טיפים לאבטחת אתר וורדפרס

טיפים לאבטחת אתר וורדפרס

וורדפרס היא מערכת ניהול האתרים הנפוצה בעולם. היא בעלת קוד פתוח שמתעדכן כל הזמן ויש לה אלפי תוספים.

המערכת פופולרית גם לאתרי תדמית כמו אתרי חדשות, אתרים של עורכי דין, רופאים ובעלי מקצועות חופשיים וגם יש עליה הרבה חנויות אינטרנטיות.

אתרים על וורדפרס עלולים לסבול במקרים רבים מממתקפות חיצוניות של האקרים לצורך השחתת האתר (שינוי התוכן של דפים בו ובמיוחד דף הבית כדי להעביר מסרים שונים), מחיקת האתר, השתלת מידע, גניבת פרטי משתמשים, גניבת מידע מכאלה שהשאירו פרטים וגם התקפות מניעת שירות שגורמות ממשתמשים לא להגיע לגלוש באתר.

ניתן לפרוץ אליה בדרכים שונות ולכן כדאי לאבטח אותה בצורה כמה שיותר טובה.

בחירת חברת אחסון טובה

לחברת אחסון מקצועית יש שרתים מאובטחים שיש להם גיבוי וקשה יותר לפצרוץ אליהם. כדאי לבדוק טוב איפה מאחסנים את האתר.

עדיף לאחסן בחברת אחסון אתרים מוכרת וותיקה שיש לה הרבה לקוחות ולא בחברה קיקיונית, זה מוריד את הסיכון.

אם מדובר באתר גדול של חנות או אתר אחר עם הרבה תעבורה אז כדאי לשלם על שרת שרק האתר יהיה בו ולא יהיו בו אתרים אחרים. כך יקטן הסיכוי שיפרצו לאתר דרך אתר אחר שהוא על אותו שרת.

גיבוי תמידי של האתר

יש כל מיני סוגים של וירוסים שיכולים להיות מושתלים באתר ולהתחיל לפעול לפי הוראה מרחוק או אחרי הרבה זמן.

כדאי לשמור גיבויים של האתר ברמה יומית ולהרבה זמן אחורה בהתאם לצורך. כך ניתן להחזיר גיבוי כשיש בעיה או תקלה.

הגיבוי נעשה ונשמר בחברת האחסון.

אפשר בנוסף לזה להוריד מידיי פעם גיבוי מחברת האחסון ולשמור אותו בעוד מקום כקובץ ליתר בטחון.

עבודה עם סביבת בדיקות

חברות אחסון רבות מאפשרות סביבת בדיקה לאתר.

בסביבת הבדיקה אפשר לבדוק כל מיני פיתוחים ושינויים על האתר וגם עבודה עם תוספים חדשים.

כך לא עובדים על האתר החי אלא על סביבת בדיקות שאין סכנה שתשבית את האתר.

שדרוג גרסאות של האתר ושל השרת

כעקרון לכל תוכנה יש גרסא משלו שמידיי פעם משדרגים כדי להוסיף לה כל מיני אפשרויות (פיצ'רים) והתאמות.

כשיש אתר וורדפרס יש 4 רמות של גרסאות תוכנה שכדאי לשים לב אליהן.

גרסת PHP

השרת שבו יושב הוורדפרס מריץ גרסת PHP שעליה וורדפרס מותקן.

גרסא חדשה של PHP יוצאת בערך פעם בשנה.

חשוב לעדכן את השרת בגרסת העדכנית.

עדכון זה נעשה על ידי חברת אחסון האתר.

אפשר לראות בדרך פשוטה האם הוורדפרס ומה שמתחתיו בגרסאות האחרונות או שיש צורך לשדרג וזה על ידי כניסה ללוח הבקרה.

לוח בקרה וורדפרס

במקרה הזה אפשר לראות שיש 9 אלמנטים שוורדפרס מראה שיש להם גרסאות חדשות.

כדאי לבצע את השדרוגים אחרי ביצועי גיבוי או קודם כל בסביבת בדיקות.

זה חשוב כי אם יש תקלה באתר אחרי שדרוג עקב חוסר תאימות בין גרסאות אז אפשר מיד להחזיר אחורה.

גרסת הוורדפרס עצמו

לוורדפרס יש גם גרסאות חדשות מידיי פעם שכוללות תיקוני באגים ותכונות חדשות.

כניסה ללוח הבקרה יכולה להראות האם הוורדפרס מעודכן לגרסא האחרונה.

בדוגמא זאת רואים שהוא מעודכן.

בדיקת גרסת וורדפרס

גרסת התבנית של וורדפרס

מתחת למערכת וורדפרס מותקנת תבנית שעליה בנוי האתר.

יש הרבה תבניות חינמיות ותבניות בתשלום.

כדאי לבדוק שהתבנית היא גם בגרסא האחרונה.

בדוגמא פה מותקנת על האתר תבנית בשם hello (תבנית מומלצת לעבודה עם אלמנטור) ויש התראה שהיא בגרסת 2.9 וניתן לשדרג אותה לגרסא 3

כדי לשדרג את גרסת התבנית לוחצים על הcheck box לידה.

אחרי זה לוחצים על שדרוג תבנית.

שדרוג תבנית וורדפרס

ניתן לראות בסוף שהתבנית שודרגה.

תבנית חוורדפרס שודרגה

כדאי להסיר מהאתר תבניות מיותרות שלא בשימוש כי הן גם מקור אפשרי לפריצה וגם מכבידות על האתר.

שדרוג גרסאות התוספים של וורדפרס

רצוי שגם התוספים של וורדפרס ישודרגו.

על ידי לחיצה בלוח הבקרה על כפתור שדרוגים  (מסומן בחץ אדום) וגלילה למטה אפשר לראות מי התחספים שלא נמצאים בגרסא האחרונה ואם יש גרסא משודרגת שלהם שתואמת לגרסא העדכנית של וורדפרס (מסומן בחץ ירוק).

שדרוג תוספי וורדפרס

אם אין גרסא תואמת עדכנית אז יתכן שהפסיקו לפתח את התוסף וזה מקור לפרצות ובעיות. כדאי במקרה זה לבדוק טוב את התוסף ולשקול שימוש בתוסף חלופי שיש לו גרסא עדכנית.

כדי לשדרג התוספים צריך לסמן את ה check box לידם וללחוץ על "שדרג תוספים".

אחרי המתנה קצרה ניתן לראות רשימה של התוספים ששודרגו ושאין יותר התראה על תוספים לא משודרגים. (חץ אדום).

אחרי שדרוג תוספי וורדפרס

את פעולת השדרוג כדאי לבחור בתדירות גבוהה.

התקנת תוספים אמינים

וורדפרס עובד כאמור על תוספים.

פריצות רבות למערכת נגרמות עקב התקנת תוספים מפוקפקים.

נכון שגם בתוספים אמינים יכולות להיות פרצות אבל כשמוסיפים תוסף אפשר לצמצם את הסיכון על ידי כמה פעולות:

1.לא להתקין תוסף ממקור לא ידוע שהגיע למחשב דרך משלוח אלא רק דרך הוורדפרס עצמו

2.כמות ההתקנות של התוסף. עדיף להתקין תוסף שהותקן במיליון אתרים מאשר תוסף שהותקן בכמה מאות אתרים. כך סביר שיהיו בו פחות באגים ויש מי שיתקן כל בעיה

3.האם תואם לגרסת הוורדפרס הנוכחי? תוסף שלא תואם עלול לעשות בעיות בתפקוד האתר וגם לא מאובטח

4.מתי עודכן התוסף בפעם האחרונה?

5.כמה ביקורות יש לתוסף ומה הציון שלהן. תוסף עם מאות ביקורת שיש להן ציון טוב עדיף על תוסף עם ביקורות בודדות.

לדוגמא אם חיפשתי תוסף של redirection לאתר וראיתי את המסך הזה בתוספים:

בחירת תוסף וורדפרס

אעדיף את התוסף למעלה מימין שמסומן בחץ ירוק על פני התוסף שמסומן באמצע עם חץ אדום.

התוסף בחץ ירוק הוא גם עם מאות ביקורות חיוביות, גם עודכן לאחרונה וגם תואם לגרסת הוורדפרס הנוכחית.

התוסף בחץ אדום באמצע הוא עם מעט ביקורות, לא תואם לגרסא הנוכחית והעדכון האחרון שלו נעשה מזמן.

שימוש בתעודת אבטחה SSL

תעודת אבטחה באתר הופכת את פרוטוקל התקשורת שלו למאובטח.

דבר זה יכול למנוע ציטוט וגניבת מידע שעובר לאתר ומאתר.

נוסף לזה שימוש בתעודת SSL לאתר חיוני כשיש תשלום דרך האתר וגם גוגל לוקח אותו בחשבון בהקשר של הקידום האורגני בגוגל.

את תעודת הSSL צריך לבקש מחברת האחסון ולעדכן אותה כשהתוקף שלה פג.

חיבור לאתר רק לפי כתובת IP קבועה

כדי למנוע מזרים להתחבר לאתר אפשר להגדיר כתובות IP מסוימות שרק מהן אפשר להתחבר לאתר לצרכי ניהול.

דבר זה מחייב כתובת קבועה מספק האינטרנט שדרכו מתחברים לאתר מהבית או המשרד.

שינוי דרך הכניסה לאתר

כשמתקינים וורדפרס אז הדרך להכנס לאתר היא עם כתובת האתר ואחרי /wp-admin כמו למשל https:www.monga.co.il/wp-admin.

ניתן בעזרת תוסף מתאים לשנות את הכניסה למשהו אחר כמו https://www.monga.co.il/knisa1 ואז מי שמנסים לתקוף את האתר לא ידעו מאיפה להכנס.

ניהול של הרשאות משתמשים שיכולים להכנס לאתר

במערכת וורדפרס ניתן להגדיר הרשאות ניהול שונות כשהרשאת מנהל (באנגלית admin) מאפשרת לבצע בו כל דבר.

בניהול משתמשים אפשר לראות את ההגדרות שאפשר לעשות.

משתמשים ומנהלים בוורדפרס

כדאי להגדיר מספר מינימלי של משתמשים בעלי הרשאות ניהול.

אם יש משתמשים שתפקידם הוא להזין תכנים אז צריך לתת להם הרשאה שמתאימה לזה ולא הרשאת ניהול.

אם יש כאלה שכבר לא צריכים להתחבר לאתר אז כדאי למחוק את ההרשאות שלהם.

כל גם בהרשאות ניהול שניתנו לחברת אחסון האתר.

הרשאות מנהל צריכות להיות לבעלים של האתר, למי שמבצע קידום של האתר ולמי שמבצע תחזוקה טכנית של האתר.

שימוש בהגדרת אתר דרך רשת cloudflare

cloudflare הוא שירות שדרכו ניתן להגדיר את הDNS של האתר.

יש כמה יתרונות לשימוש בו.:

1.כשמגדירים אותו אף אחד חוץ מבעלי האתר לא יכול לדעת איפה האתר מאוחסן בפועל.

דבר זה עוזר למניעת פריצת לאחסון האתר וגם עוזר לביצוע קידום אורגני בגוגל במקרים מסוימים.

2.ניתן לחסום בקלות כניסה לאתר לפי פרמטרים כמו כניסה מממדינות מסוימות. כך לדוגמא אפשר לחסום כניסה ממדינות כמו רוסיה שיש בהן הרבה האקרים שיכולים לנסות לפרוץ לאתר.

תוכן עניינים

Picture of רונן וינשטוק
רונן וינשטוק

רונן וינשטוק עוסק בביצוע קידום אתרים אורגני SEO. יועץ לעסקים וחברות בבנית אתרים ובקידום עם ניסיון רב והצלחה בקידום ענפים שונים.

צרו איתי קשר

למידע ומאמרים נוספים

אופטימיזציה לאתר

אחר מהשירותים שאני מספק הוא דו"ח אופטימיזציה לאתר. למה צריך דו"ח אופטימיזציה לאתר? אתר שמקודם חזק על ידי קידום אתרים אורגני יביא עוד גולשים ועוד

מה זה SEO

בהרבה מקרים ממליצים לבעלי אתרים "לעשות SEO". כדאי לדעת מה זה ולמי זה טוב. הסבר על המושג SEO SEO זה ראשי תיבות של Search Engine

בניית אתר לעורך דין

למה עורך דין צריך אתר? בין אם מדובר בעורך דין בודד מתחיל בתחום ובין אם מדובר במשרד עורכי דין ענק שיש בו שותפים או שכירים,

הסבר על לידים לעסקים והטיפול בהם

אתרי אינטרנט רבים מוקמים לצרכים תדמיתיים של העסק ומתן מידע. הרבה אתרים מוקמים לצורך הבאת לידים לבעלי האתר והפיכה שלהם לכסף. יש כמה סוגים של