מדריך להגנה על הבלוג מפני האקרים ומתקפות בספטמבר

לכל מי שזוכר את אירועי המשט של טורקיה שבעקבות אותו משט נפרצו למעלה מ-1000 אתרים ישראלים גדולים ובניהם: סטימצקי ואתר עיריית תל אביב, וכד' בתור אחד שחטף גם באותה תקופה לא מעט מתקפות על השרת גיבוי שלי שיושב באנגליה,

החלטתי השנה להקדים תרופה למכה ולהכין מיני מדריך לי ולכם שיעזור לכולנו לעבור את התקופה הקרובה באופן בטוח ועם כמה שפחות מתקפות של האקרים על האתרים שלנו.

1. שינוי מיקום לקובץ wp-config.php

להעביר את הקובץ wp-config מתייקית ה-

~/home/user/public_html/wp-config.php  לתייקיה אחת למעלה

~/home/user/wp-config.php;  בדר"כ מדובר בתייקיה של הדומיין של  השרת,  כאשר אתם  משאירים את הקובץ בתייקית public html של השרת אתם בעצם מאפשרים לגורמים עיונים לגשת לקובץ הזה ובאמצעותו הם יוכלים לשנות את ההגדרות של האתר שלכם ולמחוק לכם את כל האתר, כאשר אתם משנים את המיקום של הקובץ מה שיפה זה שוורדפרס ישירות יודעת לזהות את המיקום החדש של הקובץ, אבל חשוב לדעת הזיהוי לא יתבצע אוטומטי לאנשים שהאתר שלהם יושב תחת תת קטגוריה למשל domain.co.il/blog , או כאשר ביצעתם  add-on domain ב- cPanel.

 

2. מחיקת משתמש ברירת מחדל (admin)

בדר"כ מרבית האתרים שמבוססים על וורדפרס מוגדרים בהתקנה עם משתמש ברירת מחדל שקוראים לו admin תיצרו משתמש חדש עם הרשאות של מנהל ראשי ולאחר מכן תמחקו את המשתמש admin, במידה ואתם תישארו עם המשתמש admin מה שבעצם קורה זה שאתם מאפשרים להאקרים להעריך מראש מה השם משתמש שלכם וכל מה שנותר להם זה לפצח את הסיסמה שלכם וזה באמצעות כלים שמריצים סיסמאות אוטומטי.

דבר נכון שהעיר Soso Jana בתגובות למטה בנוגע ליצירת שם משתמש, בשונה ממערכות וורדפרס הישנות שאילצו אותנו ליצור מנהל ראשי תחת השם admin כיום התקנות וורדפרס של מערכות בגירסאות 3.0 + מאפשרות לנו לבחור איזה שם משתמש שאנחנו רוצים, אז תשתדלו לא להתקבע על המשתמש admin למרות שאתם רגילים :)

 

3. עדכונים ושדרוגים לתוספים ולמערכת

חשוב לעדכן ולשדרג את העיצוב שעליו מבוסס האתר והתוספים שאתם משתמשים בהם, קיימים המון עדכוני אבטחה בתוספים והטמפלייטים השונים, חשוב לעקוב.

 

 4. התקינו את התוסף  WP Security Scan או  Secure WordPress

מדובר ב-2 תוספים מצויינים שיעזרו לכם לגלות את ההרשאות שלכם בבלוג לקבצים שיושבים על השרת שלכם, ולנטר אליו קבצים מוגדרים עם הרשאות נכונות ואילו לא, מדובר בתוספים שעושים עבודה נהדרת, אתם יכולים להוריד את התוסף שנקרא WP Security Scan או  Secure WordPress , התוספים האלו מגיעים עם כלים נוספים שיעזרו לכם להגן על האתר שלכם בצורה טובה יותר.

הכלים הנוספים שמגיעים עם התוספים האלו הם:

1. כלי סריקה –  בודק את ההרשאות של הקבצים של מערכת וורדפרס, ומסמן לך בצבע אדום אילו קבצים מוגדרים עם הרשאות לא נכונות/טובות.

2. כלי סיסמאות –  בודק את חוזק הסיסמה שלך ומאפשר לך ליצור גם סיסמאות ראנדמולית חזקות.

3.  מסד נתונים –  הכלי הבא מאפשר לכם לגבות את המסד נתונים של האתר שלכם ולשנות את הקידומת (prefix) של הטבלאות שלכם, במידה ואכן תשנו את הקידומת  (prefix) זה יקשה על האקרים לבצע SQL Injection למסד.

 

הערות:

בנוגע לסעיף 2 במידה ואתם לא מצליחים למחוק את המשתמש admin תיעזרו במדריך הבא

 

____________________________________________________

המלצת Ari Oster לתוסף נוסף שיגן על הבלוג שלכם

שם התוסף: Jumpple

תוסף שמאפשר לכם לקבל ניטור בזמן אמת אם מישהו לחץ/עשה משהו שהוא לא תקין באתר, אוטומטית תקבלו עדכון על כך

הורדה: http://wordpress.org/extend/plugins/jumpple/

____________________________________________________

המלצת spartacus לתוסף שיעזור לכם לגבות את הבלוג שלכם

שם התוסף: backWPup

גיבוי יכול למנוע הרבה כאבי ראש. רצוי מאוד להתקין תוסף שמבצע גיבוי מתוזמן ושומר אותו במקום בטוח (שליחה למייל, על השרת, דרופבוקס וכו').

הורדה: http://wordpress.org/extend/plugins/backwpup/

 

טיפ נוסף: שינוי מיקום התקנת הוורדפרס.

הרעיון הוא לשנות את המיקום הפיזי של המערכת, כך שגם הכניסה לאדמין תהיה דרך כתובת שרק אתם מכירים (כל טירון מכיר את כתובת האדמין לאתר וורדפרס).
כתובת האתר נשארת כמו שהיא, כך שהמשתמשים לא ירגישו בשינוי.

1. לאחר ההתקנה, יוצרים ספרייה בroot עם שם מוזר, ארוך ושלא יתגלה. לדוגמא: mysecretfolder

2. מעבירים את כל התקנת הוורדפס לספריה החדשה למעט קובץ הhtaccess, ו-index.php

3. בקובץ האינדקס משנים את השורה
require('./wp-blog-header.php'); ל :
require('./mysecretfolder/wp-blog-header.php');

4. בעמוד הגדרות משנים את הנתיב להתקנת הוורדפרס ל:
http://www.domain.com/mysecretfolder

5. את כתובת האתר משאירים כרגיל

6. זהו. עכשיו כדי להכנס לאדמין צריך להוסיף גם את הספריה הסודית.
http://www.domain.com/mysecretfolder/wp-admin
לאתר ממשיכים להכנס כרגיל.

 

____________________________________________________

המלצת אוראל למספר תוספים שיגינו על הבלוג שלכם

Login LockDown
מגביל את מספר הנסיונות להתחבר למשתמש , דרך מעולה למנוע כניסות דרך BruteForce
http://wordpress.org/extend/plugins/login-lockdown/

Login Lock
תוכנת הגנה כמו LoginLock עם אפלקציה שעוזרת לבחור ססמאות קשות לפיצוח.
בנוסף, חוסם ישירות IP של משתמש שמנסה יותר מדי פעמים להתחבר.
http://wordpress.org/extend/plugins/login-lock/

FireWall2
חומת אש לממשק וורדפרס, חוסם נסיונות פריצה.
http://wordpress.org/extend/plugins/wordpress-firewall-2/

ההבדל היחידי שאצלי הפריעה בין שני הפלאגינס הראשונים, הוא ש Login Lock לפעמים האט את ה Dashboard, תנסו ותראו מה יותר מתאים לכם..
בהצלחה :]


יש לכם גם רעיונות לתוספים שיכולים לעזור לנו להגן על האתר אתם מוזמנים להמליץ באמצעות התגובות למטה

אם הפוסט הבא עזר לכם פרגנו ותלחצו לייק ותשתפו את החברים שלכם כדי שנמנע פריצות של האקרים לאתרים ישראלים.

אודות הכותב:

אבי כהן הינו מעצב ממשקים ואתרי אינטרנט אשר בין היתר עוסק גם בפיתוח צד לקוח. המייסד של כשעיצוב גרפי וטכנולוגיה נפגשים. בעל ניסיון עשיר בעיצוב אתרי אינטרנט מסחריים ותדמיתיים תוך השמת דגש על ערכי חווית המשתמש והמכירה. פייסבוק | לינקדין | טוויטר

פוסטים נוספים - אתר אישי

אנשים שקראו כתבה זו התעניינו גם ב:



20 תגובות

  • תודה על המידע. שיתפתי בפייסבוק.

  • נראה לי שאפשר לעשות מאמץ ולפרסם גם מדריך כללי להתגוננות מפני פריצות בעיקר לרשת הפייסבוק, לדעתי לפחות אם הם ירצו לפרוץ זה יהיה לאתרים או למשתמשים בפייסבוק ולא בהכרח לבלוגים.. בפייסבוק הם יכולים להשיג המון המון דברים אם הם יפרצו לשם (למשתמשים ישראלים)

  • מדריך מצוין. כמובן לא צריך לציין שהסיסמא חייבת להיות קצת יותר מסובכת מ123456 אלא אותיות וספרות. חשוב גם ששרת האחסון עליו מותקן הWP יהיה מאובטח.
    חשוב מאוד לציין (וכדאי להוסיף לכתבה) שאין הגנה הרמטית לגמרי – לכן רצוי מאוד מאוד לעשות גיבויים לעיתים תכופות. אם יש המון תוכן בבלוג והוא מתעדכן לעיתים קרובות – אפילו פעם בשבוע זה חשוב – וזה לוקח 20 שניות. אני מניח שיש תוספים שמייצרים גיבויים בתדירות שנקבעת להם.

    • אסף אשמח אם תוכל להוסיף קישורים לתוספים עליהם אתה מדבר כדי שאוכל לעדכן בפוסט

  • גיבוי יכול למנוע הרבה כאבי ראש. רצוי מאוד להתקין תוסף שמבצע גיבוי מתוזמן ושומר אותו במקום בטוח (שליחה למייל, על השרת, דרופבוקס וכו').
    אני משתמש בתוסף שנקרא backWPup.

    בנוסף כל מי שמעוניין להרחיב בנושא ויכול להרשות לעצמו – באתר לינדה יש קורס טוב על נושא האבטחה של וורדפרס: http://zipp.co.il/2b1nf

    בהצלחה :)

    • עידכנתי את ההמלצה שלך בבלוג
      תודה רבה זה עזר ללא מעט אנשים

  • [...] להמליץ באמצעות התגובות למטה.הפוסט פורסם במקור בבלוג "כשעיצוב וכטנולוגיה נפגשים"תגים: blog, secure, WordPress, WordPress פריצות, אבטחה, בלוג, הגנה, הגנה [...]

  • אחלה פוסט אבי! הכי חשוב לעדכן לעדכן לעדכן כל הזמן כי וורדפס מוציא עדכוני אבטחה של פנים המערכת באופן תקופתי על פי בעיות אבטחה שהמשתמשים השונים מדווחים מכל העולם. גיל

  • כדאי גם להזכיר את מנגנון ה xml-rpc שהוא כלי מאוד יעיל, אך יכול להוות נקודת תורפה לשימושם של פורצים. מי שיסתכל על הלוגים של התעבורה בבלוג שלו (לוגים שמראים את כל התעבורה, כולל של בוטים אוטומאטיים ועכבישי חיפוש) בטח יראה כמות דיי נכבדה של נסיונות לפרוץ את ה xml-rpc.
    ברוב הבלוגים האופציה הזו כבויה בתור ברירת מחדל, כך שאם לא אפשרתם אותה, אתם מסודרים. אבל אם אפשרתם אותה, כדי לכבותה לכמה ימים של זעם, אם אתם לא משתמשים בשליטה מרחוק על הבלוג שלכם

    בהצלחה…

    • ניר תודה רבה על התגובה והמידע.

  • איך אפשר לשנות את מיקום ה- wp-config.php במידה והבלוג שלי תחת ספרייה פנימית?

    • אם הוא תחת ספריה פנימית אי אפשר.

  • טיפ נוסף: שינוי מיקום התקנת הוורדפרס.

    הרעיון הוא לשנות את המיקום הפיזי של המערכת, כך שגם הכניסה לאדמין תהיה דרך כתובת שרק אתם מכירים (כל טירון מכיר את כתובת האדמין לאתר וורדפרס).
    כתובת האתר נשארת כמו שהיא, כך שהמשתמשים לא ירגישו בשינוי.

    1. לאחר ההתקנה, יוצרים ספרייה בroot עם שם מוזר, ארוך ושלא יתגלה. לדוגמא: mysecretfolder

    2. מעבירים את כל התקנת הוורדפס לספריה החדשה למעט קובץ הhtaccess, ו-index.php

    3. בקובץ האינדקס משנים את השורה
    require('./wp-blog-header.php'); ל :
    require('./mysecretfolder/wp-blog-header.php');

    4. בעמוד הגדרות משנים את הנתיב להתקנת הוורדפרס ל:
    http://www.domain.com/mysecretfolder

    5. את כתובת האתר משאירים כרגיל

    6. זהו. עכשיו כדי להכנס לאדמין צריך להוסיף גם את הספריה הסודית.
    http://www.domain.com/mysecretfolder/wp-admin
    לאתר ממשיכים להכנס כרגיל.

    בהצלחה.

    • עידכנתי את הפוסט עם התגובה שלך,
      תודה רבה על הטיפ :)

  • תודה גבר אחלה מדריך!
    יש עוד כמה פלאגינס טובים כמו :
    Login Lock
    LoginLockdown
    Wordpress firewall 2
    נקווה שיהיה ספטמבר שקט

    • אוראל תודה רבה על התגובה
      חלק מהפלאגינים אני מכיר אשמח אם תוכל להרחיב על כל אחד מהם + קישור להורדה שאכניס אותך לפוסט כמו האחרים

      תודה מראש :)

  • בכיף,
    Login LockDown
    מגביל את מספר הנסיונות להתחבר למשתמש , דרך מעולה למנוע כניסות דרך BruteForce
    http://wordpress.org/extend/plugins/login-lockdown/

    Login Lock
    תוכנת הגנה כמו LoginLock עם אפלקציה שעוזרת לבחור ססמאות קשות לפיצוח.
    בנוסף, חוסם ישירות IP של משתמש שמנסה יותר מדי פעמים להתחבר.
    http://wordpress.org/extend/plugins/login-lock/

    FireWall2
    חומת אש לממשק וורדפרס, חוסם נסיונות פריצה.
    http://wordpress.org/extend/plugins/wordpress-firewall-2/

    ההבדל היחידי שאצלי הפריעה בין שני הפלאגינס הראשונים, הוא ש Login Lock לפעמים האט את ה Dashboard, תנסו ותראו מה יותר מתאים לכם..
    בהצלחה :]

    • תודה רבה לך,

      יתווסף בהמשך היום.

      עריכה:
      עודכן

  • תודה על הפרסום של הפוסט אבל אני מפחד לעשות את זה..

הגב

שוחחו איתי אונליין

נובמבר 2017
א ב ג ד ה ו ש
« אוגוסט    
 1234
567891011
12131415161718
19202122232425
2627282930