אבטחת אתר וורדפרס

אבטחת אתר וורדפרס

וורדפרס היא מטרה נפוצה להתקפות בשל הפופולריות שלה. אבטחה נכונה מצמצמת משמעותית את הסיכון לפריצה. מדריך זה מפרט את הצעדים החשובים ביותר.

1. עדכונים שוטפים

רוב הפריצות לאתרי וורדפרס מנצלות פרצות אבטחה בגרסאות ישנות. ודאו ש:

• וורדפרס עדכנית לגרסה האחרונה
• כל התוספים מעודכנים
• התבנית מעודכנת
• גרסת PHP מעודכנת (מומלץ 8.1 ומעלה)

2. סיסמאות חזקות

השתמשו בסיסמאות חזקות (12+ תווים) לכל המשתמשים, במיוחד מנהלי אתר. אל תשתמשו ב:

• שם "admin" כשם המשתמש
• סיסמאות שקל לנחש (123456, password, שם האתר)
• אותה סיסמה בשירותים שונים

3. הגבלת ניסיונות כניסה

התקפות Brute Force מנסות אלפי שילובי סיסמאות. הגנה:

• התקינו תוסף כמו Limit Login Attempts Reloaded
• הגדירו חסימה לאחר 3-5 ניסיונות כושלים
• שנו את כתובת הכניסה מ-/wp-admin עם תוסף כמו WPS Hide Login

4. תוסף אבטחה

התקינו תוסף אבטחה מקיף. אפשרויות מומלצות:

• Wordfence Security - Firewall, סריקת תוכנות זדוניות, הגבלת כניסות
• Sucuri Security - ניטור, סריקה, Firewall
• iThemes Security - סט כלי אבטחה מקיף

5. הגנה על קבצי מערכת

הוסיפו לקובץ .htaccess בתיקייה הראשית:

# הגנה על wp-config.php
<Files wp-config.php>
Order deny,allow
Deny from all
</Files>

# הגנה על .htaccess עצמו
<Files .htaccess>
Order deny,allow
Deny from all
</Files>

# מניעת גלישה בתיקיות
Options -Indexes

6. ביטול עריכת קבצים מממשק הניהול

הוסיפו לקובץ wp-config.php:

define('DISALLOW_FILE_EDIT', true);

זה מונע עריכת קבצי תבנית ותוספים מתוך ממשק הניהול, כך שגם אם מישהו מצליח להיכנס, לא ניתן לשנות קוד.

7. גיבויים

גיבויים הם קו ההגנה האחרון. ודאו שיש:

• גיבוי יומי אוטומטי (דרך תוסף או דרך Hostey)
• שמירת גיבויים במיקום חיצוני (לא רק על השרת)
• בדיקה תקופתית שהגיבויים עובדים

8. HTTPS

ודאו שהאתר עובד אך ורק ב-HTTPS. תעודת SSL חינמית כלולה בכל חבילות Hostey.

סימנים לפריצה

אם שמתם לב לאחד מהבאים, האתר עלול להיות פרוץ:

• משתמשים חדשים שלא יצרתם
• תוכן או קישורים שלא הוספתם
• גוגל מסמן את האתר כמסוכן
• ביצועים איטיים פתאומיים
• הפניות לאתרים חשודים

במקרה של חשד, סרקו את האתר עם תוסף האבטחה, שנו את כל הסיסמאות ופנו לתמיכה.