גל של פריצות אתרי וורדפרס ממשיכה ברשת ובחלקם מהמקרים המערכת בכלל לא זאת שאשמה בחורי האבטחה האלו אלא המשתמשים ובעלי האתרים עצמם. שימוש לא נכון במערכת ושימוש בגרסאות ישנות של וורדפרס זאת אחת מהסיבות שפריצות כאלה מצליחות לעבור. בפוסט הזה נעבור על 10 טיפים הכי קריטיים שיכולים לעזור לך להגן על האתר בפני התקפות רבות ולסגור דלתות שיכולות לסייע לפריצות אבטחה.
אחת מהסיבות שאני כותב את הפוסט הזה, הוא בעקבות שאלות שחוזרות על עצמן ע"י סטודנטים שלומדים קורס בניית אתרים ובעלי אתרים רבים אשר מבקשים עזרה בכל הקשור לאבטחת מידע. אחת הבעיות הידועות של רוב בעלי האתרים, הוא שאף אחד לא דואג לאבטחה עד לפריצה הראשונה. זאת האמת, והאמת לפעמים כואבת אבל רוב רובו של בעלי אתרים לא ממש משקיעים זמן להגן על המערכת, להגן על הקבצים ואני רואה זאת כל יום ויום כשאתרים רבים קמים ו-90 אחוז מהם (אם לא יותר) בכלל לא עושים שום צעד כדי להגן על המערכת מפריצות.
זה טוב לסמוך על המערכת, ויש הרבה סיבות למה כדי לכם לסמוך על וורדפרס אבל יחד עם זאת אתם בתור בעלי אתרים צריכים להיות ערניים לכל מה שמתרחש שם אם זאת ברמת המערכת ואם זאת ברמת השרת אחסון.
[toc]
זה טוב להאמין שהכל ורוד בעולם ואפשר תוך דקות ספורות להקים אתר אינטרנט, אבל…. מעבר לזה יש דברים שחשובים לא פחות כדי לשמור על המידע שנשמר אצלכם באתר, כדי לשמור על הביטחון ותקינות האתר שלכם.
שימו לב, שפריצות לא רק יכולות לפגוע באתרכם ברמת הקבצים וברמת פעילויות הטכניות של האתר אלא גם ברמת ה-Seo. מכירים את המקרים בהם אתם מנסים לגשת לאתר כלשהו ודפדפן מציג לכם הודעת הזהרה בכניסה לאתר? הדבר הזה יכול לגרום להסרה מלאה מאינדקס של מנועי החיפוש ושלא נדבר על שיטות קידום אתרים בכובע שחור.
קידום אתרים בכובע שחור ידוע בפריצות מסוג אחר שבעל האתר אפילו לא מודה לכך שפרצו לו לאתר וגם לא נעשה שום שינוי ברמת העיצוב או ברמת התכנים שאפשר לזהות זאת בקלות. ברוב המקרים, בעלי אתרים לא ידעו על הפריצה וימשיכו את חייהם הרגילים. אני לא אכנס לנושא הזה, מכיוון שזה לא רלוונטי כאן ועכשיו, אבל אולי בהמשך העשה סיקור מלא ודרכי שיווק באמצעות קידום בכובע שחור.
נחזור חזרה לנושא של אבטחת מערכת וורדפרס. תפנו לעצמכם כמה דקות ואולי את השעה הקרובה לטיפול באתר שלכם. כנסו לפנל ניהול של וורדפרס וגם של השרת אחסון ותכינו את עצמכם לשינוים טכניים..
טיפים לאבטחת וורדפרס
- בדוק אם יש עדכונים של וורדפרס ותעדכן מיד
- מומלץ לכבות את האפשרות עריכת תוספים ותבניות דרך ממשק הניהול של המערכת.
פתרון: עריכה של תוספים ותבניות לא נעשות לעיתים קרובות ולכן אין סיבה שאפשרויות העריכה יהיו מופעלות. כדי לסגור אפשרויות עריכת קוד מתוך פנל ניהול של המערכת גשו לשרת האחסון, ותפתחו את הקובץ wp-config הנמצא בתיקיה הראשית של וורדפרס.
הוסיפו את השורה הבאה בקובץ ההגדרות:- define('DISALLOW_FILE_EDIT',true);
הערה: כדי לערוך קבצים של התבנית או של התוספים, ניתן לעשות זאת דרך השרת או במחשב המקומי באמצעות תוכנות עריכה כמו Notepad++ או Dreamweaver או באמצעות Coda או Textedit במחשבי Mac. לא מומלץ שאפשרות עריכת קוד יהיה נגיש דרך המערכת.
- משתמשים יכולים לראות את גרסת וורדפרס אותה אתה מריץ באמצעות קובץ readme.html
פתרון: מומלץ להסיר את הקובץ הנ"ל מהשרת הנמצא בתיקיה הראשית של Wp.
הערה: שים לב שבעדכון הבא של וורדפרס הקובץ יופיע שוב. - קובץ ההתקנה של וורדפרס נגיש.
פתרון:גשו לתיקיית wp-admin, הסירו את הקובץ install.php הנמצא בתוך תיקיה הזאת.
הערה: ניתן להסיר את הקובץ הזה ללא חשש. - להגן על הקבצים באמצעות htaccess
פתרון: אנחנו יכולים לנעול את הקבצים באמצעות קובץ htaccess. יש קבצים רבים שאפשר להגן במערכת, אך חשוב ביותר להגן על הקובץ wp-config.php המכיל כניסה למסד נתונים. פתח את הקובץ htaccess והכנס את השורות הבאות אל תוכו.- <Files wp-config.php>
- Order Deny,Allow
- Deny from all
- </Files>
- להגן על בסיס נתונים באמצעות בחירת קידומת ייחודית לטבלאות
פתרון: שינוי הקידומת של ברירת המחדל (wp_)לטבלאות בבסיס נתונים היא אחת הדרכים הטובות ביותר להגן עליה. בוטים ותוכנות למינהם המיועדים לביצוע פריצות אבטחה וביצועי SQL injection יודעים היטב את הקידומת ברירת המחדל של כל מסדי נתונים של וורדפרס. לתוכנות אלו קל יותר יחסית לתקוף כאשר הם יודעים את הפרטים אלו לכן מומלץ לשנות את הקידומת למשהו ראנדומלי למשל "asYUBHdadeIsh7Qfm_". הדבר יגרום לקושי מסוים לתקוף ולגלות את הקידומת הזאת עבור בוטים. שינוי קידומת טבלאות ברירת המחדל של בסיס נתונים היא אחת הדרכים הטובות ביותר להגן על Database.
כדי לשנות את הקידומת כל מה שעליך לעשות זה להיכנס לקובץ wp-config.php לפני התקנת וורדפרס ולרשום את השורה הבאה:
- $table_prefix = 'asYUBHdadeIsh7Qfm_';
הערה: כדי לשנות את הקידומת למערכת מותקנת באתר, קיים 2 דכרים לביצוע. אחת, היא לעשות זאת באמצעות תוסף והשניה היא ידנית (מדריך יבוא בהמשך).
- הגדרה ושינוי של מפתח סודי
פתרון: בעת פתיחת קובץ קונפיגורציה של וורדפרס כפי שתואר בסעיפים הקודמים, נגלה 4 מפתחות סודיות שנראות כך:- define('AUTH_KEY', ' ');
- define('SECURE_AUTH_KEY', ' ');
- define('LOGGED_IN_KEY', ' ');
- define('NONCE_KEY', ' ');
אני נידהם כמה אנשים לא משנים את המפתחות האלו באופן ידני. הדבר נועד כדי להצפין ולהגן על הסיסמאות של המערכת. כדי לקבל מפתחות סודיות, כל מה שעליכם לעשות זה להכנס לקישור המצורף ולעתיקם אל תוך הקובץ במקום ברירת המחדל: https://api.wordpress.org/secret-key/1.1
הערה: לאחר שמירה ושינוי מפתחות, כל המשתמשים אשר מחוברים למערכת יוזרקו החוצה לאתר להתחבר חזרה לפנל ניהול של וורדפרס שוב באמצעות שם משתמש וסיסמה (כולל אותך). - להסיר את Windows Live Writer מהקוד.
פתרון: וורדפרס מאז גרסתה ה-3.0 כוללת תכונה המאפשרת להתחבר למערכת דרך windows live writer כדי ליצור פוסטים מתוך המחשב וכיביכול לא להדליק דפדפן. הקוד המאפשר לעשות זאת מופיע בין תגיות header. היא מותמאת באופן אוטומטי באמצעות המערכת. לדעתי התכונה הזאת מיותרת ולא יעילה ואף מסוכנת שיוצרת ומאפשרת התחברות חיצונית ללא צורך אמיתי.
למרות ההמלצות, יש לא מעט בעלי אתרים העושים שימוש בתוכנה הזאת כדי לכתוב ולפרסם מאמרים באתרם.
כדי להסיר את הפיצ'ר הנחמד הזה שמתווסף לכל אתר ואתר גם אם משתמשים ובה וגם אם לא, כל מה שעליכם לעשות זה להכניס את השורות הבאות אל לתוך קובץ Functions.php של התבנית בה אתם משתמשים.
- remove_action('wp_head', 'wlwmanifest_link');
הערה: למרות המחלוקת בדעות על כתבן של ווינדואוס לצורך כתיבת פוסטים, אני ממליץ לא להשתמש בכלי הזה מכיוון שאין לכם צורך בכך. הרבה יותר נוח ופשוט לעבוד באמצעות דפדפן במקום תוכנה מקומית במחשב. במידה ולא השתמשתם בה עד עכשיו, אז אין צורך שהיכולת הזאת תופעל על בסיס קבוע באתר שלכם לכן פשוט תבטלו אותה ע"י קוד שצויין למעלה. (הדבר יכול להאיץ ברמה מינורית אבל עדיין להאיץ טעינת האתר)
- טיפ אחרון הוא התקנת 2 תוספים הבאים. AntiVirus ו- BBQ
הסבר: תוסף BBQ הוא ראשי תיבות של Block Bad Queries נועד כדי להגן אחרי שאילתות זדוניות דרך ה URL (למשל אם כתובת הדף הוא ארוך יותר מ-255 תווים וכו').
תוסף AntiVirusל-Wordpress מגן בפני התקפות, תוכנות זדוניות ושתילת ספאם באתרכם.תכונות התוסף:- התראות של התוסף בבר העליון של וורדפרס.
- סריקה יומית עם התראות במייל
- בדיקת טבלאות בבסיס נתונים ותבניות.
- בדיקות ידניות.
הערה: מומלץ להשתמש בשני התוספים או לפחות ב- BBQ בכל אתר. גם היום מתבצעים ניסיונות פריצה באמצעות שאילתות זדוניות ב-URL וחלקם גם מצליחים לעבור.
בואו ניקח רגע כדי להסתכל על הסיבות העיקריות לפריצות שאנו רואים היום:
- ניהול כושל של סיסמאות והרשאות Ftp, פנל ניהול של וורדפרס, שרת אחסון, בסיס נתונים ועוד..
- ניהול המערכת ברמה ירודה
- שרתי אחסון לא מקצועיים
- מערכות לא מעודכנות – php, וורדפרס, תוספים, תבניות, מסדי נתונים
- חוסר ידע באינטרנט
- חוסר ידע באבטחה
5 תוספים שיעזרו לכם באבטחת וורדפרס
6Scan Security
קישור: http://wordpress.org/extend/plugins/6scan-protection
פרטים נוספים: התוסף מספק הגנה אוטומטית מפני פריצות לוורדפרס. היא מבצעת סריקה מלאה של המערכת ובודק חורי אבטחה רבים + מבצע תיקון.
Better WP Security
קישור: http://wordpress.org/extend/plugins/better-wp-security
כמה מילים: תוסף מעולה לאבטחת מערכת וורדפרס. רק חשוב לומר, שאם אתם לא יודעים מה אתם עושים איתו, הוא יכול לפגוע בפעילות האתר ובמערכת כולה. יש הגדרות העושה שינוים ברמת המערכת כמו שינוי שמות של תיקיות ברירת המחדל של וורדפרס וזה יכול לפגוע בתקינות האתר ובאתר כולו כולל בסיס נתונים. לכן תשתמשו בתוסף הזה בזהירות ורק אם אתם יודעים מה שאתם עושים.
LockerPress
קישור: http://wordpress.org/extend/plugins/lockerpress-wordpress-security
הסבר קצר: LockerPress מגן על האתר שלכם מפני פריצות באמצעות מגוון פתרונות בהתאמה אישית. אבטחת וורדפרס באמצעות תוסף "לוקרפרס" יכול לספק פתרונות אבטחה רבים כגון שינוי URL של עמוד ההתחברות למערכת, שינוי קידומת לטבלאות בבסיס נתונים, שינוי שם משתמש ועוד.
WordPress File Monitor Plus
הפניה: http://wordpress.org/extend/plugins/wordpress-file-monitor-plus
הסבר: מפקחת על WordPress עבור קבצים שנוספו / נמחקו או שונו במערכת. כאשר מזוהה שינוי קובץ כלשהו, ישלח התראה לכתובת דוא"ל של מנהל האתר.
No Soup
קישור: http://wordpress.org/extend/plugins/no-soup
הסבר: במידה ואתם מעוניינים לחסום גולשים ממדינות מסויימות, מספקי אינטרנט שונים או לחסום משתמשים ספציפיים, התוסף No Soup מאפשר לכם להגדיר טווח כתובות IP לחסימה. למשל חסימת גלישה ממדינות כמו למשל טורקיה שידוע בלא מעט התקפות ופריצות אתרי אינטרנט ישראלים. אם אין לכם כל צורך שאתרכם יהייה נגיש בכל המדינות בעולם, ניתן להגדיר את טווח כתובות IP בתוסף הזה לחסימה.
לסיכום
אפשר להבין שהקמת אתר אינטרנט לא מסתיים בהתקנת וורדפרס וכדאי מאוד שכל בעל האתר יבין את זה במיוחד שאנו חיים כעת בעולם דיגיטלי שהכל נגיש וכולם רוצים להגשים את חלומם של "הצלחה עסקית" באמצעות שימוש בכלים חינמיים ויחד עם זאת יורים לעצמם ברגל. ראיתי אנשים מוכשרים מאוד נופלים במלכודת הזאת לא פעם ולא פעמיים.
גנבת מידע זה דבר מסוכן ויכול להסתכם בפגיעה משמעותית לכל עסק. לכן מומלץ מאוד לעזר באנשים מוכשרים שיש לא מעט היום כדי לטפל בבעיות לפני שנפגעים. לא להיזכר שאתם צריכים עזרה רק אחרי שאתר שלכם נפרץ ומידע רגיש נגנב מאתרכם או נעשו פעולות שונות שיכול להיחשב כהפסד בעסק.
בנוסף להכל, אני לא מוכן לקבל את התשובות מהסוג הזה: "אני עסק קטן, אתר שלי לא גדול מספיק כדי לטפל בו, יש מעט מאוד כניסות אליו, אף אחד לא ירצה לפרוץ אליו" וכו'.
יש לך שאלה או הערה בכל מה שקשור לפוסט? פרסמו אותה למטה.
יוסי אתה מטורף! תודה רבה על כל המידע!
לא יודע מאיפה להתחיל 🙂
למדתי אצלך בקורס וורדפרס שנה שעברה, ואני חייבת לומר שמעבר לזה שאתה מרצה תותח אתה גם בן אדם מדהים.
כל פעם מחדש אני נלהבת מהידע שלך
וואו 🙂 תודה!
שמח לשמוע
בשביל כל זה אני צריך גישה לשרת? ואם אין לי גישה לשם מה אני עושה?
כמה בעיות יש למערכת הזאת. אחרי כל מה שרשמת כאן אני בספק שארצה לסכן את עצמי בלעבוד עם וורדפרס.
עכשיו הבנתי שוורדפרס זה חרא של מערכת עם בעיות אבטחה קשות.
אין צורך בהתבטויות מהסוג הזה.
כל אחד יחליט לעצמו עם מה לעבוד. רק יגיד שלדעתי אתה טועה.
תודה
איזה פוסט מושקע!
אתה היחידי בארץ שמבין בכל הדבר הזה! פשש תודה איש.
מאמר מעולה ומקיף – שווה הצצה
מי שחווה פריצה לאתר יודע שמדובר בחוויה קשה מאוד.
תודה לך יוסי על המידע המצויין!
אחלה מדריך,עזרת לי מאוד. תודה!
מאמר מצוין! זמן הביצוע שווה לזמן הקריאה.
איך להגן על האתר שלך ברבע שעה של עבודה
שמחתי שזה עזר לך מאני!
אהלן יוסי,
בדקתי לאחרונה את נתוני האתר שלי באלקסה וגיליתי שהכניסות לאתר שלי מתבצעות ע"י חיפוש מילות מפתח שליליות ביותר (אתה כבר יכול לנחש איזה מילות מפתח..).
מכך הסקתי שמישהו פרץ לאתר שלי, ומשתמש בו לקידום אתרים שחור.
האם אתה מכיר תוסף לוורדפרס שסורק את כל האתר ומוצא בו קוד זדוני או משהו כזה? כי ניסיתי כבר 4 תוספים ולא ניראה לי שהם עוזרים..
האם יש בעיות עם גירסה 3.4.2 ? כרגע אני עם 3.4.1 והיה מי שטען שהשידרוג עלול לגרום לבעיות באתר.
היי,
כל שדרוג יכול לגרום לבעיות. זה לא משהו שאתה צריך לפחד ממנו.
מומלץ לשדרג בכל מקרה.
היי יוסי! אשמח לדעת מה לעשות כדי לשנות את הקידומת למערכת מותקנת כבר אתר.. הזכרת במאמר שניתן לעשות זאת ידנית ושמדריך יבוא בהמשך. תודה רבה:)
להיכנס ל phpmyadmin ולשנות את קידומת הטבלאות באופן ידני
להיכנס לקובץ wp-config.php למצאו את השורה הבאה:
$table_prefix = 'wp_';
ולשנות wp לזה שנתת ב mysql דרך phpmyadmin.
מקווה שזה היה ברור.
זה ברור רק לא מצאתי בphpMyAdmin איפה אני משנה את הקידומת של הטבלאות – לא מצאתי את אופציה העריכה עצמה.
תודה!
את צריכה להריץ פקודה ב- SQL. הרי יש לך למעלה בתפריט browse, structure, Sql וכו'.
תבחרי SQL ותרשמי למשל שורה הבאה
RENAME table `wp_commentmeta` TO `yossijana_commentmeta`;
מה שהוא יעשה, ימצא את טבלא בבסיס נתונים שקוראים לו wp_commentmeta וישנה את אותה ל yossijana_commentmeta
וכך עם כל הטבלאות בבסיס נתונים. זאת הפקודה שאת צריכה לרשום ב sql וללחוץ על כפתור GO
ממליץ לך לגבות בסיס נתונים לפני שאת נוגעת בו.
מצאתי. מעולה
תודה רבה אין כמוך
שלום יוסי,
אתמול ראיתי את ההערות שלך שנראות אחלה דרך להגן על האתר (אני לא מומחה בכלל במחשבים)
לא הצלחתי לעשות את כולם אבל משום מה ניסיתי להיכנס למערכת ניהול תוכן על מנת לעשות גיבוי לאתר אבל הוא ישר מפנה אותי לאתר עצמו.
אתה יכול אולי לעזור לי בלהגיד מה הסיבה לכך ואיך אפשר להיכנס למערכת ניהול תוכן של האתר?
אולי קשור לתוסף LOCKER PRESS שהתקנתי?!
תודה מראש!
היי יוסי
אני התקנתי את AntiVirus וגיליתי שהוא סורק רק קבצים ב-ROOT של תיקית תבנית. ואם יש בעיה בקבצי WP או בתוך התיקיה UPLOADS או קבצים אחרים הוא לא מזהה אותם?
שאלה נוספת – אם הוא כבר מצא איזה קובץ עם קוד ממש לא טוב, מה היא דרך נכונה לעצור את זה באופן הכי מהיר?
תודה רבה,
בכבוד,
אולגה
היי אולגה
1) כדי לעשות סריקה מלאה ובדיקה מקיפה של המערכת את צריכה תוסף שלא יצא לי לסקור ואולי בקרוב אעדכן את הפוסט הזה, זה תוסף בשם Total Security שניתן להוריד בקישור הבא: http://wordpress.org/plugins/total-security/
עושה עבודה מעולה
2) להסיר את הקוד. תלוי מה הקוד ולאן הוא שייך. אם זה בתוך איזה תוסף, אז לכבות את התוסף ולהסיר אותו מהשרת ולחפש תחלופה לתוסף. אם זה בתוך התבנית, אז להסיר / לשנות את הקוד בהתאם במידה ואת יודעת מה לעשות ואיך לערוך. אם את לא מבינה php ממליץ לא לגעת בקוד עצמו ולעזר במישהו שכן יודע.
בכל מקרה, כדאי ומומלץ מאוד לגבות לפני שנוקטים בצעד כלשהו.
תודה, יוסי
אני שמחה שמצאתי מענה מקיף 🙂
אתה באמת איש מקצוע נהדר,
בהצלחה
אולגה
שלום יוסי.
קודם כל תודה רבה על המידע המקצועי.
אני כרגע נמצא בשלבים של פתיחת אתר משלי, ומתלבט בין
wordprass לבין אחת מהחברות שמאפשרות בניית אתר "בקלות" (Weebly).
החשש העיקרי שלי הוא נושא ההבטחה.
במידה ואני לומד ומבצע את הפעולות על מנת לאבטח את ה wordprass, עד כמה הוא יהיה בטוח לעומת אתר של חברה כגון weebly?
בתודה מראש,
משה.
aהיי יוסי
תודה עבור המאמר.
אאני בעלת אתר שעלה לאוויר לא מזמן.
אאיך אני יודעת מה היא "מידת" האבטחה שקימת באתר ?
שלמי עלי לפנות לברור זה, מפתח האתר או החברה שבה אני ממאחסנת את האתר, ואם לשניהם, אז מה בגדר האחריות של כל אחד מהם ?
וועל מה עלי להתעקש מולם מבחינת סדר העדיפויות ?
האם יש שינויים/עידכונים למאמר שכתבת נכון להיום (יולי 2014) ?
תודה
מיכל
נ.ב. הכפילויות בצד ימין של הטקסט נובעות מכך שלא ניתן לראות את החלק הזה בחלון ההקלדה. אולי שווה לתקן 🙂