1. Website Planet
  2. >
  3. בלוג
  4. >
  5. 3 סיבות לכך שאתרי WordPress נפרצים + איך לאבטח את האתר שלכם

3 סיבות לכך שאתרי WordPress נפרצים + איך לאבטח את האתר שלכם

ג'יימס גיל
ג'יימס גיל
54
09 אוגוסט 2019

אם אתם מפעילים אתר מבוסס WordPress, אתם נמצאים בסיכון גבוה מאוד לפריצות האקרים. כ-27% מהאתרים בעולם פועלים על WordPress, ונתח השוק שלה מתוך מערכות ניהול התוכן (CMS) בעולם עומד על כ-59%.

לא רק בלוגרים ובעלי אתרים מתחילים משתמשים ב-WordPress. החברות הגדולות הבאות כולן משתמשות ב-WordPress כבסיס לאתרים שלהן:

  • Bloomberg
  • BBC America
  • MTV News
  • PlayStation
  • Disney
  • Variety
  • Sony Music

על פי חברת האבטחה לאתרים באינטרנט Sucuri, 83% מהדבקות הוירוסים ב-CMS שתועדו בשנת 2017 התבצעו באתרי WordPress, בהשוואה ל-74% בשנת 2016. מדוע אתרי WordPress כה פופולריים בקרב האקרים? ראשית, הפלטפורמה ידועה בכך שהיא סובלת מכמות עצומה של חולשות אבטחה, הנובעות בעיקר מתכנות קוד-פתוח.

שנית, , נתח השוק של WordPress כל כך גדול, ולכן מאוד משתלם להאקרים לבצע פריצות לפלטפורמה. מעל 75 מיליון אתרים משתמשים ב-WordPress, והופכים אותה ליעד פריצה מבוקש.

למרבה הצער, המשתמשים בפלטפורמה הם אחד מהגורמים המרכזיים לכך שפריצות ל-WordPress הן כה פופולריות. משתמשי WordPress עושים טעויות רבות בעת בניית האתר, והטעויות האלו מובילות לפריצות שהאקרים מבצעים באתר. אני מביא כאן את שלושת הסיבות העיקריות בגללן בעלי אתרים נפגעים מפריצות, בנוסף להסברים על הדרכים בהן תוכלו לנקוט כדי לאבטח את האתר שלכם.

טעות 1#: בחרתם בספקית אחסון גרועה

אתם מקבלים את מה ששילמתם עליו, וספקיות אחסון אתרים “זולות” רבות פשוט מוותרות על רשימת פיצ’רים שהכרחיים למען אבטחה טובה של האתר שלכם. האקרים יודעים זאת, ומכוונים את נסיונות הפריצה לספקיות אחסון גרועות, ולאתרים המאוחסנים בהם.

במקרים רבים, ניתן לזהות ספקיות אחסון אתרים גרועות על ידי הסימנים הבאים:

  • מספקות גיבויים רק פעם בשבוע, או לא מספקות גיבויים בכלל
  • לא תומכות בגרסאות האחרונות של MySQL או PHP
  • לא סורקות עבור תוכנות זדוניות
  • לא מציעות פיירוול או הגנה ממתקפות DDoS
  • לא מספקות אבטחה לתיקיות
  • מציעות ערבות לזמינות ברשת של 99.9% או פחות מכך (הספקיות הטובות ביותר מספקות 99.99% או יותר)

אם ספקית האחסון גרועה בתחום אחד או מציעה פיצ’רים נחותים באחת מהתוכניות, צאו מנקודת הנחה שמדובר בספקית גרועה באופן כללי. אפילו אם האקרים לא יכולים לפרוץ לאתר שלכם ישירות, הם עדיין יכולים להמיט חורבן על שרת האינטרנט, וכתוצאה מכך לפגוע בביצועים שלכם.

Hosting hacked

טעות 2#: התקנתם תבניות או תוספים בעייתיים

על פי WP Template, כ-29% מהפריצות מתבצעות דרך תבנית לא מאובטחת, ו-22% מתבצעות דרך תוספים עם חולשות אבטחה. אולי התבנית או התוסף לא מעודכנים לגרסא החדשה, ואולי תכנת אותם מישהו שלא לקח בחשבון שיקולי אבטחה. האקרים מנצלים כל חולשה אפשרית שהם יכולים למצוא כדי לפרוץ פנימה לאתר שלכם

בשנת 2015, לדוגמא, פרצת אבטחה גדולה התגלתה באפליקציית WP Slimstat 3.9.5, והשאירה מעל 1 מיליון אתרים חשופים לפריצות האקרים. הפרצה אפשרה לתוקפי סייבר לפרוץ את המפתח הסודי של התוסף, ולבצע הזרקות SQL שאפשרו להאקרים להשתלט על אתרים שלמים.

פרצה מסוכנת נוספת שהתגלתה הייתה באפליקציית התמונות הפופולרית TimThumb, בשנת 2012. פרצה באפשרות שינוי גודל תמונות חיצוניות אפשרה להאקרים להזריק קוד PHP לשרתי האינטרנט. מפתח האפליקציה הודה בכך שאפילו אליו פרצו כתוצאה מהאפליקציה הבעייתית שלו, ובסופו של דבר הוא גם פרש מפיתוחה.

אם הדוגמאות האלו לפריצות וחולשות אבטחה נשמעות לכם מפחידות, קחו בחשבון שצריך להתמודד גם עם תבניות ותוספים שמופצים בכוונה תחילה על ידי האקרים ואתרי תוכנות זדוניות. מכיוון ש-WordPress היא תוכנת קוד פתוח, כל אחד יכול ליצור ולהפיץ תוכנה ל-WordPress. תוכנות מסוכנות כאלו לרוב מוצגות כאפליקציות יעילות, ובמקרים רבים, הן באמת מספקות את השירות שהבטיחו. עם זאת, יש בהן גם קוד נוסף, והוא מאפשר להאקרים לחדור לאתר שלכם, להשתמש בו להפצת תוכנות זדוניות, להפנות משתמשים לאתרים אחרים, ועוד.

טעות 3#: אתם מתעצלים בעבודתכם כמנהלי אתרים

סיבה נפוצה נוספת בגללה אתרי WordPress נפרצים היא שמנהלי האתרים לא עומדים במחוייבויות שלהם, ונכשלים בעבודתם לשמור על האתר מאובטח. הדבר יכול להתבטא בכל אחת מהצורות הבאות, ואפילו בכולן:

  • לא משתמשים בסיסמאות חזקות
  • לא מאבטחים את תיקיית wp-admin
  • לא מעדכנים את WordPress באופן קבוע
  • לא מעדכנים תבניות ותוספים באופן קבוע
  • מעניקים הרשאות קבצים לא מתאימות לחשבונות המשתמשים
  • משתמשים ב-FTP רגיל ולא ב-SFTP או SSH

הטעויות הנפוצות ביותר שמנהלי מערכת עושים הן ארבעת האפשרויות הראשונות. הם משתמשים בסיסמא חלשה, או לא מקפידים על עדכון WordPress, התבניות, או התוספים. עדכונים קבועים מבטיחים שתריצו את הגרסא האחרונה והחדשה ביותר, שלרוב כוללת עדכוני אבטחה.

טעויות פחות נפוצות – אך עדיין בעייתיות – קשורות בהרשאות הקבצים ובשימוש לא מאובטח ב-FTP. אם הרשאות הקבצים או התיקיות לא מוגדרות כראוי, האקרים יכולים לקבל גישת קריאה וכתיבה לאתר שלכם. בנוסף, אם אתם משתמשים ב-FTP רגיל, ולא ב-SFTP או SSH, אתם ממש מבקשים שיפרצו אליכם, שכן FTP רגיל שולח סיסמאות בלתי מוצפנות לשרת האינטרנט שלכם. אם האקרים מסניפים את התעבורה באתר, הם יכולים לגנוב את הסיסמא שלכם.

איך להמנע מרוב הפריצות ל-WordPress – המדריך הבסיסי

אם אתם רוצים להמנע מכך שהאקרים יפרצו לאתר ה-WordPress שלכם, ישנם מספר צעדים בהם תוכלו לנקוט כדי להגן על עצמכם. רוב הצעדים פשוטים למדי, אך דורשים פעולה עקבית מצידכם.

צעד מושכל 1#: בחרו בספקית אחסון איכותית

זוהי לא סתם קלישאה. יותר מדי ספקיות אחסון אתרים מציעות פיצ’רים נחותים במטרה להרוויח כסף מהיר על חשבונכם, בזמן שאתם נשארים כמעט בלתי מוגנים. חפשו ספקית שמציעה בכל התוכניות את הפיצ’רים הסטנדרטיים הבאים: גיבויים יומיים, אנטי וירוס ואבטחה מתוכנות זדוניות, גרסאות MySQL ו-PHP עדכניות, הגנה ממתקפות DDoS, ותיקיות מאובטחות.

quality hosting

בנוסף, כדאי לשקול בחירה בספקית אחסון שידועה בכך שהיא אופטימלית ל-WordPress. לא מדובר על ספקית שמציעה מתקין-אוטומטי, או מאפשרת להריץ את WordPress. משמעות “אופטימלית ל-WordPress” היא שהספקית מציעה התאמות מיוחדות ל-WordPress, בנוסף לכלים וצוות תמיכה מיומן שיכול לסייע לכם בבנייה ואבטחת האתר שלכם.

הבחירה הברורה לאחסון אופטימלי ל-WordPress היא כמובן WordPress.com. האתר מציע תוכניות חינמיות ובתשלום לאחסון אתרי WordPress. כדי ללמוד עוד, קראו את ביקורת המומחה שלנו, או בקרו בעמוד מחירי התוכניות בפלטפורמה עצמה.

ספקיות אחרות המציעות אחסון אופטימלי ל-WordPress כוללות את Hostgator, BlueHost, ו-1&1. במאמר שלנו אודות ספקיות האחסון הטובות ביותר ל-WordPress תוכלו למצוא דוגמאות נוספות.

צעד מושכל 2#: הזהרו מהתוספים והתבניות שאתם מתקינים

ראשית, תרצו להתקין ולהפעיל כמה שפחות תוספי WordPress, על מנת להפחית את מספר הסיכונים הפוטנציאליים באתר. מחקו או השביתו כל תוסף בלוח הבקרה של WordPress שאתם לא צריכים באתר.

שנית, התקינו תוספים ותבניות ממקורות בטוחים בלבד. אם הייתם מקבלים ממקור לא ידוע תוכנה להורדה, או קובץ מצורף בדוא”ל, כמובן שלא הייתם פותחים אותם באופן אוטומטי. בדיוק מאותה סיבה, אתם חייבים להזהר מתוספים ותבניות שמגיעים ממקורות לא מוכרים.

WordPress.org היא המאגר האולטימטיבי של תוספים בטוחים. כל התוספים הרשומים באזור “Plug-ins” באתר עוברים בדיקות מעמיקות, ובאופן כללי נחשבים בטוחים לשימוש. האתר Choose Plugin הוא מקור תוספים נוסף, ותוכלו למצוא בו מאגר מידע על תוספי WordPress זמינים. בנוסף, ניתן למצוא באתר פרטים שיסייעו לכם להחליט האם התוסף בטוח לשימוש, כמו תאריך העדכון האחרון, דירוג התוסף, מספר הורדות כולל, התקנות פעילות, ועוד.

זאת ועוד, ישנן דרכים רבות לבדוק את התוספים והתבניות לפני ההתקנה. התקינו את התוספים Plugin Check ו-Theme Check באתר שלכם, והם יסרקו אותו באופן קבוע ויחפשו תבניות ותוספים בעייתיים. Sucuri מציעה מאגר מידע על תוספים עם חולשות אבטחה ידועות, וכדאי להסתייע בו לפני שאתם מתקינים תוסף חשוד.

כשאתם באים להתקין תוסף או תבנית חדשה, ישנם מספר דברים שכדאי לקחת בחשבון לפני ההורדה. אם אתם מזהים את אחד מהבאים בתוסף, חפשו תוסף אחר:

  • היסטוריה של בעיות, בנושא אבטחה או נושאים אחרים
  • אי-תאימות לגרסת ה-WordPress הנוכחית
  • עדכונים לא סדירים, או זמן רב שעבר מאז העדכון האחרון
  • אחוז גדול של ביקורות שליליות
  • העדר תמיכה או תיעוד
  • דיווחים על ספקיות אחסון שחסמו את השימוש בתוסף

צעד מושכל 3#: התייחסו לחובות שלכם כמנהלי אתר ברצינות

אם אתם לא לוקחים ברצינות את החובות שלכם כמנהלי אתרים, למה בכלל לטרוח בבניית אתר? פשוט שכרו את שירותיו של איש מקצוע שיבצע עבורכם את העבודה. אם אתם רוצים לשמור על האתר שלכם מאובטח, עליכם להקפיד ולבצע את כל הדברים הבאים:

  • השתמשו בסיסמאות חזקות, והחליפו אותן באופן קבוע. אל תשתמשו באותן סיסמאות עבור אף שירות אחר.
  • בצעו באופן קבוע עדכון לגרסאות החדשות ביותר של WordPress, התבניות, והתוספים באתר.
  • אבטחו את תיקיות ה-WordPress שלכם והגדירו הרשאות שימוש מתאימות עבור כל הקבצים והתיקיות.
  • אף פעם אל תשתמשו ב-FTP סטנדרטי להעלאת קבצים.
  • הסתירו את עמוד ההתחברות שלכם ואת מספר גרסת ה-WordPress, והשביתו את עורך התוספים והתבניות.

זאת ועוד, כצעד מנע נוסף, בטלו את אפשרות דיווח PHP באתר שלכם. את המידע שהתבניות והתוספים מספקים בדוחות השגיאה ניתן לנצל לרעה. על ידי ביטול אפשרות הדיווח, אתם בונים מסביב לאתר חומה נוספת מול איומים פוטנציאליים.

לא מספיק לבצע את הצעדים המדוברים רק פעם אחת. אלה החובות שלכם, ועליכם לבצע אותן באופן קבוע, מספר פעמים בשנה, אם לא לפחות פעם בחודש.

מה כבר יכול לקרות? אתם ממש לא רוצים לגלות!

חלק מכם כנראה חושבים עכשיו שפריצה לאתר שלכם היא לא כזה סיפור. אולי אתם חושבים שהאתר שלכם לא מספיק חשוב כדי שבכלל יפרצו אליו. אני חשבתי כמוכם בשנת 2010. למרבה הצער, זו הייתה השנה בה גיליתי בדרך הקשה מה יכול לקרות כשאתר ה-WordPress שלי נפרץ.

האתר שלי נפרץ על ידי האקרים שהשתמשו בו להפצת תוכנות זדוניות. לספקית האחסון שלי הייתה מדיניות בלתי מתפשרת בנושא אתרים שמפיצים תוכנות זדוניות, ולכן האתר שלי הוסר מהרשת. כל הקבצים שלי נמחקו, וכל הגיבויים שהיו לי טוהרו מהמערכת. תוך מספר שעות, נעלמו לנצח כמעט ארבע שנות עבודה שהשקעתי מחיי.

כשאתם לא מאבטחים את האתר שלכם כראוי, אתם מסתכנים בכך שתאבדו את האתר ואת המוניטין שלכם. במקרה האישי שלי, איבדתי לקוח גדול מאוד, אך למדתי שיעור חשוב לחיים. אם תשקיעו היום זמן באבטחת האתר שלכם מפורצים והאקרים, תוכלו להגן על המידע באתר ועל המוניטין שעבדתם כל כך קשה לבנות.

54 כיפים
תנו כיף אם הפוסט עזר לכם!

רשומות בנושאים קשורים

הצג עוד רשומות בנושאים קשורים

מה חשבתם על הפוסט?

0 מתוך מינימום 100 תווים
שדה חובה Maximal length of comment is equal 80000 chars אורך מינימלי של תגובה הוא 100 תוים

אנחנו בודקים את כל תגובות המשתמשים תוך 48 שעות כדי לוודא שהם מאנשים אמתיים כמוכם. אנחנו שמחים שהמאמר הזה היה שימושי עבורכם - נעריך את זה אם תספרו עליו לאנשים נוספים.

שתפו את הרשומה הזו מהבלוג עם חברים וקולגות ממש עכשיו:

אנחנו בטוחים שהיא תעזור למשתמשים אחרים. הצוות שלנו יבדוק, יסקור ויאשר אותה תוך 48 שעות אם יחליטו שהיא אמיתית וראויה

פעם בחודש תקבלו עצות, טריקים, ותובנות מעניינות שיעזרו לכם לשפר את ביצועי האתר שלכם ולהגיע ליעדי השיווק הדיגיטלי שהצבתם לעצמכם!

איזה כיף שאהבתם את זה!

שתפו עם חברים!