התוספים החשובים לוורדפרס נכון ל-2021

שנת 2021 מציבה בעלי אתרים רבים בפני סיכונים שונים. תוספי וורדפרס חדישים מסוגלים להגן על האתר מפני התקפות בלחיצת כפתור פשוטה. במאמר זה נציג את התוספים שלא כדאי לוותר עליהם.

אבטחת האתר – תוסף Ithemes Security

אחד מהמאפיינים הבולטים ביותר של 2020, מלבד הסגר העולמי בשל משבר הקורונה, הוא הזמן הפנוי שהיה בידי ההאקרים המובילים לפריצת אתרים. בין השאר נוכחנו בפריצות לאתר הפנטגון, לחברת ביטוח מובילה בישראל, ואולי הנוראה מכולן היא הפריצה לחברת סייבר שכל יעודה הוא התגוננות מפני פריצות. לכן, לא בכדי, תוספי האבטחה לוורדפרס זוכים לפופולריות עצומה. לפני כשנתיים סקרנו בהרחבה מספר שינויים שאתם יכולים לעשות בעצמכם, אך כעת ישנם לא מעט תוספים שיבצעו פעולות אבטחה מקיפות. אחד מהתוספים המובילים ביותר בתחום הוא תוסף Itheme Security שמגן על האתר מפני מגוון רחב של פריצות ומאפשר הגדרות נוחות לפי קטגוריות. נרחיב עליו מעט.

התקנת התוסף מאפשרת לבחור בדאשבורד אילו מאפיינים תרצו לאבטח באתר מתוך מגוון סוגי התקפות נפוצות.

כמות כניסות לדף 404 מכתובת IP ספציפית

האקרים מנוסים ינסו לתקוף את השרת באמצעות ניחוש דפים רגישים כמו דפי שגיאות או גרסאות ישנות של דפי בלוג הכוללים אפשרות להזנת הערות ללא הגבלה בפוסט. שיטה זו יכולה להפיל את השרת לאורך זמן, ומיועדת גם להכנסה של כתובות של אתרי “זבל” לצורך קידומם. פורצים ינסו למצוא את דפים נוספים שאינכם מבחינים בהם שהיו קיימים בתבנית המקורית ויתכן שלא מחקתם. כיצד תגלו אם אתם עומדים בפני התקפה כזו? אתם יכולים לגלות אם תוכנה שמתחילה להריץ כתובות URL מקריות, מנסה לתקוף את השרת באמצעות איתור דפים שחשופים לרשת על־ידי ביצוע ניטור קבוע של כמות הפעמים שכתובת IP ספציפית או יוזר מגיעים לדפי שגיאה, ולחסום את ה-IP באופן מידי. ניתן להגדיר זאת בקליק בתוסף .Ithemes

גרסת הפרו מוסיפה עוד מגוון רחב של אפשרויות אבטחה, ביניהן כמה יחודיות לתוסף זה.

לדוגמה, ניתן להגדיר שעות ספציפיות שבהן המשתמש עם רמת ההרשאות הגבוהה ביותר עובד על המערכת. הרשאת מנהל נפתחת אך ורק בשעות האלה ונסגרת בשעות שבהן אינו במשרד/עובד מהבית.

מנגנון זה מאפשר בלחיצת כפתור להגדיר Away Mode, כפתור שבו המנהל מכריז כי הוא בחופשה, שעות מסוימות במהלך היום וכן האם החופשה היא יומית, שבועית או חודשית. כך, המנהל (האדמין) נשאר מוגן לאורך כל שעות היממה, ולא ניתן להוסיף הרשאות למשתמשים לא מורשים או לבצע שינויים דרך ממשק המנהל.

התוסף כולל כמובן גם אפשרויות טריוויאליות יותר כמו:

• חסימת כתובות IP עם משתמשים שניסו לבצע יותר מדי ניסיונות התחברות ונכשלו בהזנת הסיסמה.
• גיבוי אוטומטי של מסד הנתונים.
• איתור פרצות אבטחה לפי גרסת הוורדפרס והתוספים האחרים המותקנים בו.
• הגדרת דאשבורד מותאם אישית כדי להמחיש את הפעולות שבוצעו ולאבטח את האתר. אפשרות זו מתאימה למנהלים של אתרי וורדפרס עבור לקוחות קצה וכן למנהלי רשתות/אבטחת מידע.

תוסף נוסף לאבטחה – SUCURI

תוסף נוסף שניתן להתקין בגרסה חינמית או בגרסאות פרמיום הוא SUCURI. החיסכון שלו הוא האטה של חלק מעליית דפי האתר בהתחלה. היתרון? ניטור קבוע של רוגלות על השרת גם אם אינן קשורות ישירות לקבצי הוורדפרס בערכה שלכם. גרסאות הפרמיום מאפשרות לערוך ניטור קבוע על אתר אחד ($89) חמישה אתרים בגרסת הפאוואר שעולה $189 ועד 10 אתרים בגרסת הביזנס עולה $289. הניטור מתבצע באופן שוטף על כל דפי האתר ותוכנות זדוניות מוסרות באופן מידי. כמו כן, אתם מקבלים הודעה מיידית באי־מייל, ב-SMS ואפילו באמצעות טוויטר. יתרון נוסף שיש לתוסף הזה הוא היכולת לסרוק גם דפים שאינם וורדפרס, ומותקנים על שרתי מיקרוסופט (כמו אפליקציות ווביות של Asp.Net  וכן על פלטפורמות אחרות.)

לפני שהתוכנה מוחקת קבצים, היא מבצעת נקיון של קוד זדוני ומשאירה גרסה נוספת של הדף כדי שלא תאבדו מידע חשוב. כדי למנוע מהאקרים למחוק את קבצי הלוגים לאיתור פרצות, נוסף קוד API מיוחד באמצעותו נשמרים קבצי הלוגים גם מחוץ לשרת, וכך ניתן לחזור אליהם בעת הצורך. את הקצאת ה-API ניתן לראות בדאשבורד של התוסף.

יתרון נוסף של החברה הזו הוא הפעלה של שירותי פרמיום לתמיכה לא רק בתוסף אלא בשירותי האבטחה של האתר. אם במקרה נתקלתם בפריצה, הם יוכלו לסייע לזהות את מקורה (אילו פרצות אבטחה היו באתר), יסייעו לסגור פרצות אלה ולהעלות את האתר לאוויר מחדש.

תוסף החוסם את הכניסה של שני משתמשים בו זמנית מאותו חשבון

התוסף הבא מסוגל לפתור הן בעיית אבטחה נפוצה והן בעיה פיננסית לאתרים הגובים תשלום מהמשתמשים. דמיינו שמישהו שיתף את שם המשתמש והסיסמה שלו עם חבר. שניהם מנסים להכנס באותו זמן כדי לצפות בסרטונים מקורס דיגיטלי שערכתם. האם יש לכם דרך למנוע זאת?

התוסף זכה לשם Block Double Login, ועדיין לא זכה לכמות גדולה של הורדות עד היום למרות שהוא נמצא כשנתיים בשוק.

בין המאפיינים שלו ניתן למצוא:

• איתור משתמשים המנסים להשתמש בפרוקסי לכניסה לאתר.
• איתור משתמשים המנסים להכנס ממספר חשבונות שונים דרך אותה כתובת IP.
• איתור משתמשים המשתפים את ההרשאות שלהם עם חברים. תוכלו לשלוח הודעה למשתמשים אלה ולהסביר להם בנימוס כי אינם רשאים לעשות זאת או לדרוש מהם לרכוש רישיון נוסף.

היתרון של תוסף זה הוא בייצור של מנגנון אבטחה פשוט שנועד למנוע שימוש בשם משתמש וסיסמה שהתגלו במקרה על־ידי האקר במקביל למשתמש האמיתי בתוך החברה.

הגבלת ניסיונות כניסה בלבד

אם אתם לא רוצים להעמיס כמות גדולה של תוספים על האתר משיקולי ביצועים, אפשר להסתפק בתוספים נקודתיים שמבצעים רק פעולה אחת או שתיים. למשל התוסףLimit Login Attemps  מיועד אך ורק לחסימה של ניסיונות התחברות לאתר. אם אתם משתמשים בגרסת וורדפרס 5.6 ומעלה, הורידו את הגרסה המעודכנת של התוסף הכוללת את הסיומת Reloaded.

אתם יכולים לבחור כמה ניסיונות התחברות תאשרו ליוזרים, להגדיר “רשימה שחורה” (Blacklist) של כתובות IP שהתחברו יותר מדי פעמים ללא הצלחה ואפילו לעדכן את המשתמשים שלהם עוד כמה ניסיונות חיבור נשארו להם. היתרון של התוסף הזה הוא התאמה לאתרים וורדפרס עם מספר התקנות על אותו דומיין וכן זיהוי של ה-IP גם מבעד לכתובות מוגדרות מראש (כמו אלה שמקצה CloudFlare). ניתן גם להגדיר מספר מאפייני פרמיום כמו גיבוי של כל המידע באתר, גיבוי של הלוגים הקיימים ואפילו להגדיר רשימות שחורות ולבנות בין מספר אתרים היושבים על אותו דומיין. כך, שאם מישהו ניסה לפרוץ לאתר שלכם בעברית, תוכלו לחסום אותו באופן אוטומטי מניסיון פריצה לאתר בשפות נוספות.

לסיכום, בשנת 2021 נראה כי כמות ההתקפות על אתרים ברשת רק עולה. התקינו כבר היום את מיטב תוספי האבטחה המעודכנים, והגנו על האתר שלכם. אין זה משנה מהי מטרת ההתקפה; חשוב מאד להיות מוכנים; חלק מהמתקפות נועדו לפגיעה תדמיתית באתר; אחרות נועדו להשיג כופר בביטקוין. בכל מקרה, אם תשכילו להתכונן להתקפות כופרה אלה מראש תוכלו למזערן למינימום.