כמו בכל פעם שיש מתיחות בטחונית, גם במלחמה הנוכחית שהתחילה בשבת השחורה ב-7.10.23 מתפתחת חזית נוסת – חזית הסייבר במסגרתה בעלי עסקים חווים עליה בנסיונות פריצה לחשבונות סושיאל ואתרי אינטרנט ישראלים.
לכן חשוב לנקוט דווקא עכשיו באמצעים לאבטחת אתר הוורדפרס שלכם. אתר שאינו מאובטח כראוי עלול להפוך למטרה פגיעה עבור גורמים עוינים.
מה ניתן לעשות כדי להדק את האבטחה של אתר הוורדפרס שלנו? הנה כמה המלצות נכונות תמיד, ובמיוחד בתקופה הזו.
בעמוד הזה נדבר על:
חזקו את הסיסמאות להגנה מפני גישה בלתי מורשית
- החליפו את הסיסמאות של כל מי שיש לו הרשאה חזקה באתר, כולל מנהלי אתר, כותבים, עורכים וכד' (לוח בקרה>>משתמשים>>עריכת משתמש)
- כדי לעודד את אנשי הצוות להחליף סיסמה , תוכלו לשלוח להם מייל עם קישור לאיפוס סיסמה. לצורך העניין יש להניח את חץ העכבר מעל המשתמש ולבחור באופציה "שליחת מייל איפוס")
- ניתן לכפות על המשתמשים להשתמש בסיסמאות חזקות בעזרת תוסף, כמו IthemSecurity או Password Policy Manager
שמרו על עדכון שוטף של גרסאות תוספים ותבניות עיצוב
- בלוח הבקרה רחפו עם העכבר מעלה המילה ראשי כדי למצוא את תפריט "שדרוגים".
- ודאו שגרסת הוורדפרס של האתר מעודכן, שכל התוספים מעודכנים ושתבניות העיצוב מעודכנות.
- מומלץ למחוק תוספים ותבניות עיצוב שאינן בשימוש – כל תוסף או תבנית כאלו יכולים להוות פרצת אבטחה. לרוב מומלץ שבאתר תהיה תבנית אחת ראשית, תבנית בת (התבנית הפעילה), והתבנית הבסיסית האחרונה של וורדפרס (לרוב שם השנה במילים, לדוגמה:Twenty Twenty Three).
- מומלץ להגדיר לתוספים להתעדכן באופן אוטומטי, פרט לתוספים שאחראים על כל ליבת האתר, כמו אלמנטור, אותם אני לרוב ממליץ לעדכן לעיתים תכופות באופן ידני.
סקרו בקפידה את רשימת המשתמשים והסירו גורמים בלתי מורשים
יש אתרים שמאפשרים לאורחים להירשם לאתר, כמו אתרי קניות, אתרי מנויים וכד'. אם האתר שלכם לא מאפשר לגולשים להירשם (למשל, אתרי תדמית), שימו לב לנקודות הבאות:
- עברו על רשימת המשתמשים שלכם כדי לוודא שאת מזהים כל אחד ואחד מהם.
- משתמשים לא רלוונטים כמו עובדים לשעבר – יש למחוק.
- משתמשים שאתם חושדים שנוצרו בעקבות פריצה לאתר יש למחוק, וכדאי לנסות איך ומותי נרשמו כדי לסגור את פרצת האבטחה.
- בטלו את האפשרות להירשם לאתר בבלוח הבקרה>>הגדרות.
אם האתר שלכם כן אמור לאפשר לאורחים להירשם, יש לוודא שהרשאת ברירת המחדש עבורם הוא המינימלית הנדרשת.
הטמיעו כלים להגנה בפני ספאם
ספאם יכול להיות לא רק טורדני, אלא גם סכנת אבטחה ממשית, בעיקר באמצעות קישורים זדוניים, נסיונות פישינג ועוד. ההמלצות שלי להגנה מפני ספאם:
- הטמיעו ReCaptcha כלי חינמי של גוגל (ליתר דיוק: חינמי עד גבול מסויים). ההטמעה לא לגמרי טריוויאלית, אבל דורשת הבנה מסויימת.
- התקינו תוסף מספיק Maspik – תוסף שפותח על ידי מפתח ישראלי ויכול לעזור המון, אפילו בגרסתו החינמית. שימו לב כשאתם מטפלים בהגדרות של התוסף, כי מאוד בקלות אתם עלולים לגרום לו להיות נוקשה מדי ולסנן גם משתמשים כשרים.
התקינו תוספי אבטחה
מומלץ להתקין את אחד משני תוספי האבטחה הבאים:
- תוסף Wordfence – תוסף אבטחה עם המון אפשרויות שעושה עבודה לא רעה גם בגרסתו החינמית.
- תוסף iThemes Security או בשמו החדש Solid Security
הקפידו על גיבויים תדירים במספר ערוצים
- יש לוודא שיש לכם גיבוי יומי דרך חברת האחסון שלכם. כדאי שאותו גיבוי יאפשר לכם להחזיר את האתר שלכם בזמן גם חודש אחורה. הסיבה היא שלא כל פריצה מתגלה מיד.
- גיבוי מרוחק – מעבר לגיבוי בחברת האחסון שלכם, חשוב שיהיה לכם גם גיבוי שאינו תלוי בחברת האחסון. אתם יכולים להוריד גיבוי למחשב שלכם או להעלות אותו לשירות ענן חימוני. הרעיון הוא שגם אם חברת האחסון שלכם נעלמת מחר בבוקר, האתר שלכם יוכל לחזור לאוויר במהירות.
שימוש ב-Cloudflare
זו המלצה שדורשת הבנה טכנית מסויימת, אבל מומלץ להשתמש בשירות Cloudflare, אפילו בגרסתו החינמית. מעבר להשפעה החיובית של השירות על מהירות האתר, היא יכולה לספק הגנה מסויימת על השרתים שלכם.
סיכום: להגן על אתר הוורדפרס שלכם בעת מלחמה
על אף המצב הביטחוני המאתגר, בהחלט ניתן לנקוט בצעדי מנע וזהירות כדי להגן על אתרי האינטרנט של העסקים שלנו. על ידי יישום העצות שפירטנו כאן לשדרוג סיסמאות, עדכון גרסאות, סינון משתמשים, חסימה יעילה של ספאם ועוד – תוכלו להבטיח המשך פעילות עסקית תקינה ובטוחה גם בתקופה מאתגרת זו.
חלק מהטיפים שמופיעים כאן קלים להטמעה ואחרים דורשים הבנה טכנית גבוהה יותר. אבל ככל שתקשיחו את האתר והשרתים שלכם בצורה טובה יותר, תוכלו לצמצם את היכולת של גורמים עוינים לפגוע בכם, וככל שתיערכו בצורה טובה יותר למשבר סייבר, תוכלו לחזור לאוויר בצורה מהירה יותר.
אל תדחו את חיזוק אבטחת האתר שלכם – הקשיחו את האתר עכשיו!
אנו כאן בשבילכם בכל שאלה נוספת.