אבטחת אתר וורדפרס: 32 צעדים לאבטחת האתר המושלמת (חלק א')

נכתב על ידי 
דרג מאמר זה
(1 הצבעה)

מאמר זה מבוסס על המאמר המקורי - WordPress Security: The Ultimate 32-Step Checklist

למה שהאקר יתעניין באתר שלי?

באנר עם אילוסטרציה של האקר - למה שהאקר יתעניין באתר שלי?

לפני שאנחנו צוללים עמוק לתוך הגנת אתר הוורדפרס, זה הכרחי שנבין את הלוגיקה והסיבתיות מאחורי פריצה לאתרים.

זה מובן שוודאי תחשבו:

"למה שהאקר יתעניין באתר שלי? הרי זה רק אתר לעסק מקומי, שנצפה בסך הכל על ידי כמה מאות אנשים. מה יש להם להוציא מזה?"

יש סיבות רבות שהאקר יתעניין ב"אתר קטן" כמו שלכם.

למרות שישנם פריצות שנעשות מסיבות פוליטיות (למשל השחתת אתר לטובת העברת מסר פוליטי), פריצות אלו הן בדרך כלל מאוד מקומיות ולא כל כך פופולאריות כמו שהתקשורת הייתה רוצה שנחשוב.

מרבית התקפות הפריצה קורות מסיבות הרבה יותר ערמומיות.

בימים אלו, פריצות הן חלק ממעגל פלילי שהמטרה העיקרית שלו היא להרוויח כסף בדרכים לא נקיות. בדרך כלל, אחרי שאתר נפרץ הוא הופך להיות סוג של "מתווך" להפצת תוכנות זדוניות. ברוב הפעמים, בעלי האתר לא מודעים כלל לנעשה.

ישנם פריימוורקים שנמכרים בשוק השחור המקוון שהופכות את הפצת התוכנות הזדוניות דרך אתרים פרוצים לפעולה קלה מאוד.

לסיכום, האתר שלכם יכול להפוך לצד בפעילות פלילית!

מעבר לכך, יש צדדים חשובים נוספים בעלי השפעות שליליות שצריך לקחת בחשבון:

  • האתר שלכם יכול להפוך ל"גשר" לפעילות ספאם
  • אתר שנפרץ והושחת בהחלט יכול להזיק במותג ובמוניטין של בעלי האתר, וזאת מלבד מבוכה גדולה
  • אתרים פרוצים בדרך כלל מעמיסים מאוד על השרת שהאתר יושב עליו, דבר שיכול להוביל לסגירה של האתר וירידה בהכנסות
  • העלות של שחזור אתר פרוץ יכול לנוע ממעט מאוד (אם יש לכם גיבוי של האתר) לבנייה מחדש של האתר והמידע שבו, אם אין לכם דרך לשחזר את המידע

חושבים שהאתר שלכם קטן מידי בשביל שיפרצו אותו? תחשבו שוב.

שימוש ברשימה הניתנת בהמשך המאמר יכולה להגן על האתר שלכם רבות מפני פריצה, ולהגן על עצמכם מכל ההשלכות שנכתבו מעט לפני כן.

איך האקרים מוצאים את האתר שלי?

אתם בטח מניחים שמתוך מיליוני האתרים הזמינים באינטרנט, הסבירות שההאקר ימצא ויטרגט את האתר שלכם היא נמוכה מאוד. אחרי הכל, האתר שלכם הוא רק טיפה באוקיינוס האתרים המקוונים, נכון?

זו טעות חמורה לחשוב כך.

האקרים לא עושים את העבודה שלהם בצורה ידנית. הם מעסיקים עוזרים לעבודה מלוכלכת של חיפוש האתרים ופריצתם.

טובף לא בדיוק עוזרים - הם בעצם מתחזקים (רו)בוטים, או תוכנות שכל מטרתם היא לחפש חולשות באתרי אינטרנט מקוונים.

תוכנות או סקריפטים אלו לרוב רצים על שרתי ענן, שם ניתן להתקין אותם או למחוק אותם אם מעט או כלל ללא עקבות. הסקריפטים הללו בדרך כלל מחפשים במאות אם לא אלפי אתרים בשעה, בעוד הם פועלים 24/7.

העובדה שהסקריפטים האלו נקנים במחיר מאוד זול ורצים על אחסונים זולים, הופכים את ההשקעה למשתלמת. סקריפטים אלו לרוב נקנים ונמכרים בפורומים מפוקפקים לשיווק.

ברגע שאתר נמצא, הסקריפט מחפש בו מתוך בנק של אלפי חולשות. אם האתר שלכם לא מוגן בצורה טובה, הסיכוי שלו לצאת מחיפוש כזה ללא פריצה נמוך מאוד.

חולשות באבטחה נמצאים כל הזמן במערכת הוורדפרס והפלאגינים שלה, ולכן חשוב מאוד לשפר את האבטחה סביב אתר הוורדפרס שלכם.

אבטחת אתר וורדפרס: רשימה של 32 צעדי הגנה

עם כל הדברים המפחידים שנאמרו למעלה עדיין טריים בראש, אני רוצה לוודא שאתם חמושים בכל המידע שיעזור לכם להגן על אתר הוורדפרס שלכם בצורה הטובה ביותר.

להלן רשימה של כל הדברים שאתם צריכים לבצע כדי לוודא שאתר הוורדפרס שלכם מוגן.

הרשימה נחלקת ל-2: החלק הראשון כולל צעדים שכולם כולל כולם צריכים לעשות - בעיקר דברים בסיסיים כו סיסמאות חזקות וכדומה. החלק השני ברשימה נכנס לצעדים טיפה יותר מתקדמים לאלו שהם יותר פרנואידים בנוגע לאבטחת האתר שלהם. זה מתאים לאדמינים שרוצים לנעול את הדלת, לשים שרשרת מסביב לדלת, ולנעות בבריח. ואז לשים עוד בריח על הבריח.

חלק ראשון: הצעדים שכולם צריכים לקחת כדי לאבטח את האתר הוורדפרס שלהם

#1: תמיד שמרו על גרסת הוורדפרס שלכם עדכנית

#2: אל תשנו את ליבת המערכת של וורדפרס

#3: וודאו שכל הפלאגינים שלכם מעודכנים

#4: הסירו פלאגינים שלא פועלים או שאינם בשימוש

#5: וודאו שכל תבניות העיצוב מעודכנות תמיד

#6: התקינו תבניות, פלאגינים וסריפטים רק מהאתרים הרשמיים

#7: בחרו אחסון וורדפרס בטוח ואמין

#8: וודאו שהאתר שלכם מריץ את הגרסה האחרונה של php

#9: שנו את שם המשתמש admin

#10: תמיד בחרו בססמאות חזקות

#11: אל תמחזרו ססמאות

#12: הגנו על הססמאות על ידי המנעות מהעברת ססמאות טקסטואליות

#13: עדכנו את האתר שלכם רק מרשתות אינטרנט בטוחות

#14: השתמשו באנטי וירוס מקומי

#15: הטמיעו את Googel Search Console (או בשמו הקודם - Google Webmaster Tools)

#16: אבטחו את וורדפרס עם פלאגין אבטחה של וורדפרס

#17: אם משהו משתבש, שחזרו את האתר מגיבוי

 

חלק ראשון: הצעדים שכולם צריכים לקחת כדי לאבטח את האתר הוורדפרס שלהם

#1: תמיד שמרו על גרסת הוורדפרס שלכם עדכנית

 פעם אחר פעם, אתם שומעים על אנשים שמבטלים את עדכון הגרסה האוטומטית של וורדפרס משום שעדכון "יכול לשבור לי את האתר עם התנגשויות של פלאגינים".

זו סיבה שגויה בעליל לעשות זאת.

אם היתה לכם האפשרות לבחור בין אתר פרוץ לבין פלאגין שבור זמנית, במה הייתם בוחרים?

פלאגינים שאינם תאמים לגרסה האחרונה של וורדפרס, ישארו כך רק לזמן קצר. ואילו אתר פרוץ זו בעיה הרבה יותר גדולה.

wordpress-updates

כל עדכון ליבה מתקן פרצות אבטחה שנתגלו לאחרונה. אם גרסת הוורדפרס שלכם אינה האחרונה, אתם חשופים לאותם פרצות שהעדכון בא לתקן.

אם אתם רוצים לאפשר עדכוני ליבה אוטוטיים ללא פלאגין, ניתן לעשות זאת דרך קובץ ה-wp-config.php. הוסיפו את השורה הבאה של הקוד לקובץ:

auto-updates-wpconfig

השורה למעלה תאפשר גם עדכוני פיתוח ליבה ועדכונים ליליים, שאתם לא בטוח רוצים. במקרה הזה, הוסיפו את שורת הקוד הבאה לקובץ ה-finctions.php כדי לקבל רק עדכונים גדולים או קטנים:

major-minor-updates

שימו לב: אנחנו לא תמיד ממליצים על עדכון ישיר של קובץ ה-functions.php. זה תמיד יותר טוב לצור תבנית בת (child theme).

נדון בשלב מאוחר יותר של המאמר על איך לבצע עדכון אוטומטי של פלאגינים ותבניות של וורדפרס.

#2: אל תשנו את ליבת המערכת של וורדפרס

 ברגע שאתם או המתכנת שלכם משנה את קוד הליבה של מערכת וורדפרס, הקוד שהורדתם בפעם הראשונה שהתקנתם את וורדפרס, אתם לא יכולים עוד לעדכן את וורדפר לגרסה העדכנית ביותר, שום שכל עדכון כזה ידרוס את השינויים שביצעתם לאתר וורדפרס שלכם.

זה משאיר את האתר שלכם עמוק בצרות ברגע שמתגלה פירצת אבטחה קריטית ויוצא עדכון לאותה פירצה. אתם תיאלצו או למצוא דרך לעדכן את התיקון בצורה ידנית בעצמכם, או להשאיר את האתר פגיע. הראשון זה הרבה כאבי ראש ובדרך כלל תשלום גבוה לבעל המקצוע שיעשה זאת עבורכם, והשני זה פירצה קריטית ומיותרת.

מה אתם צריכים לעשות אם יש לכם צורך בשינוי פונקציונליות? לכתוב פלאגין כמובן. זה נותן לכם את היכות לעשות מה שאתם רוצים לעשות, בלי לשנות את ליבת המערכת ולהכניס אתכם לבעיה שדיברנו עליה.

יש הרבה דרכים שונות לבצע שינויים באתר וורדפרס בלי לפגוע בליבה של וורדפרס. אם מתכנת שלכם ממליץ לכם לעשות שינוי שכזה לליבה של וורדפרס, ברחו מהר ככל האפשר.

 #3: וודאו שכל הפלאגינים שלכם מעודכנים

כמו עם קובצי הליבה של וורדפרס, פגיעות וחולשות יכולים להימצא גם בפלאגינים של וורדפרס. היו לא מעט מקרים של פריצות ידועות בעקבות חולשות שנמצאו בפלאגינים ידועים.

 אנחנו לא נעמיד אותם לשיימינג עכשיו וכאן. רוב התוכנות נוטות לבעיות מסוג זה בנקודה כזו או אחרת. זה איך הפגיעות הזו מטופלת, שמראה מי האנשים שעומדים מאחוריה.

פעמים רבות, ברגע שבעיה מתגלה מפתחי הפלאגינים ימהרו לתקן אותה ולהוציא עדכון גרסה. בנקודה זו, זו נהיית אחריותכם לעדכן את הפלאגין לגרסתו האחרונה אחרת האתר שלכם יהיה עדיין פריץ.

plugin-updates

 בין אם אתם עושים זאת ידנית או אוטומטית, דאגו תמיד שהפלאגינים שלכם מעודכנים לגרסה האחרונה.

יש לכם אפשרות להפעיל עדכונים אוטומטיים לפלאגינים שהורדתם מ-wordpress.org. אלו הפלאגינים החינמיים שנמצאים במאגר של וורדפרס. פלאיגינים בתשלום מצריכים עדכון בממשק העדכון שהם יצרו לעצמם. כדי להפעיל את מערך העדכון האוטומטי של wordpress.org, הוסיפו את שורת הקוד הבאה לקובץ ה-functions.php:

wordpress-plugin-updates

אל תזניחו עדכון פלאגינים. השאירו תכניות פעילות בפלאגינים שרכשתם בתשלום כדי שתוכלו להמשיך ולעדכן לגרסאות האחרונות שלהם.

#4: הסירו פלאגינים שלא פועלים או שאינם בשימוש

 בעוד מספר הפלאגינים באתר גדל, כך גם הסבירות שתתגלה פירצת אבטחה באחד מהם. לפעמים אנחנו מתקינים פלאגינים כדי לבדוק את הפונקציונליות שלהם, ושוכחים להסיר את ההתקנה שלהם.

משום שהפלאגינים עדיין מותקנים, הקבצים שלהם עדיין קיימים באתר, ואילו מתגלה בהם חולשה, האתר שלכם נשאר פגיע.

הדרך הבטוחה ביותר היא להסיר את ההתקנה של כל הפלאגינים שאינכם נעזרים בהם. יש דרך מאוד פשוטה לדעת אילו פלאגינים לא בשימוש. הם מסומנים כלא פעילים (Inactive) בעמוד הפלאגינים שבמערכת הניהול של אתר הוורדפרס שלכם.

מחקו אותם.

בנוסף, מחקו את כל הפלאגינים שמוגדרים כפעילים (Active), אך לא באמת נמצאים בשימוש. בכלל, עדיף להתקין פלאגינים על גרסת עבודה (stage) של וורדפרס. העתיקו את האתר שלכם לסביבה מקומית, עדיפות לסביבה על לוקלית (שרת על המחשב), או לכל הפחות הוסיפו תיקיית stage בשרת שלכם והעתיקו לשם את האתר.

#5: וודאו שכל תבניות העיצוב מעודכנות תמיד

אותה לוגיקה שמיושמת בעדכון קובצי הליבה של וורדפרס והפלאגינים שלו, תקפה גם לתבניות. שמירה על אתר בטוח, אומר גם עדכון כל התבניות באתר לגרסה העדכנית שלהם. אחרת, כל פירצת אבטחה לא תטופל.

עכשיו, אתם בטח חושבים על כל השינויים שביצעתם בתבנית, ואיך הם ישברו אם תבצעו עדכון גרסה לתבנית. הבסט פרקטיס זה לבצע את כל השינויים על תבנית בת (child theme), דבר שיאפשר לכם לאחר מכן לעדכן את התבנית בכל פעם בלי שהשינויים שביצעתם ישברו.

אם אתם רוצים באמת להיות רגועים, עדיף להסיר את כל התבניות שלא בשימוש. אתם יכולים לבדוק אילו תבניות זקוקות לעדכון מתפריט העיצוב --> תבניות (appearance --> themes) בממשק הניהול של אתר הוורדפרס שלכם.

אתם יכולים גם להפעיל עדכונים אוטומטיים לתבניות חינמיות שהורדו מ-wordpress.org על ידי הוספת שורת הקוד הבאה לקובץ ה-functions.php:

themes-updates

 

שימו לב: אם אתם לא בעניין של שינויים בקבצים wp-config.php או functions.php, אתם יכולים לבחור להפעיל את כל העדכונים האוטומטיים בעזרת הפלאגין Advanced Automatic Updates.

#6: התקינו תבניות, פלאגינים וסריפטים רק מהאתרים הרשמיים

לפעמים, שהמצב הכלכלי דחוק, אנחנו יכולים להתפתות "לעקוף" את התשלום על ידי הורדה התבנית או הפלאגין מאתרים מפוקפקים.

מה שאנחנו בדרך כלל לא מבינים, הוא שהרבה מהתבניות או הפלאגינים בפיראטיים "טופלו" לפני שאפשרו לכם להוריד אותם כך שתהיה להם דלת אחורית שתאפשר להם לשלוט באתרים שבהם הותקנו הסקריפטים הללו בדיוק לאותם צרכים שמהם אנו מנסים להתגונן.

אז היכן האתרים הבטוחים שמהם נוכל לרכוש תבניות איכותיות?

wordpress.org הוא הנפוץ ביותר לתבניות ופלאגינים חינמיים. תבניות ופלאגינים בתשלום ניתן למצוא באתרים הרשמיים של המפתחים, או בזירות מסחר שמיועדות לכך כמו themeforest.net או codecanyon.net וכדומה.

אם הבטיחות של האתר שלכם חשובה לכם, התרחקו מהאתרים הפיראטיים.

#7: בחרו אחסון וורדפרס בטוח ואמין

 ספק אחסון לאתרי וורדפרס יכול להציע הרבה בהגנה על אתרי וורדפרס מתקיפות.

לספקי אחסון מונחי אבטחה יהיה צוות אבטחה ייעודי שמנטר את החולשות האחרונות (גם פגיעות יום ה-0, שאין להם עדיין תגובת נגד) ומיישמים פרואקטיבית את הכללים על חומת האש שלהם לסנן כל ניסיון פריצה לאתר שלכם.

#8: וודאו שהאתר שלכם מריץ את הגרסה האחרונה של php

דף הסטטיסטיקות של וורדפרס מציג תופעה בעייתית לכל הדעות: רק 1.7% מהתקנות הוורדפרס רצות על הגרסה האחרונה של PHP (7), בעוד בערך 19.8% רצות על גרסה 5.6, שעדיין נתמכת.

שאר התקנות הוורדפרס (קרוב ל-80%) רצות על גרסאות שכבר לא נתמכות!

php-versions

 

מעבר לעובדה שהאתר שכלם לא מרוויח בעדכוני המהירות ששוחררו בגרסאות האחרונות, זה גם אומר שחולשות באבטחה לא תוקנו. זה נשאר באתר, מוכן לניסיון הפריצה הבאה.

בדיוק כמו שוורדפרס מקבל עדכוני ליבה, כולל תיקוני אבטחה, PHP, המנוע שמניע את וורדפרס, גם כן מקבל את מנת חלקו בעדכונים.

עכשיו, לעדכן את הליבה של וורדפרס, את התבניות ואת הפלאגינים זו פעולה די פשוטה.

php-configuration

מצד שני, עדכון גרסת הPHP תלויה בעיקר בספק האחסון שלכם. ספק אחסון טוב אמור לאפשר כם לעדכן את גרסת הPHP לגרסה האחרונה, וזאת בעזרת ממשק ניהול גרסאות פשוט במערכת ניהול השרת (כמו בתמונה למעלה).

#9: שנו את שם המשתמש admin

עד גירסת וורדפרס 3.0, שם המשתמש הדיפולטיבי היה "admin". הדבר יצר סוג של בוננזה להאקרים משום שלא היה להם צורך יותר לנחש את שם המשתמש. הדבר הזה תופס עד היום, רבים עדיין בוחרים את שם המשתמש "admin" בשם המשתמש הדיפולטיבי שלהם.

אחד הדרכים המהירות לעזור לאבטח את האתר שלכם כנגד התקפות brute force הוא לשנות את שם המשתמש "admin" למשהו שקצת יותר קשה לנחש.

 הטריק הפשוט והמהיר הזה לאבטחת אתר הוורדפרס יכול להציל את האתר שלך מהרבה ניסיונות פריצה פשוטות.

#10: תמיד בחרו בססמאות חזקות

כאני מסתכל על לקוח מקליד את ססמת המנהל שלו, אני אוהב לתת לו את הפרטיות שלו ולהסתכל הצידה מהמקלדת.

אך לפני מספר שנים, קרה שבטעות לא הסטתי את מבטי מספיק מהר ולהתפעתי הרבה ראיתי אותם מקלידים את הסיסמה הבאה:

123456 

לומר שהייתי מזועזע זה בלשון המעטה.

צירוף נוסף של שם משתמש וססמה שאני נתקל בה מפעם לפעם, שכמעט מביא אותי לדמעות, זה הצירוף הבא:

admin/admin


מלבד העובדה שכל אחד שיציץ מעבר לכתף שלכם יתפוס את הסיסמה בקלות, יש סיבה רצינית הרבה יותר למה אתם צריכים לצור ססמאות חזקות: האקרים יודעים שבני אדם נוטים לשכוח את הסמסאות שלהם, ולכן נעזרים בססמאות פשוטות, שיותר קל לחזות או לנחש אותן.

הם לוקחים זאת לטובתם על ידי יצירת רשימה של הססמאות הנפוצות יותר, אותם הם יכולים לנסות שוב ושוב. תהליך זה נקרא Brute-forcing a password, ומשום שחלק מהאנשים כן יעזרו בססמאות האלו, זה בעצם משחק מספרים גדולים, כאשר הסיכויים הם בדר"כ נגדכם.

אז תמיד השתמשו בססמאות חזקות.

הנה דוגמא לסיסמה חזקה: THsodicDFfsio$asdwe#243

האם כל הססמאות שלכם צריכים להיות כאלה מורכבים? קרוב לודאי.

#11: אל תמחזרו ססמאות

לעולם אל תמחזרו ססמאות.

אני מבין אתכם, זה נוח שיש ססמה אחת (בתקווה שססמה חזקה) לרוחב כל האתרים שלכם. לא תצטרכו לזכור כל כך הרבה ססמאות, אבל זה רע בכל כך הרבה מובנים.

שוב, האקרים יודעים שזו חולשה אנושית. הכוונה היא שהם מבינים שכאשר הם משיגים גישה לחשבון אחד שלכם, אז הם יניחו שהם השיגו גישה לכל החשבונות שלכם.

יש לא מעט מנהלי ססמאות בשוק שיעזרו לכם לנהל ססמאות שונות ויאחסנו אותם בצורה מאובטחת. מנהלי ססמאות אלו מומלצים מאוד.

זו לא רק פרצה של וורדפרס, אלא בעיה רווחת באופן כללי.

#12: הגנו על הססמאות על ידי המנעות מהעברת ססמאות טקסטואליות

זו עובדה ידועה (ומציאות עצובה) שיש כל מיני סוגים של מעקבים אחרי תנועה באינטרנט. מידע רגיש כגון כרטיסי אשראי וססמאות לעולם לא צריך להישלח באמצעות טפסים לא מאובטחים ומוצפנים.

יהיו מספיק עיניים על המידע שלכם. אנא שמרו על הססמאות שלכם על ידי ביצוע הצעדים המונעים הבאים:

  1. אל תשלחו ססמאות בדואר אלקטרוני, צ'אט, רשתות חברתיות או סוגים אחרים של טפסים לא מוצפנים.
  2. יישמו HTTPS על אתר הוורדפרס שלכם, בעיקר על האדמין, למנוע שליחת ססמאות בטקסט פשוט. אתם יכולים ללמוד על תעודות SSL ו-HTTPS בוורדפרס בלחיצה כאן
  3. הימנעו משימוש בFTP רגיל כשאתם נכנסים לאתר שלכם. השתמשו בSSH או FTPS. פרוטוקול הFTP נכתב בימי העבר של האינטרנט ולא בטוח לשימוש עוד. ססמאות וקבצים נשלחים בטקסט פשוט ולא מוצפן כלל. FTPS או Secure FTP באמת מצפיןם את כל המידע העובר.
  4. וכמובן, אסור לשתף ססמאות בין משתמשים או לאחסן אותם כטקסט פשוט ולא משנה עד כמה נוח זה.

#13: עדכנו את האתר שלכם רק מרשתות אינטרנט בטוחות

לפעמים אנו מאמצים את הנוחות של WiFi חינם. אבל פריקים פרנואידים של אבטחה (כמוני), נוטים להזדעזע מעצם המחשבה של עדכון האתר על גבי רשת לא בטוחה כמו רשת WiFi חינם בקפה המקומי שלך.

רשת WiFi פתוחה זו רשת שמאוד קל "להאזין" לה. אתם תקבלו יותר מסתם אינטרטנט חינם אם תכנסו לעדכן את מנהל המערכת של האתר שלכם מרשת לא בטוחה ואמינה.

תעדכנו את אתר הוורדפרס שלכם רק מרשתות אמינות, כמו זו שבבית שלכם או במשרד שלכם.

#14: השתמשו באנטי וירוס מקומי

דמיינו שאתם וירוס של מחשב שיושב בעמדת שולחן העבודה. רוצו איתי על זה רגע.

זכרו שהמטרה העיקרית של הוירוס היא להתפשט לכל מקום, כמה שיותר עמוק ורחב שאפשר. איזו דרך טובה יותר להפיץ את עצמו מלשכפל את עצמו לתוף אתר האינטרנט שלכם?

זו דרך פעולה נפוצה על ידי וירוסים. יש הרבה שולחנות עבודה נגועים בכל נקודת זמן. ובהרבה משולחנות עבודה אלו, משתמשים גם מנהלי מערכת של אתרי וורדפרס.

במקרה הכי גרוע, הוירוס משולחן העבודה הנגוע ישכפל את עצמו לאתר שלכם, יעקוב אחר ססמאות, כרטיסי אשראי והפרטים האישיים שלכם.

דאגו שיהיה על שולחן העבודה שלכם תוכנת אנטיוירוס טובה ומעודכנת כדי למנוע מצבים כאלו.

#15: הטמיעו את Googel Search Console (או בשמו הקודם - Google Webmaster Tools)

 בעוד המלצה זו אינה המלצץ וורדפרס פר סיי, זהו בהחלט צעד שיכול להשלים יפה את הצעדים שביצעתם עד כה כדי להעלות את רמת האבטחה של אתר הוורדפרס שלכם.

לגוגל ולמנועי חיפוש אחרים יש אינטרס בלוודא כי האתר שלכם נקי מתוכנות זדוניות. מסיבה זו, קונסולת החיפוש של גוגל תתריע בפניכם אם האתר שלכם יאחסן בתוכו תוכנה זדונית.

למרות שזו לא סיטואציה אידאלית שבה האתר שלכם כבר פרוץ ולא מדובר בצעדים טרם הפריצה, עדיין טוב לדעת שתוכנה זדונית נמצאה באתר שלכם כדי שתוכלו לתקן את הבעיה בהקדם האפשרי.

 

#16: אבטחו את וורדפרס עם פלאגין אבטחה של וורדפרס

צעדים רבים ברשימה הזו אינם טריוויאלים. לעתים קרובות תצטרכו ללשחק עם ממבו ג'מבו טכנולוגי, ובמקום לאבטח את אתר הוורדפרס שלכם, תמצאו את עצמכם מקלקלים אותו.

אבל אנחנו שומרים לכם על הגב. Defender זהו דרך קלה אך בטוחה לשמור על אבטחת אתר הוורדפרס שלכם ללא מאמץ מצדכם. פלאגין האבטחה של WPMUDEV יכול לאתר כל בעיית אבטחה שמשפיעה על האתר שלכם בזמן אמת, ולספק לכם הדרכה כיצד לתקן אותה.

defender סורק את האתר לפגיעות בקליק אחד

מיד לאחר שתיקנתם את הפרצה, אתם יכולים גם להריץ בדיקה נוספת כדי לוודא שהפלאגינים והתבניות שלכם לא נפגעו, ולא מכילים חולשות ידועות. אם הן כן מכילות חולשות שכאלו, תוכלו לקחת צעדים כדי לתקן את הבעיה לפני שזה הופך לבעיות גדולות.

#17: אם משהו משתבש, שחזרו את האתר מגיבוי 

 הצגתי בפניכם רשימה מכובדת של משימות שיש לבצע כדי לאבטח את אתר הוורדפרס שלכם, ואני מבין שזו משימה די מורכבת לבצע את כל הצעדים שיש ברשימה. אני גם יודע שבמציאות, אתם עלולים לדלג על חלק מהם.

אבל יש דבר אחד ברשימה שממש לא כדאי לכם לדלג עליו!

הדבר האחד והיחיד שחשוב מאוד שלא תפספסו לבצע אותו לעולם הוא לליישם תכנית גיבוי. לא רק במקרים של פריצה לאתר, אלא גם בתאונות, תקלות טכניות וכדומה. הימצאות גיבוי מבטיח כי אתם תוכלו להעלות את האתר לאוויר בקלות ובמהירות אחרי כל תקלה.

ישנם לא מעט פלאגינים שיעזרו לגבות את האתר שלכם, וגם חברות אחסון שיספקו לכם גיבוי לאתר (חשוב לבדוק עם חברת האחסון). ניתן גם לבצע גיבויים ידניים, אך זה פחות מומלץ היות ואנו בני אדם ששוכחים לעתים קרובות פעולות חשובות.

במאמר הבא, אנו נספק לכם דרכים קצת יותר מתקדמות לשמור על אתר הוורדפרס שלכם, לכן כדאי שנתחיל מהצעדים הללו, שהם צעדים יותר כלליים וחשוב מאוד שנקפיד עליהםף אך נוכל באמת להעמיק את אבטחת האתר שלנו באמצעות עוד לא מעט דרכים עליהם נדון במאמר הבא שיפורסם.

יש לכם שאלה? אתם חושבים שפספסנו משהו? השאירו תגובה ונשמח לעמוד לרשותכם!

AddThis Social Bookmark Button
הירשמו לקבלת חדשות, הטבות וטיפים בעולם היזמות. אנחנו מבטיחים לא להספים אתכם, ולא להעביר את כתובת המייל שלכם לצד שלישי

עקבו אחרינו ברשת

  • וילנסר בפייסבוק
  • וילנסר בלינקדאין
  • וילנסר בגוגל+
  • RSS feed

האמור באתר וילנסר אינו מהווה חו"ד משפטית והשימוש באתר אינו מהווה ייעוץ משפטי או תחליף לו. המידע באתר זה הינו כללי בלבד ואין להסתמך עליו.
השימוש באתר הינו בכפוף לתנאים המופיעים בתנאי השימוש באתר