אבטחת אתרי וורדפרס – סקר מסכם 2015
נכתב ב-13 בינואר 2016
כל מי שעוסק בתחום פיתוח אתרי וורדפרס, יעיד על כך שמספר הפריצות לאתרים עלו משמעותית. הסיבות לכך: הפופולריות הגואה של וורדפרס, בוני אתרים לא מקצועיים, שרתים לא מאובטחים וכלי פריצה פשוטים וקלים לשימוש. בחלק ניכר מהמקרים, בעלי האתרים כלל לא ידעו כי האתר שלהם נפרץ, וקיבלו את המידע ממקורות חיצוניים כמו גוגל או חברת האחסון שלהם.
אישית, לא נתקלתי כמעט בכלל בפריצות השחתה, אלא בפריצות שמטרתן להשתמש באתר כפלטפורמה ספאמית ופרסומית. הפורצים השתילו בתבנית הוורדפרס קוד מוצפן שהוסיף לינקים לאתרי ויאגרה ודומיהם, ולעתים אף שתלו תיקייה שלמה עם מעין מיני אתר, שמשתמש במשאבים של האתר המקורי. אלה פריצות שהרבה יותר קשה לראות ולאתר. בחלק מהמקרים, גם קבצי הליבה של וורדפרס היו נגועים, או שהועלו לשרת קבצים שמטרתם היתה לשחזר את הקוד הפרוץ, במידה שיימחק.
הדרך הכי טובה להתמודד עם פריצה היא לבצע גיבויים שוטפים. בנוסף, ישנם מספר תוספים טובים שעוזרים להתמודד עם פריצות ואף למנוע אותן, אם כי לא תמיד הם מצליחים לאתר את הפריצה או לטפל בה, ואז נדרש טיפול של איש מקצוע, שיאתר את כל הקוד הנגוע וישמיד אותו. אחד התוספים הטובים במאגר וורדפרס נקרא Wordfence, והוא מבצע סריקות באתר ואף לטפל בחלק ממקרי הפריצה. בבלוג של וורדפנס פירסמו סקר אבטחה שבוצע במהלך 2015, ובו נסקרו למעלה מ-7,000 אנשים – בוני אתרים ומשתמשים רגילים במערכת. הנתונים מעניינים, רק חשוב לזכור שמדובר בחברה שיש לה פוזיציה ואינטרסים ברורים בתחום הפריצות ואבטחת המידע. הנה מבחר מהנתונים שעלו מהסקר:
- שימושים באתר וורדפרס: 58% מהנסקרים ציינו כי הם משתמשים בוורדפרס עבור אתר עסקי או אתר תדמיתי, ללא רכיב של e-commerce. פחות ממחצית מהנסקרים, 49.3%, משתמשים בוורדפרס כפלטפורמה לבלוג בלבד (הנסקרים יכלו לבחור יותר משימוש אחד שהם עושים באתר).
- 66% מהנסקרים ציינו כי מדובר באתר עסקי. 29% משתמשים בוורדפרס לצרכים אישיים בלבד (כמו תחביבים ובלוגים פרטיים).
- רק 33% ציינו שיקימו אתר חדש על פלטפורמה שאינה וורדפרס בשנה הקרובה.
- תוספים: בממוצע, באתר וורדפרס סטנדרטי יש כ-12 תוספים. 10 מהם חינמיים. בין התוספים הפופולריים ניתן למנות את Yoast (תוסף SEO), סליידר רוולושן (מצגת תמונות מתקדמת), תוספי קאש שונים, תוסף ACF לטיפול בשדות מיוחדים ועוד.
- פריצות לאתרי וורדפרס: 38.9% מהנסקרים דיווחו כי אתרם נפרץ בשנה האחרונה. רובם גילו זאת לאחר ביקור באתר, כאשר חברת ההוסטינג סגרה להם את החשבון, או כאשר ביצעו סריקה באתר באמצעות תוספים שונים.
- מניעת פריצות באתר: הצעדים הפופולריים להגנה על אתר וורדפרס כוללים הקפדה על עדכוני גירסת וורדפרס, עדכון תוספים ותבניות, שימוש בסיסמאות חזקות ותוספי אבטחה ואחסון האתר בחברה ידועה ובעלת מוניטין.
לתוצאות הסקר המלאות, כולל אינפוגרפיקה.
