האם וורדפרס מאובטחת נגד פריצות?

פורסם 6 פברואר, 2014
שיתוף
whatsapp sharing button
facebook sharing button
linkedin sharing button
email sharing button
האם וורדפרס מאובטחת נגד פריצות?
דני שקד, מומחה לשיווק באינטרנט
מאת דני שקד

במילה אחת כן! לתשובה הקצרה עברו לפסקה האחרונה.

לתשובה הארוכה המשיכו לקרוא…

וורדפרס היא מערכת ניהול התוכן (CMS) הפופולארית ביותר כיום, והיא שולטת ללא עוררין בשוק זה – אולם השאלה האם היא מאובטחת דיה מרחפת מעליה מאז ותמיד ומרתיעה לא מעט אנשים המעוניינים להקים אתר ואף אנשי מקצוע בתחום בניית אתרים מלהשתמש במערכת.

החשש מובן: באינטרנט, כמו בעולם עצמו, יש לא מעט גורמים עוינים המבקשים לחבל בעמלם של אחרים, ובעבר נרשמו מספר אירועים שבהם מי שבנה אתר באמצעות וורדפרס היה חשוף להאקרים ולפריצות. מקרה מפורסם אחד אירע באפריל 2011, ועל אף התגובה המהירה – סגירת הפרצה (על ידי מתכנתים המשתייכים לקהיליית הוורדפרס) והפצה נרחבת ואינטנסיבית של הצורך בעדכון ערכות עיצוב מסוימות (שדרכן ניתן היה לפרוץ לאתרים) – עדיין לא מעט אתרים נפגעו בשל פעילות זדונית של האקרים שניצלו את הפרצה.

אולם, מרגיעים מומחים בתחום, שימוש מושכל בוורדפרס, ובעיקר מתן תשומת לב מתמדת לנושא האבטחה הופך את המערכת לבטוחה לפחות כמו כל מערכת ניהול תוכן אחרת אם לא יותר.

הפופולאריות של וורדפרס בעוכריה

המספרים של וורדפרס, ללא ספק, מרשימים: על פי נתוני החברה שעומדת מאחורי מערכת ניהול התוכן שהושקה ב- 2003 ומאז השתנתה כמובן ללא הכר, נכון לסוף 2013 היו קרוב ל- 75 מיליון אתרי אינטרנט שנבנו על גבי המערכת. אמנם לא כל האתרים בהכרח פעילים, אולם על פי מחקרים שונים, מתוך 10,000 האתרים הגדולים ביותר נכון לסוף שנת 2013, כ- 12% נבנו עם וורדפרס, כשבוחנים את מיליון האתרים הגדולים שיעורם של אלה שהוקמו על גבי פלטפורמה זו מזנק ל- 17% וכמובן שגם בקרב אתרים קטנים יותר וורדפרס היא הבחירה המובילה, ברוב מוחץ (כ- 20% לעומת כ- 3% לג'ומלה ו- 2% לדרופל, 2 מערכות ניהול התוכן הבאות בתור מבחינת פופולאריות).

אבל הפופולאריות של וורדפרס היא גם בעוכריה: להאקרים ולכל מי שרוצה לפגוע באתרי אינטרנט "משתלם" יותר לחפש פרצות אבטחה בוורדפרס, שכן כל פרצה כזו תוביל אותו לאתרים רבים יותר ולנזק משמעותי יותר – אם בוורדפרס יש פי 7 עד פי 10 אתרים ביחס לג'ומלה או דרופל, הרי שגם הנזק הפוטנציאלי שאפשר לגרום גדול פי 7 עד פי 10, בהחלט תמריץ משמעותי, ואכן האקרים רבים מתמקדים בחיפוש פרצות אבטחה בוורדפרס.

האם המערכת עצמה מוגנת?

אף תוכנה או מערכת אינטרנטית אינה מוגנת במלוא מאת האחוזים מפני ניסיונות פריצה, אולם בקרב מומחי אבטחה קיים קונצנזוס לגבי השיפור המשמעותי שמציגה וורדפרס, ובעיקר מאז קיץ 2009.

במהלך אותו קיץ, בין יולי לנובמבר ליתר דיוק, הושקו לא פחות משש גרסאות חדשות של וורדפרס, מ- 2.8.1 ועד 2.8.6, כולן במטרה לסתום חורים ולהקטין את הסיכון כי אתרים שנבנו ונבנים על גבי פלטפורמה זו ייפרצו.

מאז אותם עדכונים המערכת הבסיסית של וורדפרס נהנית מרמת אבטחה גבוהה, שהולכת ומשתפרת עוד יותר, כך שמי שמקפיד להשתמש תמיד בגרסה העדכנית ביותר של המערכת נהנה מרמת הגנה גבוהה.

מה לגבי התוספים, ערכות העיצוב והתבניות השונות?

חוליה נוסף בשרשרת הקובעת את רמת האבטחה של אתרים שנבנו על גבי וורדפרס היא הפלאגינים, הטמפלטים, ערכות העיצוב ושאר התוספות שהופכות את השימוש במערכת למרובה אפשרויות ואת האתרים עצמם לעשירים ומוצלחים יותר.

מאחר שזו עלולה להיות החוליה החלשה, בהחלט יש להקדיש לה תשומת לב מיוחדת, שכן הפריצה הגדולה באפריל 2011 אירעה כאמור עקב פרצת אבטחה בערכת עיצוב, וגם חודשיים לאחר מכן, כשכל משתמשי וורדפרס נתבקשו לאפס את הסיסמה שלהם, מקור הכשל באבטחה היה בפלאגין פופולארי.

איך להתגונן בפני פריצות?

ההמלצה הראשונה, שאולי לחלק מהמשתמשים בוורדפרס ובאינטרנט בכלל נראית מובנת מאליה, היא לבחור שם משתמש וסיסמה קשים לגילוי. לכאורה כאמור מדובר בקונספט ברור מאליו, אולם תתפלאו לדעת כמה משתמשים נקראים "ADMIN" וכמה אנשים בוחרים בסיסמאות דוגמת QWERTY או 123123 וכו'. בחירה מושכלת יותר של שם משתמש וסיסמה תקשה על האקרים לנצל פרצות אבטחה באתר שלכם ותהפוך אותו לבטוח יותר.

המלצה נוספת היא כאמור להשתמש תמיד בגרסה העדכנית ביותר של הוורדפרס, שהיא גם זו המוגנת ביותר מטבע הדברים, שהרי בכל פעם שמתגלה פרצה ממהרים חברי קהיליית הוורדפרס לסתום אותה.

כמו כן חשוב להשתמש גם במודולים, בתבניות, בערכות העיצוב ובפלאגינים העדכניים ביותר, מאותה סיבה בדיוק.

אמנם הדבר דורש עבודת תחזוקה לא מעטה, ובפרט עבור מי שבבעלותו כמה וכמה אתרי אינטרנט או שמתפעל מספר רב של אתרים, וכשתדירות העדכונים גבוהה הדבר עלול להיות מתיש במיוחד – ובכל זאת לא כדאי לוותר על העדכונים, שכן המשוואה פשוטה: גרסה עדכנית היא גרסה מוגנת, גרסה ישנה היא יעד אטרקטיבי להאקרים.

בנוסף חשוב לגבות, לגבות ולגבות. רבים מאיתנו מקפידים על גיבויים רק אחרי שחומר יקר ערך יורד לטמיון ועם הזמן נוטים לשכוח עד כמה הדבר חשוב – רצוי לזכור זאת כל הזמן…

חיכינו עד סוף המאמר כדי להעביר את המסר החשוב ביותר

בחירת שרת אחסון איכותי ומאובטח הינה ללא ספק השיטה הטובה ביותר להקטנת הסיכון שאתר הוורדפרס שלכם ייפרץ, תסלחו לי אתם ו GoDaddy אבל אחסונים של 3-5$ בחודש הם פשוט אחסונים לא רציניים, אם אתם עסק רציני שלוקח את האתר והנראות שלכם באינטרנט ברצינות, תשקיעו 55 ש"ח בחודש על האחסון האיכותי ביותר ותורידו את הכאב ראש ל "0".

יש לנו אין ספור דוגמאות של לקוחות שאחסנו בחו"ל או בארץ במחירים מצחיקים והאתרים שלהם נפרצו פעמיים בחודש, העברנו את האתר אלינו ומאז לא הייתה שום פריצה, בלי קשר לעדכון גרסאות ובלי קשר לתוספים, שכן מותקנים עשרות תוספים שונים והכל תקין.

בנינו אתרים ללקוחות גדולים כמו מפעל הפיס, פרופסור קרסו וחברות נדל"ן וכמו כן גם לאתרים קטנים של חברות קטנות, בלי לפתוח פה… לא דווחה פריצה לאף אתר שלנו שנמצא באחסון האיכותי כבר מעל 4 שנים.. (טפו טפו :))

לאחסון איכותי ומאובטח התקשרו 03-5465556 או שלחו פנייה בטופס הבא.

Scroll to top caret