איך תוקפים מקבלים גישה לאתר וורדפרס שלכם?

מרץ 24, 2016 lior2020
זמן קריאה למאמר זה: 4 דקות

רוב בעלי האתרים לא יודעים איך פרצו לאתר שלהם, זו עובדה! 

מתוך יותר מ 1300 משתתפי הסקר שענו בשלילה לשאלה זו "האם אתם יודעים איך פרצו לאתר וורדפרס שלכם?". התשובה:  61.5% לא ידעו איך הותקף או נפגע אתר הוורדפרס שלהם.
אף על פי שרובם אמרו שהם הצליחו לנקות אותו. אי אפשר להיות בטוחים שאכן זה נוקה בצורה טובה אם לא יודעים איך זה נפרץ? ברוב המקרים האתר שלכם עדיין פגוע ואתם בכלל לא יודעים את זה. לפניכם טבלה של הסיבות הגורמות לפריצות: {תמונה כחולה} במאמר זה אנחנו הולכים להתמקד בעיקר על שני הסיכונים העליונים ברשימה שזה יותר מ 70% מהרשימה כולה.

wordpress-secure-chart

תוספים הם הסיכון הגדול ביותר שלך

לתוספים חלק גדול בהפיכת וורדפרס פופולרי כמו שהוא היום, בעת כתיבת שורות אלה יש יותר מ 43,719 תוספים זמינים להורדה בספריית תוספים באתר הוורדפרס הרשמי. מבחר מדהים של אפשרויות שתוכלו להתקין ולשחק איתם. אבל דבר אחד ברור, שאתם צריכים להיות זהירים איתם מאוד! כי פריצות לאתרים דרך תוספים הם יותר מ 55% מכל דרך אפשרית של פריצות.

אז הנה כמה דברים שצריך לקחת בחשבון לשמור אותם מעודכנים

כותבי התוסים המכבדים את עצמם מתקנים פגיעות מהר מאוד כאשר גילו שהתוסף שלהם עם בעיות אבטחה, וכך שומרים אותם מעודכנים. מומלץ לבדוק אם קיימים עדכונים לפחות פעם בשבוע. בנוסף יש תוספי אבטחה כמו Wordfence שיכולים לעזור לכם בהרבה בעיות אבטחה ובין היתר לתת לכם התראות כשתוסף צריך עדכון או קוד שונה וכו'…

אין להשתמש בתוספים נטושים

תוסף נטוש זה אומר שהכותב שיצר את התוסף כבר לא תומך בו (בד"כ וורדפרס מרים הודעה כזו האתר שלו שזה תוסף שלא עודכן כבר X  שנים או שהתוסף כבר לא נתמך ע"י הכותב). תוסף שאין לו עדכון יותר מ 6 חודשים לא מומלץ להתשמש בו. ההמלצה היא לעבור על התוספים שיש לכם באתר כל 6 חודשים ולראות אם הכותב עדיין בשטח ולא נטש את הנושא.

תוספים להורדה אך ורק מאתרים מכובדים 

אם אתה הולך להוריד תוספים במקום אחר שאינו קשור למאגר הרשמי של WordPress, אתה צריך לוודא שזה אתר  מכובד עם אבא ואמא. אחת הדרכים הקלות ביותר עבור התוקפים להאפשר לך להוריד במרמה תוכנה זדוניות למחשב שלך היא זו. תוקף יוכל לעשות זאת על ידי הקמת אתר אינטרנט שנראה חוקי ונותן לך להוריד למחשב שלך תוסף שהוא "NULLED" ואת אתם בבעיה.

השתמש בעצות אלה כדי לעזור לקבוע אם אתר הוא ממקור מהימן או לא: בדיקת עיניים

האם האתר עצמו מעוצב בצורה מקצועית ומשתמשת בשפה ברורה כדי לתאר את המוצר? או שהאתר נראה כאילו בנו אותו ב 10 דקות? פרטי חברה – האם האתר שייך לחברה עם שם החברה בכותרת התחתונה? האם יש להם תנאי השירות, מדיניות ופרטיות? בצור קשר יש כתובת או רק מייל ?

חיפוש בגוגל

שימו ב גוגל את שם האתר במרכאות למשל "domain.com" . חפש דיווחים על פעילות זדונית.

חיפוש שם התוסף

כדאי לעשות חיפוש בגוגל עבור השם של התוסף ולראות אם יש איזה פעילות זדונית מדווחת.

חיפוש פגיעות

עשה חיפוש עבור ערכת הנושא או שם תוסף או שם היצרן, ולכלול את המילה "spyware" או "malware" זה יעזור לך לברר אם יש דיווחים על פגיעות או לא.

התקפות כוח פראי האם זאת בעיה גדולה?

התקפת כוח זרוע היא תקיפה מסוג ניחוש סיסמא. התוקף צריך לזהות שם משתמש תקין באתר האינטרנט שלך ולאחר מכן לנחש את הסיסמה עבור שם המשתמש הזה. אף על פי שהשיטה הזו מאוד קשה לפיצוח, זה עדיין סוג של התקפה והוא עדיין בעיה ענקית ומייצגי יותר מ 16% מהפריצות לאתרי וורדפרס.

כמה עצות גרזן להימנע באמצעות התקפה בכוח הזרוע

תוסף שמגביל נסיונות התחברות שגוייות WP Limit Login Attempts

שיעור הגבלה של ניסיונות כניסה ולחסום IP באופן זמני ( עד 10 דקות ). זה מגן מפני התקפות בכוח הזרוע. אין להשתמש בשמות משתמשים מובנות מאליהן, שמות המשתמשים הברורים ביותר להימנע הן 'ADMIN' ו 'USER' , הם השמות הנפוצים ביותר לניסיון פריצה. כמו כן הימנע משימוש בשם הדומיין שלך, שם חברה ואת השמות של אנשים שכותבים עבור הבלוג שלך או מפורטים במקום אחר באתר האינטרנט שלך.

סיסמאות

אין להשתמש בסיסמאות כמו "123123" או "ADMIN123" או דברי מובנים וקלים מאין אלו, לוורדפרס יש מחולל סיסמאות מעולה השתמשו בו.

צעדים אחרים לאבטחת אתר הווקרדפרס שלכם

שמירה על הכל מעודכן הוא המפתח. אין נקודות תורפה ידועות רציניות בגרסה הנוכחית ליבה של וורדפרס. עם זאת יש מספר רב של נקודות תורפה ידועות בגרסאות וורדפרס ישנות יותר. אז לשמור את וורדפרס עַדכָּנִי זה קריטי מאוד. צוות וורדפרס מגיב במהירות כאשר נושא מדווח וכך גם אתם צריכים.

בחינת שרת

קחו בחשבון שאם אתם יושבים על שרתים שיתופיים (כרוב העסקים הקטנים בארץ) יכול להיות שהשכן שלכם לאותו שרת אירוח נפרץ ומשם גם יפרצו אליכם, מומלץ לאחסון את האתר שלכם עם חברת אחסון ידועה וטובה באבטחת אתרי וורדפרס. ודא שיש לך סיסמא חזקה עבור חשבון CPanel שלך או כל שרת אחר או חשבונות הקשורים אליו.

לא פחות חשוב מזה לא המחשב האישי שלכם

המחשב האישי שלכם חייב להיות מוגן בתוכנות של אנטי וירוס ותוכנו זדוניות אחרות, במקרים רבים מאוד (וזה הולך וגודל) המחשבים שלנו נגועים בסוסים טוריאנים ותולעים למניהם שהופכים את המחשב שלנו לאחלה תחנה של מחלות ומשם גונבים את כל המידע שיש לך כולל סיסמאות ופרטי גישה לכל האתרים שלכם.

חסימת מדינות מלגשת לאתר שלכם

כתבנו על זה לא מזמן, לחצו כאן בכדי לקרוא…

לסיכום אבטחה אתר הוורדפרס שלכם הוא מלחמה שצריך להלחם בחזיתות רבות, כפי שאתם רואים ממה שכתבנו למעלה. אבל צריך לזכור דבר אחד,  שידע זה כוח!  נתוני המאמר הזה מאפשר לנו להתמקד במה שחשוב באמת. אנו מקווים כי אתה לוקח את ההזדמנות כדי לבצע שיפורים ולנהל תוספים באתר האינטרנט שלך בצורה בטוחה ומועילה. יש עוד הרבה מה לכתוב ואנחנו נמשיך לתת לכם עוד כתבות וטיפים איך לשמור על אתר הוורדפרס שלכם 100% מאובטח.

השקעות קטנות באזורים אלו ישתלמו למניעת חורי אבטחה גדולים באתרים שלכם.

בהצלחה.

באדיבות: https://www.wordfence.com

זמן קריאה למאמר זה: 4 דקות
התחל
כן כן בדיוק כאן
דברו איתי
איך אפשר לעזור ?