כיצד להגן על הבלוג מפני האקרים ומתקפות בספטמבר [מדריך]

בחודש הבא צפוי גל של התקפות כנגד אתרים ובלוגים ישראליים עקב שנה לאירוע המשט. אז מה אתה צריכים לעשות כדי להגן יותר טוב על הבלוג שלכם?

לכל מי שזוכר את אירועי המשט של טורקיה שבעקבות אותו משט נפרצו למעלה מ-1000 אתרים ישראלים גדולים ובניהם: סטימצקי ואתר עיריית תל אביב, וכד’ בתור אחד שחטף גם באותה תקופה לא מעט מתקפות על השרת גיבוי שלי שיושב באנגליה,

החלטתי השנה להקדים תרופה למכה ולהכין מיני מדריך לי ולכם שיעזור לכולנו לעבור את התקופה הקרובה באופן בטוח ועם כמה שפחות מתקפות של האקרים על האתרים שלנו.

1. שינוי מיקום לקובץ wp-config.php

להעביר את הקובץ wp-config מתייקית ה-~/home/user/public_html/wp-config.php  לתיקיה אחת למעלה ~/home/user/wp-config.php;  (בדרך כלל מדובר בתיקיה שנקראת בשם הדומיין).

כאשר אתם משאירים את הקובץ בתייקית public html של השרת אתם בעצם מאפשרים לגורמים עיונים לגשת לקובץ הזה ובאמצעותו הם יוכלים לשנות את ההגדרות של האתר שלכם ולמחוק לכם את כל האתר, כאשר אתם משנים את המיקום של הקובץ, וורדפרס יודע לזהות את המיקום החדש של הקובץ. אף על פי כן, חשוב לציין כי הזיהוי לא יתבצע אוטומטי לאנשים שהאתר שלהם יושב תחת תת קטגוריה. לדוגמה: domain.co.il/blog, או כאשר ביצעתם add-on domain תחת מערכת cPanel.

2. מחיקת משתמש ברירת מחדל (admin)

בדרך כלל, מרבית האתרים המבוססים על וורדפרס מוגדרים בהתקנה עם משתמש ברירת מחדל בשם admin. לאחר ההתקנה, חשוב ליצור משתמש חדש עם הרשאות ניהול ולאחר מכן למחוק את המשתמש admin. במידה ותחליטו להישאר עם המשתמש admin, אתם בעצם מאפשרים להאקרים להעריך מראש מה השם משתמש שלכם וכל מה שנותר להם זה לפצח את הסיסמה שלכם (משהו שאפשר לבצע כלי פריצה אוטומטיים לניחוש סיסמא).

בשונה ממערכות וורדפרס הישנות שאילצו אותנו ליצור מנהל ראשי תחת השם admin כיום התקנות וורדפרס של מערכות בגירסאות 3.0 + מאפשרות לנו לבחור איזה שם משתמש שאנחנו רוצים, אז תשתדלו לא להתקבע על המשתמש admin (גם אם אתם רגילים אליו כבר).

במידה ואתם לא מצליחים למחוק את המשתמש admin אתם מוזמנים להיעזר במדריך הבא.

3. עדכונים ושדרוגים לתוספים ולמערכת

חשוב לעדכן ולשדרג את גם את גרסת הוורדפרס וגם את התבנית שעליה מבוסס האתר. כמו כן, יש להקפיד ולשדרג את התוספים שאתם משתמשים בהם וחשוב לעקוב באופן שוטף אחרי עדכוני האבטחה בתוספים ובתבניות השונות.

 4. התקינו את התוסף WP Security Scan או  Secure WordPress

תוספים מהסוג המדובר, מסייעים לכם לגלות את ההרשאות לקבצי המערכת שיושבים על השרת שלכם, לזהות לאילו מהקבצים יש הרשאות גישה שאינן מתאימות מבחינת אבטחת מידע ולשנות את ההגדרות בהתאם. שני התוספים עושים עבודה נהדרת ואנו ממליצים להוריד אתם יכולים להוריד את התוסף שנקרא WP Security Scan או  Secure WordPress. התוספים הללו מגיעים עם כלים נוספים שיעזרו לכם להגן על האתר שלכם בצורה טובה יותר.

כלים הנוספים שמגיעים עם תוספי ה-Security

  1. כלי סריקה –  בודק את ההרשאות של הקבצים של מערכת וורדפרס, ומסמן לך בצבע אדום אילו קבצים מוגדרים עם הרשאות לא נכונות/טובות.
  2. כלי סיסמאות –  בודק את חוזק הסיסמה שלך ומאפשר לך ליצור גם סיסמאות ראנדמולית חזקות.
  3. מסד נתונים –  הכלי הבא מאפשר לכם לגבות את המסד נתונים של האתר שלכם ולשנות את הקידומת (prefix) של הטבלאות שלכם, במידה ואכן תשנו את הקידומת  (prefix) זה יקשה על האקרים לבצע SQL Injection למסד.

יש לכם גם רעיונות לתוספים שיכולים לעזור לנו להגן על האתר אתם מוזמנים להמליץ באמצעות התגובות למטה.

הפוסט פורסם במקור בבלוג “כשעיצוב וכטנולוגיה נפגשים”

אבי כהן

אבי מפתח אתרי אינטרנט מאז שהוא זוכר את עצמו וב-4 שנים האחרונות גם עוסק בזה כמקצוע. הוא מתמחה בחיבור העדין שבין גרפיקה לעיצוב אתרים ובכל מה שקשורים לעבוד עם בלוגים ופלטפורמת וורדפרס.

הגב

14 תגובות על "כיצד להגן על הבלוג מפני האקרים ומתקפות בספטמבר [מדריך]"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אבי כהן
Guest

ממליץ לעקוב אחרי הפוסט בבלוג, הרבה אנשים מגיבים וממליצים על תוספים נוספים שיכולים לעזור לנו ולהגן על הבלוג :)

גיא
Guest

אבי, העובדה שאתה מוציא את ה config מתיקית ה public_html (שמשמשת כ www root ולמעשה מאפשרת גישה מהאינטרנט, אבל לא לקרוא את התוכן.

קריאת התוכן דר”כ נעשת כאשר פורצים לאתר אחד על שרת שיתופי, ואז משיגים ROOT (הרשאות מלאות על השרת) ו\או מצליחים לקרוא את כל קבצי ה wp-config מאחר והם מוגדרים כ777 (הרשאות של READ לכל השרת))

בקיצור- רוב הפריצות מתחילות במערכות שהן לאו דווקא הבלוגים, אלא אתרים שנבנו ע”י מתכנתים שלא מבינים באבטחת מידע.

אבי כהן
Guest

גיא,
אני מעדיף לא להתייחס לנושאים שקשורים לרמה אישית של מפתח או ברמת האבטחה של שרתים של חברה מסויימת,
עדיף להתייחס לבעיה גלובלית כמו מערכות קוד פתוח שנעזרים בהם לא מעט חברות ולתת פתרונות לקבל רחב יותר בכדי לעזור להם להגן על האתרים שלהם באופן הכי טוב שיש.

מורן
Guest

מעולה תודה!!
יש לי בעיה יותר חמורה… לא זוכר את הסיסמא ל CPANEL
איך משחזרים ???

אבי כהן
Guest

ניסית ליצור קשר עם החברת אחסון…
דרך נוספת פשוט לנסות להתחבר, ולאחר שמנסים מגיעים לעמוד שמאפשר לך לשחזר סיסמה באמצעות מייל (במידה ומנהל השרת לא ביטל את אפשרות השחזור)

מורן
Guest

הוא לא נותן אפשרות לשיחזור. פשוט כותב
Login Attempt Failed!

ירון
Guest

המדריך מתייחס לאתרים מבוסס וורדפרס-מה עם מדרך לאתרים המבוססים על דרופאל?
תודה!

אבי כהן
Guest

ירון,
תירשם לעדכונים, ייתכן ויעלה מדריך שבוע הבא,
http://www.idomain.co.il/newsletter/
הנושא עדיין בבדיקה…

מרק
Guest

במהלך חודש ספטמבר תספק טריפל סי הגנה לאתרי אינטרנט מקומיים – בחינם
ההגנה תתבצע ע”י שימוש בטכנולוגיה של חברת אינקפסולה.
http://www.ccc.co.il/Incapsula/TripleCIncapsula.aspx

טלי
Guest

כתובת האתר בפרטי הכותב לא נכונה. הולכת ל.com

אבי כהן
Guest

ידוע טלי העברתי לטיפולם :)

גיל רבי
Guest

אחלה פוסט אבי!
הכי חשוב לעדכן לעדכן לעדכן כל הזמן כי וורדפס מוציא עדכוני אבטחה של פנים המערכת באופן תקופתי על פי בעיות אבטחה שהמשתמשים השונים מדווחים מכל העולם.
גיל

בן
Guest

חברים, אני לא יודע אם שמתם לב, אבל טריפל קלאוד וחברת אינקפסולה חברו יחד על מנת להציע שירות הגנה חינמי לכל אתר שיחפוץ בכך, במהלך חודש ספטמבר.

דה מרקר ראיינו את מרק מאינקפסולה, שדיבר על הנושא:
http://it.themarker.com/tmit/article/16612

אסי אייס
Guest

מלחיץ אבל תודה :)

wpDiscuz

תגיות לכתבה: