט מעיק…
שימוש בסיסמאות כפולות
קיים כבר מושג של "עייפות סיסמאות" והוא אמיתי מאד. למרות זאת, סיסמאות הן עדיין מנגנון ההגנה העיקרי העומד לרשותנו בכדי למנוע גישה בלתי מורשית לאתרים ולמערכות שלנו. קיימים תוספי אבטחה המאפשרים הוספת סיסמה כפולה אך ניתן ליישם סיסמה שנייה באופן ידני גם ב- wp-admin תוך שימוש בקובץ htpasswd. קובץ זה משמש בסביבות שרתי אחסון אתרים APACHE כדי לספק אימות נוסף ואבטחה לספריות ספציפיות ורגישות (cPanel מאפשר זאת באמצעות מנגנון מובנה). ראשית, יש ליצור את הקובץ הזה ולהגדיר את הסיסמא. לאחר מכן יש להעלות את קובץ ה- htpasswd לשרת מחוץ לספריית אתרי האינטרנט הבסיסית (שהיא בדרך כלל public_html) ואז להתייחס לקובץ זה בקובץ htaccess בתוך wp-admin כך:
AuthName "Restricted"
AuthUserFile /home/username/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user <your user name>
יש לוודא כי AuthUserFile תואם למיקום את קובץ ה- htpasswd. אם התצורה הוגדרה בהצלחה, בניסיונות גישה לחלונית הניהול יהיה צורך להזין את קבוצת אישורי הכניסה http-auth. לא רק שהאקרים יצטרכו לנחש את הסיסמה השניה הזו, הם גם יצטרכו לנחש את שם המשתמש! יתרונות של סיסמאות כפולות בוורדפרס: מפחית התקפות Brute Force. חסרונות של סיסמאות כפולות בוורדפרס: עוד סיסמה שצריך לזכור…
הגבלת ניסיונות כניסה
אחת הדרכים להפחית את היעילות של התקפות Brute Force היא לכסות את מספר ניסיונות האימות שנכשלו שניתן לבצע בדף wp-login. הדבר יקשה באופן משמעותי על האקרים להגיע לפאנל הניהול של אתר וורדפרס. תוסף לדוגמא הינו Limit Login Attempts Reloaded. לתוסף זה יש גם את היכולת לרשום טווחים של IP שיכולים לסייע במניעת נעילה לא רצויה. לדוגמא, כתובות ה- IP המשמשות את ספק שירותי האינטרנט יכולות להתווסף לרשימת היתרים של הטווח הזה כדי להבטיח שלא יקרה מצב של נעילה עצמית. יחד עם זאת, באופן אידיאלי למטרות אבטחה עדיף להימנע מכך. עם זאת, התוקפים יודעים את ברירת המחדל לניסיון הכניסה המקסימלי של תוספים אלו ותוספים אחרים עם פונקציונליות דומה ולפיכך מגיבים בהתאם. אם מגבלת ניסיון הכניסה המוגדרת כברירת מחדל היא 15, הם יקודדו את הרובוטים שלהם כדי לעצור את הניסיונות בניסיון ה- 14 ואז ימתינו. תוספי הגבלת כניסה אלו אינם תרופת פלא, אולם אבטחה זו נועדה להפחית את הסיכון ולאו דווקא לבטל אותו. היתרונות של הגבלת ניסיונות הכניסה בוורדפרס: מפחית את יעילות התקפות Brute Force. חסרונות של הגבלת ניסיונות הכניסה בוורדפרס: אם שוכחים או לא משתמשים במנהל סיסמאות, עלולים להגיע למצב של נעילה עצמית!
כתובת URL לא סטנדרטית
החלפת כתובת wp-login נמצאת בקטגוריית "ביטחון באמצעות ערפול". הדרך הקלה ביותר להסוות את כתובת הכניסה לפאנל ניהול וורדפרס הינה באמצעות תוסף כגון WPS Hide login: תוספים כאלו מאפשרים לשנות את כתובת הכניסה לניהול וורדפרס לכל כתובת העולה על הדעת. היתרון בשינוי כתובת ה- URL להתחברות הוא שבוטים הסורקים אוטומטית אתרים עם כתובות אתרים /wp-login.php ו- /wp-admin עלולים להידחות או שלא יראו את האתר ככזה שניתן לפרוץ אליו. יתרונות של שינוי כתובת להתחברות בוורדפרס: הוספת אבטחה במידה מסוימת. חסרונות של שינוי כתוב כניסה לניהול וורדפרס: לא ניתן להסתמך עליו כאמצעי אבטחה חזק וגם עלולים לשכוח את הכתובת שהוגדרה…