אם אתם רואים בלוג ההתחברות עשרות או מאות ניסיונות כניסה כושלים ביום, סביר להניח שאתם תחת התקפת brute force. זו אחת ההתקפות הנפוצות ביותר על וורדפרס, והיא כמעט תמיד אוטומטית: בוט מנסה אינספור שילובים של שם משתמש וסיסמה מול עמוד wp-login.php עד שאחד מהם עובד. החדשות הטובות הן שזו גם אחת ההתקפות הקלות ביותר לחסימה, אם מגדירים את ההגנות הנכונות מראש.

מה זו התקפת brute force ולמה היא מכוונת אליכם

Brute force פירושו "כוח גס": התוקף לא מנצל חולשה מתוחכמת, אלא פשוט מנחש סיסמאות בקצב גבוה. רשתות של מחשבים נגועים (botnets) סורקות את הרשת, מאתרות אתרי וורדפרס לפי עמוד ההתחברות הסטנדרטי, ומתחילות להפציץ אותו בניסיונות.

חשוב להבין: ברוב המוחלט של המקרים אף אחד לא בחר דווקא בכם. הבוט מריץ את אותו תהליך מול מיליוני אתרים במקביל. בגלל זה גם עסקים קטנים מאוד, ללא תנועה ממשית, רואים ניסיונות התחברות בלתי פוסקים. האתר שלכם הוא פשוט עוד שורה ברשימה אוטומטית.

המטרה של התוקף לאחר שהוא מצליח להיכנס משתנה: הזרקת קוד זדוני, הפניית מבקרים לאתרים אחרים, שתילת דפי ספאם, או שימוש בשרת שלכם לתקיפת אתרים נוספים. במקרים רבים הנזק הראשון שמורגש הוא דווקא איטיות או קריסה של האתר, כי כמות הניסיונות מעמיסה על השרת.

איך מזהים שאתם תחת התקפה

יש כמה סימנים אופייניים:

  1. עומס חריג על השרת. האתר מאט פתאום, או חברת האחסון מתריעה על צריכת CPU גבוהה.
  2. שטף מיילים על איפוס סיסמה או התראות על כניסות כושלות (אם מותקן תוסף אבטחה שמדווח).
  3. רשומות רבות בלוג ההתחברות מאותו טווח כתובות IP, או מכתובות מגוונות שכולן מנסות את אותם שמות משתמש (admin, שם הדומיין, שם בעל האתר).
  4. נעילות חשבון או הודעות "יותר מדי ניסיונות התחברות" שמופיעות למשתמשים לגיטימיים.

אם כבר חשדתם שהאתר נפרץ ולא רק מותקף, המדריך פרצו לי לאתר וורדפרס מסביר את שבעת הצעדים המיידיים.

חמש ההגנות שעוצרות brute force

ההגנה מפני brute force אינה פעולה אחת אלא שכבות שמשלימות זו את זו. גם אם תוקף יעבור שכבה אחת, השכבות הבאות עוצרות אותו.

1. הגבלת מספר ניסיונות ההתחברות

זו ההגנה היחידה והחשובה ביותר. כברירת מחדל, וורדפרס מאפשר ניסיונות התחברות בלתי מוגבלים, וזה בדיוק מה ש-brute force מנצל. כשמגבילים, למשל, לחמישה ניסיונות כושלים ואז חוסמים את כתובת ה-IP לפרק זמן, מכניזם ההתקפה כולו קורס: הבוט לא יכול עוד לנסות אלפי שילובים.

את ההגבלה אפשר להגדיר דרך תוסף אבטחה (רוב התוספים המובילים כוללים זאת), ובחלק מהאחסונים גם ברמת השרת. הגדרה ברמת השרת עדיפה כי היא חוסמת את התוקף עוד לפני שהבקשה מגיעה לוורדפרס, וכך חוסכת עומס.

2. אימות דו-שלבי (2FA)

אימות דו-שלבי מוסיף שכבה שנייה מעבר לסיסמה: קוד חד-פעמי מאפליקציה כמו Google Authenticator, או מפתח חומרה. גם אם תוקף מנחש את הסיסמה הנכונה, בלי הקוד השני הוא לא נכנס. זו ההגנה היחידה שמנטרלת לחלוטין את הסיכון של סיסמה שדלפה או נוחשה, ולכן היא חובה לכל חשבון בעל הרשאות מנהל.

3. סיסמאות חזקות וביטול שם המשתמש admin

Brute force מסתמך על סיסמאות נפוצות וקצרות. סיסמה ארוכה וייחודית (12 תווים ומעלה, רצוי דרך מנהל סיסמאות) הופכת את הניחוש לבלתי מעשי מבחינה מתמטית. במקביל, חשוב לבטל את שם המשתמש admin, שהוא הניחוש הראשון של כל בוט. אם הוא קיים, צרו משתמש מנהל חדש בשם אחר ומחקו את admin.

4. הסתרה או הגנה על עמוד ההתחברות

בוטים מחפשים את עמוד הכניסה הסטנדרטי בכתובת wp-login.php או wp-admin. שינוי כתובת ההתחברות לנתיב מותאם אישית מסתיר אותה מרוב הסריקות האוטומטיות. זו אינה הגנה מושלמת בפני עצמה (לכן היא רביעית ולא ראשונה), אבל היא מורידה דרמטית את כמות הניסיונות שמגיעים אליכם מלכתחילה. אפשר גם להוסיף CAPTCHA לטופס ההתחברות, או להגן עליו בסיסמת שרת נוספת (HTTP Auth) בנתיב.

5. חומת אש (WAF) וחסימה ברמת השרת

חומת אש ליישומי web מזהה דפוסי התקפה ידועים וחוסמת אותם לפני שהם מגיעים לאתר. שירותים כמו Cloudflare או חומות אש מובנות בתוספי אבטחה מסוגלים לזהות botnet ולחסום טווחי כתובות שלמים. זו השכבה שמטפלת בתוקפים שמתחלפים בכתובת IP כדי לעקוף את הגבלת הניסיונות.

למה תוסף לבדו לא תמיד מספיק

קל להתקין תוסף אבטחה, לסמן וי, ולהניח שהטיפול הסתיים. בפועל, הגנת brute force אפקטיבית דורשת תחזוקה: עדכון התוסף עצמו, מעקב אחר הלוגים, התאמת הגדרות החסימה לעומס האמיתי, ותגובה כשמתגלה דפוס חדש. בנוסף, חסימה ברמת השרת ו-WAF דורשות גישה והבנה שלרוב אינן בידי בעל העסק. אם אתם מתלבטים בין הכלים, השוואה מפורטת מופיעה במדריך תוסף אבטחה לוורדפרס.

ההבדל בין אתר שמחזיק מעמד לבין אתר שנפרץ הוא לרוב לא הכלי שהותקן, אלא העובדה שמישהו ממשיך לתחזק אותו לאורך זמן.

איפה OCW נכנסת

בחבילת אחריות 360 של OCW פילר האבטחה כולל בדיוק את השכבות האלה: הגבלת ניסיונות התחברות, אימות דו-שלבי לחשבונות מנהל, הקשחת עמוד הכניסה, ניטור שוטף של ניסיונות חשודים, וחומת אש ברמת השרת. במקום להתקין תוסף ולקוות, מישהו מנטר את הלוגים ומגיב כשמשהו חורג מהנורמה.

אם האתר כבר תחת התקפה פעילה, או שאתם רוצים שנבחן את מצב ההגנה הנוכחי, אפשר לפנות אלינו דרך עמוד יצירת הקשר ונעשה בדיקת אבטחה ראשונית.

שאלות נפוצות

האם brute force אומר שהאתר שלי כבר נפרץ?

לא בהכרח. ניסיונות התחברות כושלים מעידים על התקפה מתמשכת, אבל לא על הצלחה. אם אתם רואים ניסיונות רבים אך עדיין לא נכנס אף אחד, זה הזמן הנכון להקשיח את ההגנות לפני שיהיה מאוחר.

האם מספיק להתקין תוסף שמגביל ניסיונות התחברות?

זו ההגנה היחידה החשובה ביותר, אבל לא מספיקה לבדה. שילוב של הגבלת ניסיונות, 2FA וסיסמאות חזקות נותן הגנה אמיתית. תוסף בודד שלא מתוחזק ומנוטר עלול לתת תחושת ביטחון מוטעית.

התקפת brute force מאטה לי את האתר, מה עושים מיד?

הצעד המהיר ביותר הוא חסימה ברמת השרת או הפעלת WAF (למשל Cloudflare) שתסנן את הבקשות לפני שהן מגיעות לוורדפרס. במקביל הגבילו את ניסיונות ההתחברות והסתירו את עמוד הכניסה כדי לצמצם את העומס.

שיניתי את כתובת ההתחברות, זה מספיק?

זו שכבה טובה שמורידה את כמות הניסיונות, אבל לא הגנה מלאה. תוקף ממוקד עדיין יכול לאתר את הכתובת. שלבו אותה תמיד עם הגבלת ניסיונות ואימות דו-שלבי.