אבטחת אתר וורדפרס – מה זה ואיך לשפר? 

מאמר זה נועד לעזור לך להבין את היסודות של אבטחת אתר וורדפרס. אני מקווה לתת לכם ידע בשביל להבין מי תוקף את האתר שלך, למה הוא תוקף אותו ואיך הוא מנסה לתקוף אותו.
מעבר לכך, אני מקווה לתת לך אוצר מילים בתחום אבטחת אתר אינטרנט כדי שתוכל לתקשר בצורה יעילה עם מנהלי המערכת שלך או חברת האחסון של האתר שלך.

וורדפרס היא פלטפורמת האתרים הפופולרית ביותר בעולם. הפלטפורמה מפעילה למעלה מ-34% מכל אתרי האינטרנט ברחבי העולם. בנוסף, וורדפרס היא מערכת קוד פתוח.
המשמעות היא שהקוד שוורדפרס מריץ גלוי לכולם. מכיוון שהמערכת מחזיקה כל כך הרבה אתרים, היא הפכה למטרה עבור האקרים שרוצים להדביק או לשלוט באתר שלך.

תחשוב על זה ככה: אם אתה האקר ואתה רוצה להדביק כמה שיותר אתרי אינטרנט, אתה יכול לנסות למצוא פרצת אבטחה באתר ספציפי, או שאתה יכול למצוא פרצת אבטחה במערכת שעליה בנויים כל האתרים וכך להדביק את כולם. אם האקר יכול למצוא פרצת אבטחה בוורדפרס עצמה, או ערכת נושא או תוסף פופולרי המשמש את וורדפרס, זה מאפשר לו להדביק במהירות רבה מספר עצום של אתרים באמצעות התקפות אוטומטיות.

מסיבה זו, מציאת פרצת אבטחה 'אפס ימים' בוורדפרס מבוקשת על ידי האקרים מכיוון שהיא יכולה להוביל ליכולת לשלוט במספר עצום של אתרים. פגיעות "אפס ימים" הן פגיעות שלספק התוכנה היו "אפס ימים" לתקן כי הם עדיין לא מודעים לבעיה. זה הסוג הטוב ביותר של פרצות האבטחה עבור האקר מכיוון שלכל מי שמפעיל את הגרסה החדשה ביותר של תוכנה מסוימת מובטחת לו פרצת אבטחה ללא תיקון זמין.

 

מי תוקף את אתר הוורדפרס שלי?

באופן כללי יש שלוש ישויות שתוקפות אתרי וורדפרס:

  • בני אדם – מדובר באדם שיושב ליד מקלדת וחוקר ידנית ותוקף אתרי אינטרנט.
  • בוט בודד – זוהי תוכנה או קוד זדוני אוטומטיים בודדים שההאקר משתמש בהם כדי לתקוף אתרים רבים בצורה אוטומטית.
  • בוטנט(Botnet) – זוהי קבוצה של מכונות שמריצות תוכניות מתואמות על ידי שרתי  "פקודה ושליטה" מרכזי (שרת Command and Control) שתוקפות אתרים רבים בצורה אוטומטית.

 

המחשה לסוגי תוקפים אפשריים - בוטנט, בן אדם ובוט.

 

חשוב לשים לב: רוב ההתקפות מבוצעות על ידי בוטים או מכונות אוטומטיות. וזה מהסיבה הפשוטה שבוטים כל כך מהירים ויעילים בתקיפת מספר גדול של אתרים.
ולכן, חשוב מאוד שתסגרו פרצות אבטחה ידועות באתר הוורדפרס שלכם במהירות האפשרית ותבצעו תחזוקה באופן קבוע.

 

למה הם תוקפים את אתר הוורדפרס שלי?

המטרה של תוקף היא להשיג שליטה באתר וורדפרס שלך בגישת מנהל. זה אומר שהם יכולים לקרוא את כל הקבצים והנתונים באתר שלך. זה גם אומר שהם יכולים לשנות קבצים, לבצע שינויים באתר ולשנות את האופן שבו האתר שלך מתנהג ואת התוכן שהוא מגיש.

הם רוצים להיות מסוגלים לעשות זאת מכמה מהסיבות הבאות:

  1. כדי לשלוח דואר זבל – האקרים יכולים להריץ קוד זדוני באתר האינטרנט שלך שמעביר דוא"ל בכמות גדולה למטרות שלהם.
  2. כדי לארח תוכן זדוני ולהימנע ממסננים – האקרים עשויים להשתמש באתר שלך כדי לארח תוכן כמו פורנוגרפיה, מכירת סמים לא חוקיים או תוכן ספאם אחר.
  3. כדי לגנוב את נתוני האתר שלך – האקרים יכולים לגשת ולקצור את הנתונים באתר שלך, כולל כתובות הדוא"ל והשמות של הלקוחות והחברים שלך.
  4. כדי לפרסם ספאם (Spamvertize) האקרים יכולים להשתמש באתר שלך כדי להפנות תנועה לאתר זדוני אחר או ספאם אחר. 
  5. כדי לתקוף אתרים אחרים – לאחר שהאתר שלך נפרץ, האקר יכול להשתמש באתר שלך כדי להריץ קוד זדוני להתקפות בוטים שפורצים לאתרים אחרים.

חשוב לשים לב: לאחר שהאתר שלך נפרץ, כנראה הוא ישמש לפעילות זדונית. וזה להרוס את המוניטין של האתר שלך. ברגע שגוגל ומנועי חיפוש אחרים מזהים שהאתר נפרץ, האתר ייענש. זה יתבטע בדירוג מנועי החיפוש ואפילו ייתכן שייחסם. לכן, חשוב לזהות פריצה מוקדם ולתקן אותה במהירות.

 

איך הם תוקפים את אתר הוורדפרס שלי?

בדרך כלל ישנם שני שלבים של התקפה על כל אתר. הראשון הוא סיור, שבו הבוט או ההאקר אוספים מידע על האתר שלך. השני הוא ניצול, שבו המידע שנאסף משמש כדי לנסות לקבל גישה לאתר.

שלב א': סיור 

במהלך שכזה, מתבצע איסוף מידע. התוקף ירצה ללמוד מידע שימושי על אתר האינטרנט שלך שבעתיד יאפשר לו לדעת אילו נקודות תורפה עשויות להיות קיימות שהוט יכול לנצל. שני הדברים החשובים ביותר שהם רוצים ללמוד הם איזו תוכנה פועלת באתר האינטרנט שלך ומהן הגרסאות של התוכנה הזו.

הסיבה שמידע זה הוא שימושי עבור ההאקר היא שישנם נתונים רבים זמינים ברשת המפרטים גרסאות של תוכנה ואת הפגיעויות הקשורות לכל אחת מהן. לדוגמה, אם האקר יכול לקבוע שאתה מפעיל וורדפרס ושגרסת וורדפרס שאתה משתמש בה היא 4.2.2, אז הוא יודע שלאתר שלך יש פגיעות קריטית של סקריפטים חוצי אתרים שהוא יכול לנצל. אם הם רואים שאתה מפעיל גרסה חדשה יותר, הם יכולים לחסוך זמן פשוט אפילו לא לנסות לנצל את הפגיעות הזו. 

חשוב לשים לב: לדעת איזו תוכנה פועלת באתר האינטרנט שלך וגרסתה היא בעלת ערך רב לתוקף מכיוון שהיא מספקת להם רשימה של יעדים לניצול. ישנם שירותים, כולל Wordfence, שיכולים לעזור להסתיר את גרסת התוכנה שלך ועשויים להאט תוקף. עם זאת, הסתרת גרסאות התוכנה שלך ידועה בשם 'אבטחה באמצעות מיסוך', ואין להסתמך רק עליה ​​כדי לאבטח את האתר שלך. הדרך הטובה ביותר לשמור על אבטחת האתר שלך היא להבטיח שאינך מפעיל תוכנה פגיעה על ידי שמירה על  אתר מתוחזק היטב.

שלב ב': ניצול

ניצול הוא למעשה פריצה לאתר. כשחושבים על כך שישנם מסדי נתונים גדולים של פגיעויות הרשומות לפי סוג תוכנה וגרסה זמינים באינטרנט, ושאלה מכילים פירוט טכני מלא על איך לנצל פגיעות, ניצול נראה כמו החלק הקל בתקיפת אתר. מציאת אתרים לתקיפה וזיהוי תוכנות פגיעות באתר הניתנות לניצול, שלב הסיור, הוא עיקר העבודה.

כאשר אתר וורדפרס מותקף, ישנן מספר נקודות כניסה עיקריות או 'וקטורים' להתקפה, כגון:

  1. עמוד ההתחברות שלך – זוהי צורת ההתקפה הנפוצה ביותר המטרגטת אתרי וורדפרס. זה המקום שבו מתרחשות רוב התקפות ניחוש סיסמאות או התקפות 'Brute Force'. לתוקפים יש בוטים אוטומטיים שמנסים לנחש את הסיסמת שלך לאתר על ידי מספר ניסיונות עצום.
  2. קוד PHP באתר שלך – זוהי צורת ההתקפה השנייה בשכיחותה המכוונת ל-WordPress. תוקפים ינסו לנצל נקודות תורפה בקוד PHP הפועל באתר הוורדפרס שלך. זה כולל את הקוד בליבת וורדפרס, ערכות הנושא שלך, התוספים שלך וכל יישום אחר שאתה מפעיל. אופן הניצול של קוד PHP הוא רחב ומגוון.
  3. הסלמה של הרשאות – זוהי צורת התקפה פופולרית נוספת שתוקף עשוי להשתמש בה כדי לקבל גישה לאתר שלך. בצורת התקפה זו, ההאקר מקבל גישה לאתר באמצעות חשבון משתמש רגיל ללא הרשאות גישה. בהרבה אתרים, האקרים יכולים להירשם כדי לקבל חשבון. הסלמה של הרשאות בליקוי במערכת כדי להשיג רמת גישה גבוהה יותר כמו מנהל לחשבון שלהם.
  4. תוספים ישנים או לא מתוחזקים – ייתכן שאתה עושה עבודה מצוינת בשמירה על אבטחת אתר וורדפרס שלך, ובמקרה זה תוקף יחפש אחר יישומי אינטרנט ישנים יותר ולא מתוחזקים באתר שלך הפגיעים. אם הם יכולים לקבל גישה דרך תוספים אלה, הם יכולים לשנות את קבצי הוורדפרס שלך ולהדביק את האתר שלך, למרות ששמרת על וורדפרס עצמה מאובטחת.

 

מעבר לפרצות האבטחה האלה, ישנן עוד מגוון רחב של פרצות אבטחה ולכן לא נוכל לדבר על כולן. מעבר לכך, מספר הדרכים שבהן האקר יכול לקבל גישה לאתר האינטרנט שלך עשוי להפחיד. אך אל חשש. מה שנוכל לעשות, הוא להבין איך אפשר לשפר את אבטחת האתר שלך בשביל למנוע את הפרצות הללו.

 

אבטחת המידע וחוק הגנת הפרטיות

לא כל אתר מתמודד עם אותם האיומים; אתרים מסוימים מתמודדים עם סכנות גדולות, כמו למשל אתר של מוסד פיננסי. אם האתר שלכם רק מציג מידע כללי לגבי העסק, כנראה יהיה בו פחות מידע רגיש. אין כאן סכנה של גנבת מידע ואם האתר יושחת באיזו מתקפת האקרים תוכלו לשחזר מהגיבוי (גיבויים שוטפים נעשים לרוב על ידי מנהל האחסון של האתר שלכם. כדאי מאוד לוודא זאת!).
אך זהו אינו המצב בכל האתרים; אתרים רבים מחזיקים במאגרי מידע אשר חשוב לשמור עליהם. לא רק שזהו אינטרס ברור של העסק להגן על המידע, זה גם נדרש על החוק להגנת פרטיות מאגרי מידע; חוק אשר מסווג את מאגרי המידע ומגדיר את רמות ההגנה הנדרשות. עסקים צריכים להיות מודעים לחוק זה ולהיערך עם פתרונות האבטחה המתאימים. החוק מתייחס למאגרי מידע באופן כללי ולא לאתרי אינטרנט אך במקרים רבים אתר האינטרנט מקושר למאגר מידע ויש להיערך בהתאם.
במיוחד כאשר מדובר בחנויות דיגיטליות שמסד הנתונים שלהן הוא בעל מידע אישי ורגיש, בנוגע לכל הרוכשים והגולשים בחנות הדיגיטלית.

 

איך להגן על אתר הוורפרס שלך?

אז דיברנו על כמה מושגים בסיסיים ותיארנו מי תוקף את אתר הוורדפרס שלך ולמה הוא תוקף. את איך הוא תוקף.
זה כנראה ברור בשלב הזה שחשוב מאוד לשמור על אבטחת אתר הוורדפרס שלך. בשביל להגן על האתר שלך, יש לבצע תחזוקת אתר שוטפת ולדאוג לחברת אחסון אתר איכותי שמציע תמיכה.
 

ריכזתי לך מספר כללים עיקריים שיש להקפיד עליהם כדי לשמור על אבטחת האתר שלך:

  1. השתמש בסיסמאות חזקות עבור כל חשבונות המשתמשים שלך, במיוחד למשתמשים עם הרשאות ניהול.
  2. בחר חברת אחסון איכותי שמספק תמיכה. (מומלץ לא שרת שיתופי)
  3. שמור על ליבת וורדפרס, ערכות הנושא והתוספים שלך מעודכנים.
  4. הוספת חומת אש ומערכת זיהוי ומניעת פריצות כמו Wordfence כשכבת אבטחה נוספת.
  5. הסר את כל הפלאגינים או ערכות הנושא הישנות והלא מתוחזקות כולל גיבויים ישנים.
  6. ודא שאין קבצים זמניים רגישים מונחים באתר האינטרנט שלך.

אני מקווה שמאמר זה עזר לכם קצת להבין יותר את התחום של אבטחת וורדפרס בפרט ואבטחת אתר אינטרנט בכלל.

בשורה התחתונה, אבטחת אתרים אינה פעולה חד-פעמית ואינה יכולה להימנע על ידי הגדרות מסוימות או תוספים בעת בניית האתר. 
בתור בעלי האתר, זה באחריותנו לתחזק ולטפל באתר שלנו, גם אם זה אומר לדאוג לבעל מקצוע שיעשה את זה בשבילנו.
מה שכן, הרבה יותר קל למנוע פרצות לאתר שלכם מאשר לטפל בהן בזמן אמת. 

חדש בבלוג
הרשמה לניוזלטר

רוצים לקבל עדכונים למייל ברגע שעולה מאמר חדש?

אהבת את המאמר? אולי הוא יעזור לעוד אנשים (:
ווטסאפ
פייסבוק
אימייל
טוויטר
לינקדאין
אולי יעניין אותך לקרוא גם...
דברו איתנו

אם יש לך אתר תדמית או חנות דיגיטלית שלא מרוויחים – אנחנו פה לעזור.
עדיין אין לך אתר כלשהו? אנחנו פה לתקן את זה ;)

אפשר להשאיר פרטים ואנחנו נדאג לך לכל השאר…

למעבר לוואצאפ, הכניסו את מספר הטלפון שלכם (:

רוצים עדכונים למייל כאשר עולה מידע חדש?
מוזמנים להשאיר פרטים ונדאג לעדכן אתכם (:

מעבר לוואצאפ
1
💬 רוצים לקבל הצעת מחיר?
Webshuk
היי, אני עופרי 😎
רוצים לשמוע עוד על השירותים שלנו?
דברו איתי!
דילוג לתוכן