אבטחת אתרים בוורדפרס - כל הטריקים והשטיקים
בשנים האחרונות אפשר לראות שיותר ויותר אתרי וורדפרס נפרצים. למעשה זה לא רק אתרי וורדפרס אפשר גם לראות חברות אחסון ישראליות נפרצות ולמעשה בתור ישראלים האתרים שלנו חשופים יותר כי לנו יש בנו דודים שכל הזמן מחפשים להזיק לנו.
היום ננסה להבין למה יותר קל לפרוץ את וורדפרס על פני מערכות אחרות, נבין מה אפשר לעשות על מנת להקטין את הסיכוי שהאתר ייפרץ ונבין גם מה אפשר לעשות במידה והאתר נפרץ.
האם וורדפרס היא מערכת מאובטחת?
נכון להיום למעלה מ-40% מהאתרים ברשת בנויים על המערכת הנפלאה של וורדפרס. ברגע שיש מצב שבו למעלה משליש מכל האתרים בעולם בנויים באמצעות מערכת אחת זה גורם למצב שבו פורצים רבים ישקיעו זמן בלמצוא פרצות אבטחה למערכת.
בגלל שהמערכת כל הזמן מתעדכנת ומתווסף קוד חדש זה גורם למצב שלעיתים מתווספים גם חורי אבטחה נוספים, והסיבה המרכזית שבגללה קל לגלות את חורי האבטחה האלו היא בגלל שוורדפרס היא מערכת קוד פתוח (יש לנו גישה לקוד של המערכת).
אם למשל נשווה את זה ל-WIX אז כאן מדובר על מערכת קוד סגור שבה אין לפורצים יכולת ישירה לצפות בקוד שנמצא מאחורי הקלעים של המערכת וזה הופך את המערכת ליותר מאובטחת.
וורדפרס היא מערכת קוד פתוח ואנחנו יכולת להוריד את המערכת למחשב, לסרוק ולעבור על כל הקבצים והקוד ולנסות למצוא אזורים בקוד שיש בהם פרצות.
ביחד עם וורדפרס יש גם רכיבים חיצוניים נוספים שמאפשרים לאתר שלנו לפעול. הרכיבים העיקריים הם תוספים ותבנית עיצוב וגם מהם יכולה להגיע פרצת האבטחה של האתר (מרבית הפריצות מגיעות מתוספים).
אז כן, וורדפרס עצמה היא מערכת יחסית מאובטחת אבל על מנת להשאיר אותה מאובטחת לאורך זמן יש צורך לבצע פעולות מסוימות שאותם נלמד במאמר.
2 פעולות העיקריות ביותר לאבטחת אתר וורדפרס
גיבויים לאתר
כאשר אנחנו מסתכלים על הנושא של אבטחת אתר וורדפרס יש 2 פעולות עיקריות שאנחנו חייבים להכיר ולעשות.
בגלל שוורדפרס היא מערכת קוד פתוח אז לא משנה מה נעשה האתר שלנו תמיד יכול להיפרץ (זה גם יכול לקרות בכל מערכת בניית אתרים אחרת) ועל מנת שנוכל להחזיר את המצב לקדמותו לאחר פריצה הפעולה החשובה והעיקרית ביותר שיש לעשות היא גיבויים.
גיבוי זאת הדרך הטובה ביותר להתמודד עם מצב שבו האתר נפרץ. זה ממש קשה לנקות אתר שנפרץ והוכנס בו קוד זדוני (במיוחד שמדובר על אתר גדול) והדרך הטובה ביותר להתמודד עם מצב מהסוג הזה היא לבצע שחזור לנקודה לפני הפריצה.
מרבית חברות האחסון הרציניות מבצעות גיבויים לאתר באופן אוטומטי וההמלצה היא לבחור אך ורק אחסון אתרים שמאפשר גם גיבויים על בסיס יומי.
בנוסף זה יהיה רעיון טוב ביחד עם הגיבויים של האחסון לגבות גם את האתר פעם בחודש לשרת אחר או אפילו ליצור גיבוי לוקאלי למחשב על מנת שיהיה פתרון במידה והאחסון נפרץ וכל המידע נפגם במסגרת הפרצה (זה עשוי לקרות).
עדכונים למערכת, תוספים ולתבנית
הפעולה השנייה שחשוב לבצע היא עדכונים לוורדפרס, לתוספים ולתבנית העיצוב. באופן ברירת מחדל וורדפרס מתעדכנת בצורה אוטומטית אז למי שמאפשר באתר עדכונים אוטומטיים לא יהיה צורך לבצע עדכונים באופן ידני.
בעלי אתרים קצת יותר מנוסים יודעים שעדכונים עשויים לגרות להרבה בעיות ונזק ולכן הם מעדיפים לבטל את העדכונים ולעשות אותם באופן ידני כל תקופה מסוימת (למשל כל חודש).
בהרבה מקרים עדכונים למערכת, לתוספים ולתבנית יפתרו את בעיות האבטחה במידה והם קיימות ויעזרו להגן על האתר ולכן זה מאוד חשוב לעדכן את כל האתרים לעיתים תכופות.
שימוש בסיסמה חזקה
טעות נפוצה נוספת שתגדיל את הסיכוי שהאתר שלכם ייפרץ היא שימוש בסיסמה חלשה. סיסמהות חלשות בסגנון של 123456 או משהו פשוט של כמה אותיות עשוי לאפשר לפורצים לנחש את הסיסמה ולהשיג גישה לאתר.
חשוב להבין, אם אין הגבלה של ניסיונות התחברות (אנחנו תכף נדבר על זה) אז אפשר ליצור סקריפט פשוט שיכנס לעמוד התחברות של האתר ויריץ מיליוני ניסיונות התחברות לאתר עם קומבינציות שונות לסיסמאות שמכילות מספרים, אותיות וסימנים. ככל שהסיסמה יותר פשוטה וקצרה כך הסיכוי של האתר להיפרץ מניסיונות מהסוג הזה הוא גדול יותר.
מומלץ לבחור סיסמה חזקה וארוכה ואין צורך לזכור את הסיסמה. למעשה ככל שיותר קל לזכור את הסיסמה יהיה יותר קל לפרוץ לאתר באמצעותה.
המטרה היא ליצור סיסמה שאי אפשר לזכור וככל שהסיסמה יותר ארוכה ומכילה יותר שילובים של תווים, מספרים ואותיות כך יקטן הסיכוי שהיא תופיע באיזשהו מאגר סיסמאות מוכן שיאפשר לפרוץ לאתר שלכם.
הגבלת ניסיונות התחברות
בהמשך לפסקה הקודמת שבה דיברנו על שימוש בסיסמה חזקה כאן חשוב לבצע שלב נוסף שבו אנחנו לא נאפשר למשתמש להכניס סיסמאות לאתר ללא הגבלה.
היכולת לפרוץ לאתר באמצעות סיסמה תהיה אפשרית כאשר אין הגבלה על מספר הניסיונות להתחבר לאתר, וכך כל משתמש יכול לנסות להתחבר לאתר מיליוני פעמים ואפשר להפוך את הפעולה הזאת לאוטומטית עם סיסמא שונה בכל פעם.
אם הסיסמא חלשה יהיה קל לפרוץ אותה, אבל אם נגביל את כמות הניסיונות ל-3-5 פעמים ולאחר מספר ניסיונות כושלים נחסום את הגולש מלהתחבר למערכת לכמה שעות נוכל בכך להקטין באופן משמעותי את הסיכוי שהאתר ייפרץ על ידי מציאת הסיסמה בניסוי וטעיה בעמוד ההתחברות.
למרות שאפשר לחסום את כמות הניסיונות התחברות עדיין חשוב לדעת שהפורצים היותר רציניים לעיתים ישלחו לאתר שלך באופן אוטומטי בוטים שינסו לפרוץ לאתר כמעט כל יום וגם אם אתה חוסם את הבוט שמנסה להזין את לפורצים
האלו יש הרבה מחשבים וכתובות אייפי שונים שהם יוכלו להמשיך לשלוח מאות ניסיונות פריצה בכל יום.
ולמרות שהם יכולים לעשות את זה כל עוד מדובר על סיסמא ממש חזקה גם אם הם יבצעו 100-200 ניסיונות התחברות לאתר ביום עדיין יהיה להם מאוד קשה להצליח לפרוץ לאתר וגם אם זה יצליח זה ייקח הרבה מאוד שנים.
שימוש ביותר מידי תוספים
חשוב להבין שתוספים זה אחד הגורמים הכי משמעותיים לפרצות אבטחה באתר. נכון להיום בספריית התוספים של וורדפרס יש כ-60 אלף תוספים והמספר הזה עולה בקצב מהיר.
כמעט כל אחד יכול לפרסם תוספים בספריית התוספים של וורדפרס כל עוד הוא עומד בחוקים שלהם לכתיבת קוד והבדיקה של התוספים החדשים היא מאוד בסיסית ומהירה.
כאשר מדובר על תוסף שמעלים לאתר בפעם הראשונה מתבצעת בדיקה ידנית של מתנדב בוורדפרס ביחד עם סקריפט בדיקה אוטומטי. לעומת זאת כאשר מתבצע עדכון לתוסף כאן כבר לא מתבצעת בדיקה ידנית ולכן באופן תיאורטי אפשר להעלות גם תוספים עם קוד זדוני שעשוי לפגוע באתר.
כנראה שיש איזושהי בדיקה אוטומטית שוורדפרס מבצעים לפני העלאת עדכון אז קוד זדוני ברור לעין אולי לא יעבור את הסינון הראשוני אבל אפשר בוודאות לבצע נזק על ידי עדכון תוסף עם קוד שיגרום לבעיות לאתר.
אנחנו גם לא יודעים מיהו המתכנת שפרסם את התוסף ומה היכולות שלו ולעיתים יכול להיות שאת התוסף פרסם מפתח עם ניסיון של חודש בתחום וידע מעשי בסיסי.
זאת הסיבה שרצוי להשתמש בעיקר בתוספים של מפתחים מוכרים ובתוספים שיש להם הרבה ביקורות חיוביות והרבה התקנות. יחד עם זאת החלק המצחיק שהפורצים לא יבזבזו זמן על מציאת פרצות אבטחה בתוספים ללא הרבה התקנות ובדרך כלל התוספים הפופולריים עם מיליוני התקנות הם התוספים שנפרצים וגורמים לנזק הגדול ביותר.
העדיפות היא להשתמש בכמה שפחות תוספים בתוך האתר ובמקביל לדאוג לעדכן אותם לעיתים קרובות כדי להקטין את הסיכוי שיהיה לך באתר תוסף עם פרצת אבטחה שתוקנה במהלך אחד העדכונים.
בחירת שרת אחסון איכותי
פרמטר נוסף ועיקרי הוא הנושא של האחסון. אם אנחנו מסתכלים על ישראל בשנים האחרונות נפרצו כמה חברות אחסון פופולריות בארץ וביחד עם הפריצה נפרצו גם כמעט כל האתרים על האחסון.
כאשר אנחנו בוחרים אחסון אתרים אנחנו רוצים שזה יהיה אחסון איכותי שמנהל לפחות עשרות אלפי חשבונות שונים.
ככל שמדובר על חברה יותר גדולה ורצינית אז הם ישקיעו יותר משאבים באבטחת השרתים ובאבטחת האתרים. חלק מהחברות אחסון גם מציעות חומת אש (Firewall), התמודדות עם מתקפות Brute Force (מתקפה שבה מנסים להציף את האתר עם כניסות כדי להפיל אותו) ועוד…
בחירת אחסון אתרים איכותי עם כלים לחיזוק ההגנה של האתר יאפשרו לכם לחסום חלק גדול מהבעיות שאחסון אתרים קטן עם עובד אחד או שתיים לא ידעו להתמודד איתם.
אבטחת אתרי וורדפרס טיפים נוספים ומהירים
ישנם עשרות טיפים נוספים בנושא של חיזוק אבטחת אתרים בוורדפרס כמו: שימוש בגרסה האחרונה של PHP, שינוי כתובת URL לעמוד התחברות, חסימת הרשאות לקבצים באחסון, שינוי תחילית לבסיס הנתונים, ביטול האפשרות לערוך קבצים מלוח הבקרה, שימוש בשם משתמש שהוא לא admin, הוספת פרוטוקול אבטחה SSL ועוד…
כל אלו הם דברים חשובים אבל הפרמטרים שהזכרנו במאמר בהרחבה הם העיקריים והם בדרך כלל מה שישפיעו על האם האתר ייפרץ או לא.
