איך מגינים על אתרי וורדפרס מפני מתקפות ברוט פורס?

תוכן עניינים

יעל ליבוביץ', עורכת תוכן ראשית.

אם אתם מפעילים אתר וורדפרס, אתם חשופים לאיומי סייבר שונים. לכן, בדיוק כפי שאתם משקיעים בעיצוב ובתחזוקת האתר, אתם מוכרחים להקדיש תשומת לב רבה גם לאבטחה שלו.

אחד האיומים הבולטים והנפוצים ביותר הוא מתקפת brute force (כוח גס). 

מהי מתקפת ברוט פורס?

מתקפת ברוט פורס מעניקה להאקרים שליטה מלאה באתר שלכם, ולא תמיד זה הפיך. כלומר, בעקבות מתקפה כזו אתם יכולים לאבד לגמרי את הנכס הדיגיטלי שלכם, ואיתו את הלקוחות שנהגו לבקר בו ואת הרווחים שקטפתם בזכותו.

איך זה עובד? יש כל מיני שיטות וגישות שונות, אבל לכולן אותה מטרה: לפרוץ למשתמש שלכם, בתור מנהלי האתר, ולהשיג גישה לאתר כולו. לשם כך, התוקפים מנסים את כל השילובים האפשריים של שמות משתמש וסיסמאות.

אנחנו לא מתכוונים שהם יושבים ומקלידים שילוב אחר שילוב, כמובן. האקרים יוצרים תוכנות, שמבצעות ניסיונות רבים לאיתור הפרטים ולפריצה לחשבון. הם משתמשים בכתובות IP שונות, כדי להתגבר על כמה אמצעי אבטחה בסיסיים אשר מספק תוסף האבטחה הדיפולטיבי של וורדפרס.

האקרים מוצאים כל הזמן דרכים לעקוף תוספי אבטחה, ומפתחים שיטות חדשות לביצוע מתקפות כוח גס. לכן, אתם חייבים להיות מוכנים ולהגן בצורה אקטיבית על האתר שלכם. 

זה הזמן להכיר כמה דרכים, שיעזרו לכם למנוע גישה מתוקפים ולספק לאתר הוורדפרס שלכם את ההגנה לה הוא זקוק.

הגבלת ניסיונות כניסה

מתקפת ברוט פורס נועדה לגנוב את אישורי הכניסה של מנהל המערכת. אחת הסיבות לכך שמתקפות רבות כאלה משיגות את המטרה הזו, בעיקר באתרי וורדפרס, היא השארת ברירת המחדל לפיה ניתנים ניסיונות כניסה ללא הגבלה למערכת. 

לכן, חשוב שתקפידו להגביל את הניסיונות הללו. הדרך הטובה ביותר לעשות זאת, היא להגדיר חסימה של החשבון לאחר מספר מסוים של ניסיונות כניסה, על מנת למנוע מבוטים לבצע ניסיונות מרובים. 

לחילופין, אתם יכולים לספק אפשרויות למשתמשים אמיתיים, במקרים בה שכחו את הסיסמה שלהם, באמצעות אימות שני כמו ב-captcha או שאלת אבטחה.

החלפת ה-URL של עמוד ההתחברות

הגבלת הניסיונות מקשה על תוקפים, בשלב בו הם כבר מצליחים לאתר את הכתובת של עמוד ההתחברות לאתר. עוד קודם לכן, כדאי לנסות למנוע מהם את האיתור הזה. 

דרך פשוטה לעשות זאת, היא לשנות את כתובת האתר הנפוצה לדף ההתחברות של מנהל המערכת. להאקרים קל יותר למצוא את כתובת האתר המוגדרת כברירת מחדל – כגון /wp-login.php, /wp-admin או /admin. שינוי ידני של כתובת ה-URL של עמוד ההתחברות, שימוש בתוסף אבטחה ייעודי, מקשה על האקרים לפרוץ.

אימות דו-שלבי

שלב זה מחזק את האתר שלכם, והוא מומלץ לא רק בהקשר של מתקפות ברוט פורס. כאשר נדרשת הרשאה שנייה, תוקפים לא יכולים לפרוץ לאתר שלכם. שלב זה מערב שימוש בטלפון נייד או בכתובת דוא"ל אחרת, אליהם המערכת שולחת קוד אבטחה. 

הקוד תקף לזמן מוגבל, ובאמצעות הזנתו ניתן יהיה להיכנס לאתר. שכבת ההגנה הנוספת מקשה עוד יותר על האקרים למצוא את הסיסמה לניהול האתר שלכם.

שימוש בסיסמאות חזקות וייחודיות

דרך נוספת להקשות על האקרים של וורדפרס, היא באמצעות סיסמה שקשה לנחש, גם באמצעות בוטים מתוחכמים. אתם יכולים לשלב אותיות (קטנות וגדולות), מספרים וסמלים – העיקר שזו תהיה סיסמה חזקה, לא בנלית וכזו שלא נמצאת בשימוש שלכם באתרים אחרים.

שימו לב: קשה לזכור סיסמאות, במיוחד אם הן מסובכות במיוחד. תקפידו לשמור אותן במקום מאובטח.

התקנת תוספים 

מתקפות ברוט פורס מתבצעות (לרוב) באמצעות מספר כתובות IP. לכן, אתם צריכים תוסף של חומת אש, שיזהה כתובות מזיקות ויסנן אותן. בנוסף, לרוב התוספים יש רשימה פעילה של כתובות חשודות שנחסמו מאתרים אחרים המשתמשים באותו תוסף. 

אפשר גם להתקין תוסף גיבוי, שמהווה את המוצא האחרון להצלת האתר שלכם מהתקפת כוח גס, ולמעשה מכל סוג אחר של מתקפת סייבר. כאשר כל שכבות ההגנה מתפרקות, גיבוי מאפשר לכם להמשיך את פעילות האתר באמצעות שחזור נתונים. 

אתם יכולים להשתמש בתוסף גיבוי שמתאים לצרכים שלכם, ומומלץ גם לקיים גיבוי ידני.

לסיכום

ככל שתדעו יותר על האיומים השונים, כך תוכלו להתגונן מפניהם בצורה יותר טובה ויעילה. אל תיתנו להאקרים לקחת את האתר הכל כך יקר לכם.

אהתם את הכתבה? מוזמנים להשאיר תגובה:

דילוג לתוכן