קבל דוח בחינם
כניסת לקוחות
Phone Link Icon 050-8127373
Lang Icon EN
אבטחת אתרי וורדפרס
אבטחת אתרי וורדפרס

אבטחת אתרי וורדפרס

המאמר הבא יהיה אולי קצת טכני לחלקכם, אבל מדובר על אחד המאמרים החשובים ביותר שאתם צריכים לקרוא אם אתם בעלי אתר הבנוי על פלטפורמת וורדפרס. בשנים האחרונות חלה עלייה משמעותית בכמות הפריצות לאתרים, יותר מידע רץ ברשתות, יותר ידע טכני קיים בשוק ויותר פרצות אבטחה שיש באתרים. אז איך בכל זאת אפשר לשמור על האתר שלכם וכמובן על הגולשים והמידע הרגיש? אספתי לכם את כל הטיפים הכי חשובים שנתנו לי בדרך כדי להגיע לאבטחת האתר המקסימלית, מבטיח לכם שאם תעבדו לפי כל החוקים יהיה מאוד קשה לפרוץ ולגנוב נתונים – מוכנים לזה? 😎

החשיבות של אבטחת אתרים בכלל ואתרי וורדפרס בפרט

אז לפני שאני צולל איתכם ישר לתוך הטיפים והמידע הטכני, אני רוצה לעצור ולהסביר למה אבטחת האתר כל כך חשובה, בטח בימים האלו.

קודם כל חשוב להבין שבעשור האחרון כמות ניסיונות הפריצה לאתרים, האקרים והבוטים המיועדים לפגוע באתר או לגנוב מידע עלו בכמות משמעותית ממה שהיה בעבר, למה? בעיקר כי יש היום המון מידע אטרקטיבי באתרים כמו לדוגמא כרטיסי אשראי, מידע אישי, מידע רפואי ועוד. המידע הזה נחשב ליקר ערך וזאת הסיבה שמנסים לגנוב אותו כל הזמן.

למה ממש חשוב לשמור על האתר מאובטח?

הלקוחות שלכם

הלקוחות שלכם הם העיקר, אם תהיה אצלכם פרצת אבטחה וללקוחות יגנב מידע, כרטיס אשראי או כל דבר כזה הם לא יחזרו לרכוש אצלכם שוב ויותר מזה, זה עלול לפגוע בשמכם הטוב.

 כופר או חסימת כניסה

טרנד חדש (טוב אולי לא כזה חדש) בעולם האקרים זה לפרוץ לאתר, להשתלט עליו ואז לבקש כופר לשחררו, תאמינו לי שאתם לא רוצים להיכנס לזה.

קידום אורגני והדירוג בגוגל

אתר לא מאובטח או ברמת אבטחה נמוכה ייפגע מבחינת הקידום האורגני. כן כן. כמו שכתבתי כמה וכמה פעמים במאמרים השונים שלי, רק הגולש מעניין את גוגל, אם פגעתם באבטחת האתר – פגעתם בקידום האתר.

בעיות אבטחה נפוצות בוורדפרס

קיימים סוגים שונים של תקלות באבטחת אתרי וורדפרס, אספתי כמה מהנפוצות ביותר:

ניסיונות התחברות

ניסיונות התחברות באמצעות בוטים או אפילו בצורה ידנית, זה הצורה הנפוצה ביותר של ניסיונות פריצה לאתרים. ההאקר בעצם משתמש באוטומציה כדי להזין כל פעם שילובי שם משתמש וסיסמא אחרים, במטרה למצוא את השילוב שיכניס אותו פנימה.

נסיונות התחברות של בוטים

מתקפת XSS

סוג התקפה המתרחש כאשר ההאקר מזין קוד זדוני לבק אופיס של האתר, במטרה לגנוב נתונים ומידע או לחולל באגים בפונקציונאליות האתר.

פגיעה במסד הנתונים

הזרקת SQL, היא בעצם צורת תקיפה בה ההאקר שולח קוד מזיק לאתר דרך הזנת נתונים כלשהי, כמו לדוגמא טופס יצירת קשר. בשלה הבא האתר מאחסן את הקוד הזדוני במסד הנתונים וכך הקוד המזיק פועל באתר.

פישינג

אתם בטח מכירים את זה ניסיונות להתחזות לביט או לדואר, אז יש את זה גם באתרים. בשיטה הזאת ההאקר בעצם יוצר קשר עם החברה במסכה של איש שירות לדוגמא, וכך מטמיע משהו באתר במטרה לגנוב מידע, כמו לדוגמא הקלטות של כרטיסי אשראי

טיפים איך לשמור על אבטחת האתר שלכם באופן שוטף

אז אחרי שהבנתם את החשיבות, בואו נדבר על איך עושים את זה בפועל. אספתי לכם את כל הטיפים החשובים כדי לדאוג שהאתר שלכם מוגן

קודם כל -תעדכנו את גרסת הוורדפרס

וורדפרס (וגם התוספים) מעדכנים גרסאות כל כמה זמן, חשוב מאוד לבצע את העדכונים הנדרשים. הסיבה העיקרית היא, שלוקח זמן למצוא פרצות אבטחה, ככל שהגרסה ישנה יותר כך נמצאו בה יותר פרצות אבטחה והיא "טרף קל" יותר עבור האקרים. בנוסף ככל שגרסת הוורדפרס חדשה יותר כך ההתאמה ניתן להשתמש בתוספים בצורה יעילה יותר ובכך קידום האתר עשוי להשתפר. בנוסף לכך, אל תתפתו להתקין תוספים שאתם לא מכירים, לא המליצו לכם עליהם ולא קראתם עליהם באינטרנט, אלא סתם כי היה לכם פרומושן או פרסום עליהם, יש לא מעט תוספים שנראים "כשרים" אבל הם בעצם וירוסים המסייעים להשתלט על האתר.

תשקיעו באחסון שלכם

בחרו חברת אחסון מאובטחת ואמינה, לרוב זה יהיה יקר יותר מאשר אלטרנטיבות אחרות, אבל זה לגמרי שווה את זה. פריצות רבות לאתרים קורות בגלל פרצות אבטחה דווקא באחסון, לכן, חשוב לדאוג לכך שהחשבון שלכם מבודד משאר האתרים, בעיקר אם האחסון שלכם נמצא בשרת שיתופי.

תשקיעו בבחירת הסיסמא ושם המשתמש שלכם

אם שם המשתמש שלכם הוא ADMIN והסיסמא שלכם היא 54321 אז כדאי מאוד שתקראו את הפסקה הזאת 🙂 כאשר אתם פותחים את החשבון בוורדפרס, תחליפו את שם המשתמש שלכם ותבחרו סיסמא מאתגרת לפריצה. אם הסיסמה שלכם תהיה פשוטה מדי יהיה מאוד קל לפרוץ לאתר שלכם.

אל תתנו לכל אחד הרשאת ADMIN

לכל בעל מקצוע יש את התפקיד שלו וחשוב לתת הרשאות רלוונטיות לכל אחד, לדוגמא, אם יש לכם מומחה SEO שעובד על האתר שלכם, אין שום סיבה שהוא יהיה חשוף לכל שאר חלקי האתר, או שתהיה לו הרשאה שוות ערך למנהל האתר.

חשוב מאוד לתת לכל בעל תפקיד את ההרשאות שהוא צריך, זה יצמצם משמעותית את פגיעות האתר לפריצות.

ניסיונות התחברות

תדאגו להגביל את ניסיונות ההתחברות לוורדפרס, כלומר, את כמות הפעמים שיש ניסיונות להיכנס עם משתמש וסיסמא. ניתן לעשות את הפעולה הזאת באמצעות תוסף.

אבטחו את wp.config.php

הקובץ החשוב ביותר שיש לכן, מכיוון שהוא מכיל בתוכו את כל פרטי ההתחברות, לכן יש לאבטח את הקובץ ולמנוע אליו גישה.

תוסף אבטחה

ישנם המון תוספי אבטחה בשוק המותאמים לאתרי וורדפרס. התוספים האלו יוכלו לעזור ולמנוע מתקפות, למנוע פרצות אבטחה, לעזור עם אבטחת סיסמאות וכמו כן, יעזרו באבטחת האתר בצורה טובה יותר.

חברו את האתר לגוגל סרצ' קונסול

גוגל סרצ' קונסול הוא כלי של גוגל המיועד לניהול אתרים עם הכלים שגוגל מציע. מעבר למגוון האפשרויות הקיימות היום בפלטפורמה, היא יודעת להתריע מפני פגיעות אבטחה ולקבל את כל המידע בנוגע לאבטחת האתר.

שימוש ב-SSL

תעודת SSL משמעותית מאוד לאבטחת סביבת הניהול של וורדפרס. שימוש ב-SSL  עושה הצפנה לנתונים העוברים בין המשתמש, הדפדפן והשרת ובכל בעצם מגנה על האתר מפני האקרים המנסים לגנוב את המידע הקיים. מעבר לכך, תעודת SSL משפיעה גם על דירוג האתר שלכם בגוגל ובכך עוזרת לקידום האתר בחיפושים רלוונטיים.

גבו את האתר שלכם

פריצה לאתר, ממש כמו פריצה למרחב הפיזי שלכם היא ממש לא נעימה. יתרה מזאת, עלולים לגנוב לכם נתונים ומידע רגיש ומתקפות יכולות גם להעלים נתונים. לכן חשוב לדאוג לגיבוי כל הזמן. אין לכם זמן לזה? ברור לגמרי, אני ממליץ לרכוש תוסף שיעזור לכם!

לסיכום

אין ספק כי אבטחת אתרי וורדפרס היא פעולה סופר משמעותית בניהול אתר, בעיקר משום שפרצת אבטחה עלולה לעלות לכם בלא מעט כסף וזמן טיפול, לצד תדמית לא טובה אל מול הלקוחות שלכם.

במאמר, דיברנו על טיפים שונים במטרה לעזור לכם לשמור על האתר שלכם מאובטח ברמה גבוהה, הטיפים לא מסייעים ב-100% אבל אין ספק שאם תפעלו על פיהם תצמצמו את הסיכון שלכם באופן משמעותי. בהצלחה!

אודות הכותב
אייל רחמים
אייל רחמים

בעל ניסיון של 14 שנים בשיווק דיגיטלי ו11 שנים בקידום אתרים, יזם דיגיטלי, מנכ״ל דיגיטאץ׳ – חברה לקידום אתרים ושיווק באינטרנט, מרצה במכללה למנהל, והבעלים של הבלוג seolinks.

קידום אתרים בגוגל למעלה

רוצים יותר כניסות לאתר?

מדריך ללימודי קידום אתרים
רוצים שאבדוק לכם את האתר?