שלום לכולם,
בימים האחרונים פונים אליי הרבה בעלי אתרים וחנויות מסחר שמודאגים וחוששים לאתר שלהם שנבנה בפלטפורמה של WORDPRESS,
אז החלטתי להקים מדריך קצר שכל אחד יוכל לשריין בפחות משעה את האתר שלו בקלות ולמנוע פריצה לאתר.
התרופה הטובה ביותר לכל בעיה , היא מניעה.
המלצה שלנו היא :
1.לבצע גיבויים מתמידים (לפחות אחרי שינוי ) של מערכת הקבצים וה DB למקור חיצוני שתוכלו תמיד להחזיר את המערכת בזמן קצר.
2. להקשיח את האתר , ב2 מוקדים :
1.בהרשאות מערכת הקבצים בלינוקס ובסיס הנתונים.
2.בהרשאות כניסה למערכת (סיסמאות חזקות, סינון לפי IP , ומניעת\הפרעה לבוטים אוטומטיים לסריקה וכניסה למערכת).
ישר ולעיניין בואו נתחיל:
המלצה הכי פשוטה וברורה היא סיסמאות חזקות וארוכות,
**********************************************************************************
(טריק קטן גם סיסמה פשוטה שמופיעה כמה פעמיים קשה מאוד לניחוש למשל)
במקום תאריך לידה 01011978
תקישו אותו 3 פעמים ותקבלו סיסמה שיקח שנים ארוכות לפרוץ אותה
010119780101197801011978
**********************************************************************************
התקנת תוספי אבטחה למערכת
שלב 1:
התקנת תוסף שכולל בתוכו את כל הכלים שדרושים להגן על אתר הWORDPRESS שלכם
אנחנו ניגע בחלק קטן מהם והכי קריטי ומיידי לעצור מתקפות נפוצות ע"י כלים אוטומטים, בעתיד נביא את המדריך המלא
*בצעו כניסה כמנהלים לאתר
*בתפריט הצד בחרו תוספים – > תוסף חדש ->
חפשו את " All In One WP Security "
לאחר מכן יש להפעיל אותו
כנסו לתוספים -> תוספים מותקנים -> וביחרו "הפעלה" , במידה והוא מופעל יש להתקדם לשלב הבא:
הגדרות התוסף:
2.
שינוי משתמש ברירת מחדל :
במידה ומותקן אצלכם משתמש ברירת מחדל בשם "admin"
יש להחליף אותו, (זה המשתמש הראשון שינסו לפרוץ), יש להוסיף משתמש חדש ולהפוך את ה ADMIN במידה וקיים ללא פעיל.
3. מסך הכניסה למשתמשים. – (הכי חשוב)
זהו המסך שרוב ההאקרים ניגשים אליו בכדי להריץ לפרוץ לאתר,
לכן יש לוודא שהוא מוגן ומאובטח
3.1
הגדרות נעילת משתמשים – Login Lockdown Configuration
ברוב המקרים ההאקרים ישתמשו בכלים אוטומטים בכדי להריץ ניחושי סיסמאות, ואם אין שום דבר שימנע מהם להריץ ללא הפרעה את הבוטים האוטומטים , זה עיניין של זמן עד שיצליחו.
לכן יש לוודא שמשתמש שמקיש סיסמה לא נכונה , ינעל , או לפחות כתובת ה IP שלו תחסם, (ואז הוא יאלץ להשתמש ב VPN בכדי להחליף כתובות )
בואו נתחיל:
** הגדרות שאני משתמש בהם במערכת לדוגמה
1.יש לסמן V ב Enable Login Lockdown Feature:
2.ניתן להגדיר בקשות למניעת נעילה ב Allow Unlock Requests:
3.מספר ניסיונות מקסימלים למשתמש לפני נעילה לפי כתובות IP ב Max Login Attempts: (אם מספר ניסיונות הפריצה גבוהים ממליץ להוריד ל 1)
4.מספר נסיונות בזמן נתון עבור אותו :
IP Login Retry Time Period (min):
5.זמן השהיה של נעילה של כתובת IP בדקות.
Time Length of Lockout (min):
6.הצגת הודעת שגיאה כללית :
Display Generic Error Message:
7.נעילה מיידית של כתובת IP של משתמש שלא קיים במערכת:
Instantly Lockout Invalid Usernames:
8.נעילה מיידית של רשימה של משתמשים מסויימים:
Instantly Lockout Specific Usernames:
9. שלח הודעה במייל עבור נעילה (ידווח לכם על ניסיונות פריצה)
Notify By Email:
עדכנו פה את המייל שלכם.
ניתן לראות תחת : "Currently Locked Out IP Address Ranges"
את רשימת כתובת הIP הנעולות עכשיו במערכת
במידה ויש לכם IP קבוע אפשר להזין אותו תחת "Login Lockdown IP Whitelist Settings" בכדי למנוע נעילה שלכם בטעות.
חומת אש אפליקטיבית של WORDPRESS Firewall
הגדרות בסיסיות – (לשונית ראשונה)
הגדרות נגד סריקות אתר "רובוטים שמתחזים לעכביש של גוגל" (לשונית רביעית)
ניחוש סיסמאות – Brute Force
זהו מודול שמתמקד בהפרעה לבוטים לבצע ניחושי סיסמאות במערכת,
המיידי והחשוב ביותר הוא LOGIN CAPTCHA
אילו הכלים של MUST HAVE וזה לדעתי המינימום שכל אתר צריך להפעיל בכדי למנוע פריצה לתוך מנגנון המנהל של האתר.
המלצה שלי היא לעבור על כל הכלים שיש בתוסף הזה ולהפעיל אותם.
בעתיד נרחיב את המדריך , אבל לבנתיים אני בטוח שהוא יקשה מאוד על הפורצים לחבל לכם באתר האהוב שלכם.
קישור לקורס מקיף (באנגלית) לאבטחת אתרי WORDPRESS
הכותב :
יהונתן בואניש הוא מהנדס תוכנה והבעלים של BIZSENSE,
בעל תואר אבטחת מידע מהטכניון