בלוג בניית אתרים

כך תאבטחו את הבלוג שלכם

אבטחת בלוג וורדפרס

 

שהקמתי את הבלוג והתחלתי להכנס לעומק של המערכת WordPress כל ההשערות והבדיקות הראשוניות שהיו לי, פשוט צפו והוכיחו את עצמן.
אתר אינטרנט שמכיל מידע רגיש, או בכלל אתר אינטרנט שבעל האתר רגיש אליו – לא ישתמש במערכת קוד פתוח להקמה שלו.
בכל יום מתגלות פריצות חדשות לכל המערכות הללו, כל עדכון שהמערכות הללו מוציאות, נחשפת פריצה אחרת.

מקרים שנתקלתי בהן.. ואני דיי בטוח שהן מועטים

- פתיחת משתמש בתוך הממשק ניהול שלכם
- הוספה של תגובות ללא אישור
והגרוע מכל, מחיקה של מידע רגיש..

במידה וזה בלוג, או אתרים תומכים – אני מאמין שהמערכות קוד פתוח יכולות לתת את המענה הנכון והראוי לכך, אך כאשר מדובר באתר לעסק שלכם כפי שציינתי בהתחלה, ההמלצה שלי לא תהיה על WordPress, גם חברות אינטרנט שמציעות לכם לבנות אתרים על WordPress הייתי חושב פעמיים לפני שאני שהייתי מסכים לכך.

כמה טיפים לאבטחת הבלוג שלכם

1 – הצפנת התחברות
תוסף זה יאפשר לכם לשלוח את הסיסמא שלכם בהתחברות בצורה מוצפנת, עם פחות חששות שמישהו יעלה עליה (Sniffing)
להורדת התוסף לחצו כאן

2 – נעילת התחברות
התוסף מבצע מעקב אחר נסיונות כושלים להתחבר לממשק הניהול (מתבצע כאשר מישהו מנסה 'לנחש' את הסיסמא), לאחר מספר נסיונות כושלים המערכת חוסמת את כל הפעולות מאותו טווח IP ובכך חוסמת גישה לממשק הניהול לאותם נסיונות.
להורדת התוסף לחצו כאן

3 – סריקת חורי אבטחה
התוסף בודק חורי אבטחה במערכת שלכם ומציע תיקונים, לדוגמא: סיסמאות, הרשאות קבצים, מסד נתונים, גרסא וכו'
להורדת התוסף לחצו כאן

4 – אבטחה נגד SQL Injection
SQL Injection בהגדרה נקראה "הזרקת SQL", כלומר ניצול פריצת אבטחה הקיימת באתר כאשר הפנייה שמתבצעת היא ישירות אל מסד הנתונים של אתרכם.
הפעולה שלמעשה מתבצעת, היא שליחת שאילתה (בקשה מן המסד), לקבל נתונים באופן שונה מהבקשה המקורית, ובעזרת הפעולה הזו ניתן למחוק טבלאות שלמות, או למעשה להוציא נתונים שלמים.
התוסף Bulletproof Security מבצע אבטחה נגד בעיות אלו.
להורדת התוסף לחצו כאן

5 – הוספת סיסמא לתיקיית wp-admin
שינוי שם התיקייה של ממשק הניהול בwp יכול ליצור שלל תקלות בשל כך שלמערכת הזו קיימים מפתחים רבים.
במערכות פרטיות אף אחד מלבדכם (ומי שתחליטו לחשוף בפניו) לא יידע היכן נמצא ממשק הניהול של האתר שלכם.

6 – שם משתמש
שם המשתמש שמגיע כברירת מחדל הוא admin, משתמשים רבים לא טורחים לשנות אותו, תשנו אותו למשהו שלא יחשבו עליו.

7 – סיסמאות
סיסמא לא צריכה להיות הטלפון הנייד שלכם, ת"ז או השם של הבת זוג שלכם משולב עם תאריך לידה.
סיסמא חזקה צריכה להכיל אותיות קטנות, גדולות, מספרים ותווים.
לדוגמא הבדלים בין סיסמא קשה לפיענוח לבין סיסמא פשוטה
moshe1234 M0sh3!2#4

הסיסמאות הללו זהות לחלוטין בתווים שלהן, רק שבאחת השתמשנו גם במקש Shift בשביל אותיות גדולות ותווים.

8 – הסתרת מבנה תיקיות
על מנת שיהיה לקהל המשתמשים באתרי וורדפרס נוח להתקין תוספים, נדרשת פעולה של שינוי הרשאות אל תיקיות וקבצים.
שינוי ההרשאות הללו, למעשה מאפשר לגורמים חיצוניים לגשת אל התיקיות ולראות את המבנה ההיררכי שלהן.
כדי למנוע פעולה זו, פשוט הוסיפו קובץ בשם index.html (ללא תוכן בפנים) והעלו אותו אל התיקייה המבוקשת.

9 – שינוי מקדמות מסד נתונים
ברירת המחדל של מקדמת המסד (prefix) הינה wp_ , כלומר אם מישהו חיצוני מנסה לגשת אל אתרכם, הוא יודע בדיוק את השמות של הטבלאות, ואיך לגשת אליהן (הזרקת SQL), שנו את המקדמה של הטבלאות לכל דבר שתחפצו בו.
$table_prefix = 'youruniqueprefix_';

במקרה של התקנה חדשה יש לערוך את הנתון בקובץwp-config.php, במידה והבלוג שלכם כבר פעיל, ניתן לערוך את זה מאותו קובץ, אבל נדרש שינוי ידני של הטבלאות דרך ממשק המסד (phpMyAdmin לדוגמא).

10 – השארו מעודכנים ומחקו מיותרים
וודאו תמיד כי המערכת שלכם מעודכנת לגרסא האחרונה והעדכנית, וגם כל התוספים שברשותכם.
אם התקנתם תוסף ואינכם מעוניינים בו יותר, מומלץ להסירו באופן מלא מהשרת על מנת לא לפתוח עוד מקורות פריצה.

11 – הוסיפו משתמש לפרסום פוסטים
שם המשתמש של ממשק הניהול נחשף בעת פרסום פוסט בבלוג או באתר (לרוב), הוסיפו משתמש נוסף, ופרסמו איתו את כל העולה על רוחכם, בכך תצמצמו את האפשרות לחשוף את השם משתמש של ממשק הניהול (הדבר בעל רגישות גבוהה במיוחד במערכות מסוג זה).

לסיכום
התוספות והשינויים הללו לא יגנו על אתרכם ב100% מפריצות ובעיות שיכולות להגיע.
כל תוסף חדש שיוצא או תוספים קיימים אשר תתקינו על המערכת יוצרים למעשה חור אבטחה נוסף באתר שלכם.
כאן למעשה באה לידיי ביטויי החשיבות הענקית של מערכת ניהול תוכן פרטית ושמירה על איכות האתר ואבטחתו, כמו כן, גם אתרים עם מערכות פרטיות, יכולות להיות פריצות, עיצוב הממשק והנוחיות שלו, תאפשר לכם לדעת בראייה כללית על טיב המוצר שאתם רוכשים.

ניתן להגיב, או לבצע מעקב מאתרך.

תגובה אחת to “כך תאבטחו את הבלוג שלכם”

  1. מאת לירן:

    לאתרים בעלי מסד נתונים חשוב אני כבר מזמן לא עובד עם קוד פתוח, מסוכן מדי.

    נקודות מעולות העלית פה, על חלקם רק עכשיו הבנתי כמה הם בעייתיים.

הגב