וורדפרס היא מערכת לניהול אתרים (cms) הפופולרית בעולם וגם בישראל (אם אתם לא יודעים למה, תוכלו לקרוא על זה כאן).
אבל היא קורצת לא רק לבעלי העסקים שרוצים לבנות אתר לעסק, אלא גם להאקרים. וורדפרס היא מערכת שפתוחה לכל אחד ולכולם יש גישה אליה, כך האקרים יכולים להוריד אותה וללמוד את המערכת ולמצוא בה פרצות אבטחה.
גם אם האתר שלכם קטן וזניח, האתר שלכם עלול להיות יעד להתקפה. רוב הפריצות מתבצעות באמצעות תוכנות אוטומטיות כך שאין משמעות לגודל האתר שלכם וגם אתר קטן עם מעט מאד כניסות עלול לחטוף מכה אנושה.
לכן אם עדיין לא אבטחתם את האתר, זה הזמן לסתום חורים באבטחה ולהקשות על הפורצים ככל האפשר. שנתחיל?
עדכון וורדפרס ותוספים
הדבר הכי בסיסי באבטחת אתר וורדפרס זה לדאוג שגרסת הוורדפרס תהיה מעודכנת כל הזמן, כולל התבנית והתוספים.
עם זאת, עדכונים מהותיים בוורדפרס כדאי לפעמים להמתין מעט ולראות האם ישנם פרצות אבטחה חמורות. ונסביר:
כל גרסת וורדפרס תמיד תהיה מורכבת משלושה מספרים. לדוגמה: 5.4.2
הספרה הראשונה: 5, מסמלת עדכון ליבה של המערכת – לא מומלץ לעדכן בגרסה 5.0.0 אלא מגרסה 5.0.1 ומעלה כדי לוודא שפרצות אבטחה התגלו ונסתמו ברמה טובה יותר.
הספרה השנייה: 4, מסמלת עדכון רכיבים של המערכת – מומלץ לעדכן מיד לאחר בדיקה שהם לא משפיעים על התוספים.
הספרה השלישית: 2, מסמל עדכון אבטחה של המערכת – לרוב אין מה לחשוש וניתן לעדכן מיד.
בחירת סיסמאות חזקות
בחרו בסיסמה מורכבת לגישה למערכת הניהול ושמרו אותה במקום בטוח.
סיסמה כמו 123456 איננה סיסמה חזקה! תשתמשו בסיסמה שתכיל ספרות אותיות גדולות, קטנות ותווים מיוחדים. משהו כמו זה – vy2@Ej8Ko%C49 (כמובן, אל תבחרו בסיסמה הזאת, כן?).
גילוי שם משתמש
אחת הפרקטיקות הנפוצות בין קראקרים (פצחנים) היא פריצה בכח ברוטלי – brute force – דהיינו, הפצצה של טופס הכניסה לאתר בבקשות כניסה מרובות, בשיטת מצליח – מתישהו, איזושהי סיסמה תתפוס.
ואיך נדע מה שם המשתמש?
פרצת אבטחה בוורדפרס מאפשרת לנו לדעת את שם המשתמש באמצעות הוספת השאילתא
?author=1 לאחר הכתובת, לדוגמה http://www.dom—ain.co.il/?author=1.
שאילתא זו תציג לנו את שם המשתמש של המנהל הראשי של האתר.
כדי לסתום פרצה זו ולהסתיר את שם המשתמש, יש להוסיף בקובץ functions.php את הקוד הבא:
אזהרה: חשוב מאד לעשות גיבוי לקובץ לפני השינויים, משום שכל בעיה קטנה בקובץ זה עשויה להפיל את כל האתר!
מה שגוי שם המשתמש או הסיסמה?
בעיה נוספת היא שאם ננסה להכניס שם משתמש או סיסמה שגויה, וורדפרס יגלה לנו אם הבעיה היא בשם המשתמש או בסיסמה. איך? פשוט מאד. אם תקישו שם משתמש שגוי, וורדפרס יציג לכם הודעת שגיאה ששם המשתמש שגוי ואז תדעו לשנות את שם המשתמש, ואם רק הסיסמה שגויה הוא יודיע לכם שהסיסמה שגויה ואז תדעו לשנות רק את הסיסמה.
כדי לפתור בעיה זו נצטרך שוב להיכנס לקובץ functions.php ולהוסיף את הקוד הבא:
החבאת קובץ ה-config
קובץ ה config הוא הקובץ הכי מבוקש על ידי פורצים שכן בו רשומים כל הפרטים הכי רגישים של האתר כמו פרטי מסד נתונים, שם משתמש וסיסמה ועוד.
כדי להקשות על פורצים לשים את ידם על הקובץ, מומלץ להסתיר אותו על ידי הוצאה של קובץ הconfig מספריית public_html והעאלתו רמה אחת למעלה לספריה הראשית.
החבאת גירסת הוורדפרס
כאמור וורדפרס היא מערכת שפתוחה לכולם וכל אחד יכול להוריד אותה ולחפש בה פרצות אבטחה. פרצות אלה מתוקנים כל הזמן בכל גירסה חדשה, ומאידך גם הפורצים מגלים בה פרצות חדשות.
את גירסת הוורדפרס ניתן לגלות באמצעות צפיה במקור הדף (ctrl+u) ונחפש "genera" ואז ניתן לראות את גירסת הוורדפרס שלכם, להוריד אותה ולחפש וגם למצוא בה פרצות אבטחה.
כמובן שתמיד רצוי להשתמש בגירסת הוורדפרס העדכנית ביותר, אבל בהחלט יש מקום להקשות עוד על הפורצים ולהסתיר את גירסת הוורדפרס שלכם שלא יהיה גלוי לכל, זאת באמצעות הוספת הקוד הבא לקובץ ה functions.php.