6 הפעולות לאבטחת אתר וורדפרס
עכשיו נעבור על כמה פעולות שאנחנו צריכים לעשות גם באתר וגם ברמת השרת והדומיין.
פעולה 1 – שימוש בפרוטוקול SSL
SSL (Secure Sockets Layer) הוא פרוטוקול אבטחה שמטרתו להבטיח תקשורת מאובטחת בין השרת למשתמשים באתר. כאשר אנחנו מתקינים תעודת SSL באתר, הפרוטוקול מצפין את הנתונים הנשלחים והמתקבלים מהאתר, ובכך מונע מהאקרים לגנוב מידע רגיש שעובר בדרך כמו סיסמאות, פרטי כרטיסי אשראי, ומידע אישי אחר.
הגולשים באתר מרגישים בטוחים יותר כאשר הם רואים את הסימן של מנעול ירוק בשורת הכתובת ואת התחילית “https://”, המעידים על כך שהאתר מאובטח באמצעות SSL. בנוסף לכך גוגל מעודדת אתרים להשתמש ב-SSL ואף נותנת להם עדיפות בדירוג תוצאות החיפוש.
כיצד להתקין SSL באתר וורדפרס?
ברוב המקרים, שרת האחסון שלכם יכול לעזור בהתקנת תעודת ה-SSL בשרת – בשרת קלאודוויז (שאני משתמש בו) ניתן להתקין מכאן:
לאחר התקנת ה-SSL, יש לוודא שכל הבקשות ל-HTTP מופנות אוטומטית ל-HTTPS.
כדי לבדוק אם מותקנת תעודת SSL באתר שלכם ניתן להשתמש באתר הזה SSL Checker.
פעולה 2 – שימוש בקלאודפלר
קלאודפלר [cloudflare] זוהי פלטפורמה מעולה לאתרי אינטרנט, היא תורמת לאתר גם מבחינת האיכות וגם מבחינת אבטחת האתר. יש אפשרות בקלאודפלר להגדיר חוקים היכן להגביר את אבטחת האתר.
עוד אפשרות מאוד חשובה, להגדיר את האתר במצב התקפה – כאשר אנחנו מזהים שיש התקפת DDoS לדוגמה. ניתן להפעיל את האפשרות הזאת ואז הגולשים יקבלו עמוד שמבקש להזדהות אם אתה רובוט או לא.
כמו בתמונה:

איך מגדירים קלאודפלר לאתר שלכם?
- פתחו חשבון חדש בחינם.
- הוסיפו את הדומיין של האתר שלכם ובחרו בחבילה החינמית.
- העבירו את כל הרשומות DNS כמו שהיו עד היום.
- הכי חשוב! הגדירו את ה- NS (Nameservers) בהתאם לשמות שתקבלו.
בסרטון הבא ניתן לראות הסבר יותר מפורט על הגדרת קלאודפלר:
פעולה 3 – שימוש באחסון מאובטח ואמין
החשיבות של השרת היא מאוד קריטית בחרו בשרת אחסון שמציע הגנות מתקדמות, גיבויים יומיים (חשוב מאוד!), חומת אש, ותמיכה טכנית 24/7 למקרה שאתם לא משתלטים על ההתקפה.
שרת אחסון טוב יכול לעזור למנוע פריצות עוד לפני שהן קורות. לאחר שעברתי המון שרתים במהלך השנים אפשר לומר שמצאתי את השרת שאני ממליץ עליו בחום, והוא קלאודוויז [Cloudways].
בסרטון הבא ניתן לראות איך אני מעביר אתר לשרת קלאודוויז חדש:
פעולה 4 – עדכון תדיר של וורדפרס, תוספים ותבניות
ביצוע עדכונים באופן קבוע יעזרו לכם לתקן פרצות אבטחה ולשפר את הביצועים של האתר. ולכן הקפידו לעדכן את המערכת, התוספים והתבניות בכל פעם שמתפרסמת גרסה חדשה.
ההמלצה שלי היא להגדיר את האפשרויות לעדכונים אוטומטיים, כך:
- גשו ללוח הבקרה > שדרוגים.
- הגדירו את הגרסה הכי חדשה של וורדפרס.
- הפעילו את האפשרות "אפשר שדרוגים אוטומטיים לכל הגרסאות החדשות של וורדפרס"
- גשו ללוח הבקרה > עיצוב > תבניות.
- הגדירו את הגירסה הכי חדשה של התבנית שלכם.
- הפעילו את האפשרות "הפעל עדכונים אוטומטיים"
- הסירו כל תבנית שלא בשימוש.
- גשו ללוח הבקרה > תוספים.
- הפעילו את האפשרות "הפעל עדכונים אוטומטיים" לכל התוספים
- הסירו כל תוסף שאין בו שימוש.
לאחר שביצענו עדכונים באתר חשוב לעבור על האתר ולראות שלא נפגם משהו כתוצאה מהעדכון. ואם הפעלת עדכונים אוטומטיים תשימו לב מידי פעם לבדוק שהכל עובד תקין.
פעולה 5 – הגדירו סיסמאות חזקות
יצא לי לעבוד על הרבה אתרים, והיו המון פעמים שקיבלתי פרטי גישה לאתר והייתי בשוק כל פעם מחדש – הסיסמה הייתה משהו דומה לדומיין או לשם משתמש. אלו סיסמאות שלא צריך האקר כדי לפרוץ אותם, מספיק להיות קצת יצרתי ונחוש ולעלות על הסיסמה הזאת.
ההמלצה שלי היא להשתמש בסיסמאות הקשות שכוללות שילוב של אותיות גדולות וקטנות, מספרים וסימנים מיוחדים. והימנעו משם משתמש נפוץ כמו admin.
שמרו את הסיסמה בכמה מקומות שתהיה לכם גישה אליהם לדוגמה: תשלחו את הסיסמה לעצמכם במייל (לא בוואטסאפ), והכי מומלץ תכינו קובץ במחשב שמכיל את הסיסמאות שלכם.
פעולה 6 – התקנת תוסף אבטחה לאתר
תוספים כמו Wordfence, Sucuri, iThemes Security, או All In One WP Security & Firewall מספקים הגנה מתקדמת לאתר וורדפרס. תוספים אלו כוללים חומת אש, סריקות קבועות לאיתור נוזקות, ניטור פעילות חשודה ועוד.
טיפ זהב! גיבוי האתר – המפתח לאבטחה
גיבוי קבוע של האתר הוא הבסיס לאבטחה מוצלחת. הוא מבטיח שתוכל לשחזר את האתר במהירות במקרה של תקלה או פריצה. שמור גיבויים סדירים במקום בטוח ותמיד תהיה מוכן לכל תרחיש.
לרציניים בלבד! הסתרת עמוד התחברות
לכל אתר וורדפרס יש לוח בקרה שנמצא תחת הלשונית /wp-admin/ ב- URL. וזו מטרה קלה להאקרים או אפילו למשתמשים שמבינים קצת להגיע לעמוד הזה.
יש אפשרות לערוך ולשנות את הכתובת הזאת לכל כתובת אחרת שתבחרו, ובכך להקשות את מציאת הלוח בקרה שלכם. כדי לעשות זאת ניתן להשתמש בתוסף – WPS הסתר התחברות.
זוהי פעולה שמאוד מקשיחה את הגישה לאתר שלכם, ולא תמיד צריך להשתמש בה. אני אישית כמעט ולא משתמש בפעולה זו, אלא אם כן יש לי סיבה מאוד מוצדקת להגיע לרמת אבטחה גבוהה.
סיבות שהאקרים ירצו לפרוץ לאתר שלכם
| מטרת הפריצה | הסבר |
|---|---|
| נזק עסקי למתחרים | מתחרים לא ספורטיביים שרוצים לעקוף את האתר שלכם, ישלמו להאקר במטרה לפגוע באתר שלכם ולגרום לו לירידה בדירוגים וכתוצאה מכך האתר שלהם יעלה. |
| השתלטות על האתר | השתלטות לשימוש בקידום מטרות זדוניות, כמו הפצת תוכן פוגעני, מכירת מוצרים מזויפים וכדומה או אפילו לצורך דרישת כופר על האתר. |
| גניבת נתונים אישיים | אם האתר שלכם מכיל מידע רגיש כמו, פרטים אישיים של משתמשים, מספרי אשראי, סיסמאות וכדומה. יש סיכוי גבוהה שהאקרים ינסו לפרוץ את האתר. |
| שימוש במשאבי השרת | האקרים עשויים לפרוץ לאתר וורדפרס כדי לנצל את משאבי השרת לצרכים שלהם, כמו כריית מטבעות קריפטוגרפיים (Cryptojacking), הפצת דואר זבל (Spam), או הפעלת מתקפות DDoS על אתרים אחרים. |
| הפיכת האתר לחלק מרשת בוטים | האתר יכול לשמש כחלק מרשת בוטים (Botnet) שנשלטת על ידי האקר ומשתתפת במתקפות על אתרים או שרתים אחרים, מבלי שבעלי האתר יהיו מודעים לכך. |
יש עוד סיבות למה כדאי לנו לשמור על אבטחת אתר וורדפרס. הכי חשוב שתקפידו על הפעולות שציינו לפניכם במדריך ותשמרו על האתר שלכם בצורה טובה.
אם אתם מעדיפים לתת את נושא האבטחה של האתר שלכם לחברה אחרת, אנו מציעים בסטודיו שלנו שירותי תחזוקת אתרים שגם שומרים על האתר שלכם במצב אבטחה מקסימלי.
אולי יעניין אתכם לקרוא את המאמר הבא » 5 התוספים שחובה בכל אתר וורדפרס



