אבטחת אתרי WordPress – המדריך למנמ"ר

בתעשיות רבות, ובפרט בענפי ההיי-טק והטכנולוגיה, מאמצים כבר יותר מעשור את פלטפורמת בניית האתרים הפופולרית WordPress, שמאפשרת את בנייתם בקוד פתוח. השימוש בה הוא כיום נחלתם של חברות ומותגים גדולים בעולם. אלא שבארגונים רבים מסתייגים מהמערכת.

מנהלי IT מסבירים את הסתייגותם מבניית אתר במערכת זו בבעיות אבטחה שנובעות מהיותה מבוססת קוד פתוח. אולם, הפרשנות שניתנת לקוד הפתוח כקוד קל לפיצוח, שמזמין מתקפות סייבר, לא בהכרח נכונה. במספר פעולות פשוטות למדי ניתן להגיע לרמת אבטחה גבוהה ביותר.

פעולות אבטחה יזומות מתרכזות בשני מעגלים: הנכס הדיגיטלי (האתר), ומעגל השרתים וה-IT. בכל אחד מהמעגלים ניתן לבצע פעולות אבטחה שימנעו פריצה לאתר והשבתתו. במאמר זה אני בוחר להתרכז במעגל הפנימי – הנכס הדיגיטלי, האתר.

נטרול מתקפות DDoS
מנהלי IT נוטים לחשוב ששימוש ב-Incapsula או ב-Cloudflare ייתן מענה לטשטוש הנדרש של כתובת ה-IP, על מנת להימנע ממתקפות מניעת שירות מבוזרות. הפורצים עוקפים את המהמורה בקלות על ידי בדיקת היסטוריית הדומיין, חושפים את כתובת ה-IP המקורית ומכאן הדרך להתקפת האתר ולהשבתתו קלה. כדי לנטרל זאת, יש להחליף את כתובת ה-IP – החלפה שתמנע את זיהוי היסטוריית הדומיין וחשיפתו.

ביטול XMLRPC
החל מגרסה 3.5 של הפיצ'ר, שבעבר היה כברירת מחדל, ניתן לניהול עצמאי. הקובץ מאפשר ניהול מול מערכת CMS באופן חיצוני.

אבטחה באמצעות הרשאות לתיקיות
מהלך שגוי שאנשי טכנולוגיה רבים בארגונים עושים הוא פריסת קבצים בגישה מלאה, כחלק מתהליך התקנת ה-Wordpress. הדבר פותח גישה חופשית לתיקיות האתר. יש לנטרל זאת באמצעות הגבלת ניהול ההרשאות לכתיבה בתיקיות למינימום האפשרי.

הסתרת קובץ ההגדרות wp-config.php
המהלך השגוי שעושים בהקשר זה הוא להשאיר את מפתחות האתר בחוץ. קובץ ההגדרות הראשי של המערכת wp-config.php מכיל מידע רגיש וכולל בתוכו את מפתחות ההצפנה של המערכת, את הסיסמאות, את פרטי ההתחברות לבסיס הנתונים ועוד. הצפנת הקובץ תמנע השתלטות האקרים על מערכת הניהול.

עדכון גרסת מערכת הניהול
עדכון המערכת על בסיס קבוע יצמצם אפשרויות לפריצה מבחוץ. כל גרסה חדשה שיוצאת מכילה עדכונים אבטחתיים ובכך משאירה את המערכת מעודכנת ומאובטחת יותר.

החלפת ה-URL הסטנדרטי
אבטחה באמצעות שינוי ה-URL תפחית את סימני ההיכר הבולטים של המערכת ותמנע כניסה קלה, שנעשית בעיקר על ידי רובוטים אוטומטיים, דרך האדמין של המערכת.

טשטוש Plug-in's
לעתים, תוספים משמשים את ההאקרים לאיסוף המידע הנחוץ להם לפריצה, כמו סוגי ה-Plug-in's שבהם נעשה שימוש באתר, תבניות הבסיס וגרסת ה-Wordpress שעל בסיסה הוא נבנה. פעולת הנטרול הנדרשת בהקשר זה היא הסוואת ה-Plug-in's.

בדיקת עמידותם וחוזקם של ה-Plug-in's
בדיקה זו יכולה להיעשות באמצעות התוסף Vulnerable Plugin Checker ותהווה מדד להעדפה בשימוש בהם. מהלך נוסף לאבטחת ה-Plug-in's שניתן לביצוע הוא הסרת התוסף שאתו נעשתה הבדיקה.

התקנת תוסף לזיהוי הרצת סיסמאות
האפשרות להרצת סיסמאות בצורה בלתי מוגבלת היא אחת הדרכים הפשוטות לפריצת המערכת ולהשתלטות האקרים על מערכת הניהול. פעולת הנטרול היא התקנת תוסף שתפקידו לזהות ניסיונות כושלים ואינסופיים של הפורצים, ולהגבילם.

הכותב הינו מנכ"ל Y&A – חברה לבניית אתרים ומערכות ווב מתקדמות.

המאמר לא מהווה תחליף לייעוץ פרטני ומקצועי.