גילוי נאות:
הפוסט עשוי לכלול קישורים שותפים, שפעמים ייתכן ואני אקבל עמלה אם תבצע רכישה דרך הקישורים הללו, בלי עלות נוספת עבורך.

מה הם קישורים שותפים?

מדריך מקיף לאבטחת אתר וורדפרס לשנת 2024

אבטחת אתר וורדפרס היא חיונית לכל בעל אתר, ללא קשר לגודל האתר או לתחום שבו הוא עוסק. בעידן הדיגיטלי של היום, האיומים המקוונים הולכים ומתרבים, וחשוב להבטיח שהאתר שלך מוגן מפני פריצות, וירוסים וניסיונות חדירה אחרים. במדריך זה, נלמד מהי אבטחת אתר וורדפרס, מדוע היא חשובה כל כך, ואיך תוכל להגן על האתר שלך בצורה הטובה ביותר בעזרת כלים וטכניקות מעודכנים לשנת 2024.

מדוע חשוב לאבטח אתר וורדפרס?

וורדפרס היא ללא ספק מערכת ניהול התוכן (CMS) הפופולריות ביותר בעולם, מה שהופך אותו למטרה עיקרית להאקרים. עם כ-58% מכלל אתרי האינטרנט מבוססים על וורדפרס, חשוב להכיר את הסיכונים ולהתמודד איתם בצורה מושכלת. התקפת סייבר יכולה לגרום לנזק חמור לאתר שלך, בין אם מדובר בגניבת נתונים, הפצת תוכן זדוני, או אפילו מחיקת האתר כולו. לכן, אבטחת האתר שלך היא לא רק עניין של מניעה, אלא גם של הגנה על המוניטין שלך ועל הפרנסה שלך.

האם וורדפרס היא מערכת מאובטחת?

נתחיל מזה שכל מערכת באשר היא בעלת קוד סגור או פתוח או אפילו נבנתה בהתאמה אישית נתונה לפריצה או לתקיפה. בסופו של דבר הכל תלוי בנו המשתמשים שמנהלים את המערכת מאחורה.

מרבית הפריצות לאתרי וורדפרס הן תוצאה של טעיות אנוש, הקטנת ראש, צורת עבודה לא נכונה ותחזוקה שגויה של המערכת. הסיבות המרכזיות שגורמת לאתר להיות פגיע הן גרסאות וורדפרס לא מעודכנות, PHP לא מעודכן, תבניות ותוספים לא מעודכנים או שימוש לא אחראי.   

Website Wordpres Security with SSL

טיפים יעילים לאבטחת אתר וורדפרס

  1. בחרו את חברת האחסון הנכונה

מיותר לציין שלא משנה מה נעשה ואיך נעשה וכמה שנשתדל ללכת לפי הוראות, טיפים, מדריכים והמלצות מומחים על מנת לאבטח את האתר הוורדפרס שלנו, אם עשינו בחירה שגויה בחברת האחסון חרצנו את גורלנו כבר מהתחלה כי לחברת האחסון שלנו יש משקל רב על אבטחת האתר שלנו תחת השרתים שלהם ואם הם לא נוקטים את הצעדים הנכונים ולא משתמשים בטכנולוגיה מתקדמת, עובדים ללא חומת אש או ללא סריקות של Malewares, שלא נדבר על גרסאות ישנות של php וכדומה.

חברות ללא שום ידע או ניסיון בכלל בוורדפרס יש בלי סוף, לצערי יש כאלה אפילו שהם טוענים ומפצירים שהם מומחים בוורדפרס ושהשרתים שלהם באופטימיזציה מלאה לוורדפרס אבל לאחר שאתם רואים מה יש להם ועם מה הם עובדים כגון שרתים ישנים, מעבדים ישנים ולא חזקים, זיכרונות ישנים, חלוקת משאבים לוקה בחסר או הגבלת משאבים בצורה דרסטית וכו זה רק על קצה המזלג.

אני יודע שהרבה נוהגים להפציר בכם לא להיות על שרתים משותפים Shared Hosting כי …..כאילו דהה, הם משותפים, אז זה לא תמיד נכון כי יש חברות עם מערך שרתים וטכנולוגיה ויישומי אבטחה חזקים שעושים נפלאות יותר מאשר הרבה שרתי VPS, היום ה VPS נהיה ה  Reseller Hostin החדש, אז המבין יבין.

אז נחזור להמלצה שלנו, תבחרו את חברת האחסון הטובה ביותר שאתם יכולים להרשות לעצמכם ואם יש לכם את היכולת אפילו את היקרה ביותר, לא שהכי יקר מעיד על הכי טוב אבל לפחות הרבה יותר טוב מהסטנדרט.

2. השתמשו בתעודת SSL להצפנת נתונים (פרוטוקול HTTPS)

נראה לי שבשנת 2024 זה משהו שבכלל מיותר לציין, אני מקווה לפחות.

חברים וחברות יקרים אין דבר כזה אתר לא מאובטח ברמה הכי הכי הכי בסיסית שיכולה להיות וזה תעודת SSL היום כל חברת אחסון שמכבדת את עצמה נותנת את זה כחלק בלתי נפרד מהחבילה בחינם, תחת השם LetsEncyipt. למרות שיש עדיין כמה חברות שלדעתי עלובות במיוחד שלא נותנות SSL  חינם כחלק מהחבילות שלהם או חינם רק לשנה הראשונה, תברחו מחברה כזאת.

יש יכולת להשתמש בתוסף SSL חינמי, אבל למה לי בעצם? אם אני אמור לקבל בחינם

הטמעת תעודת SSL חשובה מאד בכדי לאבטח את לוח הבקרה של וורדפרס. השימוש ב SSL דואג לתקשורת נתונים מוצפנת ומאובטחת בין המשתמש, הדפדפן והשרת, ובכך מקשה על האקרים לנצל תקשורת זו ולגנוב מידע שהכנסתם בדפדפן כגון שם משתמש או סיסמה.

בנוסף גוגל מדרגת גבוה יותר בעלי אתרים עם תעודת SSL  וזה גם משפיע על הדירוג של אתר הוורדפרס שלנו בגוגל,  דירוג גבוה יותר = יותר תנועה לאתר שלכם.

  • השתמשו בגרסה האחרונה של PHP

PHP היא השפה עליה וורדפרס בנויה כך ששימוש בגרסה האחרונה בשרת שלכם מאוד חשובה ותטיב לכם עם האתר ואבטחתו, כל גרסה מינורית יש בה תיקונים רבים של באגים ופריצות אבטחה כל מי שמשתמש בגרסת PHP 7.4 ומטה נמצא בעל חשיפה יותר לפריצות אבטחה ושגיאות מערכת, דבר נוסף, תאימות בין ה PHP לדרישות והתקדמות התוספים והתבניות.

4. בחירת שם משתמש וסיסמה חזקים

הצעד הראשון והבסיסי ביותר באבטחת אתר הוורדפרס שלך הוא בחירת שם משתמש וסיסמה חזקים. משתמשים רבים עדיין בוחרים שמות משתמש פשוטים כמו "admin" וסיסמאות קלות לניחוש. חשוב להשתמש בשמות משתמש ייחודיים וסיסמאות מורכבות הכוללות שילוב של אותיות, מספרים ותווים מיוחדים. אך חשוב להדגיש שמומלץ להימנע משימוש חוזר בסיסמאות קיימות, אפילו אם הן חזקות. שימוש בסיסמאות ייחודיות ומורכבות לכל חשבון, ובמיוחד לחשבונות מנהל, מקטין משמעותית את הסיכון לפריצות.

זהו קו ההגנה הראשון שלך מפני פריצות, ולכן כדאי להשקיע בו מחשבה.

5. ניהול הרשאות משתמשים

אם לאתר שלכך משתמשים אחדים או רבים וודא שהרשאות המשתמשים באתר שלך מוגדרות כראוי. הענק הרשאות גישה רק לאנשים הזקוקים להן, והגבל את מספר המשתמשים בעלי הרשאות מנהל. אם יש לך משתמשים שזקוקים רק להרשאות כתיבה או עריכה, ודא שהם אינם מקבלים גישה לניהול האתר כולו.

למה לי בכלל משתמשים באתר?

משתמשים יכולים להיות עורכים, כותבים, מנהלים, משתמשים או כל אחד שאתה נותן לא גישה לאתר שלך.

6.  גבה את האתר שלך באופן קבוע

למרות שמדובר בטיפ בסיסי, גיבוי קבוע של האתר הוא אחד הצעדים החשובים ביותר שתוכל לנקוט. גיבויים יאפשרו לך לשחזר את האתר במקרה של פריצה, פגיעה או כל בעיה אחרת. מומלץ לבחור בפתרון גיבוי שמבצע גיבויים אוטומטיים ומאפשר שחזור מהיר.

7.  הגדר אמצעי הגנה מבוססי שרת

במידה ויש לך גישה להגדרות השרת, ניתן להפעיל אמצעי הגנה נוספים ישירות מהשרת עצמו. לדוגמה, ניתן להפעיל מדיניות Content Security Policy (CSP) שתמנע מהאקרים להחדיר סקריפטים זדוניים לאתר שלך. מדיניות זו מגדירה אילו מקורות של תוכן מאושרים לטעינה, וחוסמת כל מקור שאינו מאושר.

 .8 נעל את דף ההתחברות שלך

בכדי למנוע התקפות Brute Force ובעזרת שינוי כתובת URL של דף ההתחברות של וורדפרס, תוכל להקשות על האקרים למצוא את דף הכניסה לאתר שלך ולנסות לפרוץ אליו. תוסף כמו Hide My Login  יכול לסייע בכך, אך ניתן לבצע זאת גם ידנית דרך קובץ .htaccess.

9. הגבילו את מספר ניסיונות ההתחברות

כברירת מחדל, וורדפרס מאפשרת לנסות סיסמאות שונות ללא הגבלה כלל, דבר המאפשר יכולת ניסיון תקיפה לניחוש הסיסמה והשם משתמש ללא הגבלה. המלצה טובה יהיה נכון להגביל יכולת ניסיונות לבין 3/5 . קיימים מספר תוספים המאפשרים הגבלה של מספר ניסיונות ההתחברות ויש יכולת להגביל עם קוד (אחד הקודים שמוזכרים בהמשך למטה) תוסף ממש מומלץ עם הרבה הורדות וביקורות טובות Limit Login Attempts Reloaded

10. עדכון מתמיד של מערכת הליבה וורדפרס והתוספים

שמירה על כל התוספים, התבניות והליבה של וורדפרס מעודכנים היא חיונית למניעת ניצול פרצות אבטחה. מאוד חשוב שגרסת הוורדפרס באתר שלכם תהיה מועדכנת לגרסה האחרונה תמיד. התקינו תבניות ותוספים רק מהריפוזיטורי של וורדפרס ותבחרו תמיד רק את התוספים והתבניות שמתעדכנות לעיתים קרובות וכאלה שיש להם הרבה התקנות וביקורות טובות. השתמש במערכת העדכונים האוטומטיים של וורדפרס, אך גם עקוב אחר עדכונים ידניים כדי לוודא שאתה תמיד מאובטח.

11. השתמש בתוסף אבטחה לניטור ואבטחת האתר

בנוסף לכל האמצעים האלו, חשוב להשתמש בתוסף אבטחה שיבצע ניטור שוטף של האתר, ינתח ניסיונות חדירה ויתריע על בעיות בזמן אמת. תוספים כמו MalCare ו-Wordfence מספקים שירותים כאלו ואחרים, וניתן לבחור בתוסף שמתאים לצרכים הספציפיים שלך, יש עוד הרבה תוספים מומלצים וטובים, אנחנו בחרנו ב .MalCare

השוואת תוספים לאבטחת וורדפרס

לאחר שביצענו את הפעולות הבסיסיות לאבטחת האתר, הגיע הזמן לבחון את התוספים השונים שיכולים להוסיף שכבות אבטחה נוספות. להלן חמשת התוספים המובילים, עם השוואה בין היתרונות והחסרונות של כל אחד:

תוספים מומלצים לאבטחת וורדפרס

MalCare:  יתרונות והתאמה לצרכים מגוונים MalCare  הוא אחד התוספים המובילים באבטחת וורדפרס, במיוחד בגלל הגישה הייחודית שלו לאבטחת אתרים. במקום להעמיס על השרת שלך עם סריקות ואמצעי אבטחה, MalCare מבצע את כל הפעולות החיוניות – כמו סריקות וגיבויים – על השרתים החיצוניים של החברה. זה חוסך משאבי שרת יקרים ומאפשר לאתר שלך לפעול במהירות ויעילות גם במהלך סריקות תקופתיות. יתרון נוסף של MalCare הוא סורק הרוגלות המובנה שלו, שמספק שכבת הגנה נוספת. התוסף מציע גם שירות בתשלום המאפשר הסרת רוגלות בלחיצת כפתור.

Wordfence:  הגנה מקיפה Wordfence  הוא אחד מהתוספים הפופולריים ביותר לאבטחת וורדפרס, ומציע חומת אש מתקדמת לצד סריקות אבטחה תקופתיות. התוסף מציג ניתוח מפורט של ניסיונות חדירה לאתר שלך ומאפשר נעילת משתמשים חשודים. אחד היתרונות הגדולים של Wordfence  הוא ממשק המשתמש הנוח שמאפשר למנהלי אתרים שאינם טכניים במיוחד לשלוט בכלי האבטחה בצורה קלה.

iThemes Security : מגוון רחב של כלים להגנה iThemes Security  מציע למשתמשיו מעל 30 כלים שונים לשיפור האבטחה באתר. בין היתר, התוסף מאפשר לנעול משתמשים לאחר ניסיונות כניסה כושלים, להפעיל אימות דו-שלבי, ולבצע זיהוי התחזות מבוסס כתובות IP. התוסף מתאים במיוחד לאתרים שזקוקים למעטפת אבטחה נרחבת, והוא ידוע ביכולת שלו למנוע התקפות בעזרת זיהוי מוקדם של התנהגויות חשודות.

Sucuri Security:  חומת אש מבוססת ענן Sucuri Security  מציע חומת אש מבוססת ענן, מה שמאפשר לאתר שלך לקבל שכבת הגנה נוספת ללא צורך בהפעלת משאבים מקומיים. התוסף מספק ניטור תקופתי לזיהוי תוכנות זדוניות, סריקות עומק של קבצים, והתראות בזמן אמת על ניסיונות חדירה. Sucuri מתאים במיוחד לאתרים עם תעבורה גבוהה ולכאלה שרוצים להבטיח ביצועים מיטביים יחד עם אבטחה מקסימלית.

 Hide My Login: פתרון פשוט אך יעיל Hide My Login  הוא תוסף פשוט אך יעיל שמאפשר לשנות את כתובת ההתחברות הרגילה של וורדפרס, מה שמקטין את הסיכון לניסיונות פריצה. במקום להיכנס באמצעות הכתובת הסטנדרטית, התוסף מאפשר לך לבחור כתובת ייחודית, וכך להקשות על האקרים את מציאת דף ההתחברות לאתר שלך.

MalCare .1

יתרונות:

  • מבצע סריקות וגיבויים על שרתים חיצוניים, מה שחוסך משאבים על השרת שלך.
  • סורק רוגלות חינמי עם אופציה להסרה בתשלום.
  • קל לשימוש ולתפעול, גם למנהלים שאינם טכניים.

חסרונות:

  • גרסת הפרימיום עלולה להיות יקרה לאתרים קטנים.
  • אין חומת אש מובנית בגרסה החינמית.

Wordfence .2

יתרונות:

  • חומת אש מתקדמת ומערכת סריקות אבטחה מפורטת.
  • התראות בזמן אמת על ניסיונות חדירה.
  • אפשרות לנעילת משתמשים חשודים לאחר ניסיונות כושלים.

חסרונות:

  • עלול להעמיס על משאבי השרת, במיוחד באתרים עם תעבורה גבוהה.
  • ממשק מעט מורכב למשתמשים חדשים.

iThemes Security .3

יתרונות:

  • מעל 30 כלים שונים לאבטחה, כולל אימות דו-שלבי ונעילת משתמשים.
  • מתאים במיוחד לאתרים עם מספר משתמשים ופעילויות מרובות.
  • הגנה מפני התחזות ופרצות מבוססות כתובת IP.

חסרונות:

  • עלול להיות מבלבל למשתמשים שאינם טכניים.
  • תוספות מסוימות זמינות רק בגרסת הפרימיום.

Sucuri Security .4

יתרונות:

  • חומת אש מבוססת ענן המאפשרת ביצועים מיטביים.
  • סריקות עומק של קבצים וזיהוי תוכנות זדוניות.
  • התראות בזמן אמת וניהול גיבויים.

חסרונות:

  • גרסת הפרימיום יקרה יחסית.
  • לא מתאים לאתרים קטנים או בעלי תקציב מוגבל.

Hide My Login .5

יתרונות:

  • מאפשר לשנות את כתובת ההתחברות לנהל אתרים בצורה בטוחה יותר.
  • תוסף קל ונוח לשימוש, מתאים לכל סוגי האתרים.
  • פותר בעיה נפוצה של ניסיונות חדירה על ידי הסתרת כתובת ה-URL של דף הכניסה.

חסרונות:

  • לא מציע שכבות אבטחה נוספות מעבר לשינוי כתובת ה-URL.
  • צריך לשלב עם תוספים נוספים לאבטחה מקיפה.

המלצות ייעול נוספות לאבטחת אתר וורדפרס

לאחר שבחרת בתוסף האבטחה המתאים לך, ישנם עוד מספר צעדים שתוכל לנקוט כדי לשפר את רמת האבטחה באתר:

1. השבתת Rest API למשתמשים לא רשומים

וורדפרס מציע ממשק REST API שמאפשר גישה למידע רגיש באתר שלך. אם האתר שלך אינו עושה שימוש פעיל ב-API זה, ניתן להגביל את הגישה אליו למשתמשים רשומים בלבד.

2 . הגדרת Security Headers

הוספת כותרות אבטחה (Security Headers) יכולה לספק שכבת הגנה נוספת מפני התקפות נפוצות כמו Cross-Site Scripting (XSS) ו-Clickjacking. ניתן להוסיף את הכותרות הללו באמצעות קובץ .htaccess או על ידי שימוש בתוסף כמו HTTP Headers.

3. שימוש בקוד PHP ו-.htaccess  לאבטחה מתקדמת

למי שמבין בקוד ואינו חושש מהתעסקות בקבצי הליבה של וורדפרס, ישנן מספר פעולות שניתן לבצע כדי להוסיף שכבות אבטחה נוספות לאתר. אחת מהן היא הוספת קודים מותאמים אישית לקבצי wp     wp-config.php ו-.htaccess.  לדוגמה:

חסימת גישה לקבצים רגישים ניתן להגן על קבצים כמו wp-config.php  ו-.htaccess על ידי הוספת השורות הבאות:

htaccess

<Files wp-config.php>

    order allow,deny

    deny from all

</Files>

<Files .htaccess>

    order allow,deny

    deny from all

</Files>

מניעת גלישה ישירה לספריות כדי למנוע גישה ישירה לתיקיות האתר, ניתן להוסיף את השורה הבאה ל-.htaccess :

Options –Indexes

שורה זו תבטיח שגולשים לא יוכלו לראות את התוכן של תיקיות האתר שלך דרך הדפדפן, ובכך תקטין את הסיכון לחשיפת קבצים רגישים.

הזרקת קוד מותאם אישית באמצעות Code Snippet

אם ברצונך להוסיף קוד מותאם אישית לאתר מבלי לערוך ישירות את קבצי הליבה של וורדפרס, מומלץ להשתמש בתוסף     Code Snippet, תוסף זה מאפשר לך להוסיף קטעי קוד לפונקציות האתר שלך בצורה מסודרת ובטוחה. 2 התוספים הטובים והמומלצים ביותר עם הורדות רבות ובקורות מצוינות אלה : Code Snippet ו WPCODE Snippet

להלן כמה דוגמאות לשימוש בתוסף זה:

1. הוספת פונקציות מותאמות אישית

תוכל להוסיף פונקציות מותאמות אישית לתבנית האתר שלך ללא צורך בעריכת הקבצים המקוריים. לדוגמה, אם ברצונך להוסיף פונקציה שמציגה את התאריך הנוכחי בכל עמוד, תוכל להוסיף את הקוד הבא באמצעות התוסף:

php

Copy code

function display_current_date() {

    echo date('l jS \of F Y');

}

add_shortcode('current_date', 'display_current_date');

2. שיפור אבטחת האתר עם קודים מותאמים

בנוסף לפונקציות, ניתן להוסיף קודים לאבטחת האתר. למשל, ניתן לחסום משתמשים מסוימים על פי תצורת הדפדפן שלהם או לחסום גישה לסקריפטים מסוימים:

php

function block_user_agents() {

    $blocked_agents = array('BadBot', 'AnotherBadBot');

    foreach($blocked_agents as $agent) {

        if(strpos($_SERVER['HTTP_USER_AGENT'], $agent) !== false) {

            wp_die('Access denied');

        }

    }

}

add_action('init', 'block_user_agents');

 אבטחו את הקובץ wp-config.php

הקובץ החשוב ביותר, שמכיל את כל האינפורמציה הנחוצה בכדי לקבל גישה למסד הנתונים של האתר שלכם, יש לאבטח את הקובץ ולמנוע גישה אליו על ידי הוספת הקוד הבא לקובץ: htaccess.

<Files wp-config.php>

    order allow,deny

    deny from all

</Files>

הסתירו את גירסת הוורדפרס שלכם

עדכוני גירסה של וורדפרס בדרך כלל מכילים עדכוני אבטחה. אם תתנו מבט בקוד המקור של אתר הוורדפרס שלכם, תמצאו כי גירסת הוורדפרס שאתם משתמשים בה גלויה לכל.

המידע הזה נגיש להאקרים ונותן להם מידע במידה והם מחפשים לתקוף אתרים המשתמשים בגרסאות וורדפרס ישנות יותר ובעלות פירצות אבטחה (שכבר ידועות לכל).

על מנת להסתיר את גירסת הוורדפרס הוסיפו את הקוד הבא לקובץ:  functions.php

function wpversion_remove_version() {

    return ";

}

add_filter('the_generator', 'wpversion_remove_version');

 3. התאמת קודים מתקדמים לפי צורך.

אם יש לך צורך להתאים קוד מסוים לפי פרמטרים מסוימים, תוכל להשתמש בתוסף כדי להוסיף את הקוד בצורה גמישה. לדוגמה, אם ברצונך להגביל את מספר הניסיונות לכניסה לאתר, תוכל להוסיף את הקוד הבא:

php

Copy code

function limit_login_attempts() {

    $max_attempts = 3;

    $lockout_time = 20; // זמן חסימה בדקות

    if( ! session_id() ) {

        session_start();

    }

    if(!isset($_SESSION['attempts'])) {

        $_SESSION['attempts'] = 0;

    }

    if($_SESSION['attempts'] >= $max_attempts) {

        wp_die('You are temporarily locked out due to too many failed login attempts.');

    }

    add_action('wp_login_failed', function() {

        $_SESSION['attempts']++;

    });

    add_action('wp_login', function() {

        $_SESSION['attempts'] = 0;

    });

}

add_action('init', 'limit_login_attempts');

סיכום

אבטחת אתר וורדפרס היא נושא חשוב ומקיף, וכדי להבטיח שהאתר שלך מוגן בצורה הטובה ביותר, יש לשלב בין מספר שיטות ופתרונות. החל מבחירת סיסמאות חזקות וניהול הרשאות נכון, דרך השימוש בתוספים מתקדמים כמו MalCare ו-Wordfence, ועד הוספת שכבות הגנה נוספות באמצעות קודים מותאמים אישית, יש לך שלל אפשרויות להגן על האתר שלך.

בין אם אתה משתמש חדש או מנוסה, ההמלצות והפתרונות שהוצגו כאן יוכלו לסייע לך להבטיח שהאתר שלך מוגן מפני איומים והתקפות. אבטחת האתר שלך אינה משימה חד-פעמית; היא תהליך מתמשך הדורש מעקב, עדכונים ושיפור מתמיד.

על ידי יישום ההמלצות הללו, תוכל ליצור אתר וורדפרס מאובטח, מוגן ועמיד בפני פריצות ואיומים שונים בשנת 2024.

אהבתם? תצעקו את זה, אל תפספסו והירשמו לרשימת הצעקנים שלנו עכשיו

פוסטים אחרונים

היי, לאן תלך?

הנחות, קופונים, מדריכים והמון ערך לא מדבר אליך?

אתה יכול לקבל עדכונים מטורפים אבל אתה יכול גם לקבל בחינם!!!

הצטרף לרשימת דיוור שלנו