אבטחת וורדפרס היא לא מוצר שמתקינים פעם אחת ושוכחים, אלא תהליך מתמשך. הרוב המוחלט של הפריצות שאנחנו רואים אינן תוצאה של "האקר שבחר דווקא בך", אלא של בוט אוטומטי שסורק מיליוני אתרים ומחפש את אותן חולשות מוכרות. המאמר הזה הוא נקודת המוצא: הוא מסביר איך אתרי וורדפרס נפרצים, אילו הגנות באמת מזיזות את המחט, ומה לעשות אם כבר נפרצתם. מכאן תוכלו להמשיך למדריכים הספציפיים לכל נושא.
למה וורדפרס הוא יעד כל כך פופולרי
וורדפרס מפעיל חלק עצום מהאתרים בעולם, וזו בדיוק הסיבה שהוא היעד מספר אחת לתקיפות אוטומטיות. ככל שמערכת נפוצה יותר, כך משתלם יותר לתוקף לכתוב בוט שמנצל את חולשותיה, כי אותו קוד יפגע במאות אלפי אתרים. חשוב להבהיר: ליבת וורדפרס עצמה מתוחזקת היטב ומקבלת עדכוני אבטחה תכופים. רוב הפריצות לא נכנסות דרך הליבה, אלא דרך מה שמסביבה: תוספים, תבניות, סיסמאות, הרשאות וסביבת השרת.
המשמעות המעשית טובה דווקא: אם הפריצות מגיעות דרך מספר מצומצם של ערוצים מוכרים, אפשר לסגור כמעט את כולם בפעולות קבועות ופשוטות. הרחבנו על שורשי התופעה במדריך למה אתרי וורדפרס נפרצים - 8 הפרצות הנפוצות.
ארבעת עמודי האבטחה
כדי לא ללכת לאיבוד בין עשרות "טיפים", נוח לחשוב על אבטחה בארבעה עמודים. אתר מאובטח אינו זה שיש בו תוסף אבטחה אחד מרשים, אלא זה שכל ארבעת העמודים מטופלים בו באופן שוטף.
1. שמירה על קוד עדכני
זהו הגורם מספר אחת לפריצות, בפער גדול. כל תוסף וכל תבנית הם קוד של צד שלישי, וכשמתגלה בהם חולשת אבטחה היא מתפרסמת בפומבי יחד עם התיקון. מהרגע שהתיקון יוצא, בוטים מתחילים לסרוק את הרשת ולחפש אתרים שעדיין מריצים את הגרסה הפגיעה. אתר שלא עודכן כמה שבועות יכול להיות חשוף לחולשה שכבר מתועדת ומנוצלת.
מה שעובד: עדכון שוטף של ליבה, תוספים ותבניות, ולא פחות חשוב, מחיקת כל מה שאינו בשימוש. תוסף כבוי הוא עדיין קוד שאפשר לנצל. הימנעו מגרסאות פרימיום פרוצות ("נאלד"), שלרוב מגיעות עם דלת אחורית מובנית.
2. בקרת גישה והרשאות
תוקפים מריצים אלפי ניסיונות התחברות מול עמוד ה־login, ומנסים שילובים נפוצים של שם משתמש וסיסמה. שם המשתמש admin עם סיסמה קצרה הוא הזמנה פתוחה. במקביל, לא כל מי שעובד על האתר צריך הרשאת Administrator: כל חשבון מנהל מיותר הוא נקודת כניסה נוספת.
מה שעובד: סיסמאות ארוכות וייחודיות דרך מנהל סיסמאות, אימות דו־שלבי (2FA) לכל בעל הרשאות, הגבלת ניסיונות התחברות, ועיקרון ההרשאה המינימלית, כך שכל משתמש מקבל את התפקיד הנמוך ביותר שמספיק לו. הרחבנו על חסימת התקפות התחברות במדריך ניסיונות התחברות brute force - איך חוסמים.
3. שכבת הגנה וניטור
אתר ללא חומת אש הוא אתר שכל ניסיון תקיפה מגיע אליו ישירות. בלי ניטור, פריצה יכולה להתרחש ולהישאר חבויה שבועות: דפי ספאם שנוצרים ברקע, הפניות לאתרים זרים, או דואר זבל שנשלח מהשרת שלכם, עד שגוגל או חברת האחסון מסמנים את האתר.
מה שעובד: חומת אש לאפליקציה (WAF) שחוסמת ניסיונות הזרקה עוד לפני שהם מגיעים לאתר, תוסף אבטחה שמנטר שינויים בקבצים, וסריקות תקופתיות. כדי להבין איזה כלי מתאים לכם, ראו את ההשוואה במדריך תוסף אבטחה לוורדפרס - Wordfence מול Sucuri.
4. גיבוי שאפשר לסמוך עליו
גיבוי אינו מונע פריצה, אבל הוא ההבדל בין תקלה בת שעה לבין אסון של ימים. אתרים רבים מגלים בדיוק ברגע הקריטי שהגיבוי "האוטומטי" שלהם לא רץ חודשים, נשמר על אותו שרת שנפרץ, או מעולם לא נבדק בשחזור.
מה שעובד: גיבוי אוטומטי ומתוזמן, ששמור מחוץ לשרת, ושנבדק מדי פעם בשחזור אמיתי. כיסינו את ההגדרה הנכונה במדריך גיבוי אוטומטי לוורדפרס.
מה לעשות אם האתר כבר נפרץ
אבטחה טובה היא מניעה, אבל אם אתם מגיעים לכאן אחרי שכבר קרה משהו, סדר הפעולות חשוב. אל תמחקו הכל בבהלה ואל תשלמו כופר לפני שמבינים מה קרה. הצעד הראשון הוא לזהות את סוג הפגיעה, כי לכל אחד טיפול שונה.
- נפרצתי ואני לא יודע מאיפה להתחיל: התחילו מהצעדים המיידיים לאתר שנפרץ, שמסביר מה לעשות ב־24 השעות הראשונות ומתי כדאי כבר למסור למומחה.
- קוד זדוני / malware: ניקוי לא נכון משאיר קובץ נגוע אחד וההדבקה חוזרת. המדריך ניקוי וירוסים ו־malware מוורדפרס מסביר איך מאתרים ומנקים לעומק.
- דפי ספאם שצצים לבד: ראו אלפי דפי ספאם יפניים באתר.
- האתר מפנה לאתר זר: זה redirect hack, וטיפול בו מתואר בהאתר שלי מפנה לאתר אחר.
- גוגל מציג אזהרה / האחסון השבית: טפלו קודם בשורש, ואז בהסרת אזהרת This site may be hacked.
אם הנזק רחב או שאתם מעדיפים שמישהו מנוסה ייקח את זה, יש לנו שירות חילוץ והצלה לאתר וורדפרס שמחזיר אתרים לאוויר בדרך כלל תוך 24 שעות.
כמה זה עולה, ומה ההיגיון הכלכלי
עלות טיפול חד־פעמי בניקוי וחיזוק של אתר שנפרץ נקבעת לפי היקף הנזק ומורכבות האתר; את גורמי המחיר ריכזנו במחירון תיקון אתר שנפרץ.
חשוב להבין את ההיגיון: ניקוי חד־פעמי פותר את ההווה, אבל אם שורש הבעיה (תוסף ישן, סיסמה שדלפה, היעדר ניטור) לא נסגר, ההדבקה תחזור. לכן הרבה בעלי אתרים בוחרים לעבור לתחזוקה שוטפת אחרי הניקוי הראשון, ולא לשלם שוב ושוב על אותה תקלה. על מה כוללת תחזוקה נכונה כתבנו בתחזוקת אתר וורדפרס - מה כלול וכמה עולה.
הקו המחבר: אבטחה היא תהליך, לא מוצר
אם תסתכלו שוב על ארבעת העמודים, תבחינו שכולם חוזרים לאותו עיקרון אחד: לא חסר רכיב קסם, אלא יד שמסתכלת על האתר באופן קבוע. אתר נפרץ כי משהו לא עודכן, לא הוגבל, לא נוטר או לא גובה במשך זמן רב מספיק. תוסף אבטחה הוא כלי חשוב, אבל הוא לא מעדכן תוספים בשבילכם ולא בודק גיבויים.
זו בדיוק הסיבה שבנינו ב־OCW את חבילת אחריות 360: ארבעה פילרים (אבטחה, נגישות, פרטיות ותחזוקה טכנית) תחת מעקב חודשי קבוע. במקום לרדוף אחרי כל עדכון ולגלות פריצה כשכבר מאוחר, ארבעת עמודי האבטחה שבמאמר הזה פשוט נסגרים ונשארים סגורים. אם האתר שלכם כבר נפרץ, אפשר להתחיל בטיפול חד־פעמי שמנקה ומחזק, ורק אז לעבור לתחזוקה שוטפת.
לבדיקת מצב האבטחה של האתר או לטיפול נקודתי, דברו איתנו.
שאלות נפוצות
האם תוסף אבטחה לבדו מספיק כדי להגן על האתר?
לא. תוסף אבטחה הוא שכבה חשובה, אבל הוא לא מעדכן תוספים בשבילכם, לא מחזק סיסמאות ולא בודק גיבויים. הוא חלק ממערך הגנה, לא תחליף לתחזוקה שוטפת.
נפרצתי וניקיתי, למה זה חזר?
ברוב המקרים נשאר קובץ נגוע אחד שלא זוהה, או שהפרצה המקורית (תוסף ישן, סיסמה שדלפה) לא נסגרה. ניקוי בלי לסגור את שורש הבעיה כמעט תמיד מסתיים בהדבקה חוזרת.
כל כמה זמן צריך לעדכן את האתר?
עדכוני אבטחה רצוי להחיל בתוך ימים ספורים מרגע פרסומם. עדכונים גדולים כדאי לבצע אחרי גיבוי ועדיף בסביבת בדיקה, כדי להימנע משבירה בעקבות העדכון.
יש לי אתר קטן, האם בכלל מישהו ינסה לפרוץ אותו?
כן. רוב הפריצות אינן ממוקדות באתר ספציפי, אלא בוטים שסורקים את כל הרשת לפי חולשות. גודל האתר או כמות המבקרים אינם רלוונטיים לבוט, ולכן אתרים קטנים נפרצים בדיוק כמו גדולים.