You are currently viewing אבטחת אתרי וורדפרס: 8 פעולות חינמיות וקלות שיצילו לכם את האתר
אבטחת אתרי וורדפרס

אבטחת אתרי וורדפרס: 8 פעולות חינמיות וקלות שיצילו לכם את האתר

אבטחת אתרי וורדפרס ניתן לבצע בקלות יחסית דרך הפעולות הבאות:

  1. הגדירו SSL.
  2. בחרו חברת אחסון אמינה.
  3. וודאו שאתם על הגרסה העדכנית של ה-PHP.
  4. עדכנו את גירסת התוספים והוורדפרס לגירסה האחרונה.
  5. הגדירו שם משתמש וסיסמא חזקים.
  6. שנו את קישור ההתחברות לממשק הניהול של וורדפרס.
  7. הגבילו את מספר ניסיונות ההתחברות.
  8. גבו את האתר שלכם בתדירות גבוהה.
  9. וודאו שהגיבוי תקין ומאפשר שחזור מלא בסביבת ניסיון.

למה להשקיע באבטחת אתרי וורדפרס?


אבטחת אתרי וורדפרס זה תהליך שמורכב מפעולות שמבוצעות בכמה מישורים ודרך אבטחת אתרי וורדפרס אנחנו שומרים על תפקודו של העסק הדיגיטלי שלנו בשיווק שותפים, חנות איקומרס או בלוג.

יש עשרות רבות של פעולות שאפשר לבצע באתרי וורדפרס כדי למקסם את רמת האבטחה שלהם.

הסיבות לאבטחת אתרי וורדפרס הם:

  1. בראש ובראשונה מטרתכם העיקרית היא להגן ולאבטח את פרטיותם של הגולשים ולשמור שהמידע של המבקרים באתרים שלכם לא ייפול לידיים הלא נכונות.
  2. בנוסף מטרתה של אבטחת אתרי וורדפרס היא להביא למינימום את זמן השבתת והתאוששות אתר האינטרנט שלכם במידה ונפרץ, נדבק בווירוס, נמחק בטעות או בכוונה וכדומה.
  3. סיבה נוספת היא שגוגל חוסמת מאתרים פרוצים שנדבקו בווירוס, מלהופיע במנוע החיפוש שלה כדי לא להדביק את המבקרים שלכם וזאת יכולה להיות פגיעה כלכלית משמעותית במי שתלוי בתנועה שמקורה במנוע החיפוש של גוגל. לעומת זאת אתרים שמציגים אבטחה ברמה מסוימת (ואני מסביר עליה בהמשך), ידורגו גבוה יותר במנוע החיפוש.

אני מתמקד בפוסט הזה בסוג הפעולות הקלות שכל אחד מכם וללא ניסיון בתכנות או בניית אתרים בוורדפרס יכול לבצע.

אבל לפני שנתחיל אני רוצה ללמד אתכם…

איך מתקינים תוספים לוורדפרס


למה אתם צריכים לדעת את זה?

האמת היא שאני די בטוח שרובכם מכיר וורדפרס ויודע מה זה תוספים ואיך מתקינים אותם. אבל, אני רוצה להדריך רק כדי שניישר קו מאחר ורוב הפעולות שאני מסביר עליהם בהמשך תלויות בהתקנת תוספים.

אז בממשק הניהול של וורדפרס שלכם, חפשו בתפריט בצד ימין "תוספים"…

כמו בתמונה הבאה:

תוספים לוורדפרס
תוספים לוורדפרס

 

הצביעו עם העכבר עליו ולחצו על "תוסף חדש". אחר כך תעזרו בשדה החיפוש למעלה בצד שמאל לחפש תוספים וכדי להתקין תוסף, לחצו על כפתור "התקנה".

התקנת תוספים לוורדפרס
התקנת תוספים לוורדפרס

 

לאחר סיום ההתקנה, הכפתור ישנה את הטקסט ל"הפעלה". לחצו עליו והתוסף יהיה תוך שניות מוכן לעבודה.

עכשיו,

בסוף הפוסט אני אדבר על נושא שממש יציל את החיים של האתר שלכם אבל בינתיים…

נתחיל עם פעולה פשוטה שבזכותה גוגל תקפיץ את האתר שלכם למעלה בתוצאות החיפוש.

חשיבות ה-SSL באבטחת אתרי וורדפרס


SSL – Secured Sockets Layer הוא פרוטוקול תקשורת מוצפנת שמאפשר תקשורת מאובטחת בין מחשבים. שימו לב בבקשה שתפקידו של SSL – Secured Sockets Layer הוא לא למנוע חדירה של גורם שלישי ולעצור אותו מלהאזין ל"שיחה" בין שני מחשבים.

כי SSL בא לספק תשובה לשאלה "איך לאפשר לשני מחשבים לדבר ביניהם ולמנוע ממחשב שלישי שכבר מאזין להבין את תוכן השיחה?".

בעשור האחרון ה-SSL הפך בעייני Google לפרמטר בעל חשיבות רבה בנושא קידום אתרים. ה-SSL היה בעיקר סימן היכר לחנויות און-ליין ששידר למבקרים שמדובר בחנות בטוחה להשארת פרטי כרטיס אשראי אחרי ביצוע רכישה מקוונת. היום, כל אתר אינטרנט, מבלוג, אתר תדמית וחנות שופיפיי יכולים להנות מההטבות של תוספת האות S בכתובת האתר.

אתר שפרוטוקול ה-SSL לא מופעל בו נראה כך:

http://mydomain.co.il

לעומת זאת אתר שה-SSL מופעל בו יראה כך:

https://mydomain.co.il

מאחר וזה לא רלוונטי ל-SEO, פחות חשוב להבין איך הפרוטוקול עובד. מה שכן צריך לעניין אתכם הוא ש-SSL חשוב מאוד עבור קידום אתרי אינטרנט ושגוגל מעניקה דירוג גבוה יותר בתוצאות החיפוש לאתרים שפרוטוקול ה-SLL מופעל בהם.

בתחתית תמצאו סרטון שבו אני מסביר על הפעולות שיקפיצו למעלה את הפוסטים שלכם בדירוג של גוגל.

SSL ניתן לרכישה ויש כמה סוגים של SSL שמתאימים לצרכים שונים. עבור אתר תדמיתי, בלוג או אתר שעוסק בשיווק שותפים רישיון SSL פשוט יהיה מספיק בהחלט.

ויש היום חברות לאחסון אתרים שמספקות SSL בחינם ובהפעלה פשוטה ואוטומטית בזמן התקנת ה-WordPress שלכם או אחריה.

קידום אתרי וורדפרס SSL
קידום אתרי וורדפרס SSL

 

בחרו בחברת אחסון איכותית לאבטחת אתרים ברמה גבוהה


חברת האחסון מאפשרת לכם להתקין את האתר שלכם על שרת, ומדובר בעצם במחשב לכל דבר שהוא מהיר מאוד ובעל רוחב פס גדול לאינטרנט. ואין הרבה משמעות לאבטחת האתר ברמת ה-WordPress, כל עוד השרת שעליו הוא יושב פרוץ לחדירות. כ-40% מאתרי הוורדפרס נפרצים בעקבות ליקויי אבטחה בשרתי חברות האחסון.

ולכן לפני הכל, אני ממליץ לכם לברר מול נציגי החברה על שיטות האבטחה שלהם ואיך השיטות פועלות לטובתכם.

תראו…

הטיפ שלי כאן הוא:

תקימו את האתר שלכם (את העסק שלכם) בחברת אחסון רצינית ולא בשירות שמישהו מספק בחינם כי תמיד יש משהו שאתם לא מקבלים כשמציעים לכם משהו בחינם החברה צריכה לקצץ בשירותים כדי שישתלם לה לספק מוצר חינמי.

ואיך הקיצוץ בא לידי ביטוי בדרך כלל?

  • באבטחה חלשה.
  • בשירות לקוחות גרוע.
  • איטיות.
  • מערכת ניהול מסובכת.

הקפידו להתקין את גרסת ה-PHP האחרונה


וורדפרס היא תוכנה שנכתבה בשפת PHP לכן שימוש בגרסה האחרונה שלה יוודא שתתקלו במינימום באגים וחורי אבטחה. מעבר לסתימת פרצות האבטחה הטבה נוספת בהתקנת הגרסה האחרונה של PHP מביאה איתה גם שיפורים בביצועי האתר ומהירות הטעינה בצד הגולשים. עדכון גרסת ה-PHP מבוצע ע"י חברת האחסון לכן צרו אתם קשר כאשר תראו התראה על כך בממשק הניהול בוורדפרס.

וודאו שהוורדפרס והתוספים שהתקנתם מעודכנים


האקרים מחפשים פרצות מכל כיוון אפשרי ולכן, כמו גרסת ה-PHP, עדכנו גם את גרסת הוורדפרס והתוספים שמותקנים באתר. תוספים ותבניות הם אפליקציות שמאפשרות שינוי למראה חדש או הוספת פונקציונליות חדשה לאתרי וורדפרס. בדיוק כמו אפליקציות בטלפונים ניידים. הבעיה עם תוספים היא שאי אפשר לדעת מה היא רמת הפיתוח וה-QA של החברות שפיתחו אותן.

אז מה אני ממליץ לעשות?

  • להתקין תוספים רק ממאגר ההתקנות של וורדפרס.
  • התקינו תוספים שיש להם ביקורות מעולות (הכלל שלי הוא 4 כוכבים ומעלה).
  • התקנת תוספים שמופיע עליהם מספר התקנות רבות.
  • השתדלו להתקין את המספר הקטן האפשרי של תוספים כדי להוריד למינימום את חורי האבטחה וכדי להגיע לביצועים מקסימליים במהירות תגובת האתר.

לאבטחת אתרי וורדפרס השתמשו בשם משתמש ובסיסמא חזקה


כולם מבינים את החשיבות של שימוש בסיסמאות מורכבות אבל זה פשוט לא ייאמן כמה בעלי אתרים משתמשים ב-abcdefgh או 12345678 כסיסמה לאתר שלהם.

שם משתמש וסיסמא
שם משתמש וסיסמא

 

שינוי סיסמא ושם המשתמש הן הפעולות הכי קלות לביצוע, הכי חשובות ועם זאת גם הכי מוזנחות. תבחרו סיסמא חזקה ומורכבת ותשמרו עליה במקום בטוח.

להאקרים יש כלים לפיצוח סיסמאות וככל שתקשו עליהם הסיכוי שיוותרו ויחפשו טרף קל יותר גדל.

שנו את קישור ההתחברות לממשק הניהול של וורדפרס


כדי להתחבר לאזור הניהול של וורדפרס פשוט תוסיפו wp-admin ל-URL של הדומיין שלכם.

לדוגמה:

https://mydomain.co.il/wp-admin

ותלחצו ENTER!

ועכשיו אתם רק במרחק של הקלדת משתמש וסיסמא מכניסה לאזור ממשק הניהול של האתר. ומי שנכנס לאזור הזה, יכול לעשות בו הכול!

עכשיו…

אם אתם האקר אז בטח יש לכם כלים לפיצוח של שם המשתמש והסיסמא ואז לקבל גישה ללב האתר זה רק עניין של זמן.

יש תוספים שמאפשרים להסתיר את קישור ההתחברות ואני משתמש בתוסף הזה:

אני ממליץ לברר ולקרוא על התוסף כדי לוודא שהוא אכן מתאים לצרכים שלכם ושהוא לא יוצר בעיות בקונפיגורציה הנוכחית של האתר.

הגבילו את מספר ניסיונות ההתחברות


אחת השיטות המוכרות לפריצת אתרי וורדפרס היא הפעלת כלים לניחוש הסיסמה וזאת פעולה שנקראת Brute Force Attack.

באופן אישי, אני משתמש בתוסף חומת האש WordFence שמאפשר שליטה על מספר המקסימלי של ניסיונות ההתחברות ועל עוד הרבה הגדרות חשובות.

 

התקינו את חומת האש והגדירו את המספר המקסימלי ל-3 ואחריה הגדירו חסימה לכתובת ה-IP שממנה ניסו להתחבר ל-3 שעות.

גבו את האתר שלכם בתדירות גבוהה


לדבר על אבטחה ולא להזכיר את נושא הגיבוי זה כמו ללמד איך להכין מנה פלאפל ולשכוח לומר לכם שצריך להכניס את הפלאפל לפיתה לפני שאוכלים אותה.

אם יש תחום שאני מכריח את עצמי להיות בו פרנואיד אז זה בגיבויים כי גיבוי יציל את החיים של העסק האינטרנטי שלכם ויש סיכוי שאפילו יותר מזה.

גיבויים
גיבויים

 

הרבה מגבים את האתר רק לפני שינויים ושדרוגים כשבפועל זה הכרחי לקבוע גיבויים אוטומטיים על בסיס יומי גם של קבצי האתר וגם של מסד הנתונים. גיבויים מגדירים בדרך כלל ברמת חברת האחסון ורצוי גם להגדיר גיבוי ברמת התוכנה וזה אומר להתקין תוסף שיעבוד ברמת הוורדפרס.

ואם אתם כמוני, שמעוניינים להיות מכוסים מכל הכיוונים אז יש גם אפשרות לגבות את האתר לאחסון חיצוני וממליץ לעשות זאת.

תוספים מומלצים לגיבוי:

UpdraftPlus – תוסף מעולה שיש לו גם גרסה חינמית. מאוד פופולארי לגיבוי האתר ליעד חיצוני כמו לשרתי אמזון, גוגל דרייב ולדרופבוקס.

 

Duplicator – התוסף הזה מיועד בעיקר להעתקת / העברת אתרים שלמים מאחסון בחברה A לאחסון בחברה B.

מאחר ולצורך ההעתקה ממקום למקום הוא יודע לשמור את תכולת האתר במקום מרוכז אחד אז אפשר גם להשתמש בו לצורך הפעלת גיבויים יזומים.

 

עוד תוסף שפועל באותו האופן הוא All-in-One WP Migration ואפשר להתקין אותו כמו את השאר מתוך ממשק הניהול דרך מאגר התוספים של וורדפרס.

אמנם בחלק הזה אני מסביר על גיבויים אבל בתהליך הזה יש פעולה אפילו יותר חשובה מהגיבוי עצמו וזה…

שחזור מגיבוי


אני יודע על מיקרים שאנשים בצעו גיבויים בצורה מסודרת וברגע האמת התברר שתהליך הגיבוי לא היה תקין והקבצים שהגיבוי הפיק היו חסרי תועלת. לכן חשוב לוודא אחת לכמה זמן שהגיבוי תקין ולשחזר את הגיבוי לתוך אתר בסביבת ניסיון. לדוגמא להשתמש ב-XAMPP להתקנת וורדפרס מקומי על המחשב בבית ולשחזר את הגיבוי אליו.

המטרה של פעולת הגיבוי היא לעזור לכם להתמודד בעיקר עם תקלות שמצריכות שיחזור מלא כדי להחזיר את האתר שלכם לחיים וזה אחרי שנדבק מווירוס, נפרץ, נמחק בטעות וכדומה.

לסיכום אבטחת אתרי וורדפרס


אבטחת אתרי וורדפרס הוא נושא שצריך לפנות לו זמן וזה קרב שאין לו סוף כי הפורצים משכללים את ההתקפות שלהם כל הזמן וחברות האבטחה מפתחות הגנות טובות יותר.

אני לא חושב שצריך להשתגע בעניין אבטחת אתרים (חוץ מגיבויים כמובן) כי באמת יש אין סוף פעולות שמכניסות אתכם אל הקרביים של וורדפרס. ממש עד לרמת הקוד.

אבל בשביל ההתחלה הטיפים שהסברתי עליהם כאן שאותם אני מיישם בעצמי על האתרים שלי לדעתי יכסו בין 80-90 אחוז מהצרכים שלכם בעניין אבטחת אתר הוורדפרס.

צפו בסרטון שבו אני מלמד על הפרמטרים החשובים ביותר לגוגל בפוסטים שלכם.


 

הגעת עד לסוף המאמר ואני רוצה לומר לך תודה רבה…

אני מעריך אותך ואת הזמן שלך ומקווה שמצאת כאן את מה שחיפשת.

לא לדאוג, אני לא מלקק סתם כי תיכף תבוא הבקשה… 🙂

אני משתדל לכתוב כאן על נושאים ותחומים שמעניינים אותי ומקווה שגם אותך וכדי שאוכל להשתפר עוד יותר ולהציג תוכן עדכני ואיכותי, יעזור לכולם לדעת…

  • איך התרשמת מהמאמר?
  • איך לדעתך ניתן לשפר את התוכן?
  • האם לדעתך חסר כאן מידע עדכני?
  • איזה מידע יש בידך שחשוב לך שאוסיף אותו?

זאת אינפורמציה שתועיל משמעותית לבלוג ולקוראים שלו.

עכשיו,

כמובן שזאת לא חובה…

ואשמח מאוד אם מתאפשר לך, להשאיר טקסט קצר שמסביר את דעתך על הפוסט.

ובמידה ואהבת, כל עזרה בהפצת המידע תתקבל בברכה.

שוב תודה רבה ומקווה שהיה מועיל.

נתראה בערוץ היוטיוב.

מני.

כתיבת תגובה