איך ניתן לאבטח אתר וורדפרס?

וורדפרס היא מערכת ניהול התוכן (CMS) הפופולרית ביותר המשמשת 30% מאתרי האינטרנט בעולם. אך ככל שהפופולריות שלה צומחת בקרב המשתמשים, כך יותר ויותר האקרים מנסים לנצל זאת למטרות זדוניות וממקדים את פעילותם באתרי וורדפרס שונים. לא משנה אם יש ברשותכם אתר בלוג קטן או חנות מקוונת גדולה, כשזה נוגע למתקפות האקרים, כולם נמצאים בסיכון, ללא יוצא מהכלל. כך שאם לא תנקטו באמצעי זהירות מסוימים האתר שלכם עלול להיות חשוף לסיכונים רבים. לכן, כחלק מהתהליך של תחזוקת אתרים, חשוב מאוד לשמור על אבטחת האתר ולמנוע סיכוי לפריצות עתידיות. 

במדריך זה נחלוק עמכם 10 טיפים חשובים במיוחד לצורך שמירה על אבטחת אתר הוורדפרס שלכם. 

1. בחרו בחברת אחסון טובה

הדרך הפשוטה ביותר לשמור על אבטחת האתר היא לפנות לספק אירוח המספק שכבות אבטחה רבות. עם זאת, פעמים רבות בעלי אתרים מעדיפים לפנות לספק אירוח זול, לפחות בתחילת הדרך, במטרה לחסוך כסף רב שיכול לשמש אותם לצרכים אחרים בעסק. אך כשמדובר בבטיחות האתר שלכם, רצוי לא לחסוך, שכן שימוש בשירותי חברת אחסון זולה שלא מספקת אמצעי אבטחה נאותים, עלול לגרום לבעיות רבות באתר, בין אם מדובר במחיקת נתונים, או הפניה לכתובת אינטרנט אחרת. 

תחזוקת אתרים מחייבת לעתים לא מעט הוצאות, עם זאת מדובר בפעולות חיוניות שיחסכו לכם כסף רב בטווח הרחוק. כך שבסופו של דבר, תשלום יקר יותר עבור חברת אחסון איכותית יבטיח לכם שכבות אבטחה נוספות לאתר שלכם, כמו גם האצה משמעותית של מהירות טעינת האתר.  

2. השתמשו בתבניות נושא תקינות

תבניות פרימיום של וורדפרס נראות מקצועיות יותר ומכילות הרבה יותר אפשרויות לצורך התאמה אישית, מאשר ערכות נושא חינמיות. כמו כן, תבניות פרימיום מקודדות על ידי מפתחים מיומנים במיוחד ועוברות מספר בדיקות בטרם הן מאושרות לשימוש. מעבר לכך, הן לא מגבילות אתכם לעיצוב מסוים ומכילות תמיכה מלאה למקרה שמשהו משתבש באתר. בנוסף, הן מתעדכנות באופן קבוע. 

עם זאת, ישנם מספר אתרים המספקים תבניות סדוקות או מבוטלות. תבניות אלו הן למעשה גרסה פרוצה של תבניות פרימיום הזמינות באמצעים בלתי חוקיים ועלולות להיות מסוכנות מאוד עבור האתר שלכם. תבניות סדוקות מכילות לרוב קודים זדוניים מוסתרים העלולים להרוס את אתר האינטרנט ואת מסד הנתונים, או לזייף את אישורי הניהול שלכם. 

אז, אם חשוב לכם לשמור על תחזוקת אתרים מקיפה, עדיף לעתים לשלם כמה עשרות שקלים נוספים על תבנית פרימיום אמינה ולהימנע מהתקנה של תבניות משובשות. זה יחסוך לכם הרבה בעיות בטווח הרחוק. 

3. התקינו תוסף אבטחה לאתר הווורדפרס שלכם

תחזוקת אתרים מצריכה לא מעט זמן והשקעה. עם זאת, רוב האנשים לא מתמחים בקידוד ולא מסוגלים לאתר בעצמם תכונות זדוניות באתר. למרבה המזל, גם בוורדפרס הבינו שלא כל בעל אתר הוא בהכרח מפתח אתרים ופיתחו תוספי אבטחה ייעודיים של וורדפרס על מנת לסייע למשתמשים לשמור על אבטחת האתר. תוסף אבטחה סורק אחר תוכנות זדוניות ועוקב אחר ביצועי האתר 24/7 במטרה לאתר פרצות אבטחה כאלה ואחרות.

ישנם תוספי אבטחה רבים שיכולים לסייע לכם לשמור על אבטחת האתר שלכם. עם זאת, לפני שאתם בוחרים בתוסף כלשהו, חשוב לסרוק את התכונות שהוא מציע ,כמו גם את דירוג הגולשים ואת תאריך העדכון האחרון שלו, על מנת לוודא שהוא תקין ותואם לצרכיכם. תוסף אבטחה טוב מספק מספר תכונות עיקריות וחשובות כמו- ניטור תקינות קבצים, סריקת תוכנות זדוניות מרחוק, ניטור רשימה שחורה, פעולות אבטחה לאחר פריצה, הודעות אבטחה ולעתים אף ניתן להוסיף תשלום עבור שירותים מסוימים כמו- חומת אש לאתר.  

4. השתמשו בסיסמא חזקה

סיסמאות מהוות חלק חשוב באבטחת האתר ומהתהליך של תחזוקת אתרים באופן כללי, אך למרבה הצער משתמשים רבים לא מתייחסים לכך ברצינות ובוחרים בסיסמאות פשוטות כמו -123456 או ABC123.  אמנם קל לזכור סיסמאות אלו, אך גם מאוד קל לנחש אותן, כך שמשתמשים מנוסים יכולים לפצח בקלות את הסיסמא שלכם ולהיכנס לאתר שלכם ללא בעיה. לכן, חשוב שתשתמשו בסיסמא מורכבת או בסיסמא שנוצרה עבורכם באופן אוטומטי עם הקמת שם המשתמש שלכם באתר. סיסמא חזקה מכילה לרוב שילובי אותיות לא הגיוניים ותווים מיוחדים כמו % או @.

5. השביתו את עריכת הקבצים

כאשר אתם מגדירים את אתר הוורדפרס שלכם, ישנה פונקציה של עריכת קוד בלוח הבקרה, המאפשרת לכם לערוך את התבניות ואת התוספים השונים. בתור מנהלי האתר ניתן לגשת לפונקציה זו דרך עיצוב>עריכה או באמצעות כניסה לתוספים> עריכת תוסף.

כשמדובר באתר חי ומאונדקס בגוגל, רצוי להשבית תכונה זו, כחלק מהתהליך של תחזוקת אתרים. שכן, אם האקרים יקבלו גישה ללוח הניהול של אתר הוורדפרס שלכם, הם יכולים להטמיע קוד זדוני בתבניות ובתוספים שלכם ולגרום לשיבושים קשים באבטחת האתר. ולעתים מדובר בקוד כל כך מתוחכם, כך שבהתחלה לא תשימו לב שמשהו אינו כשורה, עד שיהיה מאוחר מדי. כדי להשבית את האפשרות לערוך את התוספים ואת תבנית הנושא שלכם, הדביקו את הקוד הבא בקובץ – wp-config.php שלכם:

 define( ‘DISALLOW_FILE_EDIT’, true );

6. התקינו תעודת SSL

תחזוקת אתרים מקיפה מחייבת בין השאר אמצעי אבטחה חיוניים כמו- תעודת SSL (Single Sockets Layer). אם בתחילה תעודת SSL היתה נחוצה בעיקר באתרים המשתמשים במידע רגיש כמו כרטיסי אשראי וביצוע תשלומים, הרי שכיום גוגל מייחסת יותר חשיבות לאתרים בעלי תעודת SSL  ומעניקה להם דירוג גבוה יותר בתוצאות החיפוש. 

כאמור, תעודת SSL היא הכרחית עבור אתרים המעבדים מידע רגיש כמו סיסמאות או פרטי כרטיסי אשראי . ללא תעודת SSL  כל הנתונים המועברים מדפדפן האינטרנט של המשתמש לשרת האינטרנט שלכם מועברים בטקסט רגיל, כך שהאקרים יכולים לקרוא זאת. תעודת SSL  לעומת זאת, מאפשרת תקשורת מאובטחת בין הלקוח לשרת, כך שהמידע הרגיש מוצפן לפני שהוא מועבר בין הדפדפן לשרת.

מחיר ממוצע של תעודת SSL נע בין 70$-199$ לשנה עבור אתרים המכילים מידע רגיש. אך אם אינכם מקבלים אמצעי תשלום או פרטים אישיים באתר שלכם, אין צורך לשלם עבור אישור SSL. מה גם שכמעט כל חברת אחסון מציעה תעודת SSL מוצפנת בחינם שניתן להתקין באתר בקלות. 

7. תחזוקת אתרים שוטפת – שנו את כתובת ה-URL של הכניסה לאתר הוורדפרס שלכם

בדף הכניסה לאתר הוורדפרס שלכם מופיעה הכתובת – “yoursite.com/wp-admin” כברירת מחדל. אם תבחרו להשאיר כתובת זו כברירת מחדל, סביר להניח שהאקרים רבים המודעים לכך ינסו לפצח את שם המשתמש והסיסמא שלכם על מנת לפרוץ לאתר. מעבר לכך, אם האתר שלכם מאפשר הרשמה של מנויים, הוא עלול להיות מוצף בהודעות זבל רבות כתוצאה מכך. על מנת למנוע זאת, ניתן לשנות את כתובת החיבור לאתר או להוסיף שאלת אבטחה כלשהי לדף הרישום וההתחברות. 

טיפ למקצוענים: תוכלו להגן עוד יותר על דף הכניסה שלכם, על ידי אימות דו גורמי לאתר הוורדפרס שלכם. כך שיהיה עליכם לספק אימות נוסף על מנת לקבל גישה לאתר. לדוגמא- ניתן להשתמש בסיסמא ודוא”ל או בטקסט. ללא ספק, מדובר בתכונת אבטחה משופרת הנחוצה ביותר לצורך תחזוקת אתרים, במטרה למנוע מהאקרים לגשת לאתר שלכם. 

טיפ נוסף – תוכלו גם לבדוק  מאילו כתובות IP  יש יותר ניסיונות התחברות כושלים ולחסום את אותן כתובות. 

8. הגבילו את ניסיונות ההתחברות לאתר

כברירת מחדל, לא קיימת הגבלה על ניסיונות ההתחברות לאתר, כך שמשתמשים יכולים לנסות להיכנס לאתר פעמים רבות ללא הגבלה. אז אמנם זה עשוי לעזור לכם במקרה שאתם מתבלבלים בגודל של האותיות וזקוקים לכמה ניחושים כדי להיכנס לאתר. מצד שני, מצב זה עלול לחשוף את האתר שלכם להתקפות של האקרים מנוסים. לכן, כחלק מהתהליך של תחזוקת אתרים, חשוב להגביל את ניסיונות הכניסה לאתר למספר מסוים של פעמים, כך שאם משתמשים מנסים להיכנס לאתר מעבר לכמות מסוימת של פעמים, הם ייחסמו באופן זמני. מהלך זה יסייע לכם להילחם בניסיונות פריצה לאתר, כך שההאקרים ייחסמו עוד  בטרם הכניסה לאתר. 

ניתן לבצע זאת בקלות באמצעות התוסף WordPress login limit attempts plugin. לאחר התקנת התוסף תוכלו לשנות את מספר ניסיונות ההתחברות באמצעות הגדרות> ניסיונות הגבלת כניסה. 

9. הסתירו קבצי wp-config.php ו- .htaccess

אמנם מדובר בתהליך מתקדם המצריך מעט ידע טכני, אך אם חשוב לכם לשמור על אבטחת האתר שלכם, רצוי  שתסתירו את קבצי htaccess ו- wp-config.php של האתר  על מנת למנוע מהאקרים לגשת אליהם, מאחר שהם המכילים מידע רגיש על האתר. לרוב מומלץ לבצע זאת על ידי מפתחים מנוסים, שכן, מדובר בתהליך מורכב המחייב גיבוי של האתר וביצוע של מספר פעולות המצריכות זהירות רבה. וכשמדובר באבטחת אתרים, כל טעות עלולה לפגוע באתר שלכם ולהפוך אותו לבלתי נגיש. 

כדי להסתיר את הקבצים יש שתי פעולות מרכזיות שצריך לבצע לאחר הגיבוי:

ראשית, עברו אל קובץ wp-config.php שלכם והוסיפו את הקוד הבא:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

בשיטה דומה, ניתן גם להוסיף את הקוד הבא לקובץ htaccess שלכם:

<Files .htaccess>
order allow,deny
deny from all
</Files>

אמנם מדובר בתהליך קצר יחסית, עם זאת חשוב מאוד לבצע גיבוי לאתר לפני ביצוע הפעולות הנ”ל,  למקרה שמשהו ישתבש לאורך התהליך. 

10. עדכנו את גרסת הוורדפרס שלכם באופן קבוע

תחזוקת אתרים מקיפה מצריכה מדי פעם עדכון של מרכיבים חשובים באתר, בין אם מדובר בעדכון תוספים, תבניות, או עדכון גרסה של וורדפרס. גרסה מעודכנת של אתר הוורדפרס שברשותכם תסייע לכם לשמור טוב יותר על אבטחת האתר, שכן כל עדכון גרסה משלב גם עדכונים של תכונות האבטחה באתר. עדכונים אלו יסייעו לכם לשמור על האתר שלכם מפני פריצות עתידיות, שכן ידוע כי האקרים מנצלים פריצות וליקויים בגרסות ישנות של וורדפרס על מנת לנסות ולקבל גישה לאתר.  

מאותן סיבות חשוב גם שתבצעו עדכונים שוטפים של התבניות והתוספים הפעילים באתר. כברירת מחדל, וורדפרס מוריד באופן אוטומטי עדכונים קטנים. עם זאת, כדי לאשר עדכונים מרכזיים יש לבצע את העדכון היישר מלוח הבקרה של מנהל האתר. 

לסיכום

אבטחת האתר מהווה מרכיב מרכזי בכל הקשור לתהליך של תחזוקת אתרים. לכן, חשוב מאוד לנקוט בפעולות מסוימות על מנת לוודא כי האתר שלכם בטוח ומוגן מפני פריצות של האקרים זדוניים. ישנן הרבה דרכים להגביר את האבטחה באתר, אך למרות שחלק מהפעולות הללו נראות פשוטות וקלות לביצוע, חשוב להפקיד זאת בידי נותן שירות מוסמך שיבצע את העבודה במקצועיות וביתר זהירות. שכן, שמירה על אבטחת האתר כרוכה לעתים בפעולות טכניות המשלבות שימוש בקוד ובידע טכני כזה או אחר. 

אז אם אתם זקוקים לתחזוקת אתרים שוטפת, הצוות המנוסה והמקצועי שלנו ישמח לעמוד לרשותכם, לספק עבורכם את כל השירותים הנחוצים לצורך תפעול שוטף של האתר ולוודא כי האתר שלכם מוגן ובטוח לשימוש.