אחת הדרכים הטובות ביותר לשמור על אתר וורדפרס שלך מאובטחת היא לבדוק אם קוד עלול להיות זדוני לעתים קרובות באתר שלך. בכל פעם שתמצא פגיעות כלשהי, תוכל לנקוט בפעולות תיקון מיידיות לפני שתאפשר לכל אחד לנצל אותה ולכאורה להיכנס לפאנל הניהול שלך ב- WordPress.
אין פלא שהאקרים מכוונים לאתרי וורדפרס בצורה עצומה מכיוון שמדובר ב- CMS הפופולרי ביותר בשוק. מחוץ לקופסה, ישנן מספר דרכים להפוך את התקנת WordPress שלך לבטוחה יותר. עם זאת, המציאות הקשה היא רק חלק קטן מהאתרים שעוקבים אחריהם. זה הופך את וורדפרס לאחד היעדים הקלים ביותר עבור האקרים.
קריאה מומלצת: 17 דרכים למנוע פריצה של וורדפרס
9 בעיות פגיעות של WordPress
1. אירוח וורדפרס זול
אם תבחר לארח את WordPress שלך אך ורק על סמך אירוח, סביר להניח שתיתקל במספר נקודות תורפה של WordPress. הסיבה לכך היא שאירוח זול הם ככל הנראה שהוגדרו בצורה שגויה ואינם מופרדים זה מזה בצורה נכונה.
המשמעות היא שאתרים שנוצלו בהתקנה אחת יכולים להתפשט לאתרים שאינם קשורים המתארחים באותו שרת. בעיה זו עלולה להתרחש גם אם אתה מארח מספר אתרים עבור מספר לקוחותיך באותו חשבון אירוח.
במקרה זה, שוב, אם מישהו מהאתרים שלך נפגע, הזיהום עלול להתפשט לכל האתרים בחשבונך. עליך להקפיד לוודא שאתה משתמש בהתקנה כגון VPS, המאפשרת ליצור הפרדה בין האתרים המתארחים השונים.
בעיה נוספת עם אירוח זול היא שאלת “שכנים מפוקפקים”. אירוח זול נוטה למשוך לקוחות דואר זבל או מפוקפקים – המשמעות היא שהשרת בפועל בו מתארח האתר מקבל רשימת שחורים או רשימת דואר זבל.
לתקן: בראש ובראשונה, וודא שלא תבחר באחסון הזול ביותר שתוכל למצוא. במקום לבחור באחסון שהופך את האבטחה לעדיפות. שנית, אם אתה מארח אתרי אינטרנט עבור הלקוחות שלך, ודא שאתה ממיין את הלקוחות השונים על ידי יצירת משתמשים שונים לכל לקוח.
2. כניסות וסיסמאות חלשים של WordPress
כתובת הכניסה של וורדפרס הינה ידיעה מקובלת וקיימים סקריפטים לפריצה שמטרתם היחידה היא להכריע בכוח שילובי סיסמאות נפוצים או לנסות רשימה של סיסמאות שדלפו מאתרים אחרים.
פירוש הדבר שאם אתה משתמש בסיסמה חלשה כגון admin / admin, או admin / password או שילובי סיסמאות פשוטים ומטופשים אחרים, אתה מציג פגיעות רצינית של WordPress באתר שלך.
לתקן: חשוב כי סיסמאות הכניסה של וורדפרס משתמשות בסיסמאות חזקות, מאוחסנות בצורה מאובטחת ולעולם אינן משותפות עם התקנות או פלטפורמות אחרות. ואל תשתמש ב- “admin” כשם משתמש, בחר משהו שקשה יותר לנחש.
גרסאות ישנות יותר של WordPress שימשו ליצירת משתמש ברירת מחדל עם שם המשתמש ‘admin’, האקרים רבים מניחים שאנשים עדיין משתמשים באותו שם משתמש.
אם אתה עדיין משתמש ב- admin כשם המשתמש של חשבון מנהל המערכת, צור חשבון חדש באתר WordPress שלך והעביר את הבעלות על כל ההודעות לחשבון החדש. וודא שתפקיד המשתמש החדש הוא מנהל מערכת.
לאחר שתסיים, תוכל למחוק את חשבון המשתמש עם מנהל המשתמש או לשנות את תפקידו למנוי.
אם האתר שלך הוא אתר קהילתי עם מספר מחברים, עדיף להתקין אותו https://wordpress.org/plugins/force-strong-passwords/ תוסף באתר וורדפרס שלך. תוסף זה מאלץ משתמשים להשתמש בסיסמה חזקה בעת יצירת משתמש חדש.
3. וורדפרס ליבה מיושן, ערכות נושא או תוספים
כמו ברוב התוכנות, WordPress בדרך כלל מגלה בעיות שניתן להשתמש בהן לפריצה לאתר. בעיות אלה מתוקנות בדרך כלל בכל שחרור עדכון. אך עדכונים כאלה גם משחררים את הפגיעות הוורדפרסית בפועל לציבור.
המשמעות היא שברגע שפורסם עדכון ייווצר ניצול לתקיפת אתרים שלא עודכנו לגרסה האחרונה.
אותו היגיון חל על תוספים וורדפרס של וורדפרס שיכולים להציג את אותה הבעיה. זה יכול לקרות גם עם תוכנת PHP, תוכנת MySQL, תוכנת שרת וכל תוכנה אחרת שלא עודכנה וקיימת בשרת האתר שלך.
בעיקרו של דבר, אם תוכנה כלשהי לא עודכנה היא ברווז יושב – פגיעות של וורדפרס שמחכה לנצל.
לתקן: שמור על כל מנויי הספקים פעיל וודא שאתה מעודכן את כל הרכיבים לגרסאות העדכניות ביותר שלהם.
4. מיצוי PHP
מלבד מעללים שקיימים בוורדפרס עצמה, בהחלט יתכן שניצול PHP קיים בספריית PHP שאולי גם לא עודכנה. הבעיה בכך היא שברוב הפעמים, אולי אפילו לא תהיו מודעים לכך שנעשה שימוש בספריה כזו באתר שלכם.
לתקן: מסיבה זו, עליך לבחור באחסון וורדפרס מתקדם כגון VPS או אירוח וורדפרס מנוהל, שבו תוכל להתאים אישית ו / או להסיר ספריות PHP בשרת שלך שאינך משתמש ואינך זקוק להן.
5. התקנת תוכנה ממקורות מפוקפקים
לפעמים, מסיבות קצרות ראייה (אולי כספיות), תוכלו לשקול להוריד מוצרי פרימיום מאתרים “מפוקפקים”. במילים אחרות, הורד גרסאות פיראטיות של תוספי פרימיום או ערכות נושא.
זוהי דרך בטוחה להציג נקודות תורפה של WordPress באתרי האינטרנט שלך. הסיבה היא ש”המחיר “של שימוש בתוכנות פיראטיות שכאלו הוא נסתר ומפחיד. תוספים אלה הותאמו בדרך כלל עם מה שמכונה דלת אחורית. דלתות אחוריות מעניקות למשתמשים שליטה מרחוק לאתרים שבהם הותקנו תוספים אלה ולהאקרים תהיה שליטה מלאה באתר שלך וישתמשו בו כרצונם לצורך הפרקטיקות שלהם.
זה יכול לכלול שימוש באתר האינטרנט שלך כחלק מרשת הזומבים (רשת מחשבים המשתתפים במתקפה של botnet או DDoS), שימוש באתר שלך כחלק מרשת אתרים המשמשים להדבקת משתמשים רבים יותר בפגיעות, למשלוח דואר זבל, דיוג או אחר מזיק. נוהגים.
לתקן: הימנע ממקורות כאלה וודא שאתה מוריד ומשתמש רק בתוכנות ממקורות אמינים רשמיים. אחרת, בוודאי הציגו בפניכם פגיעויות נסתרות של WordPress.
6. אתרים שאינם משתמשים בתעודות מאובטחות
אתרים שאין להם תעודת SSL / TLS אינם מצפינים מידע הנשלח בין הדפדפן לשרת. המשמעות היא שניתן לרחרח מידע כזה כולל סיסמאות או נתונים רגישים אחרים כגון מידע אישי או תשלום תוך שהוא מועבר דרך האינטרנט.
קיימת תוכנה לקריאת נתונים מוצפנים כאלה ולאגור כל מידע בעל ערך פוטנציאלי שישמש וננצל מאוחר יותר.
FIX: על ידי התקנה והגדרת אישור מאובטח, המידע מוצפן לפני שהוא משרת או אליו
7. ניצול הכללות קבצים
ניצול הכללת קבצים הוא חלק מהפגיעות הנפוצות ביותר של WordPress המנוצלות באמצעות קוד PHP. זה כאשר פגיעות של WordPress שבה בעיה בקוד מאפשרת “העלאת הרשאות” או “עקיפת אבטחה” כך שתוקף מסוגל לטעון קבצים מרחוק כדי לקבל גישה לאתר. מעללים כאלה יכולים להשתלט לחלוטין על אתר או לגנוב מידע פרטי על ידי גישה למידע שאינו זמין בדרך כלל לציבור.
לתקן: שמור על עדכון כל התוכנות שלך לגרסאות העדכניות וודא שהתקנת תוסף אבטחה של WordPress
8. הזרקות SQL
הזרקות SQL הן צורה אחרת של ניצול, אך פגיעות מסוג WordPress זה פוגעת בבאגים בקוד כדי לבצע פעולות שלא נועדו. בעיקרו של דבר, הזרקת SQL מתרחשת כאשר תוקף עוקף הגנות רגילות בכדי לגשת למסד הנתונים של וורדפרס ולנתונים פרטיים באתר.
על ידי גישה למסד הנתונים של וורדפרס, הם יכולים לבצע שינויים פוגעניים כמו יצירת משתמשים ברמת מנהל, שבסופו של דבר ניתן להשתמש בהם כדי לקבל גישה מלאה לאתר. ניתן להשתמש בהתקפות כאלה גם להוספת נתונים זדוניים למאגר, כמו קישורים לאתרי ספאם או זדוניים.
לבחור * מן משתמש איפה שם =“” or “”=“” ו לעבור =“” or “”=“”
לתקן: וודא שהגירסאות העדכניות ביותר של התוכנה מוגדרות באתר שלך והן מעודכנות
9. XSS או Scripting חוצה אתרים
זוהי צורה נוספת מאוד של התקפה. למעשה, הם ככל הנראה המעללים הנפוצים ביותר.
סקריפטים בין אתרים עובדים כאשר תוקף מוצא דרכים להערים על הקורבן לטעון אתרים המכילים קוד Javascript ספציפי. סקריפטים אלה נטענים ללא ידיעת המשתמש ואז נטענים כדי להיות מסוגלים לקרוא מידע שלרוב לא תהיה להם גישה אליו. לדוגמה, ניתן להשתמש בקוד כזה לרחרח נתונים המוזנים לטופס.
בהמשך פוסט זה נבחן כמה אסטרטגיות לאיתור נקודות תורפה באתר וורדפרס שלך. אנו נבחן גם שיטות שונות לתיקון פרצות של WordPress.
מציאת נקודות תורפה של וורדפרס באמצעות סריקה
כפי שאמרנו כחלק מהרשימה שלנו לעיל, אם אתם מחפשים ערכות נושא של וורדפרס בחינם (או כל נושא או תוסף כללי) להתקנה באתר הוורדפרס שלכם, מומלץ תמיד לבחור אותם בספריית הנושאים הרשמית של WordPress. הספרייה הרשמית מבטיחה את האבטחה של ערכות הנושא של וורדפרס שלך.
עם זאת, כמה מפתחי נושאים לגיטימיים וסוכנויות מעדיפים שלא לרשום את הנושאים האיכותיים שלהם בחינם בספרייה הרשמית מכיוון שההנחיות הרשמיות לספריות מגבילות אותם לכלול פונקציות רבות בנושא שלהם.
כלומר, בכל הנוגע לבחירת נושא וורדפרס בחינם, ספריית הנושאים הרשמית של WordPress אינה המופע היחיד בעיר. עם זאת, כשאתם בוחרים נושא מחוץ לספרייה הרשמית, עליכם לקבל מנה נוספת של אחריות מבחינת הערכת הנושא.
להלן מספר שיטות לבדוק את האותנטיות של ערכת הנושא שלך ב- WordPress ולוודא שהיא מאובטחת מפני קודים שעלולים להיות זדוניים ופגיעות של WordPress.
כל השירותים הבאים יכולים לשמש לבדיקת נקודות תורפה של WordPress:
- חנון
- Sucuri
- יעד האקר
- לזהות
- WPSEC
- אבטחת Ninja
- פנטסט-כלים
- WP נוירון
- Quttera
מציאת נקודות תורפה של WordPress לאחר ההתקנה
יתכן שכבר התקנת נושאים רבים באתר וורדפרס שלך. אם זה המקרה, כיצד תבדוק את האותנטיות של הנושאים המותקנים? להלן כמה שיטות.
מספר תוספים אלה לא עודכנו בשנים האחרונות וגרסאות עיקריות של וורדפרס. המשמעות היא שהם כנראה נטושים והתוצאות שלהם לא מהימנות. בִּלתִיless אם אתה רואה גרסה עדכנית, אנו ממליצים שתבחר להשתמש Sucuri או מוצר אחר מתוספי האבטחה של WordPress רשימה כאן.
1. בודק אותנטיות בנושא
בודק האותנטיות של הנושא הוא תוסף בחינם המאפשר לך לסרוק את קבצי העיצוב כדי לגלות אם יש בעיות פגיעות בוורדפרס שאתה צריך להכיר. אם נמצא קוד שעלול להיות זדוני בעיצוב מותקן, התוסף יגיד לך את התיקון, מספר השורה ויציג את הקוד החשוד. זה יעזור לך לנקוט בפעולות מונעות – או להיפטר מהנושא.
תוסף זה נהדר לבדוק אם לנושא המותקן הוכנס אליו סקריפט זדוני מקודד ללא ידיעתך.
למרבה הצער, תוסף זה לא עודכן כבר בשלוש השנים האחרונות, אז עד שתראה עדכון עדכני יותר, כדאי לדלג על זה.
2. בודק אותנטיות של WP
ברוח דומה נמצא בודק האותנטיות של WP. מלבד בדיקת בעיות בנושא ערכות נושא, תוסף זה בוחן גם בעיות עם תוספי הליבה של וורדפרס או חלק 3 כדי לזהות כל פגיעות של וורדפרס.
למרבה הצער, תוסף זה חכפי שלא עודכן בשנתיים האחרונות כמו כן, כך שאולי לא תרצה לסמוך לחלוטין על תוצאות תוסף זה.
הורד אותו פשוט, התקן אותו והפעל אותו כדי לגלות בעיות בכל נושא או תוסף.
3. סורק ניצול
סורק ה- Exploit היה גם מוצר שפעל באופן דומה, אך למרבה הצער, גם התוסף הזה נפל לנטישה. מסיבה זו, לא מומלץ להשתמש בו unless אתה רואה עדכון די עדכני.
סורק ניצול הוא תוסף חינמי נוסף, שמציע תכונות חזקות יותר מאשר TAC. הדבר הטוב ביותר הוא שתוסף הסורק לנצל עוזר לך לבדוק את מסד הנתונים של התקנת הוורדפרס שלך מלבד קבצי העיצוב.
שים לב שתוספים אלה יראו לך רק את הפגיעות ובאפשרותך להחליט אילו אמצעי מניעה עליך לנקוט כדי למגר את הפגיעות בוורדפרס.
תיקונים נוספים להגנה מפני פגיעויות בוורדפרס
1. השתמש במעקב Hackalert
אם אתה מחפש פתרון יוקרתי לניטור נקודות תורפה של אתר וורדפרס שלך, אתה לא צריך לחפש בשום מקום אחר מאשר ניטור Hackalert. ניטור Hackalert הוא שירות המוצע על ידי Siteground שבו אנו מארחים חלק מהאתרים שלנו.
Hackalert מבטיח את האבטחה של אתרי וורדפרס שלך על ידי שליחת התראה בדוא”ל בכל פעם שהיא מוצאת קוד שעלול להיות זדוני. כמו כן, תעודכן בדוא”ל שבועי עם סטטוס הניטור של האקלרט באתר שלך.
למידע נוסף על שירות הניטור של Hackalert, קרא את הפוסט מדוע ניטור האקלרט הוא מדהים – 5 סיבות.
עד כה בדקנו דרכים שונות למצוא פגיעות פוטנציאליות באתר וורדפרס שלך.
כמובן שתמיד עדיף להוסיף מגן אבטחה נוסף לאתר הוורדפרס שלך כדי למנוע פריצה ממנו.
וורדפרס ידועה בקהילת המפתחים הגדולה שלה שרוצה להפוך את וורדפרס לאחד ממערכות ה- CMS המאובטחות ביותר שיש.
עם זאת, כבעלים של אתר, תצטרך לנקוט באמצעים בסיסיים כדי למנוע כניסה לכאורה ללוח המחוונים שלך.
בואו נסתכל על כמה אסטרטגיות לתיקון הפגיעות של אתר WordPress שלכם.
2. הגדר כתובת אתר כניסה מותאמת אישית עבור WordPress
במהלך התקנת WordPress, וורדפרס יוצרת שתי כתובות אתרים להתחברות כברירת מחדל. הם
- WP-login.php
- wp-admin.php
הבעיה בשימוש בכתובת האתר לכניסה המוגדרת כברירת מחדל היא שכל אחד יכול להיכנס ללוח המחוונים של וורדפרס שלך ברגע שהוא מוצא (או מנחש נכון) את שם המשתמש והסיסמה. על ידי התאמה אישית של כתובת האתר של דף הכניסה שלך, אתה צועד לאבטחה טובה יותר עבור אתר WordPress שלך ומקשה על הרעים לשבור אותו.
כיצד היית משנה את כתובת הכניסה של אתר WordPress שלך?
פשוט התקן את ה- כניסה להתגנבות תוסף והתאם אישית את החלק התגנבות של תוסף כניסה מותאם אישית כדי להסתיר את הכניסה.
3. הגבל את מספר ניסיונות הכניסה
אז התאמת את כתובת אתר הכניסה של אתר WordPress שלך לטובת אבטחה טובה יותר. אבל מה אם הרעים יגלו את כתובת ה- URL בפועל? ואז, איך אתה יכול למנוע ניסיון כניסה לאתר שלך?
במקרה כזה, אחת השיטות הטובות ביותר היא להגביל את מספר ניסיונות הכניסה. כברירת מחדל, האקרים יכולים לנסות כמה סיסמאות להיכנס לאתר שלך כפי שהם רוצים; על ידי הגבלת ניסיונות הכניסה, אתה חוסם אפשרות זו של התקפות כוח אכזריות לאתר שלך.
התקן iThemes Security (תוסף אבטחה מלא) או כניסת נעילה חיבור. שני התוספים הללו מאפשרים לך להגביל את הניסיונות שמשתמש יכול לעשות בכניסה לדשבורד.
4. השבת את הגלישה בספריות
כברירת מחדל כאשר המבקר שלך מנווט לדף ושרת האינטרנט אינו יכול למצוא עבורו קובץ אינדקס, באופן אוטומטי הוא מציג דף ומציג את תוכן הספריה. הבעיה בכך היא שכל אחד יכול לנווט אל אותם ספריות, שעלולות להיות פגיעות לאתר שלך והאקר יכול לנצל אותו בקלות כדי להוריד את האתר שלך.
למשל, ספריות וורדפרס מסוימות מכילות נתונים רגישים כגון תוכן wp או כולל wp. בכך שהם מאפשרים להאקרים לנווט בתיקיות אלה, האקרים יוכלו למצוא בה מעללים פוטנציאליים.
לכן חשוב לביטחון האתר שלך להשבית את הגלישה בספריות.
כיצד היית משבית את גלישת הספריות באתר וורדפרס שלך?
הדבר היחיד שעליך לעשות הוא להוסיף את הקוד למטה בתחתית קובץ ה- .htaccess באתר וורדפרס שלך.
Options -Indexes
הערות: הקפד לקחת גיבוי של האתר שלך לפני שתבצע בו שינויים. .htaccess הוא קובץ מוסתר, ואם אינך מוצא אותו בשרת שלך, עליך לוודא שהפעלת ללקוח ה- FTP שלך להציג קבצים מוסתרים.
קריאה מומלצת: יליד לעומת תוסף – לקיחת גיבויים של וורדפרס בשיטות שונות
לאחר שתשבית את גלישת הספריות, כל אותם ספריות שהיו גלויות בעבר יתחילו להציג דף ‘404 לא נמצא’ או הודעה ‘403 גישה אסורה’.
סיכום
שום תוכנה אינה מושלמת בכל הנוגע לאבטחה. זה נכון אפילו עבור WordPress, אז הקפד לעדכן את תוכנת הליבה של WordPress או כל נושא ותוסף בכל פעם שיש גרסאות של גרסאות חדשות כדי לעצור כל פגיעות קבועה של WordPress. הקפד לאפשר עדכון אוטומטי של וורדפרס או שיהיה תהליך כדי לעדכן אותו.
זקוק לעזרה בתיקון וניקוי הוורדפרס שלך? נסה את ההופעות המשתלמות המובילות האלה ב- Fiverr!
לחץ כאן למצוא מומחים בנושא אופטימיזציה למהירות של וורדפרס.
לחץ כאן ליצור אתר וורדפרס מלא.
אם יש לך שאלות, שאל בהמשך בסעיף ההערות ואנחנו נעשה כמיטב יכולתנו לעזור לך.
האם ידעת שאנשים שמשתפים דברים שימושיים כמו הפוסט הזה נראים גם כן מדהימים? 😉
אנא לעזוב מועיל הגיב עם מחשבותיך, ואז שתף זאת בקבוצות הפייסבוק שלך מי ימצא את זה שימושי ובוא נקצור את היתרונות יחד. תודה ששיתפת ונחמדה!
גילוי נאות: דף זה עשוי להכיל קישורים לאתרים חיצוניים למוצרים שאנו אוהבים וממליצים עליהם מכל הלב. אם אתה קונה מוצרים שאנו מציעים, אנו עשויים להרוויח דמי הפניה. עמלות כאלה אינן משפיעות על המלצותינו ואיננו מקבלים תשלומים עבור ביקורות חיוביות.
