איך להגן על אתר הוורדפרס שלך? ישנה אימרה שכל תוכנה או אתר באינטרנט פריצים, רק השאלה מתי הם יפרצו. זה לא אומר בהכרח שאתר האינטרנט שלכם מועמד לכזאת פריצה, שכן בדרך כלל האתרים המותקפים ביותר שייכים לממשלות, ארגונים ממשלתיים וחברות ענק, אך תמיד ישנו הסיכון ש"תעלו בגורל" במהלך סריקת אתרים פשוטה על ידי האקרים שמחפשים להרע למדינת ישראל, ועל כן תמיד עדיף לשמור על הבטיחות של האתר שלכם (והמידע שלכם ושל הגולשים שלכם) עד כמה שאפשר.
למזלנו הרב, בניגוד לאתרי אינטרנט מהדור הקודם שבהם עניין האבטחה של האתר שלכם היה בידכם, כיום ישנה קהילה גדולה מאוד שעוסקת בפיתוח תוכנת וורדפרס, שכמובן היא קוד חופשי, וישנן עוד אלפי פרטיים ומאות חברות אשר עוסקות בפיתוח של תוספים בחינם ובתשלום (או "תוספי לייט" שמאפשרים לכם להתנסות בגרסאות עם פחות פיצ'רים).
איך להגן על אתר הוורדפרס שלך – השלבים
השלב הראשון בהגנה על אתר הוורדפרס שלך הוא בחירת שם משתמש וסיסמה. שם המשתמש בדרך כלל יהיה "admin" כי זה ברירת המחדל, אך כמובן שעדיף לבחור בשם משתמש אחר, כמה שיותר מסובך יותר טוב. גם מבחינת הסיסמה – לא מומלץ כלל וכלל להשתמש בסיסמה קלה לפיצוח, לדוגמא 12345 או admin. כיום מערכת הוורדפרס לא מאפשרת כלל לבחור סיסמאות כאלו, אך ישנן דרכים לעקוף זאת וכמובן שאנחנו לא ממליצים לעשות כן, יש לכך סיבה מאוד טובה.
השלב השני הוא להתקין כמה שפחות תוספים – מתוכם לברור תוספים שלא עודכנו בחודשים\בשנים האחרונות וכמובן שלא תוספים עם 50 הורדות. זה לא שאנחנו חלילה לא מעודדים יוצרים חדשים, אלא שתוספים כאלו עלולים להכיל "דלתות אחוריות" כמו פתח ל-SQL Injection (על כך במאמר נפרד). גם תוספים גדולים ומוכרים נתפסו במערומיהם מכילים דלתות אחוריות כאלו, אז כמובן שמי שנכווה ברותחין נזהר בצוננין.
השלב השלישי הוא כמובן המלצה חמה וידידותית – 2FA. אימות דו-שלבי מאפשר לכם להתחבר לאתרים המועדפים עליכם אחרי 2 שכבות הגנה – אחת היא כמובן הסיסמה שלכם, והשניה היא אימות נוסף באמצעות אפליקציה נפרדת. זה יכול להיות בעזרת אימייל עם קוד זמני שתקבלו, SMS אם יש לכם מערכת מחוברת לאתר ואפילו דרך אפליקציה בטלפון הנייד שמייצרת קודים זמניים (ממליצים בחום על "מאמת החשבונות של Google"). את התוספים הללו ניתן למצוא בשפע.
השלב הרביעי הוא תוסף מגביל נסיונות התחברות. למי שעדיין לא שמע על Brute Force – מדובר באחת מפעולות ההאקינג הוותיקות ביותר. מדובר על רובוטים שנכנסים לאזור ההתחברות לאתר שלכם ומנסים להזין סיסמאות אקראיות. אותם רובוטים יכולים לפעול במשך דקות, שעות, ימים, חודשים ושנים עד אשר ימצאו את הסיסמה הנכונה לאתרכם. תוסף מגביל נסיונות ההתחברות (Limit Login Attempts Reloaded לצורך העניין) פשוט חוסם אותם (ועלול לחסום גם אתכם) אחרי מספר נסיונות כושלים, כאשר החסימה הראשונה לרבע שעה ולאחר מכן ליממה. כמובן שתוכלו להגדיר בעצמכם את הזמנים.
השלב החמישי והאחרון הוא שימוש בסורק כגון Wordfence. התוסף מוסיף מספר רב של אפשרויות, כולל איגוד של חלק מהתוספים שהזכרנו לעיל (2FA, מגביל נסיונות התחברות וסורק אחר דלתות אחוריות ווירוסים בקוד שלכם). התוסף גם מדווח לכם, לעיתים בהצקה, על נסיונות פריצה לאתר, על תוצאות סריקה, נסיונות SQL Injection ועוד. אך למרות כמות ההצקה, מדובר עדיין בתוסף מאוד יעיל שיכול למנוע את הפריצה לאתר שלכם, או לחלופין לנקות פריצה קיימת.
