כיצד לאבטח את וורדפרס (2020)

וורדפרס היא אחת ממערכות ניהול התוכן הפופולריות ביותר בחוץ ועם סיבה טובה. זה פשוט לשימוש, ישנם אלפי ערכות נושא ותוספים זמינים עבורו, ותוכלו ליצור איתו כל סוג של אתר. אין פלא אם כן שוורדפרס מעניקה כוחות 35.1% מכל אתרי האינטרנט באינטרנט.


עם זאת, הפופולריות שלה מגיעה בעלות. וורדפרס ממוקדת לרוב על ידי האקרים. לפי סוקורי, בשנת 2018 90% מכל בקשות ניקוי האתרים השתייכו ל- WordPress, עלייה של 7% לעומת 2017.

דוח מגמות של האק לאתר 2018 - Sucuri

כיוון שכך, אבטחת אתר וורדפרס צריכה להיות בראש הרשימה שלך, בין אם יש לך תיק אישי, אתר עסקי או חנות מקוונת..

כשמדובר באבטחת וורדפרס, המשתמשים בדרך כלל מתחלקים לשני מחנות: אלה שלוקחים את האבטחה ברצינות ונוקטים אמצעי זהירות ואלה שמאמינים או מקווים שזה לעולם לא יקרה להם כי האתר שלהם לא מספיק חשוב.

כדי להבין טוב יותר את חומרת בעיות האבטחה הקשורות לאתרים, הקפד לבקר באתר דף סטטיסטיקות אינטרנט חי לפעמים. שם, אתה יכול לראות מספר מדויק של אתרים שנפרצים בכל יום ואפילו לצפות במספר שעולה בזמן אמת.

אתר שנפרץ בזמן אמת

Contents

22 שלבים לאבטחת אתר וורדפרס שלך

כדי למנוע מהאתר שלך להסתיים כאחד האתרים ב- Internet Live Stats, עקוב אחר הטיפים שלהלן ואבטח את אתר WordPress שלך..

1. בחרו בחברת אירוח עם תכונות אבטחה

הצעד הראשון בדרך לאבטחת אתר וורדפרס שלך הוא השקעה בחברת אירוח שמיישמת תכונות אבטחה נכונות. זה כולל תמיכה בגירסה האחרונה של PHP, MySQL ו- Apache, כמו גם חומת אש וניטור אבטחה 24/7.

במידת האפשר, בחר חברת אירוח שמבצעת גיבויים יומיים וסריקות רגילות של תוכנות זדוניות. אתה יכול אפילו למצוא חברות אירוח המפעילות אמצעי מניעה שונים של DDOS.

חברת האירוח שלך היא בדרך כלל האקרים הראשונים שעל הקירות להיפרד כדי לקבל גישה לאתר שלך ולכן השקעה מקדימה יותר ורכישת תוכנית אירוח יקרה יותר בהחלט תשתלם. אנחנו ממליצים בחירת ספק אירוח וורדפרס מנוהל.

2. השתמש בסיסמאות חזקות

ודא שהסיסמאות לאתר וורדפרס שלך כמו גם אזור חשבון האירוח שלך הן מאובטחות. השתמש בתערובת של אותיות גדולות וקטנות, מספרים וסמלים כדי לקבל סיסמה חזקה. אתה יכול גם להשתמש במנהל סיסמאות כמו LastPass כדי ליצור ולאחסן סיסמאות מאובטחות עבורך.

3. השליך את שם המשתמש של מנהל המערכת

וורדפרס נהגה להגדיר את שם המשתמש המוגדר כברירת מחדל כמנהל ורוב המשתמשים מעולם לא טרחו לשנות אותו. כתוצאה מכך, מנהל המערכת הוא בדרך כלל האקרים הראשונים של שם המשתמש שינסו כאשר הם יפתחו במתקפת כוח סוער.

ככאלה, לעולם אל תשתמש בשם המשתמש הניהול באתר האינטרנט שלך ב- WordPress. אם התקנת לאחרונה את אתר וורדפרס שלך, רוב הסיכויים שנאלצת להגדיר שם משתמש משלך. אבל אם אתה משתמש וורדפרס ותיק, אתה עדיין יכול להשתמש בשם המשתמש של מנהל המערכת.

אם זה המקרה, צור שם משתמש חדש לאתר שלך על ידי מעבר אל משתמשים> הוסף חדש ובחירת שם משתמש וסיסמא חזקים. הגדר את התפקיד למנהל המערכת ולחץ על הוסף משתמש חדש כפתור.

יצירת חשבון מנהל

לאחר מכן תתחבר עם האישורים החדשים ותמחק את משתמש הניהול הישן שלך. זכור להקצות את כל התוכן שלך למשתמש המנהל החדש שלך לפני שתמחק את התוכן הישן.

4. השתמש בחשבון תורם או בעורך כדי לפרסם באתר שלך

אם אתה רוצה לקחת את הטיפ לעיל צעד נוסף קדימה, שקול ליצור תורם או חשבון עורך כדי להוסיף פוסטים ומאמרים חדשים לאתר שלך. פעולה זו תקשה על האקרים לגרום נזק באתר שלך כי לתורמים ולעורכים בדרך כלל אין הרשאות מנהל..

יצירת חשבון עורך

5. השתמש בתוסף גיבוי

אם עדיין אינך מגבה את האתר שלך, עליך להתחיל מייד. מערכת גיבוי תעזור לך לשחזר את האתר שלך אם הגרוע ביותר יקרה והאתר שלך ייפרץ.

השתמש בתוסף כמו UpdraftPlus כדי ליצור תזמון גיבוי רגיל לאתר שלך ואל תשכח לאחסן את קבצי הגיבוי מחוץ לאתר כדי להבטיח שקבצים אלה לא נגועים גם כן..

6. הארדן אזור הניהול

כשמדובר בהתקשות אזור הניהול, תצטרך לשנות את כתובת האתר המוגדרת כברירת מחדל ולהגביל את מספר ניסיונות הכניסה שנכשלו לפני שמשתמש יינעל מהאתר שלך..

כברירת מחדל, כתובת האתר של מנהל האתר שלך תיראה כך: yourdomain.com/wp-admin. האקרים יודעים זאת וינסו לגשת ישירות לכתובת האתר הזו כדי שיוכלו לקבל גישה לאתר שלכם.

אתה יכול לשנות את כתובת האתר הזו באמצעות תוסף כמו WPS הסתר כניסה.

WPS הסתר כניסה

ככל שתגביל את מספר ניסיונות הכניסה שנכשלו, באפשרותך להשתמש תוסף נעילת כניסה.

כניסה LockDown

7. שמור קבצים מעודכנים

כפי שהזכרנו קודם, קבצים מיושנים מהווים סיכון אבטחה מכיוון שהם משאירים את האתר שלך פגיע למעשים אחרים. לכן עליך להתקין עדכונים ברגע שהם ישוחררו.

כשאתה בעניין, דאג לעבור דרך התוספים המותקנים באופן קבוע ולבטל ולמחוק את התוספים שבהם אינך משתמש יותר..

8. הגן על המחשב שלך

יתכן שאתה תוהה מה הקשר למחשב שלך לאתר שלך. אם המחשב שלך נגוע בווירוס ואתה ניגש לאתר שלך או מעלה אליו קבצים, קבצים נגועים אלה יכולים להדביק גם את האתר שלך. בקיצור, אתה רוצה לוודא:

  • הימנע משימוש ברשתות Wi-Fi ציבוריות כדי לגשת לאתר שלך
  • התקן תוכנת אנטי-וירוס וודא שהיא מעודכנת

9. שנה את קידומת בסיס הנתונים שלך

עובדה נוספת המוכרת על ידי האקרים וורדפרס היא שקידומת מסד הנתונים שלך מוגדרת ל- wp. עובדה זו מקלה עליהם לנחש את קידומת הטבלה ולהשתמש בזריקות SQL אוטומטיות בכדי לקבל גישה לאתר שלך.

שינוי קידומת בסיס הנתונים שלך הוא תהליך ידני הכרוך בעריכתו wp-config.php הקובץ ושינוי שמות הטבלאות באמצעות phpMyAdmin. לפני ביצוע השינוי, הקפד לגבות את האתר שלך כאמצעי מניעה.

עריכת wp-config

תצטרך להתחבר לחשבון האירוח שלך ולגשת ל- cPanel או ללוח הבקרה אשר המארח שלך משתמש בו. לאחר מכן גש למנהל הקבצים ואתר את ה- wp-config.php קובץ בספריית וורדפרס.

מצא את קו קידומת הטבלה שנראה כך: $ table_prefix ואחריו סימן a = קידומת הטבלה עצמה. החלף את מחרוזת ברירת המחדל בקידומת משלך באמצעות שילוב של מספרים, תחתונים ואותיות כך:

$ table_prefix = ‘hgwp_3456_’;

לאחר שתסיים לערוך את wp-config.php , צא ממנהל הקבצים וגש ל- phpMyAdmin כך שתוכל לשנות את כל שמות הטבלאות. ביצוע פעולה ידנית עלול להיות מייגע מכיוון שיש 11 טבלאות בסך הכל שאתה צריך לערוך. במקום זאת, תוכלו להזין שאילתת SQL על ידי מעבר לכרטיסייה SQL

הפעלת שאילתת SQL

ואז הזן זאת:

טבלת RENAME `wp_commentmeta` ל-` hgwp_3456_commentmeta`;

טבלת RENAME `wp_comments` TO` hgwp_3456_comments`;

טבלת RENAME `wp_links` ל-` hgwp_3456_links`;

טבלת RENAME `wp_options` ל` hgwp_3456_options`;

טבלת RENAME `wp_postmeta` ל` hgwp_3456_postmeta`;

טבלת RENAME `wp_posts` ל-` hgwp_3456_posts`;

טבלת RENAME `wp_terms` TO` hgwp_3456_terms`;

טבלת RENAME `wp_termmeta` ל-` wp_a123456_termmeta`;

טבלת RENAME `wp_term_relationships` ל` hgwp_3456_term_relationships`;

טבלת RENAME `wp_term_taxonomy` ל-` hgwp_3456_term_taxonomy`;

טבלת RENAME `wp_usermeta` ל-` hgwp_3456_usermeta`;

טבלת RENAME `wp_users` TO` hgwp_3456_users`;

אמנם השאילתה שלעיל אמורה לשנות את קידומת בסיס הנתונים שלך בכל מקום, אך רצוי להריץ שאילתה נוספת כדי לוודא שקבצים אחרים המשתמשים בקידומת מסד הנתונים הישנה מתעדכנים:

בחר * מ- `hgwp_3456_options` WHERE` option_name` LIKE '% wp_%'

תרצה גם לחפש את theusermeta ולהחליף את כל הקידומות הישנות שנשארו בקודם:

בחר * מ- `hgwp_3456_usermeta` WHERE` meta_key` LIKE '% wp_%'

10. הקפד על קבצי ה- .htaccess וה- wp-config.php שלך

.htaccess ו- wp-config.php הם הקבצים החשובים ביותר בהתקנת וורדפרס שלך. ככאלה, עליכם לוודא שהם מאובטחים ומוגנים.

כל שעליך לעשות הוא להוסיף את הקודים שלהלן לקובץ ה- .htaccess שלך, מחוץ לתגים # BEGIN WordPress ו- # END WordPress כדי להבטיח שהשינויים לא יוחלפו עם כל עדכון חדש..



כדי לאפשר, להכחיש

להכחיש מכל





כדי לאפשר, להכחיש

להכחיש מכל





צו לשלול, לאפשר

להכחיש מכל

# לאפשר גישה מכתובת ה- IP שלי

לאפשר החל מ- 192.168.1.1

הקטעים שלמעלה יגנו על ה- wp-config ו- .htaccess שלך וכן יגבילו את הגישה ל- wp-login.php מסך.

לבסוף, הוסף את קטע הקוד למטה כדי למנוע ביצוע קבצי PHP:



להכחיש מכל

11. בדוק ושנה את הרשאות הקבצים

כשתסיים לאבטח .htaccess ו wp-config.php , הישאר עוד קצת ב- cPanel ובדוק את הרשאות הקבצים עבור הקבצים והתיקיות באתר וורדפרס שלך..

הרשאות קבצים

על פי וורדפרס קודקס, יש להגדיר את ההרשאות כדלקמן:

  • כל הספריות צריכות להיות 755 או 750
  • כל הקבצים צריכים להיות 644 או 640
  • wp-config.php צריך להיות 600

אם ההגדרות שלך שונות, האקרים יכולים בקלות לקרוא את התוכן ולשנות את תוכן הקבצים והתיקיות שיכולים להוביל לפריצה של האתר שלך כמו גם אתרים אחרים באותו שרת שנפרצים..

12. השתמש באימות דו-גורמי

שקול להשתמש בתוסף כמו המאמת של גוגל כדי להגדיר אימות דו-גורמי עבור האתר שלך. המשמעות היא שבנוסף להזנת הסיסמה, תצטרך להזין גם קוד שנוצר על ידי אפליקציה לנייד כדי להיכנס לאתר שלך. זה יכול להפסיק פיגועים בכוח הזרוע ולכן כדאי להגדיר את זה עכשיו.

המאמת של גוגל

13. השבת את XML-RPC

XML-RPC מאפשר לאתר שלך ליצור חיבור עם אפליקציות ותוספים וורדפרס לנייד כמו Jetpack. לרוע המזל, זה גם המועדף על האקרים של וורדפרס מכיוון שהם יכולים לעשות שימוש לרעה בפרוטוקול זה כדי לבצע מספר פקודות בו זמנית ולקבל גישה לאתר שלך. השתמש בתוסף כמו השבת את התוסף XML-RPC כדי להשבית תכונה זו.

השבת את XML-RPC

14. השתמש ב- HTTPS ו- SSL

האינטרנט מזמזם פוסטים ומאמרים בבלוג על חשיבותו של פרוטוקול HTTPS והוספת תעודות אבטחה של SSL לאתר שלך כבר די הרבה זמן..

HTTPS מייצג את Hypertext Transfer Protocol Secure ואילו SSL מייצג עבור שכבות Socket Secure. על קצה המזלג HTTPS מאפשר לדפדפן המבקרים ליצור חיבור מאובטח עם שרת האירוח שלך (ולכן האתר שלך). פרוטוקול HTTPS מאובטח באמצעות SSL. יחד HTTPS ו- SSL מבטיחים שכל המידע בין דפדפן המבקרים לאתר שלך מוצפן.

השימוש בשניהם באתר שלך לא רק יגביר את האבטחה באתר שלך, אלא גם יועיל לדרגת מנוע החיפוש שלך, ליצור אמון במבקרים שלך, וכן שפר את יחס ההמרה שלך.

שוחח עם ספק האירוח שלך ושאל על האפשרות להשיג אישור SSL או להפנות אותך לכיוון של חברה מכובדת בה תוכל לקנות תעודה.

15. השבת עריכת נושא ותוספים דרך לוח המחוונים של וורדפרס

האפשרות לערוך את קובצי העיצוב והפלאגין שלך ישירות בלוח המחוונים של וורדפרס זה שימושי כשאתה צריך להוסיף במהירות שורת קוד. אבל זה אומר גם שכל מי שנכנס לאתר שלך יכול לגשת לקבצים האלה.

השבת תכונה זו על ידי הוספת הקוד הבא לקוד שלך wp-config.php קובץ:

// בטל עריכת קובץ

הגדירו ('DISALLOW_FILE_EDIT', נכון);

16. העבר את קובץ wp-config.php לספרייה שאינה WWW

כאמור, wp-config.php הקובץ הוא אחד הקבצים החשובים ביותר בהתקנת וורדפרס שלך. הקשו על הגישה על ידי העברתו מספריית השורש לספרייה שאינה נגישה לאתר.

  1. בתור התחלה, העתק את תוכן התוכן שלך wp-config.php הקובץ לקובץ חדש ושמור אותו כ- wp-config.php.
  1. חזור לזקן שלך wp-config.php הגש והוסף את שורת הקוד למטה:
  1. העלה ושמור את החדש wp-config.php קובץ לתיקיה אחרת.

17. שנה את מפתחות האבטחה שלך ב- WordPress

מפתחות האבטחה של וורדפרס אחראים על הצפנת המידע המאוחסן בעוגיות המשתמש. הם ממוקמים באזור wp-config.php קובץ ונראה כך:

הגדירו ('AUTH_KEY', 'שם את הביטוי הייחודי שלך כאן');

הגדירו ('SECURE_AUTH_KEY', 'שם את הביטוי הייחודי שלך כאן');

הגדירו ('LOGGED_IN_KEY', 'שם את הביטוי הייחודי שלך כאן');

הגדירו ('NONCE_KEY', 'שם את הביטוי הייחודי שלך כאן');

הגדירו ('AUTH_SALT', 'שם את הביטוי הייחודי שלך כאן');

הגדירו ('SECURE_AUTH_SALT', 'שם את הביטוי הייחודי שלך כאן');

הגדירו ('LOGGED_IN_SALT', 'שם את הביטוי הייחודי שלך כאן');

הגדירו ('NONCE_SALT', 'שם את הביטוי הייחודי שלך כאן');

להשתמש ב מחולל מפתחות מלחי וורדפרס לשנות אותם ולהפוך את האתר שלך לבטוח יותר.

18. השבת דיווח על שגיאות

דיווח על שגיאות שימושי לפתרון בעיות ולקביעת איזה תוסף או נושא ספציפיים גורמים לשגיאה באתר וורדפרס שלך. עם זאת, ברגע שהמערכת תדווח על שגיאה, היא תציג גם את נתיב השרת שלך. למותר לציין שזו הזדמנות מושלמת עבור האקרים לגלות כיצד והיכן הם יכולים לנצל את הפגיעויות באתר שלך.

אתה יכול להשבית את זה על ידי הוספת הקוד למטה שלך wp-config.php קובץ:

דו"ח שגיאה (0);

@ini_set ('תצוגת_שגיאות', 0);

19. הסר את מספר הגרסה של WordPress

כל מי שיבדוק את קוד המקור של האתר שלך יוכל לדעת באיזו גרסה של וורדפרס אתה משתמש. מכיוון שלכל גרסת וורדפרס יש חלופי שינוי ציבוריים המפרטים את רשימת הבאגים ותיקוני האבטחה, הם יכולים לקבוע בקלות אילו חורי אבטחה הם יכולים לנצל.

גרסת וורדפרס

למזלנו, יש תיקון קל. אתה יכול להסיר את מספר גרסת הוורדפרס על ידי עריכת קובץ הפונקציות.php של העיצוב שלך והוסף את הדברים הבאים:

remove_action ('wp_head', 'wp_generator');

20. השתמש בכותרות אבטחה

דרך נוספת לאבטח את אתר וורדפרס שלך היא ליישם כותרות אבטחה. בדרך כלל הם מוגדרים ברמת השרת על מנת למנוע התקפות פריצה ולהפחית את מספר ניצולי הפגיעות באבטחה. אתה יכול להוסיף אותם בעצמך על ידי שינוי הנושא שלך פונקציות קובץ.

כותרות אבטחה

התקפות חוצה תסריטים

הוסף את הקוד הבא לתוכן, סקריפט, סגנונות ומקורות תוכן אחרים המורשים ברשימת ההיתרים:

כותרת ('מדיניות תוכן-אבטחה: default-src https:');

זה ימנע מהדפדפן לטעון קבצים זדוניים.

Iframe jackjacking

הוסף את השורה למטה כדי להורות לדפדפן לא להציג דף במסגרת: כותרת ('אפשרויות מסגרת X: SAMEORIGIN');

אפשרויות הגנה על X-XSS ו- X-Content-Type

הוסף את השורות הבאות למניעת התקפות XSS ואמר ל- Internet Explorer לא לרחרח סוגים מפיים

כותרת ('X-XSS-Protection: 1; mode = block');

כותרת ('אפשרויות X-Content-Type: nosniff');

אכוף HTTPS

הוסף את הקוד למטה כדי להורות לדפדפן להשתמש רק ב- HTTPS:

כותרת ('אבטחה-תעבורה-אבטחה: מקסימום גיל = 31536000; include תחומי משנה; טעינה מוקדמת');

קובץ Cookie עם דגל HTTPOnly ומאובטח בוורדפרס 

אמר לדפדפן לסמוך רק על קובץ ה- cookie שנקבע על ידי השרת וכי העוגיה זמינה בערוצי SSL על ידי הוספת הדברים הבאים:

@ini_set ('session.cookie_httponly', נכון);

@ini_set ('session.cookie_secure', נכון);

@ini_set ('session.use_only_cookies', נכון);

אם אינך רוצה להוסיף כותרות אלה באופן ידני, שקול להשתמש בתוסף כמו כותרות אבטחה. ללא קשר לשיטה שתבחר ליישם את כותרות האבטחה, הקפד לבדוק אותן באמצעות https://securityheaders.io אתר והזנת כתובת האתר שלך.

21. מנע קישור חם

קישור חם אינו מהווה הפרת אבטחה כשלעצמו, אולם בהתחשב בכך שהוא מתייחס לאתר אחר המשתמש בכתובת האתר שלך כדי להצביע ישירות על תמונה או קובץ מדיה אחר, זה נחשב לגניבה. ככאלה, קישור חם יכול להוביל לעלויות לא צפויות לא רק מכיוון שתצטרכו להתמודד עם השלכות משפטיות אלא גם מכיוון שחשבון האירוח שלכם יכול לעבור דרך הגג אם האתר שגנב את התמונה שלכם זוכה לתנועה רבה..

הוסף את הקוד למטה לקובץ ה- htaccess שלך אם אתה משתמש בשרת Apache והחלף את תחום הדמה בשם הדומיין שלך בפועל:

כתוב מחדש המנוע ב-

RewriteCond% {HTTP_REFERER}! ^ Http (ים)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

לחלופין, אם אתה משתמש בשרתי NGINX, תרצה לשנות את קובץ התצורה שלך כך:

מיקום ~. (gif | png | jpe? g) $ {

valid_referers אף אחד לא חסם ~ .google. ~. ~ .yahoo yourdomain.com * .ydomdomain.com;

אם ($ invalid_referer) {

תשואה 403;

}

}

22. התנתקו משתמשים סרק

הטיפ האחרון במדריך זה להגברת האבטחה באתר שלך הוא להתנתק ממשתמשים במצב סרק לאחר תקופה של חוסר פעילות. אתה יכול להשתמש בתוסף כמו יציאה לא פעילה כדי להפסיק אוטומטית פעילויות באתר.

יציאה לא פעילה

זה הכרחי מכיוון שאם אתה נכנס לאתר שלך כדי להוסיף פוסט חדש בבלוג ולהסיח את דעתך על ידי משימה אחרת, אתה יכול לחטוף את ההפעלה שלך והאקרים יכולים לעשות שימוש לרעה במצב כדי להדביק את האתר שלך. חשוב עוד יותר לסיים הפעלות לא פעילות אם יש לך מספר משתמשים באתר שלך.

כיצד להתאושש מהאק

אמצעי האבטחה שלמעלה הם דרך נהדרת לאבטח את האתר שלך. אבל מה אם האתר שלך בכל זאת נפרץ? להלן מספר צעדים שצריך לבצע במקרה שהאתר שלך נפרץ.

1. אשר את האק ושנה את הסיסמה שלך

אם האתר שלך נפרץ, ראשית, אל תיבהל. זה לא יעזור לך והמעשה ייעשה לכן חשוב לפעול במהירות. התחל בבדיקת האתר שלך ובדוק אם אתה יכול להיכנס ללוח המחוונים שלך. בדוק אם האתר שלך מפנה לאתר אחר או אם אתה רואה קישורים או מודעות חשודים או מוזרים.

שנה את הסיסמה שלך מייד והמשך לשלב הבא.

2. צור קשר עם חברת האירוח שלך

צור קשר עם המארח שלך והודיע ​​לו שהאתר שלך נפרץ. הם יכולים לעזור לך לזהות את מקור הפריצה. חלק מהמארחים גם ינקו את האתר ויסירו את הקוד והקבצים הזדוניים.

השתמש בגיבוי כדי לשחזר את האתר שלך

אם היית שקדן בגיבוי האתר שלך, מצא גיבוי מלפני הפריצה והשתמש בו כדי לשחזר את האתר שלך. אמנם ייתכן שתאבד חלק מהתכנים, אך תוכל להפעיל את האתר שלך כמו שהיה לפני שההתקפה התרחשה.

3. סרוק את האתר שלך לצורך תוכנות זדוניות

השתמש בסורק החינמי של Sucuri כדי לסרוק את האתר שלך אחר תוכנות זדוניות ולזהות את הקבצים שנפגעו. אתה יכול גם לבחור בשירות ניקוי האתרים שלהם אם אינך יודע כיצד להסיר את התוכנה הזדונית בעצמך.

4. בדוק את משתמשי האתר שלך

היכנס לאתר וורדפרס שלך ועבור למשתמשים> כל המשתמשים. ודא שאין משתמשים שלא צריכים להיות שם ולמחוק אותם במידת הצורך.

5. שנה את המפתחות הסודיים שלך

השתמש במחולל המפתח של מלח וורדפרס Salts לעיל כדי ליצור מפתחות אבטחה חדשים ולהוסיף אותם לקובץ wp-config.php שלך. מכיוון שמפתחות אלה מצפינים את הסיסמה שלך, ההאקרים יישארו מחוברים עד לביטול העוגיות שלהם. מפתחות אבטחה חדשים יעשו בדיוק את זה ויאלצו את ההאקר מהאתר שלך.

6. שכור איש מקצוע

לבסוף, שכר איש מקצוע שינקה את הפריצה והסרת התוכנה הזדונית מהאתר שלך. זכור כי האקרים יכולים להסתיר קוד זדוני במספר קבצים, כך שאם לא חווה הסרת תוכנות זדוניות, קל להחמיץ קובץ נגוע. זה מקל על האקרים לפרוץ שוב את האתר שלך ולכן מומלץ מאוד לשכור איש מקצוע.

7 הסוגים הנפוצים ביותר של פגיעויות וורדפרס

לפני שנמשיך במאמר זה, בואו ונתייחס לפיל בחדר: האם וורדפרס מאובטחת? התשובה לשאלה זו היא כן. הליבה של תוכנת וורדפרס מאובטחת והחברה שמאחורי וורדפרס מתייחסת ברצינות לאבטחה.

שלהם צוות אבטחה יש 50 מומחים על סיפונה הכוללים מפתחים מובילים וחוקרי אבטחה העובדים מאחורי הקלעים כדי להבטיח שוורדפרס תהיה מאובטחת.

למעשה, מרבית אירועי האבטחה והסיכונים הם תוצאה של שגיאה אנושית בשילוב עם נוכחות של פגיעות אבטחה.

ישנם שבעה סוגים של פגיעויות וורדפרס שאתה צריך להיות מודע אליהם:

  • קבצי וורדפרס מיושנים
  • מנצל דלת אחורית
  • פריצות פארמה
  • סיסמאות חלשות
  • הפניות מחדש זדוניות
  • פגיעויות בפלטפורמת האירוח
  • התקפות מניעת שירות

בוא נעבור עליהם ולהסביר מה הם בדיוק.

1. קבצי וורדפרס מיושנים

קבצי וורדפרס מיושנים מתייחסים לגרסאות וורדפרס, ערכות נושא ותוסף. הם מהווים סיכון ביטחוני מכיוון שהם משאירים את האתר שלך חשוף לפגיעויות אחרות, כגון ניצולי דלת אחורית ופריצות פארמה.

ככאלה, עליך לוודא שהתקנת וורדפרס שלך מעודכנת כמו גם הנושא והתוספים שלך. עליך להחיל עדכונים באופן יזום מכיוון שהם משוחררים מכיוון שהם לא רק מגיעים עם תכונות חדשות, אלא הם כוללים גם תיקוני אבטחה ותיקונים שונים..

2. ניצול דלתות אחוריות

בכל הנוגע לניצולים של דלתות אחוריות, האקרים ינצלו את קבצי הוורדפרס המיושנים כדי לקבל גישה לאתר שלכם. מלבד קבצים מיושנים, הם יכולים גם לקבל גישה לאתר שלך באמצעות SFTP, FTP וכדומה.

ברגע שיש להם גישה לאתר שלך, הם ידביקו את האתר שלך ויכולים גם להדביק אתרים אחרים שנמצאים באותו שרת כמו האתר שלך. זריקות לדלת האחורית נראות כמו קבצי וורדפרס רגילים למשתמש חסר ניסיון. אבל מאחורי הקלעים הם מנצלים את הבאגים בקבצים המיושנים כדי לגשת למסד הנתונים שלך ולעורר הרס באתר שלך כמו גם אלפי אתרים אחרים..

3. פריצות פארמה

פריצות פארמה מתייחסות לניצולי פגיעויות בקבצי וורדפרס מיושנים שבהם האקר מכניס קוד לקבצים אלה. לאחר הכנסת הקוד, מנועי החיפוש מציגים מודעות למוצרי תרופות במקום לאתר האינטרנט שלך. זה יכול לגרום לכך שמנועי חיפוש יסמנו את אתר האינטרנט שלך כדואר זבל.

4. סיסמאות חלשות

סיסמאות חלשות עשויות להיות קלות לזכור, אך הן גם מקלות על האקרים גישה לאתר שלך באמצעות מתקפת כוח ברוטה. מתקפת כוח ברוטה מתרחשת כאשר האקר משתמש בסקריפטים אוטומטיים שרצים ברקע כדי לנסות שילובי שם משתמש וסיסמא שונים עד שהם ימצאו שילוב עובד.

5. הפניות מחדש זדוניות

בדומה לשימוש בקבצים מיושנים ובפרוטוקול FTP או SFTP כדי להזרים קוד המביא לפריצת פארמה או לניצול דלת אחורית, האקרים ישתמשו בקובץ .htaccess בהתקנת וורדפרס שלך כדי להפנות את המבקרים שלך לאתר זדוני..

לאחר מכן המבקרים שלך יכולים להסתיים בנגיף או ליפול טרף לדיוג.

6. פגיעויות בפלטפורמת האירוח

לפעמים האבטחה באתר שלך עלולה להיפגע מכיוון שאתה משתמש בחברת אירוח שאינה כוללת תכונות אבטחה כגון חומת אש או פיקוח על קבצים. זה בדרך כלל המקרה של ספקי אירוח זולים יותר, מה שאומר שבחירת מארח זול יותר, למרבה האירוניה, תעלה לכם יותר אם האתר שלכם ייפרץ..

קחו בחשבון שפלטפורמות אירוח זולות יותר מהוות גם סיכון אבטחה גבוה יותר מכיוון שהאתר שלכם יכול להידבק או להיפרץ כתוצאה מהאקרים המנצלים פגיעויות באתר אחר שמתארח באותו שרת..

7. התקפות מניעת שירות

התקפות של מניעת שירות או התקפות DDOS הן אחד האיומים המסוכנים ביותר עבור כל בעל אתר. בהתקפת DDOS, האקר ינצל באגים ושגיאות בקוד וגורם לזכרון מערכת ההפעלה של האתר שלך להיות מוצף. התקפות DDOS יביאו בדרך כלל למספר רב של אתרים המשתמשים בפלטפורמה ספציפית, כמו וורדפרס.

עכשיו כשאתה יודע מהן הפגיעויות הנפוצות הקשורות לוורדפרס, נעבור לעצות, שיטות עבודה מומלצות והמלצות אבטחה שיעזרו לך לאבטח את אתר WordPress שלך..

מסיימים

וורדפרס הוא CMS עוצמתי ופופולרי שמקל על כל אחד ליצור אתר. אבל מכיוון שהוא כל כך פופולרי, הוא גם יעד מועדף על האקרים. למרבה המזל, ישנם מספר צעדים שתוכלו לנקוט בכדי להגן על אתר וורדפרס שלכם, ואם תעקבו אחר הטיפים במאמר זה, תהיו בדרכם לקיים אתר וורדפרס מאובטח..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map