לכל מי שזוכר את אירועי המשט של טורקיה שבעקבות אותו משט נפרצו למעלה מ-1000 אתרים ישראלים גדולים ובניהם: סטימצקי ואתר עיריית תל אביב, וכד' בתור אחד שחטף גם באותה תקופה לא מעט מתקפות על השרת גיבוי שלי שיושב באנגליה,
החלטתי השנה להקדים תרופה למכה ולהכין מיני מדריך לי ולכם שיעזור לכולנו לעבור את התקופה הקרובה באופן בטוח ועם כמה שפחות מתקפות של האקרים על האתרים שלנו.
1. שינוי מיקום לקובץ wp-config.php
להעביר את הקובץ wp-config מתייקית ה-~/home/user/public_html/wp-config.php לתיקיה אחת למעלה ~/home/user/wp-config.php; (בדרך כלל מדובר בתיקיה שנקראת בשם הדומיין).
כאשר אתם משאירים את הקובץ בתייקית public html של השרת אתם בעצם מאפשרים לגורמים עיונים לגשת לקובץ הזה ובאמצעותו הם יוכלים לשנות את ההגדרות של האתר שלכם ולמחוק לכם את כל האתר, כאשר אתם משנים את המיקום של הקובץ, וורדפרס יודע לזהות את המיקום החדש של הקובץ. אף על פי כן, חשוב לציין כי הזיהוי לא יתבצע אוטומטי לאנשים שהאתר שלהם יושב תחת תת קטגוריה. לדוגמה: domain.co.il/blog, או כאשר ביצעתם add-on domain תחת מערכת cPanel.
2. מחיקת משתמש ברירת מחדל (admin)
בדרך כלל, מרבית האתרים המבוססים על וורדפרס מוגדרים בהתקנה עם משתמש ברירת מחדל בשם admin. לאחר ההתקנה, חשוב ליצור משתמש חדש עם הרשאות ניהול ולאחר מכן למחוק את המשתמש admin. במידה ותחליטו להישאר עם המשתמש admin, אתם בעצם מאפשרים להאקרים להעריך מראש מה השם משתמש שלכם וכל מה שנותר להם זה לפצח את הסיסמה שלכם (משהו שאפשר לבצע כלי פריצה אוטומטיים לניחוש סיסמא).
בשונה ממערכות וורדפרס הישנות שאילצו אותנו ליצור מנהל ראשי תחת השם admin כיום התקנות וורדפרס של מערכות בגירסאות 3.0 + מאפשרות לנו לבחור איזה שם משתמש שאנחנו רוצים, אז תשתדלו לא להתקבע על המשתמש admin (גם אם אתם רגילים אליו כבר).
במידה ואתם לא מצליחים למחוק את המשתמש admin אתם מוזמנים להיעזר במדריך הבא.
3. עדכונים ושדרוגים לתוספים ולמערכת
חשוב לעדכן ולשדרג את גם את גרסת הוורדפרס וגם את התבנית שעליה מבוסס האתר. כמו כן, יש להקפיד ולשדרג את התוספים שאתם משתמשים בהם וחשוב לעקוב באופן שוטף אחרי עדכוני האבטחה בתוספים ובתבניות השונות.
4. התקינו את התוסף WP Security Scan או Secure WordPress
תוספים מהסוג המדובר, מסייעים לכם לגלות את ההרשאות לקבצי המערכת שיושבים על השרת שלכם, לזהות לאילו מהקבצים יש הרשאות גישה שאינן מתאימות מבחינת אבטחת מידע ולשנות את ההגדרות בהתאם. שני התוספים עושים עבודה נהדרת ואנו ממליצים להוריד אתם יכולים להוריד את התוסף שנקרא WP Security Scan או Secure WordPress. התוספים הללו מגיעים עם כלים נוספים שיעזרו לכם להגן על האתר שלכם בצורה טובה יותר.
כלים הנוספים שמגיעים עם תוספי ה-Security
- כלי סריקה – בודק את ההרשאות של הקבצים של מערכת וורדפרס, ומסמן לך בצבע אדום אילו קבצים מוגדרים עם הרשאות לא נכונות/טובות.
- כלי סיסמאות – בודק את חוזק הסיסמה שלך ומאפשר לך ליצור גם סיסמאות ראנדמולית חזקות.
- מסד נתונים – הכלי הבא מאפשר לכם לגבות את המסד נתונים של האתר שלכם ולשנות את הקידומת (prefix) של הטבלאות שלכם, במידה ואכן תשנו את הקידומת (prefix) זה יקשה על האקרים לבצע SQL Injection למסד.
יש לכם גם רעיונות לתוספים שיכולים לעזור לנו להגן על האתר אתם מוזמנים להמליץ באמצעות התגובות למטה.
הפוסט פורסם במקור בבלוג "כשעיצוב וכטנולוגיה נפגשים"