אבטחת וורדפרס

אבטחת וורדפרס, לפני מס' שנים, רק האקרים בעלי ידע גבוהה במערכות, רשתות וקוד יכלו לפרוץ לאתרים ולהוריד אותם למטה.

בזמן האחרון, דברים השתנו וכיום כל אחד יכול למצוא מדריכים באינטרנט כיצד מסבירים צעד אחר צעד כיצד למצוא חורי אבטחה למערכות מוכנות נפוצות ולפרוץ לאתרים.

אנו ב MyHost לוקחים את האבטחה ברצינות, והכנסו מס' חוקים לחומת האש שלנו שיכולה לעזור למגר את הבעיה. עם זאת, אנו לא יכולים להגן על כל חור אבטחה וכל קובץ שלקוחות מפעילים על האתרים שלהם. לכן אין דרך בטוחה ב - 100% להגן על אתר האינטרנט שלך מפני ניצול של חורי אבטחה של המערכת, קבצי עיצוב, תוספים ועוד רבים אחרים.

המדריך הזה מתמקד באחת מהמערכות המוכנות הנפוצות ביותר בעולם ובשימוש אצל לקוחותינו.

אנו כמובן מדברים על המערכת של וורדפרס. אנו נספק מס' עצות והצעות שיעזרו לך בעל האתר להוסיף מס' שכבות אבטחה נוספות לאתר הוורדפרס שבבעלותך.

נקודות חשובות

• תמיד שמור על ההתקנה של וורדפרס מעודכנת, כולל (באופן מכריע!) כל התוספים שהתקנת
• צור משתמש מנהל חדש עם שם משתמש מותאם אישית, ולאחר מכן מחק את משתמש ברירת המחדל של 'admin', שכן התקפות רבות ימקדו שמות משתמש רגילים
• שנה את סיסמת חשבון הניהול שלך באופן קבוע
• להתקין רק תוספים נבדקים היטב על ידי הקהילה וורדפרס, והם מפותחים באופן פעיל
• בעת התקנת WordPress, שנה את קידומת ברירת המחדל של מסד הנתונים. כל התקנות וורדפרס ברירת המחדל להשתמש קידומת מסד הנתונים של "wp_" מה שהופך את העבודה של כל האקר להרבה יותר קלה. 

אבטחת אתר וורדפרס

להלן רשימה של שינויים או התאמות המומלצים לביצוע באתרי הוורדפרס שלך. קראו אותו בקפידה ואם יש לכם שאלות, אתם מוזמנים ליצור קשר עם צוות התמיכה שלנו באמצעות כרטיס תמיכה לפני שתמשיכו.

1) הגדרת התוסף - IThemes Security  - IThemes Security הוא תוסף פנטסטי עבור אתרי וורדפרס כי יהיה להגדיל באופן משמעותי את האבטחה של האתר וורדפרס שלך. זה התוסף המומלץ שלנו עבור כל אתר וורדפרס - עם IThemes Security מותקן ומוגדר כראוי, יפחית משמעותית את הסיכוי שהאתר שלך יפרץ.

2) למנוע גישה ל - wp-login.php

3) הסתר את הגירסה של הוורדפרס שלך. הסתרת הגירסה של WordPress מקשה על הרובוטים לאסוף מידע על האתר שלך, על מנת לזהות אם אתה מפעיל גרסה ישנה ופגיעה. תוכל להשתמש בפלאגין הבא כדי לעשות זאת עבורך:
Hide Wordpress Version.

4) גישה מאובטחת לתיקייה wp-includes. זה משמש לעתים קרובות על ידי האקרים להציב קבצים זדוניים כאשר הם מוצאים אתר פגיע. הוסף את השורות הבאות לקובץ .htaccess בספריית ההתקנה של אתר הוורדפרס שלך:

# Block include-only files.

RewriteEngine On

RewriteRule ^wp-admin/includes/ - [F,L]

RewriteRule !^wp-includes/ - [S=3]

RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]

RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]

RewriteRule ^wp-includes/theme-compat/ - [F,L]

# End block include-only files

5) למנוע מרובוטים של מנוע החיפוש לסרוק את התיקיות שלך. גוגל ומנועי חיפושים אחרים יכולים לסרוק כתובות אתרים לא רצויות ולחשוף אותם להאקרים. מומלץ למנוע מגוגל בוט וכל רובוט אחר שעוקבים אחר הrobot.txt, שים לב לא כל הרובוטים מתייחסים לקובץ הזה. מלהוסיף לאינדקס חיפוש משהו מלבד התוכן של האתר שלך. צור קובץ robot.txt בתיקייה הראשית של אתר הוורדפרס שלך ולהוסיף את החוקים הבאים לקובץ של הרובוט:

User-agent: *

Crawl-delay: 10

Disallow: /feed/

Disallow: /trackback/

Disallow: /wp-admin/

Disallow: /wp-content/

Disallow: /wp-includes/

Disallow: /xmlrpc.php

Disallow: /wp-*

אמצעי זהירות נוספים

אנו ממליצים שתשקול להתקין את התוסף הבא בהתקנה של אתר הוורדפרס שלך כדי להוסיף שכבה נוספת של אבטחה. 

Wordpress Hide Login - שינוי שם דף הכניסה של וורדפרס כדי למנוע מרובוטים ותוקפים מלהיות מסוגלים לבצע התקפות ברוט פורס נגד האתר שלך.

שווה לקרוא