תוכן העניינים
- Bloomberg
- BBC America
- MTV News
- PlayStation
- Disney
- Variety
- Sony Music
טעות 1#: בחרתם בספקית אחסון גרועה
אתם מקבלים את מה ששילמתם עליו, וספקיות אחסון אתרים “זולות” רבות פשוט מוותרות על רשימת פיצ’רים שהכרחיים למען אבטחה טובה של האתר שלכם. האקרים יודעים זאת, ומכוונים את נסיונות הפריצה לספקיות אחסון גרועות, ולאתרים המאוחסנים בהם. במקרים רבים, ניתן לזהות ספקיות אחסון אתרים גרועות על ידי הסימנים הבאים:- מספקות גיבויים רק פעם בשבוע, או לא מספקות גיבויים בכלל
- לא תומכות בגרסאות האחרונות של MySQL או PHP
- לא סורקות עבור תוכנות זדוניות
- לא מציעות פיירוול או הגנה ממתקפות DDoS
- לא מספקות אבטחה לתיקיות
- מציעות ערבות לזמינות ברשת של 99.9% או פחות מכך (הספקיות הטובות ביותר מספקות 99.99% או יותר)
טעות 2#: התקנתם תבניות או תוספים בעייתיים
על פי WP Template, כ-29% מהפריצות מתבצעות דרך תבנית לא מאובטחת, ו-22% מתבצעות דרך תוספים עם חולשות אבטחה. אולי התבנית או התוסף לא מעודכנים לגרסא החדשה, ואולי תכנת אותם מישהו שלא לקח בחשבון שיקולי אבטחה. האקרים מנצלים כל חולשה אפשרית שהם יכולים למצוא כדי לפרוץ פנימה לאתר שלכם בשנת 2015, לדוגמא, פרצת אבטחה גדולה התגלתה באפליקציית WP Slimstat 3.9.5, והשאירה מעל 1 מיליון אתרים חשופים לפריצות האקרים. הפרצה אפשרה לתוקפי סייבר לפרוץ את המפתח הסודי של התוסף, ולבצע הזרקות SQL שאפשרו להאקרים להשתלט על אתרים שלמים. פרצה מסוכנת נוספת שהתגלתה הייתה באפליקציית התמונות הפופולרית TimThumb, בשנת 2012. פרצה באפשרות שינוי גודל תמונות חיצוניות אפשרה להאקרים להזריק קוד PHP לשרתי האינטרנט. מפתח האפליקציה הודה בכך שאפילו אליו פרצו כתוצאה מהאפליקציה הבעייתית שלו, ובסופו של דבר הוא גם פרש מפיתוחה. אם הדוגמאות האלו לפריצות וחולשות אבטחה נשמעות לכם מפחידות, קחו בחשבון שצריך להתמודד גם עם תבניות ותוספים שמופצים בכוונה תחילה על ידי האקרים ואתרי תוכנות זדוניות. מכיוון ש-WordPress היא תוכנת קוד פתוח, כל אחד יכול ליצור ולהפיץ תוכנה ל-WordPress. תוכנות מסוכנות כאלו לרוב מוצגות כאפליקציות יעילות, ובמקרים רבים, הן באמת מספקות את השירות שהבטיחו. עם זאת, יש בהן גם קוד נוסף, והוא מאפשר להאקרים לחדור לאתר שלכם, להשתמש בו להפצת תוכנות זדוניות, להפנות משתמשים לאתרים אחרים, ועוד.טעות 3#: אתם מתעצלים בעבודתכם כמנהלי אתרים
סיבה נפוצה נוספת בגללה אתרי WordPress נפרצים היא שמנהלי האתרים לא עומדים במחוייבויות שלהם, ונכשלים בעבודתם לשמור על האתר מאובטח. הדבר יכול להתבטא בכל אחת מהצורות הבאות, ואפילו בכולן:- לא משתמשים בסיסמאות חזקות
- לא מאבטחים את תיקיית wp-admin
- לא מעדכנים את WordPress באופן קבוע
- לא מעדכנים תבניות ותוספים באופן קבוע
- מעניקים הרשאות קבצים לא מתאימות לחשבונות המשתמשים
- משתמשים ב-FTP רגיל ולא ב-SFTP או SSH
איך להמנע מרוב הפריצות ל-WordPress – המדריך הבסיסי
אם אתם רוצים להמנע מכך שהאקרים יפרצו לאתר ה-WordPress שלכם, ישנם מספר צעדים בהם תוכלו לנקוט כדי להגן על עצמכם. רוב הצעדים פשוטים למדי, אך דורשים פעולה עקבית מצידכם.צעד מושכל 1#: בחרו בספקית אחסון איכותית
זוהי לא סתם קלישאה. יותר מדי ספקיות אחסון אתרים מציעות פיצ’רים נחותים במטרה להרוויח כסף מהיר על חשבונכם, בזמן שאתם נשארים כמעט בלתי מוגנים. חפשו ספקית שמציעה בכל התוכניות את הפיצ’רים הסטנדרטיים הבאים: גיבויים יומיים, אנטי וירוס ואבטחה מתוכנות זדוניות, גרסאות MySQL ו-PHP עדכניות, הגנה ממתקפות DDoS, ותיקיות מאובטחות.
בנוסף, כדאי לשקול בחירה בספקית אחסון שידועה בכך שהיא אופטימלית ל-WordPress. לא מדובר על ספקית שמציעה מתקין-אוטומטי, או מאפשרת להריץ את WordPress. משמעות “אופטימלית ל-WordPress” היא שהספקית מציעה התאמות מיוחדות ל-WordPress, בנוסף לכלים וצוות תמיכה מיומן שיכול לסייע לכם בבנייה ואבטחת האתר שלכם.
הבחירה הברורה לאחסון אופטימלי ל-WordPress היא כמובן WordPress.com. האתר מציע תוכניות חינמיות ובתשלום לאחסון אתרי WordPress. כדי ללמוד עוד, קראו את ביקורת המומחה שלנו, או בקרו בעמוד מחירי התוכניות בפלטפורמה עצמה.
ספקיות אחרות המציעות אחסון אופטימלי ל-WordPress כוללות את Hostgator, BlueHost, ו-1&1. במאמר שלנו אודות ספקיות האחסון הטובות ביותר ל-WordPress תוכלו למצוא דוגמאות נוספות.
צעד מושכל 2#: הזהרו מהתוספים והתבניות שאתם מתקינים
ראשית, תרצו להתקין ולהפעיל כמה שפחות תוספי WordPress, על מנת להפחית את מספר הסיכונים הפוטנציאליים באתר. מחקו או השביתו כל תוסף בלוח הבקרה של WordPress שאתם לא צריכים באתר. שנית, התקינו תוספים ותבניות ממקורות בטוחים בלבד. אם הייתם מקבלים ממקור לא ידוע תוכנה להורדה, או קובץ מצורף בדוא”ל, כמובן שלא הייתם פותחים אותם באופן אוטומטי. בדיוק מאותה סיבה, אתם חייבים להזהר מתוספים ותבניות שמגיעים ממקורות לא מוכרים. WordPress.org היא המאגר האולטימטיבי של תוספים בטוחים. כל התוספים הרשומים באזור “Plug-ins” באתר עוברים בדיקות מעמיקות, ובאופן כללי נחשבים בטוחים לשימוש. האתר Choose Plugin הוא מקור תוספים נוסף, ותוכלו למצוא בו מאגר מידע על תוספי WordPress זמינים. בנוסף, ניתן למצוא באתר פרטים שיסייעו לכם להחליט האם התוסף בטוח לשימוש, כמו תאריך העדכון האחרון, דירוג התוסף, מספר הורדות כולל, התקנות פעילות, ועוד. זאת ועוד, ישנן דרכים רבות לבדוק את התוספים והתבניות לפני ההתקנה. התקינו את התוספים Plugin Check ו-Theme Check באתר שלכם, והם יסרקו אותו באופן קבוע ויחפשו תבניות ותוספים בעייתיים. Sucuri מציעה מאגר מידע על תוספים עם חולשות אבטחה ידועות, וכדאי להסתייע בו לפני שאתם מתקינים תוסף חשוד. כשאתם באים להתקין תוסף או תבנית חדשה, ישנם מספר דברים שכדאי לקחת בחשבון לפני ההורדה. אם אתם מזהים את אחד מהבאים בתוסף, חפשו תוסף אחר:- היסטוריה של בעיות, בנושא אבטחה או נושאים אחרים
- אי-תאימות לגרסת ה-WordPress הנוכחית
- עדכונים לא סדירים, או זמן רב שעבר מאז העדכון האחרון
- אחוז גדול של ביקורות שליליות
- העדר תמיכה או תיעוד
- דיווחים על ספקיות אחסון שחסמו את השימוש בתוסף
צעד מושכל 3#: התייחסו לחובות שלכם כמנהלי אתר ברצינות
אם אתם לא לוקחים ברצינות את החובות שלכם כמנהלי אתרים, למה בכלל לטרוח בבניית אתר? פשוט שכרו את שירותיו של איש מקצוע שיבצע עבורכם את העבודה. אם אתם רוצים לשמור על האתר שלכם מאובטח, עליכם להקפיד ולבצע את כל הדברים הבאים:- השתמשו בסיסמאות חזקות, והחליפו אותן באופן קבוע. אל תשתמשו באותן סיסמאות עבור אף שירות אחר.
- בצעו באופן קבוע עדכון לגרסאות החדשות ביותר של WordPress, התבניות, והתוספים באתר.
- אבטחו את תיקיות ה-WordPress שלכם והגדירו הרשאות שימוש מתאימות עבור כל הקבצים והתיקיות.
- אף פעם אל תשתמשו ב-FTP סטנדרטי להעלאת קבצים.
- הסתירו את עמוד ההתחברות שלכם ואת מספר גרסת ה-WordPress, והשביתו את עורך התוספים והתבניות.
