תוסף אבטחה לוורדפרס iThemes Security • מדריך

21-10-14-blog

אין ספק כי וורדפרס הינה המערכת הפופולרית ביותר בעולם לניהול תוכן (CMS). אך יחד עם הפופולריות הרבה מגיעים גם נסיונות פריצה רבים יותר על ידי בוטים שונים ולכן כל פרצת אבטחה באתר יכולה לגרום לנזק למליוני אתרים ברחבי העולם.

משתמשי וורדפרס מתחילים שאינם מכירים היטב את המערכת יכולים לגרום לאתרים שלהם להיות פגיעים במיוחד לפריצות של האקרים. לכן ראשית כל, חשוב מאוד לעדכן את גרסאות המערכת והתוספים בכל פעם שיוצאת גרסה חדשה.

במדריך הזה אנחנו נסביר איך באמצעות מספר התאמות נדרשות, תהפכו את האתר שלכם למאובטח הרבה יותר באמצעות סקירה מקיפה על תוסף האבטחה הפופולרי iThemes Security (שבעבר נקרא Better WP Security), המאפשר לכם להגדיר עשרות אפשרויות שונות שיגרמו לאתר שלכם להיות מאובטח הרבה יותר, וחסין במיוחד בפני נסיונות הפריצה.

שימו לב, התוסף אינו מתורגם לעברית ויש בו כמה בעיות RTL קטנות שמפריעות לחוויית השימוש, איך אינן פוגעות בתפעול השוטף שלו. כמובן שידע מינימאלי באנגלית יעזור לכם משמעותית בתפעול התוסף, במדריך הזה אני אשתדל להסביר בשפה פשוטה ככל הניתן על האפשרויות הקיימות בו.

הערה חשובה: היות ובקינפוג לא נכון של התוסף ניתן לגרום לנזק בלתי הפיך לאתר, חשוב מאוד לעשות גיבוי לכל קבצי האתר כולל הדטאבייס לפני השימוש בתוסף, ובמידה ואין לכם את הידע הנדרש, רצוי מאוד לקחת איש מקצוע שיעשה זאת עבורכם.

התקנת iThemes Security

ההתקנה של התוסף iThemes Security הינה פשוטה בדיוק כמו כל התקנה של תוסף וורדפרס אחר. בלוח הבקרה של המערכת יש לעבור אל הוספת תוסף חדש > חפשו iThemes Security > התוסף צריך להופיע תחת הכותרת: iThemes Security (formerly Better WP Security)

install plugin

לחצו על התקנה והפעילו את התוסף. לאחר מכן יופיע לכם בחלק העליון של הדף 2 הודעות:

Alerts
1. Get Free API Key – זו תכונה חדשה שנוספה לתוסף לאחרונה, תכונה זו מאפשרת לכם לקבל KEY עבור האתר שלכם, וככה תוכלו לקבל עדכונים על כתובות IP בעייתיות שאתרים אחרים חסמו אותם כדי שגם באתר שלכם אותן כתובות יהיו חסומות.
2. Secure Your Site Now – תעביר אתכם לעמוד ההגדרות הראשי של התוסף

לאחר שתגיעו לעמוד ההגדרות של התוסף, תקבל את פניכם חלונית ובה 4 אפשרויות ראשוניות לאבטחת האתר:

modal

Back up your site

דבר ראשון הכי חשוב לעשות גיבוי של הדטא בייס שלכם לפני כל פעולה בתוסף. ככה תוכלו תמיד להחזיר מגיבוי במידה ואחת מההגדרות יצרה בעיה כלשהי באתר. לחיצה על הכפתור תוביל אתכם לאזור הגדרות הגיבוי, שם תוכלו לגבות את האתר למייל או לתיקיה בשרת.

Allow File Updates

חלק ניכר מהתכונות של התוסף צריכות הרשאה לערוך את הקבצים הבאים: wp-config.php / .htaccess לחיצה על הכפתור הזה תאפשר לתוסף להחיל את הגדרות האבטחה שלו.

Secure Your Site

תאפשר להגדיר את כל ההגדרות ברירות המחדל שלא גורמות להתנגשות עם ערכות עיצוב או תוספים אחרים באתר בקליק אחד.

Help Us Improve

תאשר לתוסף לשלוח מידע אנונימי אודות האתר שלכם ליוצרי התוסף ובכך לשפר את התוסף יותר ויותר. אם אתם קצת חוששים לאשר את זה, אז אתם לא ממש חייבים.

Dashboard

sashboard

בלוח הבקרה הראשי של התוסף תופיע רשימה ארוכה של אפשרויות אבטחה מחולקות לפי רמת החשיבות שלהן:
High – עדיפות גבוהה
Medium – עדיפות בינונית
Low – עדיפות נמוכה
Complated – ההגדרות שכבר הושלמו

ליד כל אחת מהמשימות ישנו כפתור Fix it שישלח אתכם ישירות לאזור ההגדרות של אותה תכונה.

הגדרות

Global Setting

אזור זה מאפשר לכם לאפשר הגדרות גלובליות שונות במערכת, לשלוח הודעות אבטחה וגיבוי קבצים באמצעות האימייל, לנעול את לוח הבקרה למשתמשים שונים, להגדיר את ההודעות השונות.

404

מאפשר להגדיר כי משתמשים שמקבלים שגיאה 404 יותר מכמה פעמים יחסמו אוטומטית מלהגיע אל לוח הבקרה. בדרך כלל זה מגיע מרובוטים שסורקים את האתר כדי למצוא פה פרצות אבטחה שונות.

Away Mode

מאפשר להגדיר זמנים מסויימים בהם לוח הבקרה יהיה נעול תמידית. לדוגמא, אם אתם יודעים שבשישבת אתם לא עובדים על האתר, אתם פשוט יכולים לחסום את הגישה אל לוח הבקרה ובכך לחסוך אפשרויות פריצה בזמנים אלו. כמובן שניתן לתזמן לפי תאריכים ושעות.

Banned Users

מאפשר לך לחסום בוטים ומשתמשים ספציפיים לאתר שלך על פי כתובת IP שלהם. בתור התחלה ניתן לסמן את האופציה לחסום את רשימת הבוטים של HackRepair.com.

Brute Force Protection

הגבלת נסיונות התחברות ללוח הבקרה. זו אחת ההגדרות החשובות ביותר בתוסף. שימו לב שבאזור זה ניתן גם לקבל את הקוד API של התוסף שיחסום לכם אוטומטית את כל הכתובות IP שמשתמשים אחרים בתוסף חסמו. שימו לב שבחירה במצב זה אוטומטית חוסמת את כל הניסיונות התחברות עם המשתמשים admin. אז לפני שאתם מסמנים את זה, אל תשכחו להחליף את השם משתמש שלכם בלשונית Advenced (תיעוד מפורט לקמן).

Database backup

אחת האופציות הטובות להיות רגועים בקשר לאבטחת האתר שלכם, זה גיבוי של כל מסד הנתונים שלכם. באזור זה תוכלו להגדיר את אפשרויות הגיבוי של מסד הנתונים לאימייל או לשרת שלכם.

File Change Detection

גם כל החסימות הכי מתקדמות לא באמת יכולות למנוע ב 100% פריצה לאתר שלכם, לכן באזור זה תוכלו להגדיר התראות שונות עם מידע מדוייק אילו קבצים נערכו במערכת. מידע זה יעזור לכם להבין היכן בדיוק הוכנס קוד זדוני במערכת.

Hide Login Area

אחת מהחסרונות במערכת פופולרית כמו וורדפרס שכל המשתמשים יודעים את הקישורים הישירים לאזור ההתחברות באתר, מה שמאפשר להם לתקוף אתה אתר שלכם בקלות יתרה באמצעות בוטים שונים. באזור זה תוכלו להחליף את הקישורים לעמוד ההתחברות באתר. במקום wp-login תוכלו להחליף למשל ל site-login או כל צירוף הגיוני אחר, אך שאינו קל מידי.

Malware Scanning

פה תוכלו להגדיר סריקה של האתר שלכם למציאת תוכנות זדוניות. תצטרכו להכניס פה API של האתר VirusTotal.com.

Secure Socket layers – SSL

במידה ויש לכם תעודת SSL על הדומיין שלכם, תוכלו להגדיר פה שתעודת האבטחה תחול גם על לוח הבקרה של האתר. שימו לב: אם אין לכם SSL שמותקן בשרת אל תסמנו אפשרות זו.

Strong Passwords

אחד מהיסודות של אבטחת מידע זו סיסמה חזקה. סימון אפשרות זו תכריח את כל המשתמשים של האתר לבחור סיסמה חזקה. כמובן שתוכלו להחליט האם זה יחול על כל המשתמשים או רק על מנהלי האתר.

System Tweaks

באזור תוכלו לסמן מספר הגדרות שונות במערכת שלכם כדי ליצור שכבת אבטחה נוספת לאתר שלכם. חלק מההגדרות פה יכולות לגרום לשיבוש באתר ולהתנגשות עם תוספים וערכות עיצוב שונות, לכן צריך פשוט לדעת מה כל סעיף עושה במדוייק ולבדוק שאין בעיות. למשל סימון הסעיף Filter Non-English Characters יגרום בעיות באתרים בעברית (או בכל שפה אחרת מאנגלית).

WordPress Tweaks

כאן תוכלו לסמן מספר אפשרויות מובנות בוורדפרס כדי להקשות על פירצות פוטנציאליות לאתר שלכם.

Advenced

בלשונית זו יש מספר אפשרויות שחשוב ליצור גיבוי של מסד הנתונים לפני שאתם עושים אותם, היות והגדרות אלו לא יבוטלו גם אם תסירו את התוסף הזה. אז אם עדיין לא עשיתם גיבוי למסד נתונים שלכם עד עכשיו, זה הזמן.

Admin User

אפשרות זו תשנה את שם המשתמש admin אם קיים כזה משתמש במערכת. לאחר מכן תוכלו גם לשנות את ה ID של המשתמש 1 במערכת. ובכך למנוע התקפות על המערכת עם המידע הזה.

Change Content Directory

כברירת מחדל, וורדפרס מכניסה את כל התוכן של האתר (תמונות, תוספים, ערכות עיצוב ועוד) בתיקיה בשם wp-content, מה שעושה את החיים קלים עבור בוטים שונים. שימו לב ששינוי השם של התיקיה wp-content עשויה לשבור תוספים וערכות עיצוב שמשתמשות בנתיב הזה לאפשרויות שלהם. בנוסף זה יכול לשבור לכם את הקישורים באתר שבהם מופיע הנתיב הישן, לכן רק אם יש לכם ידע במסדי נתונים לשתמשו באפשרות הזאת.

Change Table Prefix

כברירת מחדל, וורדפרס נותנת את הקידומת wp לכל הטבלאות במסד הנתונים שלך. זה אומר שתוקפים שונים יכולים לנצל זאת לכתיבת סקריפטים זדוניים שונים שימצאו פרצות אבטחה באתרים כאלה. שינוי הקידומת wp עושה את זה קשה יותר עבור כלים שמנסים לנצל את נקודות התורפה באתר שלך.

Backup

בלשונית זו תוכלו ליצור גיבוי מהיר למסד הנתונים שלכם ותמצאו פה מידע נוסף בנושא, וכמובן קידום מכירות לתוסף הפרימיום BackupBuddy שמאפשר ליצור גיבויים מתקדמים עבור שאר הקבצים באתר.

Logs

לשונית זו משמשת כיומן שינויים של התוסף. במידה ונחסמו משתמשים או שקרה משהו באתר שלכם שקשור לתוסף ההאבטחה, תוכלו לראות בלשונית זו את הדברים.

לסיכום

נושא אבטחה הינו מורכב ותוסף זה מאפשר לנו לקבל קצת מושגים על אספקטים שונים בנושא ואיך ניתן ליצור שכבת אבטחה על האתר שלכם. אך יחד עם כל היתרונות שהתוסף מוסיף לאתר שלכם, עדיין הוא מצריך ידע ושיקול דעת בהפעלת האפשרויות שבו. ולכן במקרים רבים שאתם נתקלים בבעיות כלליות באתר, תבדקו האם ביטול אחת מהאפשרויות של התוסף הזה גורם לאתה בעיה. יש מספר הגדרות שיכולות ליצור התנגשויות מסויימות עם תוספים וערכות עיצוב, אז פשוט תסמנו רק מה שאתם בטוחים שלא יגרום בעיות.

עד כאן הסקירה המקיפה של התוסף iThemes Security שלדעתנו נחשב כיום למוביל בתחומו. אנו מקווים שהמדריך הזה עזר לכם לקחת את אבטחת האתר שלכם צעד אחד קדימה.

מדריך זה שייך לסדרת המדריכים שלנו לתוספים פופולריים במיוחד של וורדפרס, תוכלו לקרוא עוד:

2 תגובות

  1. צחי הגב

    הורדתי את התוסף ובטעות סימנתי את האפשרות של ה-SSL ועכשיו אני לא מצליח להיכנס לניהול של האתר, הדפדפן כותב לי: "יש בעיה באישור האבטחה של אתר אינטרנט זה" ואז מוביל אותי לדף 404 ירוק ואני לא יודע כיצד להתחבר לאתר שלי כדי למחוק את iThemes Security.

    אני מיואש, עבדתי על האתר הזה במשך שבועות והכל הלך 🙁

    • Ariel Klikstein הגב

      שום דבר לא הלך.

      פשוט כנס אל ה FTP שלך ותפתח בעורך קוד (או טקסט) את הקובץ wp-config ותמחוק את שתי השורות הבאות:
      define('FORCE_SSL_LOGIN', true);
      define('FORCE_SSL_ADMIN', true);

      וזה אמור להסתדר לך

השארת תגובה