אבטחת וורדפרס הוא נושא סופר חשוב. בעוד תוכנת הליבה של וורדפרס מאובטחת מאוד, והיא מבוקרת באופן קבוע על ידי מאות מפתחים, כבעלי אתר, יש הרבה שאתם יכולים לעשות כדי להפחית את הסיכון, לשפר ולהקשיח את האבטחה באתר שלכם.
במדריך זה תוכלו למצוא עצות אבטחה מובילות של וורדפרס שיסייעו לכם להגן על האתר שלכם מפני האקרים ותוכנות זדוניות.
למה אבטחת אתר חשובה?
אתר וורדפרס שנפרץ יכול לגרום נזק להכנסות ולמוניטין של העסק שלכם. פורצי מחשבים יכולים לגנוב פרטי משתמש, סיסמאות, להתקין תוכנות זדוניות, ואף להפיץ תוכנות זדוניות למשתמשים שלכם.
גוגל מוסיפה לרשימות השחורות שלה, בכל שבוע, עשרות אלפי אתרי אינטרנט שנפרצו עלידי תוכנות זדוניות או עלידי האקרים. אתם לא רוצים להיות ברשימות אלו.
הגרוע ביותר, אתם עלולים למצוא את עצמכם משלמים "כופר" להאקרים רק כדי לקבל בחזרה את הגישה לאתר האינטרנט שלכם.
לשמור על מערכת הניהול וורדפרס ותוספים מעודכנים תמיד
וורדפרס היא תוכנת קוד פתוח אשר מתוחזקת באופן שוטף ומעודכנת. כברירת מחדל, וורדפרס מתקינה באופן אוטומטי עדכונים קלים. עבור מהדורות עיקריות, עליכם להפעיל את העדכון באופן ידני.
וורדפרס מגיע גם עם אלפי תוספים וערכות נושא שניתן להתקין באתר האינטרנט שלכם. תוספים וערכות נושא אלה נוצרו על ידי מפתחי צד שלישי, אשר באופן קבוע מפרסמים עדכונים גם כן.
עדכוני וורדפרס אלו הם קריטיים לאבטחה והיציבות של אתר וורדפרס שלכם. אתם צריכים לוודא כי הליבה של וורדפרס וכל התוספים מעודכנים.
סיסמאות חזקות והרשאות משתמשים
נסיון הפריצה הנפוץ ביותר לוורדפרס קורה כאשר מישהו מנסה להשתמש בסיסמאות גנובות או לנחש את הסיסמה עלידי תוכנה. בגלל זה חשוב מאוד ליצור סיסמאות חזקות שיהיו יחודיות עבור אתר האינטרנט שלכם. לא רק עבור מערכת וורדפרס, אלא גם עבור חשבונות FTP, מסד נתונים, פנל אחסון ועבור תיבת הדוא"ל על הדומיין בשרת במידה ויש כזאת.
דרך נוספת להקטין את הסיכון היא לא לתת גישה עם הרשאת מנהל למשתמשים נוספים, אלא אם כן אתם בהחלט חייבים.
שנה את שם המשתמש "admin" המוגדר כברירת מחדל
בימים ההם, פעם, לא לפני הרבה זמן, שם המשתמש ברירת המחדל של מנהל וורדפרס היה "admin". למרבה המזל, וורדפרס השתנתה מאז ועכשיו דורשת ממך לבחור שם משתמש מותאם אישית בעת התקנת וורדפרס. אך עדיין ישנם הרבה יוזרים ששם המשתמש שלהם הוא admin דבר שמקל מאוד על האקרים לפרוץ לאתר כי הם בעצם מנחשים מראש ששם משתמש של מנהל המערכת הוא "admin" אלא אם החלפת אותו לשם אחר.
מאחר שוורדפרס לא מאפשרת לשנות שמות משתמש מנהל כברירת מחדל, קיימות שיטות שבהן ניתן לשנות את שם המשתמש. אז כדי לשנות שם משתמש יש ליצור שם משתמש חדש של מנהל המערכת ואז למחוק את השם הישן או למתקדמים יותר לשנות את שם המשתמש במסד הנתונים ב- phpMyAdmin.
השבת עריכת קובץ
וורדפרס מגיע עם עורך קוד מובנה המאפשר לך לערוך את ערכת הנושא שלך וקבצים ישירות מאזור הניהול. בידיים הלא נכונות, תכונה זו יכולה להיות סיכון אבטחה ולכן אנו ממליצים לכבות אותה.
באפשרותכם להשבית את עריכת הקובץ על-ידי הוספת הקוד הבא בקובץ wp-config.php.
// Disallow file editdefine( 'DISALLOW_FILE_EDIT', true );לחלופין, אפשר לעשות זאת בלחיצה אחת באמצעות תוסף Sucuri Security הנ"ל
תפקידה של חברת אחסון האתרים בנושא אבטחת האתר שלך
שירות אחסון אתרים שאתם מנויים בו משחק את התפקיד החשוב ביותר באבטחת האתר. שירות אחסון אתרי וורדפרס מקצועי כמו שאנו מספקים נותן לכם מטריית אבטחה רחבה יותר מעבר למקובל עבור האתר שלכם וכולל בין היתר, הקשחת אבטחה למערכת הניהול עלידי חסימת כניסה ממדינות וגורמים "בעיתיים", גיבויים אוטומטיים, עדכוני וורדפרס אוטומטיים, תצורות אבטחה מתקדמת ואפשרות שליטה בפנל אחסון על מעגלי אבטחה אלו.
תוספי אבטחה מומלצים
מעבר לדברים חשובים ביותר אלו אנו ממליצים להתקין תוסף אבטחה שבעצם ישלים את כל מערך האבטחה ויבצע ניטור ומעקב אחר כל מה שקורה באתר וורדפרס שלכם, זה כולל ניטור קבצים וקטעי קוד זדוניים, ניסיונות כניסה כושלים, סריקה של תוכנות זדוניות וכו'.
אנו ממליצים על 2 תוספים מעולים. בחנו אותם והתקינו אז האחד שמתאים לכם יותר.
Sucuri Security – Auditing, Malware Scanner and Security Hardening
קישור להורדה
Wordfence Security – Firewall & Malware Scan
קישור להורדה
מקווה שמדריך זה עזר לכם ואתם כבר מרגישים בטוח יותר (-:
בכתיבת מדריך זה נעזרתי במאמר זה
אל דאגה לא נשתמש באימייל שלכם למטרות אחרות