התקנת וורדפרס בצורה הכי מאובטחת

אחת מנקודות התורפה של וורדפרס היא ההתקנה, איך שאתם מתקינים את וורדפרס בפעם הראשונה יהווה גורם משמעותי לגבי עתיד הפריצות לאתר שלכם וגישה לממסד הנתונים. במאמר זה ננסה להבין למה ההתקנה האוטומטית של וורדפרס היא בעיה רצינית, ולה עדיף התקנה ידנית, כלי שבהם אפשר להתקין וורדפרס דרך השרת הם: הבעיה עם התקנה אוטומטית המסלול הכי […]

אחת מנקודות התורפה של וורדפרס היא ההתקנה, איך שאתם מתקינים את וורדפרס בפעם הראשונה יהווה גורם משמעותי לגבי עתיד הפריצות לאתר שלכם וגישה לממסד הנתונים.

במאמר זה ננסה להבין למה ההתקנה האוטומטית של וורדפרס היא בעיה רצינית, ולה עדיף התקנה ידנית, כלי שבהם אפשר להתקין וורדפרס דרך השרת הם:

הבעיה עם התקנה אוטומטית

המסלול הכי פשוט וקל זה בצורה אוטומטית דרך הממשק ניהול של הרשת.
רק כמה דוגמאות לכלים שאפשר לעשות זאת:
Fantastico
APS- Plesk
Softaculous
Installatron

בעוד תוכנות כאלו ואחרות יכולים בהחלט לחסוך זמן בהתקנת הוורדפרס שלכם עדיין אנחנו ניצבים בפני בעיה שבהתקנה בצורה כזו אתם מגדירים את ההגדרות הבסיסיות ביותר. ובדרך הזו אתם מאפשרים לכל האקר מתחיל מתכון לפריצה בצורה מאוד קלה (אולי פעם נדגים עד כמה זה קל).

איפה האקרים יתקפו בעיקר?

כדי לתת לכם מושג טוב יותר של איך הדברים יכולים להשתבש, בואו נעיף מבט על כמה מן האזורים השכיחים כשמתקינים וורדפרס בלחיצה אחת:

  1. סיסמאות ממסד הנתונים הם מאוד קלות ללא, אותיות גדולות וקטנות, מספרים או סימנים
  2. שמות ממסד SQL מכילים שמות מאוד רצופים כמו WP_20 , WP_21, WP_22 וכו'…
  3. אין הרשאות מאימות לקובץ הכי חשוב בוורדפרס wp-config.php
  4. חוסר אמצעי בטיחות מוחלט ב .htaccess
  5. שם משתמשם וסיסיה של ניהול הוורדפרס שלכם (בדר"כ admin)
  6. שום ספריה לא חסומה מרובוטים.
    ועוד חורי אבטחה בסיסיים כאלו ואחרים…

במילים אחרות אף על פי שהתקנה אוטומטית הינה הדרך הקלה והמהירה להתקין את הוורדפרס שלכם על השרת, דעו לכם שדרך זו היא המסוכנת והפרוצה ביותר שיכול להיות, ומצריך לא מעט שינויים בסיסיים בכדי להטיח אתר וורדפרס מאובטח.

כל מה שדיברנו כאן על קצה המזלג וישנם עוד לא מעט סידורי אבטחה מבחינת שרת שנביא בהמשך.

 

 


אודות הכותב