טעויות בסיסיות שפוגעות באבטחת האתר
טעוית אבטחה נפוצות
כל יום נפרצים בממוצע כ- 30,000 אתרים.
יש הרבה דרכים לפריצת אתרים, אך רוב האתרים שנפרצים, נפרצים כי נבנו עם מספר טעויות בסיסיות שהופכות את הפריצה לפשוטה וקלה.
1. אי שימוש באנטי וירוס במחשב שלכם
אם אינכם מתקינים תוכנת אנטי-וירוס ואתם חשופים לוירוסים ורוגלות, סביר להניח שכאשר אתם מתחברים למערכת הניהול של האתר שלכם, אתם מגישים על מגש של כסף את פרטי הכניסה של מערכת הניהול שלכם להאקרים פוטנציאליים.
2. שם משתמש Admin
התקנה אוטומטית של וורדפרס משתמשת בשם משתמש Admin לניהול האתר. חובה להחליף את שם המשתמש לשם ייחודי, כי ידיעת שם המשתמש מקצרת ב-50% את הדרך לפריצה. כל שנותר זה למצוא את הססמה. לעומת זאת, כאשר שם המשתמש ייחודי, צריך לנחש גם אותו וגם את הססמה.
3. שימוש בססמה פשוטה או קצרה מדי
רצוי להשתמש בססמה מורכבת ובלתי צפויה. אחוז ניכר מן האתרים שנפרצים משתמשים בססמאות קצרות פשוטות וקצרות, כמו 123456 או 654321 או password וכד'. גם אם תשתמשו בססמה מורכבת של 20 תווים, אשר חלקם אותיות גדולות וקטנות, חלקם תווים מיוחדים וחלקם ספרות, ייקח לכל היותר 3 חודשים לפצח ולכן רצוי גם להשתמש בססמה מורכבת גם להחליף אותה כל 3 חודשים.
4. שימוש ברמזים במקרה של טעות בכניסה
מערכת וורדפרס נותנת באופן אוטומטי רמז לכניסה שגויה בהודעה על שם משתמש או ססמה שגויים. רצוי להימנע מכך. יש כמה דרכים לעשות זאת. אחת הדרכים הי להוסיף את הקוד שלהלן לקובץ functions.php של התבנית שלכם:
function no_wordpress_errors(){ return 'Back off!'; }
add_filter( 'login_errors', 'no_wordpress_errors' );
5. אי ביצוע עדכוני מערכת
במערכת וורדפרס, הן בקבצי הליבה והן בתוספים ותבניות מתגלות מדי פעם בעיות אבטחה, אשר נפתרות בעדכוני מערכת. אם אינכם מעדכנים באופן סדיר את המערכות באתר שלכם, הוא חשוף יותר לפריצה. אפשר בקלות להגדיר עדכון אוטומטי לקבצי הליבה של וורדפרס, ע"י הוספת הקוד הבא לקובץ wp-config באתר שלכם.
define( 'WP_AUTO_UPDATE_CORE', true );
אם אתם חוששים לבצע עדכוני ליבה מבלי לבדוק קודם שאין תקלות באתר, ניתן להשתמש בקוד שלהלן לביצוע אוטומטי של עדכונים מינוריים בלבד של המערכת.
define( 'WP_AUTO_UPDATE_CORE', 'minor' );
אם אתם מוכנים גם לבצע עדכון אוטומטי של כל תוספי המערכת והתבניות, ניתן להוסיף את הקוד הבא:
add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );
6. טראקבקים
טראקבקים מופעלים אוטומטית בוורדפרס, אך כיון שרוב האנשים ממעטים לעקוב אחריהם, אם בכלל, מומלץ לבטל את ההפעלה שלהם. אפשר לעשות זאת בקלות באמצעות לחיצה על הגדרות > דיון > ולבטל את הסימון של
