כיצד להגן על אתר וורדפרס מפני האקרים

מדריך אבטחה של וורדפרס לעסקים קטנים & יזמים. למד כיצד להגן על אתר וורדפרס שלך מפני האקרים באמצעות שלבים יזומים אלה.


טיפים בנושא אבטחה בוורדפרס

יש אמירה “אם תבנה את זה הם יבואו.” ובעולם המקוון זה אומר האקרים. אבל מה אתה עושה כדי לעצור אותם? אבטחה חשובה ונקיטת גישה פרואקטיבית היא הדרך הטובה ביותר להגן על האתר שלך. בדיוק כמו בבית או בעסק שלך, אתה רוצה לשמור על נכסיך. מרבית אתרי הוורדפרס נדבקים בגלל היעדר עדכון קבצים, שבירת אחד מהתחברות הכישורים או התקפת כוח סוער. החלק הקשה ביותר הוא ההבנה כי זיהום זדוני יכול לקרות לכל אתר. ראיתי מתקפת כוח ברוטה באתר מבחן שאף לא הוסגר לאינדקס של גוגל ולא היו בו מבקרים. אף על פי ששום דבר אינו הוכחה מלאה במאה אחוז, ישנם דרכים להימנע מהגרוע ביותר. להלן צעדים פשוטים שבעל עסק קטן יכול לנקוט בכדי לשמור על אבטחת העסק המקוון שלהם שאינם מצריכים שום מפתח או קידוד מצידך.

חשיבות הסיסמאות

סיסמא נהדרת היא קו ההגנה הראשון שמרחיק אנשים לא רצויים מהאתרים שלך. כאשר בוט בא לנסות להיכנס ללוח מחוונים של וורדפרס, הדבר הראשון בו הם מנסים להשתמש בעת הכניסה הוא “admin” ו- “password”, שכן שילוב זה הוא הכניסה הנפוצה ביותר. שינוי זה להיות “Pa $$ w0rd” לא הופך אותו לאבטח יותר גם בגלל העובדה שהוא עדיין קורא “סיסמה”. שמות או כל דבר שיקראו עדיין כמילה קריאה הם הסיסמאות הקלות ביותר. בדרך כלל כל סיסמא צריכה להיות לפחות 12 תווים שאינם ניתנים לקריאה, המכילים אותיות גדולות וקטנות, מספרים ותווים מיוחדים. ככל שיותר תווים בסיסמה, קשה יותר לשבור. אם אתה רוצה לבדוק עד כמה הסיסמאות שלך מאובטחות, בדוק את עד כמה הסיסמה שלי מאובטחת בודק. זה יראה לך כמה זמן ייקח בוט למחשב לשבור את הסיסמה שלך. הבודק אמר לי שייקח מחשב שולחני בערך 377 מיליארד שנה לפיצוח הסיסמה שלי. זה כשאתה יודע שיש לך סיסמא נהדרת!

תוספי אבטחה עשו עזרה

ישנם סוגים רבים של תוספי אבטחה שעושים מגוון פונקציות. אתה יכול להשתמש ביותר מתוסף אבטחה אחד באתר שלך כל עוד אין לך להגדיר אותם לעשות את אותם דברים. להלן רשימה של כמה תוספי אבטחה נהדרים של וורדפרס הזמינים. אבל למאמר זה, הנה איך הקמתי את כל האתרים שלי לביטחון מרבי.

Jetpack – אני משתמש בתוסף רב הבדיוני Jetpack בכל האתרים שלי. יש להם כמה תכונות מובנות לאמצעי אבטחה שאני מדליק עליהם.

  • צג – Jetpack יודיע לך מתי האתר שלך יירד ומתי הוא יחזור לגבות. היה תמיד יודע מתי הלקוחות שלך אינם יכולים לגשת לאתר שלך.
  • הגן – הגן בעבר היה תוסף עצמאי בשם BruteProtect. זה היה אחד התוספים המשומשים ביותר כדי לחסום התקפות כוח סוער. Automattic רכשה אותו בשנה שעברה וכעת היא מובנית בתוך Jetpack.
  • ניהול – ניהול של Jetpack מאפשר לך לעדכן את התוספים, העיצובים והליבה של כל אתרי האינטרנט שלך שמתארחים בעצמך מלוח מחוונים אחד ומאפשר לך לקבל עדכונים אוטומטיים..

iThemes Security (לשעבר אבטחת WP טובה יותר) – אמנם iThemes Security אינו חומת אש אבטחה, אך הוא מעניק יתרונות גדולים להבטחת אתר מבלי שתצטרך לשנות את הקוד בעצמך. יש להם גרסת בחינם ו Pro. להלן התכונות שצריך להפעיל באמצעות תוסף זה בעת השימוש ב- Jetpack.

  • אפשר תמיד ל- iThemes Security לכתוב ל- wp-config.php ו- .htaccess. כך התוסף אומר לאתר כיצד להחמיר את האבטחה.
  • אפשר עבריין חוזר ברשימה השחורה
  • אפשר זיהוי 404
  • נצל את מצב ה- Away כשאתה יודע שאף אחד לא צריך להיכנס ללוח המחוונים שלך. אל תפסיק אם אתה עובד באתר שלך בכל שעות היממה.
  • הפעל את משתמשי האיסור ואת תכונת הרשימה השחורה של HackRepair.com. זה ירחיק את ה- IP הזדוני הידוע מאתר האינטרנט שלך.
  • אפשר איתור של שינוי קבצים ופצל את בדיקת הקבצים לצ’קים. iThemes תודיע לך אם אחד מהקבצים השתנה ואינם תואמים את מה שיש בקבצים המקוריים של המאגר.
  • הפעל את התכונה המגובה להסתיר. זה ישנה את הכניסה שלך מ- YourSite.com/wp-login.php לדף מותאם אישית לבחירתך. אל תניח אותו כדף או פוסט עתידי או עתידי. דוגמאות נהדרות הן כניסה, עיקרית או מאובטחת.
  • iThemes Security מציעה כעת סריקות של Sucuri SiteCheck לכל משתמשי התוספים.
  • אפשר סיסמאות חזקות לכל המשתמשים כולל המנויים.
  • סמן את כל התיבות ב- Tweaks System.
  • באזור WordPress Tweaks, אל תשבית לחלוטין את XML-RPC בעת השימוש ב- Jetpack מכיוון שהדבר עלול לגרום ל- Jetpack כבר לא לעבוד כראוי..
  • גרסת ה- Pro מעניקה לך אפשרות להשתמש באימות דו-גורמי בכדי להתחבר בין תכונות אחרות.

גדר Word – למרות שאני אוהב את הסורק של WordFence, בדרך כלל אני מוריד אותו לאתר רק כשאני בודק כפול כדי לוודא שכל תוכנות זדוניות נמחקו. אם אתה מרגיש שהאתר שלך נדבק, WordFence יכול לאתר כל קובץ וורדפרס ששונה מהמקור שלו. WordFence מציעה גם כלי במטמון. אם תבחר להשתמש ב- WordFence, אתה יכול להפעיל את כל האפשרויות אך אל תפעיל אותה באמצעות iThemes Security, Jetpack’s Protect או Sucuri Security מכיוון שהם יכולים לגרום להתנגשות זה עם זה..

אבטחת Sucuri – לסוקורי יש גם חומת אש וגם אנטי-וירוס שיכולים לעזור לחסום את הרעים מהאתר שלך. לסוקורי יש את חומת האש של וורדפרס הנפוצה ביותר בתעשייה. אתה יכול להריץ את חומת האש של Sucuri CloudProxy עם iThemes Security אבל להשיג את רשימת ה- IP של CloudProxy מ- Sucuri כדי להכניס את ה- WhiteList IP שלך להגדרות האבטחה של iThemes..

אימות דו-גורמי

כל כניסה שתוכלו לקבל אימות של שני צדדים, מומלץ תמיד להשתמש בה. ישנן דרכים שונות שניתן להגדיר אותן. יכולה להיות CAPTCHA, קוד הרשאה של גוגל, או שאלה פשוטה למתמטיקה כדי להוכיח שאתה בן אדם. אם תבחר להשתמש באחד מאלה, וודא שלכל אדם שניגש ללוח המחוונים יש כניסה משלו. כניסות משותפות עלולות לגרום לבעיות, במיוחד אם משתמשים בקוד ההרשאה של גוגל שנשלח לטלפון סלולרי.

  • iThemes Pro Pro – יש אפשרויות דו-פקטוריות מרובות כולל CAPTCHA. אישור גוגל, ומתמטיקה פשוטה.
  • מפתח – באמצעות הטלפון הסלולרי שלך, Clef מציעה גישה ללא סיסמה לכניסה ללוח המחוונים של וורדפרס.
  • המאמת של גוגל – משתמש באימות דו-גורמי על ידי אפליקציית המאמת של גוגל עבור אנדרואיד / אייפון / בלקברי.

תמיד עדכן

הסיבה הגדולה ביותר שקוד זדוני נכנס לאתר הוא בגלל פגיעות שנמצאה בקוד עבור תוסף, נושא או אתר. ניתן לתקן זאת בקלות על ידי אתר האינטרנט שלך במחזור עדכונים. לחלק מהבעלים יהיה יום קבוע בשבוע לעדכון האתר שלהם, בעוד שאחרים יתעדכנו בכל פעם שהם נכנסים. ישנם תוספים שיכולים לעזור לעדכן את האתרים שלך.

  • Jetpack – טפל בכל האתרים המחוברים שלך Jetpack בלוח המחוונים של WordPress.com
  • iThemes Sync – סנכרן עד 10 אתרים בחינם, כך שיש לוח מחוונים אחד לעדכון, הפעלה של BackupBuddy וביטול נעילות חסימות של iThemes..

יש מערכת גיבוי

יש מעט מאוד מה שחשוב יותר עם אתר ואז יש מערכת גיבוי במקום. כל עוד יש גיבוי מלא של האתר כולל מסד הנתונים, לעולם לא תאבד את האתר שלך. ישנן דרכים רבות לגיבוי אתר, חלקן אוטומטיות, חלקן ידניות. שלח תמיד את הגיבויים למקום אחר שאינו השרת.

  • משיכה פלוס – יש להם גרסת חינם ופרמיום לגיבוי האתר שלך.
  • גיבוי בודי – תוסף גיבוי מובחר שמשתלב עם iThemes Security and Sync.

עצות אבטחה שונות

אמנם אלה אינם נכנסים לקטגוריה גדולה יותר, אך חשוב לזכור לא פחות

  • השתמש תמיד ב- SFTP כשאתה משתמש במנהל קבצים.
  • שמור ספריות בטלפון 755 וקבצים ב 644. לעולם אל תמצא אותם ב- 777 או 666 שכן זה יכול להריץ אותם על ידי כולם.
  • מוודא ששם המשתמש והסיסמה של בסיס הנתונים שלך מורכבים.
  • אל תשלח סיסמאות בדוא”ל. צרף אותם כמסמך טקסט מכווץ.
  • השתמש במנהל סיסמאות כדי לעקוב אחר כניסותיך. LastPass ו- 1Password הם כלים מעולים שניתן להשתמש בהם בכל דפדפן ובכל המכשירים הניידים שלכם.
  • שמור אנטי-וירוס במחשב שלך כדי להפסיק הורדה אוטומטית מאתר זדוני.

ביצוע צעדים אלה יסייע לך ולעסק המקוון שלך לשמור על בטיחותך. זכור כי להיות פרואקטיבית היא הגישה הטובה ביותר לאבטחת וורדפרס!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me