מדריך לאבטחת אתר

מדריך לאבטחת אתר וורדפרס 2019 

מדי יום, גוגל מסמנת למעלה מ-10,000 אתרים בעלי תוכנות זדוניות וכ-50,000 אתרי פישינג בשבוע. הפעם בחרנו להכין עבורכם מדריך אבטחה עם עצות אבטחה מעשיות ומשמעותיות לאתר הוורדפרס שלכם, על מנת שתוכלו להגן על האתר שלכם בחוכמה, ביעילות ובביטחה. 

למרות שתוכנת הליבה של וורדפרס מאובטחת מאוד, והיא נבדקת על בסיס קבוע על ידי מאות מפתחים, ישנם עוד מספר צעדים שניתן לעשות על מנת לשמור על אתר מאובטח. 

 

סיסמה ושם משתמש חזקים באמת

ניסיונות הפריצה הנפוצים ביותר בוורדפרס הם באמצעות סיסמאות גנובות. ניתן להקשות על ניסיונות אלו באמצעות הגדרת סיסמאות חזקות יותר, לא רק עבור אזור הניהול של וורדפרס, אלא גם עבור חשבונות FTP, מסד נתונים, חשבון אירוח של וורדפרס וכתובות הדוא"ל אשר משתמשות בשם הדומיין של האתר שלכם. הרבה מתחילים לא אוהבים להשתמש בסיסמאות חזקות מכיוון שקשה לזכור אותן, אולם כיום ניתן להיעזר בתוכנות נהדרות לניהול סיסמאות, כך שאין צורך לזכור דבר.

אגב, דרך נוספת להפחתת הסיכון היא לא לתת לאף אחד גישה לחשבון הניהול של וורדפרס אלא אם כן אין ברירה אחרת. אם יש לכם צוות גדול או מפתחים אורחים, וודאו שאתם מבינים את תפקידי המשתמש ויכולותיו בוורדפרס לפני שתוסיפו חשבונות משתמש ומפתחים חדשים לאתר הוורדפרס שלכם.

 

חשיבות האחסון

שירות האחסון שאתם מגדירים באתר הוורדפרס שלכם, ממלא את התפקיד החשוב ביותר באבטחת האתר. ספקי אחסון מקצועיים נוקטים באמצעים נוספים כדי להגן על השרתים שלהם מפני איומים נפוצים. בתוכנית אחסון משותפת, אתם משתפים את משאבי השרת עם לקוחות רבים אחרים. זה פותח את הסיכון לזיהום חוצה אתרים כאשר האקר יכול להשתמש באתר סמוך כדי לתקוף את האתר שלכם. שימו לב כיצד עובדת חברת אחסון אתרים טובה ברקע, על מנת להגן על אתרי האינטרנט והנתונים שלכם:

  • מעקב רציף אחר פעילות חשודה ברשת
  • כלים מוכנים מראש למניעת התקפות DDOS בקנה מידה גדול
  • שמירה על עדכניות תוכנת השרת והחומרה כדי למנוע מהאקרים לנצל פגיעות אבטחה ידועה בגרסה ישנה יותר.

 

אבטחה ללא קוד

אם אתם לא בעלי ראש טכני במיוחד, סביר להניח כי שיפור האבטחה בוורדפרס שלכם יכול להיחוות קצת מסובך ואימתני, לשם כך אנחנו כך. עזרנו לאלפי משתמשי וורדפרס לשפר את אבטחת האתר שלהם, וכעת תוכלו גם אתם לשפר את האבטחה שלכם באמצעות מספר לחיצות, ללא שימוש בקוד.

ההגנה הראשונה מפני כל מתקפת וורדפרס היא גיבוי. חשוב לזכור, דבר אינו מגובה ב-100%, אם ניתן לפרוץ לאתר ממשלתי, ניתן לפרוץ גם לאתר שלכם. הגיבויים מאפשרים לכם לשחזר במהירות את האתר, במידה וקרה משהו. ישנם הרבה תוספי גיבוי וורדפרס בחינם ובתשלום בהם תוכלו להשתמש. הדבר החשוב ביותר שאתם צריכים לדעת בכל מה שקשור לגיבויים הוא שיש לשמור באופן קבוע גיבויים באתר מלא במיקום מרוחק (לא באחסון הרגיל, למשל). אנו ממליצים לאחסן אותו בשירות ענן.

בהתבסס על התדירות שבה אתם מעדכנים את האתר שלכם, ההגדרה האידיאלית עשויה להיות פעם ביום או גיבויים בזמן אמת. למרבה המזל, ניתן לעשות זאת בקלות באמצעות התוסף WEBDEFENDER.

בנוסף, אנו מציעים מוצר אבטחה מעולה אשר פיתחנו בשיתוף עם חברת COMODO העולמית, ונקרא CWATCH

 

CWATCH – שקט מתמשך בתחום האבטחה

CWATCH מציעה לכם לטפל בכל נושאי האבטחה, באופן שוטף ומקצועי, כך שלא תצטרכו לעשות דבר בפועל, בנושא זה. בין היתר, המוצר מציע:

  • סריקת תוכנות זדוניות והגדלת מהירות האתר בהתאם.
  • הגנת DDOS – CDN.
  • הסרת רשימה שחורה.
  • מניעה של תוכנות זדוניות והתקפות באמצעות חומת אש המותאמת אישית לחלוטין (WAF – פירוט בהמשך).
  • הסרת תוכנות זדוניות ללא הגבלה.
  • ניטור מתמשך של הטראפיק.
  • תמיכת לקוחות 24/7.

 

חומת אש ליישומי אינטרנט (WAF)

הדרך הקלה ביותר להגן על האתר שלכם ולהיות בטוחים באבטחת הוורדפרס שלכם היא באמצעות חומת אש ליישומי אינטרנט (WAF). חומת אש לאתר חוסמת את כל התעבורה הזדונית עוד לפני שהיא מגיעה לאתר שלכם.

חומת אש של אתר ברמה של DNS – חומת אש אלה מנתבות את תנועת האתר דרך שרתי הפרוקסי שלהם. זה מאפשר להם לשלוח רק תנועה מקורית לשרת האינטרנט שלכם.

חומת אש ברמה היישומית – תוספי חומת אש אלה בוחנים את התעבורה ברגע שהיא מגיעה לשרת אך לפני טעינת מרבית סקריפטי הוורדפרס. שיטה זו אינה יעילה כמו חומת האש ברמת ה- DNS בהפחתת עומס השרת.

 

העברת אתר הוורדפרס ל- SSL / HTTPS

SSL (Secure Sockets Layer) הוא פרוטוקול שמצפין העברת נתונים בין אתר האינטרנט שלכם לדפדפן המשתמשים. הצפנה זו מקשה על מישהו לרחרח סביבו ולגנוב מידע.

לאחר הפעלת SSL, האתר שלכם ישתמש ב- HTTPS במקום ב- HTTP, תוכלו לראות גם אייקון של מנעול ליד כתובת האתר שלכם בדפדפן. העלות לאישורי SSL נעה בין כ-280 שקלים בשנה, למאות ואלפי שקלים בכל שנה. בשל עלות נוספת, מרבית בעלי אתרי האינטרנט בחרו להמשיך להשתמש בפרוטוקול הלא בטוח. 

כדי לתקן זאת, ארגון אמריקאי ללא מטרות רווח בשם Let's Encrypt החליט להציע תעודות SSL בחינם לבעלי אתרים. הפרויקט שלהם נתמך על ידי גוגל כרום, פייסבוק, מוזילה, וחברות רבות נוספות. כיום ניתן להשתמש ב- SSL לכל אתרי הוורדפרס. אגב, חברות אחסון רבות מציעות כיום תעודת SSL בחינם לאתר וורדפרס שלך. 

 

לא חידשנו לכם כלום? כנראה ש'אבטחת וורדפרס למתקדמים' מתאים לכם יותר!