אבטחת אתר וורדפרס חשובה מאוד עבור כל בעל אתר או עסק מקוון. הגולשים כיום מחפשים ומעדיפים אתרים מאובטחים וכשלי אבטחה פוגעים במוניטין של האתר! הסטטיסטיקה מראה שאתרי וורדפרס נחשבים למטרה מועדפת על האקרים, כאשר הרבה מאוד אתרי וורדפרס בישראל התמודדו בשנה החולפת עם ניסיון פריצה או תקיפה. הסיבה לכך פשוטה: וורדפרס היא מערכת ניהול התוכן הפופולרית בעולם, המשמשת למעלה משליש מהאתרים ברשת. המדריך שלהלן יבהיר לכם איך תוכלו לאבטח היטב את האתר שלכם בשנה הקרובה.
הגנת האתר מתחילה בחברת האחסון המועדפת
בחירת חברת אחסון טובה יכולה להיות צעד גדול קדימה באבטחת האתר שלכם. חברת אחסון טובה צריכה לספק לכם שרתים מהירים אבל גם הרבה מעבר לזה, למשל מערך שלם של הגנות אבטחה ותמיכה. כך לדוגמא SSL – רובד אבטחה מועיל שנדרש לאבטחת המידע המועבר בין המשתמשים לבין האתר. חברות אחסון אמינות יודעות לספק מערכת חומת אש משופרת, שיודעת לסנן תעבורה זדונית עוד לפני שהיא מגיעה לאתר. כמו כן תוכלו לקבל גיבויים אוטומטיים שעוזרים למנוע תקלות או בעיות שונות. בדרך כלל רצוי לבחור בחברת אחסון שיודעת לספק לכם תמיכה טכנית בעברית כך שיהיה לכם מענה אם גורם זר מנסה לתקוף את האתר.
עדכון האתר לשיפור האבטחה והחלפה של סיסמאות
מומחי אבטחת סייבר ממליצים לבעלי אתרים שרוצים להיות מוגנים, להזמין סקר סיכוני סייבר אבל יש עוד דברים שתוכלו לעשות במקביל. חשוב לשים לב לתדירות העדכונים והקפדה על עדכון נכון. היו ערים לכך שתהליך העדכון של מערכת וורדפרס הוא יותר מורכב ממה שנראה במבט ראשון. לא מספיק פשוט ללחוץ על כפתור "עדכן הכל". צעד נבון יהיה קודם כל לבצע גיבוי מלא לפני כל עדכון. בדקו שיש תאימות של כל התוספים והתבניות ורצוי גם לערוך את העדכון בשעות שבהן התעבורה נמוכה באתר. באתרים גדולים ניתן להיעזר בתהליך שנקרא סביבת בדיקה, כדי לבדוק את העדכונים לפני העברתם לאתר עצמו.
זה גם המקום להזכיר את חשיבות הסיסמאות. בחירת סיסמאות חזקות היא לא רק עניין של אורך התווים. לצד ההמלצה לבחור סיסמאות של 12 תווים ויותר, חשוב שיהיו להם הרגלי החלפת סיסמאות. למשל החליטו על החלפת סיסמאות בכל שלושה או ארבעה חודשים. ניתן להגדיר חסימת משתמש אחרי שלושה ניסיונות כניסה כושלים. יהיה זה רעיון טוב להנהיג באתר אימות דו שלבי, בפרט לכל המשתמשים בעלי הרשאות ניהול באתר.
אבטחה משופרת עם פלאגינים מומלצים
השלב הבא לאבטחת אתרי וורדפרס הוא לבחור פלאגינים איכותיים לאבטחת סייבר עדכנית. למשל:
- Wordfence Security – פלאגין זה הוא אחד הפופולריים ביותר באבטחת אתרי וורדפרס. נכון להיום משתמשים בו מיליוני אתרים שהתקינו אותו. הפלאגין מחזק את בטיחות האתר על ידי מערכת חומת אש ייעודית לוורדפרס. חומת האש הזאת מתעדכנת לעיתים קרובות ויש לה זיהוי טוב של מערך איומים חדשים. בגרסה החזקה ביותר של פלאגין זה האתר שלכם יהיה מוגן מפני מתקפות עוד לפני שהן מצליחות להגיע אליו. ההגנה נחשבת לחזקה במיוחד הודות למאגר מידע גלובלי של כתובות IP זדוניות. הגנת הסייבר במקרה זה עושה שימוש בסריקות אבטחה איכותיות שיודעות לבדוק את קבצי האתר מול מאגר של קודים זדוניים שכבר זוהו בעבר על ידי מערכות אבטחה. הפלאגין גם יודע לזהות שינויים חשודים בקבצי הליבה של וורדפרס וכך שומר על האתר. בנוסף תקבלו התראות בזמן אמת שנשלחות למי שהוגדר לכך במייל או בהודעות לטלפון. כך תוכלו תמיד לדעת מתי יש ניסיון פריצה ותוכלו לנקוט בצעדים נוספים לפי הצורך.
- Sucuri Security – זהו פלאגין נוסף שנחשב לחזק ביותר באבטחת אתרי וורדפרס. פלאגין זה מתמחה בהגנה על אתרי וורדפרס מפני התקפות מסוג DDoS ומתקפות מסוגים נוספים שמשמשות האקרים כיום. הפלאגין יודע לתת פתרונות אבטחה שמסננים את כל התעבורה לאתר על בסיס שרתים מאובטחים. הכוח של פלאגין זה לא מסתיים בכך. בנוסף הוא יודע לבצע תגובות יזומות במידה ואותרה פריצה לאתר. למשל אם האתר נפרץ, הפלאגין פועל כדי לזהות ולהסיר את הקוד הזדוני שנכנס. כמו כן ננקטות פעולות שנועדו לשחזר את האתר בהתאם לעדכון האחרון מלפני הכניסה של האיום. בנוסף, הפלאגין יודע לתת הגנה ותגובה בתקיפות של ספאם ואף שולח לפי הצורך נתונים לגבי פעילות חשודה באתר.
- iThemes Security Pro – אם האתר שלכם מוכר מוצרים אונליין ומתבסס על וודפרס, תוכלו להיעזר בפלאגין מומלץ זה. הפלאגין יודע לתת פתרונות אבטחה ייעודיים עבור אתרי מסחר אלקטרוני ואתרים מסוגים אחרים שיש בהם מידע רגיש או חסוי. הפלאגין הזה יודע לתת פתרונות עדכניים כגון החלפה אוטומטית של מפתחות ההצפנה של וורדפרס, הגבלת גישה לפי מיקום גיאוגרפי, סיוע באבטחה אל מול ניסיונות פישינג או הנדסה חברתית שמופעלת על בעלי האתר או גולשים. פתרון זה יודע גם לתת דוחות עם מידע וערך מוסף לגבי דפוסי התקפה על מנת להיערך ולהתגונן בפני שלל סוגי תקיפות ואירוע סייבר לא רצויים.
סריקות אבטחה ופתרונות נוספים
מערכת ניטור וסריקות אבטחה של אתרי וורדפרס במיטבם יהיו רב שכבתיים. ישנם כלים שיכולים לעזור במשימה זו, לדוגמא מבית גוגל ומצד ספקי שירות אחרים. כלים מסוג זה יכולים לסייע במתן התרעה מוקדמת על בעיות אבטחה. המערכות לסריקות אבטחה ומתן התרעות נועדו לזהות מהר נוכחות של תוכנות זדוניות. כאשר יש זיהוי כזה מקבלים התראה למשל במקרה של דפים שנוספו לאתר ללא אישור או שינויים במפת האתר. גם כלים כגון גוגל אנליטיקס יכולים לסייע, למשל באיתור תבניות תנועה חשודות של גולשים נוספים, עלייה פתאומית בכניסות לאתר מצד מדינות לא צפויות או התנהגות חריגה של משתמשים. דבר נוסף – בדיקה שוטפת של לוגים היא דרך נוספת לשיפור אבטחת האתר. הלוגים מספקים מידע לגבי הפעילות באתר, כגון ניסיונות כניסה כושלים, ניסיון לגשת לקבצי מערכת רגישים, בקשות חשודות מצד משתמשים מורשים או לא מורשים. לכן, שימוש בכלים אוטומטיים לניתוח לוגים עוזר לכם לזהות דפוסים חשודים שעשויים לרמז על תקיפה ותוכלו להיערך בהתאם.
הדרכת משתמשים ומדיניות אבטחה של האתר שלכם
הדרכת המשתמשים מהווה דרך משלימה וחשובה באבטחת אתר וורדפרס. כדאי להסביר למשתמשים כיצד לבחור סיסמאות חזקות, כיצד לזהות ניסיונות הונאה ופישינג מצד גורמים זרים. רצוי לעדכן את ההנחיות, בהתאם לאיומים חדשים שמתגלים כל הזמן. כחלק ממדיניות האבטחה, הקפידו על בדיקות אבטחה, מדי כמה שבועות. הבדיקות במיטבן כוללות סריקה יסודית של כל התוספים והתבניות באתר, כדי לזהות אם יש פרצות אבטחה. חשוב לבדוק את מערך ההרשאות, לדאוג שכל משתמש מורשה יכול לגשת רק למה שהוא באמת צריך. בדקו גם את מערכת הגיבויים ויכולת השחזור.
לסיום, מומלץ להיעזר מפעם לפעם בשירותי בדיקת אבטחה מקצועיים. בדיקות אלו יכולות לאתר ניסיונות פריצה, זיהוי פרצות אבטחה שלא תמיד כלים אוטומטיים מזהים וכדומה. חשוב שיהיה רישום של כל הבדיקות והממצאים כדי לבצע תיקון של ליקויים ולאפשר מעקב יעיל בהמשך.
