חיזוק ההגנה של אתר וורדפרס

מחבר/כותב המאמר: ש. סביר
תאריך: 13/10/2020

המדריך הבא יעזור לך לחזק את אבטחת האתר שלך נגד הסוג הנפוץ ביותר של הפרת אבטחה: התקפות brute force (כוח אכזרי).

ההיגיון שמאחורי התקפות ה-brute force הוא פשוט: אם אני אקליד את שם המשתמש והסיסמה שלך מספיק פעמים בדף הכניסה לממשק המנהל בוורדפרס ואשתמש בשיקול דעת ובהיגיון מה יכולת לבחור כשם משתמש וסיסמא, בסופו של דבר אני אמצא אותם. (לדוגמא: כתובת המייל שלך, מספר טלפון, מספר ת. זהות, תאריך לידה שלך, דומיין האתר וכו'…)

כמובן, התקפות brute force אינן מבוצעות על ידי יחידים (בני אדם), אלא מבוצעות על ידי בוטים – בוטים המסוגלים לנסות אלפי צירופים בכל דקה.

כעת, ישנם ארבעה דברים הדרושים כדי לבצע התקפה של brute force ולהצליח:

  1. שם המשתמש שלך
  2. הסיסמה שלך
  3. דף הכניסה לאדמין 
  4. החופש לנסות אלפי שילובי שם משתמש / סיסמה שונים ללא הגבלה

אבטחה של אחד מארבעת התחומים הללו תהפוך את האתר שלך לבטוח בהרבה. עם זאת, אם תוכלו לאכוף את כל ארבעת התחומים, יש מעט מאוד סיכוי שתקיפת brute force תצליח.

להלן שלוש טיפים להגנה על וורדפרס מפני התקפות כוח אכזרי.

1. פרטי כניסה (שם משתמש וסיסמא) מאובטחים
מכירים את משפט הקופים האינסופי? התיאוריה היא כי קופים הפוגעים במכונת כתיבה באופן אקראי יכולים לשחזר את יצירותיו המלאות של שייקספיר, אם יינתן להם מספיק זמן.

למעשה יש קווי דמיון רבים בין משפט היפותטי זה לבין התקפות brute force.

הבעיה? בוטים הם הרבה יותר מתוחכמים מקופים, וזה הרבה יותר קל לנחש שתי מילים באופן אקראי מאשר מדובר במחזה של שייקספיר.

אם נותנים מספיק זמן, ניתן לפצח כל שם משתמש וסיסמא. כמובן, כמה שילובי שם משתמש וסיסמה פגיעים יותר מאחרים.

קח את שם המשתמש, מנהל המערכת והסיסמה הנפוצה ביותר, הסיסמה. כמה זמן לדעתך ייקח אפילו לבוטים הבסיסיים ביותר לפצח את השילוב הזה?

ככל שפרטי הכניסה שלך מורכבים יותר, כך קשה להם יותר "להיסדק".

לעולם אל תשתמש ב- Admin כשם המשתמש שלך. – השתמש בשילוב ארוך של אותיות רישיות, קטנות, מספרים וסמלים מיוחדים בעת בחירת הסיסמה שלך – שירות Strong Password Generator בחינם יכול לעזור בכך. פרטים נוספים על הגדרת סיסמה חזקה כאן.

2. שינוי נתיב URL של דף הכניסה
תן לי לשאול אותך משהו: כמה קשה למישהו למצוא את דף הכניסה שלך?

כשאתה משתמש בתוסף הכניסה המוגדר כברירת מחדל – www.example.com/wp-admin – אתה מקל על הרובוטים למצוא את דף הכניסה שהם רוצים לתקוף.

ללא גישה לדף הכניסה שלך, התקפות brute force אינן יכולות להצליח.

הגן על דף הכניסה שלך מפני ה-brute force על ידי העברת עמוד ה- wp-admin שלך לכתובת אתר מאובטחת יותר – תוכל לעשות זאת באמצעות תוסף או קוד.

3. הגבלת ניסיונות כניסה
אם לבוט היו שניים או שלושה ניסיונות רק לשם המשתמש והסיסמה שלך, מה הסיכוי שהוא יצליח?

רק לעבוד על בסיס שיש 26 אותיות ו -10 ספרות (36 תווים), יש 2.8 טריליון שילובים פוטנציאליים בסיסמה של 8 תווים. כלול 26 תווים גדולים יותר (62 תווים בסך הכל) ויש 218 טריליון שילובים של 8 תווים. וזה עוד לפני שנשקול את הסבירות שגם שם המשתמש שלך יתאים.

עם סיכויי כזה, מתקפת brute force יכולה להצליח רק אם תינתן לה זמן רב.

על ידי התקנת תוסף נעילת ההתחברות באתר האינטרנט שלך, תוכל להגביל את מספר ניסיונות הכניסה מכתובת IP אחת. עם מספר מוגבל של ניסיונות, הרובוטים יצטרכו הרבה מזל כדי לנחש את פרטי הכניסה שלך כהלכה.

 

לסיכום:

התקפות brute force הן האיום הביטחוני המסוכן ביותר למשתמשי WordPress.

למרבה המזל, רק כמה צעדים פשוטים יכולים להגן על אתר וורדפרס מפני הרוב המכריע של התקפות ה-brute force. שלושת הטיפים המתוארים במדריך כולם חופשיים ליישום, והם אמורים לקחת לא יותר מכמה דקות כל אחד – כך שאין תירוצים!

שתפו את המאמר:
שיתוף ב facebook
שיתוף ב google
שיתוף ב twitter
שיתוף ב linkedin
שיתוף ב telegram
שיתוף ב whatsapp
שיתוף ב email
הצטרפו לרשימת התפוצה:
כל זכויות היוצרים והקניין הרוחני המופיעים באתר זה לרבות התוכנה, בסיס הנתונים, הטקסטים, התיאורים, עיצוב האתר, הקבצים הגרפיים, התמונות, וכל חומר אחר הכלולים בו, אם לא נאמר מפורשות אחרת, שמורים ל-"קומפיוטק - פתרונות אינטרנט לעסקים" בלבד. אין להפיץ, לשכפל, להעתיק, למכור, לשדר, לפרסם, או לעשות כל שימוש מסחרי כלשהו בכל או בחלק מתכניו של האתר, כולל מוצרים, תמונות, גרפיקה, תיאורים, עיצוב וכל דבר אחר המוצג באתר, אלא אם ניתנה רשות כתובה וחתומה לכך בכתב ומראש ע''י "קומפיוטק - פתרונות אינטרנט לעסקים".