שיטות להגנה על מסך הלוגין בוורדפרס
נכתב ב-12 בנובמבר 2020
השומר בשער: מסך הכניסה לאתר הוורדפרס שלכם הוא מטרה נוחה ופופולרית לפורצים. אפשר להגן עליו בקלות יחסית ולשפר את רמת האבטחה של האתר.
וורדפרס היא מערכת ניהול התוכן הכי פופולרית בעולם, וככזו – היא גם הפכה למטרה מבוקשת לפריצות לאתרי אינטרנט. אפשר לפרוץ לאתר וורדפרס בדרכים מגוונות, המנצלות חולשות שונות. אחד מנתיבי הפריצה הנפוצים ביותר הוא דרך מסך הלוגין של וורדפרס – המקום בו המשתמש מזין שם וסיסמא כדי להיכנס לאתר. אנחנו לא מדברים כאן על האקר עם קפוצ'ון בחדר חשוך, שיושב ומנסה סיסמאות, אלא על סקריפטים אוטומטיים שרצים על אלפי אתרים, ומחפשים דרכי כניסה והשחתה.
הערת אגב: סיסמא חזקה היא אלמנט חשוב באבטחה הכוללת של אתר הוורדפרס שלכם, ואין לוותר עליה. עם זאת, הסיסמא היא המפתח לשער. אם נקשה על הפורצים להגיע לשער – הרי שהוספנו שכבת אבטחה משמעותית לאתר. בנוסף, אם יש לכם באתר משתמש עם השם admin – מחקו אותו והחליפו אותו בשם אחר. שם משתמש זה מהווה גם כן מטרה נוחה לפריצות.
איך מגינים על מסך הלוגין בוורדפרס?
הסתרת מסך לוגין באמצעות שינוי URL
כברירת מחדל, הכניסה לוורדפרס נמצאת בכתובת mysite.com/wp-admin (החליפו את mysite בכתובת האתר שלכם, כמובן). אם נחליף את ה-URL הזה למשהו אזוטרי וקשה לניחוש, סביר להניח שהסקריפט ינסה לחפש את הלוגין בכתובת המקובלת, יראה שהוא אינו שם וימשיך הלאה. כך למשל, אפשר לשנות את כתובת הלוגין ל-mysite.com/thegate או כל וריאציה אחרת שקל לכם לזכור. אפשר גם להחליף את כתובת ה-URL הזו מדי פעם.
ניתן לבצע שינוי זה ידנית או באמצעות תוסף, דוגמת WPS Hide Login.
הגבלת מספר נסיונות הכניסה לאתר
המשתמש המצוי עלול לשגות פעם או פעמיים בהזנת הסיסמא שלו, אולם אם מדובר בסקריפט, ייתכנו עשרות ומאות נסיונות של כניסה למערכת. לכן, הגבלת מספר הנסיונות המותר בכניסה למערכת היא פרקטיקה נפוצה ומקובלת במערכות שונות. אם משתמש או סקריפט ייכשלו בנסיון הכניסה שלהם X פעמים (שלושה נסיונות, למשל), כתובת ה-IP ו/או המשתמש שלהם ייחסמו והם לא יוכלו להיכנס לאתר. תוספי אבטחה שונים כמו סוקורי ו-Wordfence מאפשרים הגבלת מספר כניסות. ישנם גם תוספים ייעודיים לכך, כמו WP Limit Login.
אימות דו שלבי
שיטה נפוצה להגנה על חשבונות דואר אלקטרוני, חשבונות בנק ומערכות אחרות, היא אימות דו שלבי. בשיטה זו, המשתמש מזין שם וסיסמא, ומתבקש להזין קוד חד פעמי שנשלח אליו במייל או ב-SMS. אפשר להפעיל שיטה זו גם בוורדפרס, באמצעות תוסף דוגמת Google Authenticator.
הגבלת כתובות IP המורשות לגשת למסך הכניסה לאתר
שיטה זו ישימה במקרים שבהם אדם בודד מנהל את האתר, או שלמשתמשים יש כתובת אייפי קבועה. בשיטת הגנה זו על מסך הלוגין, מגדירים לאילו כתובות IP יש גישה ל-URL הכניסה לאתר. כל שאר כתובות האייפי נדחות ומקבלות שגיאה 403 (גישה נדחית). את ההגבלה מבצעים באמצעות עריכה של קובץ ה-htaccess. אזהרה: אם אינכם יודעים או מכירים את הקובץ הזה, אל תנסו לעשות את זה לבד, ובכל מקרה – גבו את הקובץ לפני שאתם עושים בו שינויים. כתיבה לא נכונה בקובץ הזה תמנע מכל הגולשים ומנועי החיפוש גישה לאתר שלכם. בקובץ ה-htaccess יש להזין את השורות הבאות (הקוד מובא בתמונה וגם כטקסט חי מפייסטבין, למקרה שפייסטבין יחליט שלא בא לו לטעון את האייפריים):
שנו את כתובת האייפי לכתובת שלכם. קחו בחשבון שבמידה שאין לכם כתובת אייפי קבועה, בכל פעם שתאתחלו את הראוטר או תתנתקו מהאינטרנט, תצטרכו לגשת ל-htaccess ולעדכן אותו כשאתם רוצים להיכנס לאתר. מצד שני, זוהי שיטת אבטחה טובה וחזקה נגד פריצות המנצלות חולשות במסך הלוגין.