10 עצות לאבטחת אתר וורדפרס

מערכת ניהול תוכן – וורדפרס היא הנפוצה ביותר, היא תומכת מעל 25% מכלל אתרי האינטרנט בעולם. מאז ההצלחה היא נחשבת לאחת המערכות הכי מבוקשות לפריצה על ידי אקרים ברחבי העולם, המפתחים של וורדפרס עובדים יום ולילה כדי לשמור שהמערכת תהיה מאובטחת.

זה יהיה נהדר אם אנחנו המשתמשים, נשקיע מאמץ כדי לבנות עוד הגנה מעל ההגנה המקורית של וורדפרס ובאמצעות מספר השיטות והטיפים שאציג כאן, כל אקר שינסה לפרוץ את האתר שלך יתייאש באמצע ויעזוב את הרעיון של פריצת האתר.

1. השתמש בפרוטוקול HTTPS

https הוא  שילוב של פרוטוקול HTTP ופרוטוקול SSL / TLS שיוצר ערוץ מאובטח ומוצפן בין המשתמש לבין השרת כדי למנוע גישה של צד שלישי לנתונים המועברים בינך לבין האתר ולכן חשוב להתקין תעודת SSL.

HTTPS גם משחק תפקיד בשיפור קידום האתר שלך על מנוע החיפוש של גוגל, כי גוגל סבור כי הצפנת נתונים באמצעות HTTPS היא הוכחה של שהאתר שלך מאובטח בצורה מקצועית ושומרת על הגולשים באתר שלך.

2.נתוני הגישה עבור מסד הנתונים חייבים להיות חזקים

יש לבחור סיסמה חזקה עבור מסד הנתונים ושם משתמש שלא דומה לשם האתר או הבעלים של האתר וכמו כן מאוד חשוב לשנות את קידומת מסד הנתונים wp_  לקידומת אחרת של טבלאות הנתונים בעת התקמת אתר הוורדפרס ולבחור קידומת פרטית עבור אתרך. 
באפשרותך לשנות נתוני מסד נתונים גם לאחר ההתקנה של וורדפרס, בתוך הקובץ wp-config.php.

3.בקרת גישה

יש לבחור שם משתמש וסיסמה חזקים מאוד גם ללוח הבקרה של האתר שלך ולא רק למסד הנתונים.

לאבטח את קובץ wp-config.php

קובץ wp-config.php, כפי שצוין לעיל, מכיל נתונים חשובים וסודיים, כך שרק מנהל האתר יכול לראות זאת. קובץ זה קיים כברירת מחדל בתיקיית הבית של Wordpress, אך ניתן להעביר אותו כך שלא יהיה ניתן לגשת אליו באמצעות בקשות HTTP.

אתה יכול גם לחסום את הגישה על ידי הגנה עליו באמצעות קובץ htaccess כדוגמה הזאת:

order allow,deny
deny from all

5. תן למשתמשים תפקידים שתואמים להם

אסור אף פעם לשכוח: אל תיתן את הסמכויות של המנהל לאף אחד מלבד הצרכים החיוניים ביותר. אם האתר שלך מאפשר לחברים חדשים להיות רשומים, הקפד לתת להם הרשאות מעטות ככל האפשר. בדרך כלל, רוב האתרים נותנים למשתמשים רשומים אחד מהתפקידים האלה:

• עורך: יכול לפרסם ולנהל את הפרסומים שלו ופרסומים אחרים.
• מחבר: יכול לפרסם ולנהל את הפרסומים שלו בלבד.
• משתתף: יכול לכתוב ולנהל את הפרסומים שלו אבל לא יכול לפרסם אותם.

אף אחד מהתפקידים האלה לא מעניק לך גישה להגדרות של WordPress.

וודא שאתה נותן למשתמש את הגישה הדרושה לו ואינו עולה עלייך, כיוון שיכול לגרום לך לנזקים רבים בלי שתדע באתר.

6. שנה את קישור ברירת המחדל עבור דף הכניסה ללוח הבקרה

באפשרותך לשנות את קישור ההתחברות ללוח הבקרה של Wordpress, באמצעות תוסף WPS Hide Login, מטרת תוסף זה היא למנוע מהאקרים לגשת לדף הכניסה של ברירת המחדל של לוח הבקרה.

7. הסתר את מספר גרסת ה-WordPress

יש להסתיר את מספר הגרסה של וורדפרס שהאקר לא ידע איזה גרסה כזאת כיוון שיכול לדעת מה כן ניתן לפרוץ במקרה שלא עדכנת את המערכת, וורדפרס יציג את מספר הגרסה כברירת מחדל בתוך התג <head> האקרים יודעים איזו גרסה אתה משתמש וככה אבטחת האתר שלך יורדת.

ניתן להסתיר את מספר הגרסה של הוורדפרס שלך בצורה הבאה להוסיף את הקוד הבא לקובץ  functions.php:

remove_action('wp_head', 'wp_generator');

8. בחר תבניות מקצועיות ותוספים מקצועים

מערכת וורדפרס תוכננה להרחבה והתאמה אישית באמצעות תבניות ותוספים, וזו נקודה חיובית בשבילה, אבל עשוי להיות כרוך בסיכונים, לא כל התוספים והתבניות שפותחו באופן מקצועי לוקחים בחשבון את השיטות שהוצעו, הפחד יהיה שכמה תוספים או תבניות ניתנים לפריצה בשוגג בעת שמותקנים באתר שלך לכן תמיד תבדוק את מפתח את התבנית או התוסף.

מאגר וורדפרס מכיל אלפי תוספים ומאות תבניות בחינם, יש לך לבחור תוסף או תבנית בכך שתבדוק דירוגי משתמשים ותראה גם את מספר ההורדות, כל אלה הם יעזרו לך להבין מה איכותי ומקצועי עבור האתר שלך.

9. עדכן באופן שוטף

צוות וורדפרס מעת לעת משחרר גרסאות חדשות שמטפלות בבעיות אבטחה, ולכן תמיד תדאג להתחבר פעם בשבוע ללוח הבקרה של האתר שלך על מנת לעדכן את הגרסה של האתר שלך. אותו הדבר גם בפלאגינים יש להם עדכונים מעת לעת לכן יש לעקוב אחרי האתר שלך אחת לשבוע לפחות.

10.אל תתקין תבניות שעולות כסף בחינם

יש אתרים שמספקים תבניות בחינם שברור שאותן תבניות אמורות לעלות לך כסף. תאמין לי אל תחסוך ותקנה את התבנית המתאימה עבורך כיוון שהם יכולים לשתול קוד זדוני בתבניות האלו ולגרום לנזקים גדולים באתרך ללא ידיעתך ומתי שתדע על כך יהיה כבר מאוחר.