כיצד לחסום גישה לקבצים ולכתובות קריטיות בוורדפרס ולהגן על האתר
תוכן עניינים
וורדפרס היא מערכת ניהול התוכן הפופולרית בעולם, אך בדיוק בגלל זה היא גם מהווה מטרה להאקרים.
כדי לשמור על אבטחת האתר, חשוב לחסום גישה לכתובות קריטיות ולנקודות גישה רגישות.
במאמר זה נסביר כיצד לעשות זאת.
זהירות: זהו מאמר למשתמשים מנוסים. אם אתם לא יודעים מה כל שורה בקוד עושה אתם עשויים להחסם מחוץ לאתר שלכם !
כתובות קריטיות שחובה לחסום
ישנם מספר נתיבים קריטיים באתר וורדפרס שעלולים לשמש תוקפים לצורך חדירה למערכת:
/wp-admin/ – ממשק הניהול של האתר, דרכו ניתן לגשת לכלל ההגדרות והתוכן.
/wp-login.php – דף ההתחברות לאתר, המהווה מטרה עיקרית לניסיונות פריצה (Brute Force Attack).
/wp-config.php – קובץ ההגדרות המרכזי של וורדפרס, הכולל מידע רגיש כמו פרטי החיבור למסד הנתונים.
/wp-includes/ – תיקיית קבצי מערכת של וורדפרס.
/wp-content/plugins/ – תיקיית התוספים, דרכה תוקפים עשויים לנסות לנצל חולשות אבטחה בתוספים לא מעודכנים.
/wp-content/themes/ – תיקיית התבניות, שעלולה לכלול קבצים עם פרצות אבטחה.
נקודות גישה נוספות שמומלץ לחסום
בנוסף לחסימת כתובות קריטיות, מומלץ להגביל גישה לקבצים ותיקיות נוספות:
/xmlrpc.php – פרוטוקול XML-RPC של וורדפרס, המשמש לניהול מרחוק, אך גם עלול לאפשר מתקפות Brute Force והזרקות קוד.
/wp-json/ – ה-API של וורדפרס, שיכול לחשוף מידע רגיש על משתמשים ופוסטים.
readme.html – קובץ ברירת מחדל של וורדפרס שמציג את גרסת המערכת, מידע שעשוי להועיל לתוקפים.
license.txt – קובץ הרישיון של וורדפרס, שלא חיוני לפרסום ועשוי לחשוף מידע על גרסת המערכת.
כיצד לחסום את הגישה לקבצים אלו?
חסימה באמצעות קובץ .htaccess (בשרתים מבוססי Apache)
הוסיפו את השורות הבאות לקובץ .htaccess שנמצא בתיקיית השורש של האתר:
# חסימת גישה לנתיבים קריטיים
<FilesMatch "(wp-config.php|xmlrpc.php|readme.html|license.txt)">
Order Allow,Deny
Deny from all
</FilesMatch>
# חסימת גישה לתיקיות רגישות
RewriteRule ^wp-admin$ - [F,L]
RewriteRule ^wp-includes/ - [F,L]
RewriteRule ^wp-content/plugins/ - [F,L]
RewriteRule ^wp-content/themes/ - [F,L]
הגבלת גישה ל-WP-Admin לפי כתובת IP
אם ברצונכם לאפשר גישה ל-WP-Admin רק מכתובת IP מסוימת:
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789.000
</Files>
החליפו את 123.456.789.000 בכתובת ה-IP שלכם.
חסימת xmlrpc.php באמצעות functions.php
אם אתם לא משתמשים בפרוטוקול XML-RPC, מומלץ לחסום אותו דרך קובץ functions.php של התבנית:
add_filter( 'xmlrpc_enabled', '__return_false' );
למי שלא מנוסה: שימוש בתוספי אבטחה
אם אינכם בטוחים כיצד לבצע את ההגדרות הללו באופן ידני, ניתן להשתמש בתוספי אבטחה שמבצעים זאת עבורכם.
תוספים לדוגמה:
-
Wordfence Security – חומת אש וסורק אבטחה חזק.
-
iThemes Security – תוסף עם הגנות על WP-Admin, חסימת XML-RPC, ועוד.
-
All In One WP Security & Firewall – פתרון קל לשימוש עם הגדרות מותאמות למשתמשים שאינם טכניים.
שמירה על אבטחת האתר שלכם היא הכרחית למניעת פריצות וניסיונות תקיפה. מומלץ לבצע את הפעולות המפורטות לעיל או להשתמש בתוסף אבטחה שיטפל בכך באופן אוטומטי. אל תשאירו את האתר שלכם חשוף – אבטחה מתחילה בצעדים פשוטים שניתן ליישם במהירות.
