התחלתם לכתוב בוורדפרס לא מזמן, ואתם מרוצים מאוד. צברתם עם הזמן פוסטים מעניינים יותר ומעניינים פחות, והיום הטקסטים האלו הם מעין נכס אישי קטן. אז אתים מקפידים ומגבים; במקרה ואתם פחות לחצים, אתם מגבים פעם בחודש, במידה ואתם מהמהדרין פעם בשבוע או אפילו מדי יום.

אבל, ומדובר על אבל חשוב - גיבוי אינו אמצעי מניעה, אלא אמצעי לתיקון נזק שנעשה. נזק כזה יכול להיות פעוט או חמור מאוד, ויכול להשתנות ברמת החשיבות והדחיפות שלו.
כדאי להיות חכם ולנסות להקדים תרופה למכה, ולוודא שהבלוג מוגן היטב, ולא להתעסק רק בגיבוי עצמו.

אבטחת בלוג וורדפרס צריכה להתרחש במקביל במספר מישורים והיא היא תלויה במס‘ גורמים: אתה והמחשב שלך הוא גורם ראשון, חברת האחסון אצלה אתה מתארח והשרתים שלה הם גורם שני, הבלוג שלך ומרכיביו (בעיקר תוספים) הם גורם שלישי.

נתחיל לפרט איפה דברים יכולים להשתבש וכיצד לנסות למנוע אותם.

את המאמר כתבתי בעזרת הרבה מאוד קווים מנחים מהמאמר הרשמי של וורדפרס מתוך הקודקס, Hardening Wordpress. לקריאה מורחבת ונקודות מבט נוספות קיראו גם שם.

פרצות אבטחה במחשב האישי שלך

מרבית העבודה בבלוג נעשית על המחשב האישי שלי,ולרוב כוללת שליחת סיסמאות האדמין. חשוב לוודא, אם עדיין לא דאגתם לכך, שתוכנות ההגנהשלכם מעודכנות: תוכנת הפיירוול, תוכנות האנטיוירוס ושאר התוכנות בהן אתם משתמשים כדי להיפטר מתוכנות ריגול ו-וירוסים.

איום נוסף, והרלוונטי ביותרהם Keyloggers, אותן תוכנות העוקבות אחרי המקשים עליהם אתה לוחץ בעת כתיבת סיסמאות (ולא רק של הבלוג - גם לחשבון האימייל, חשבון ה-PayPal וכל דבר אחר).

פרצות אבטחה בהתקנת הוורדפרס שלך

אמנם צוות המתכנתים שמפיץ את וורדפרס דואג לשחרר את הגירסאות השונות עם תיקוני אבטחה רבים ולאחר בדיקות ע“י משתמשים רבים, אך זה אף פעםלא מבטיח ב-100% שוורדפרס נטולת פרצות אבטחה.

הדרך הטובה ביותר להגן על וורדפרס מהבחינה הזו, היאלעדכן את וורדפרסלגירסה המעודכנת ביותר. כיום היא וורדפרס 2.0.5, שלצורך הדוגמה מביאה איתה מעל 50 תיקוני באגים, מרביתם תיקוני אבטחה.

פרצות אבטחה בשרת

וורדפרס רצה עלשרת כלשהו, הנתונים של הבלוג שמורים במסד נתונים מסוג MySql והשפה שמריצה את המערכת היא PHP. לכל אחד מאלו (מחשב, MySql, PHP) יש חולשות ופרצות אבטחה ולכן חשוב לוודא שגם הם מעודכנים לגירסאות האחרונות ביותר. מהבחינה הזו, כדאי לבחור חברת אחסון מוכרת ומקצועית שמכירה בחשיבות העדכונים השונים.

מעבר לכך, מרביתנו מארחים את הבלוג אצל חברות אחסון המציעות Shared Hosting; משמעות הדבר, שעל אותו השרת עליו שמורים הקבצים שלך, אחרים מנהלים את הבלוגים והאתרים שלהם. פרצה שנוצרה בעקבות טעות שלמישהו אחר על אותו השרת יכולה להפוך גם את האתרים שלך לקורבנות. מקרה כזה קרה במאי לפרדוקס, אגב.

נקודת חולשה נוספת היא סקריפטים וקבצים אחרים שיוצרים פרצות למרות שוורדפרס מעודכנת ובטוחה יחסית. בעבר, לפני שידעתי שניתן ליצור שרת מקומי על המחשב הביתי שלי לצורך נסיונות, הייתי מתקינה כל מיני מערכות לצורך על השרת עצמוכמו PHPbb, מערכות בלוגינג אחרות וכו‘, ואז שוכחת מהן. עם הזמן הם נהפכו למיושנות והיוו פירצה שקראה מאוד לגנבים, שהצליחו לפרוץ בגלל חוסר תשומת הלב שלי.
השתדלו להיפטר גם מתוספים לוורדפרס (פעילים ולא פעילים)שאינכם משתמשים בהם; ייתכן שעם הזמן לא תעדכנו אותם, והם יהפכו לנקודת החולשה בבלוג.

סיסמאות

אם הבלוג שלך חשוב לך, דאג לאבטח אותו בסיסמה חזקה. אני בטוחה שכולכם יודעים שמומלץ מאוד לא לכתוב סיסמאות במקומות שונים, אך הנה מספר עקרונות לשימוש נכון בסיסמא:

1. אל תשתמשו באותה הסיסמה במס‘ מקומות; לדוגמה, השתדלו ליצור סיסמאות שונות עבור לוח הבקרה של האתר שלכם, אחרת עבור מסד הנתונים ואחת אחרת לגמרי עבור האדמיניסטרציה של וורדפרס.

2. השתדלו שהסיסמה תהיה ארוכה ומורכבת; בעלת6 תווים לפחות, ומורכבת מעירוב של מספרים, אותיות וסימנים (כמו סימני קריאה, כוכביות או שטרודלים). נסו להעזר במייצר הסיסמאות לייצור סיסמה חזקה.

הרשאות קבצים

הרשאות הקבצים הם הנושא הרגיש ביותר במקרה הזה. כדאי מאוד להבין את המשמעויות של הרשאות וניהולן ב-FTP, אך הרעיון הכללי הוא שמומלץ תמיד לתת מינימום הרשאות כתיבה על קבצים ככל הניתן, ולאפשר אותן רק במקרה בו זה נחות באמת.

לצורך הדוגמה, בוורדפרס קיים תוסף גיבוי אוטומטי (וורדפרס מגבה לבד) הדורש הרשאות כתיבה מלאות על תיקייה מסויימת. יש להקפיד שהרשאות הכתיבה הן אכן אך ורק על התיקיה הזו ולא על התיקייה שמעל, כמוwp-contentאו wp-plugins.

בקודקס של וורדפרס מציעים מבנה מומלץ של הרשאות בהתקנת הוורדפרס שלכם, קראו על כך ב-Hardening Wordpress תחת הכותרת File Permissions.

הגנו על הידוע מראש

כברירת מחדל ובמרבית תבניות העיצוב, מס‘ הגירסה של התקנת הוורדפרס שלך מוצגת לראווה. הצגת הגירסה יכולה להקל מאוד על בעלי כוונות רעות להתמקד על כשלי אבטחה ידועים עבור אותה גירסה ולבצע את זממם בקלות רבה יותר.מומלץ להסיראת הקוד המציג את הגירסה בתבנית בה אתם משתמשים.

כברירת מחדל, חשבון הניהול של וורדפרסנקרא admin. את הסיסמה אמנם משנים, אך זו נקודת התחלה לא רעה עבור מי שינסה לפרוץ. שם משתמש ידוע, בשילוב העובדה שלא דאגתם לבחור סיסמה קשה לניחוש, משאירה את הבלוגפרוץ לעולם.
בקודקס של וורדפרס מציעים, למי שלא מפחד מ-MySql, לשנות את שם המשתמש (user login) מ-admin לשם אחר.

הפרנואידים בינכם יכולים להגן בסיסמה נוספתעל ספריית wp-admin. לדוגמה, כך עושים זאת ב-Cpanel.

לסיכום

אם זה חשוב לכם, השקיעו את הזמן בבדיקת ותיקון נקודות החולשה שלכם. זכרו שבמקביל, כדאי להקפיד גם על גיבוי קבוע של וורדפרס (המלצתי בעבר על פלאגין שווה) לתיקון המצב אם משהו אכן משתבש.

הערות, תיקונים ותוספות יתקבלו בשמחה, ואז יעברו ביחד עם הקטע הזה לוויקיוורדפרס.