בתור מערכת ניהול התוכן הפופולרית ביותר, וורדפרס מפעילה מיליוני אתרים שונים. זו תוכנת קוד פתוח, מה שאומר שקוד המקור שלה נגיש לציבור וניתן לשנות אותו כמעט על ידי כל מי שיש לו ידע מספיק.

למרות שניתן לרכוש תוספים וערכות נושא של וורדפרס, עשרות אלפי מהם זמינים בחינם. כפי שניתן לצפות, זה לא בא בלי החסרונות שלו. אז עד כמה אתרי וורדפרס פגיעים? מה לגבי ערכות הנושא והתוספים שלה? ואיך אתה יכול להגן על האתרים שלך?

עד כמה וורדפרס פגיעה?

בפברואר 2022, Jetpack גילה כי ערכות נושא ותוספים פופולריים מהספק AccessPress Themes (הידועים גם כ-Access Keys) נפגעו. החוקרים הבחינו בפגיעות במקרה, לאחר שגילו קוד חשוד באתר שנפרץ. לאחר חקירה נוספת, הם הבינו שרוב התוספים של AccessPress וכל ערכת נושא מכילה את אותו קוד.

מאוחר יותר התברר ש-AccessPress Themes נפלה קורבן למתקפת סייבר בספטמבר 2021, עם האקרים שהחדירו דלת אחורית בתוספים של הספק ונושאים.

בסופו של דבר, AccessPress עדכנה וניקתה את המוצרים שלהם, אך ככל הנראה אלפי משתמשים היו חשופים להתקפות במשך תקופה ארוכה.

האם לתוספי וערכות נושא של וורדפרס יש פגיעויות?

הממצאים של Jetpack מדגישים עד כמה וורדפרס יכולה להיות פגיעה. אבל זה לא היה מקרה בודד.

instagram viewer

במרץ 2021, למשל, גדר מילים חשף נקודות תורפה גדולות בשני תוספים של וורדפרס, שאם ניצלו בהצלחה, היו מאפשרים לתוקף להשתלט על אתר אינטרנט. הפגיעויות התגלו בתוספים Elementor ו-WP Super Cache. Elementor הוא בונה אתרים המשמש ביותר משבעה מיליון אתרים, בעוד WP Super Cache הוא תוסף מטמון פופולרי.

בפברואר 2022, as יומן מנוע חיפוש דיווח, מאגר המידע של ממשלת ארצות הברית ופגיעות וחוקרי אבטחה של וורדפרס הזהירו מפני פגיעויות חמורות בעשרות תוספים של וורדפרס.

מתוך התוספים הללו, תשעה היו בשימוש ביותר מ-1.3 מיליון אתרים: מנהל קוד כותרת תחתונה, מכניס מודעות—Ad Manager ומודעות AdSense, בונה קופצים, אנטי-זדוניות אבטחה וחומת אש Brute-Force, הגנה על העתקת תוכן של WP וללא קליק ימני, גיבוי מסד נתונים עבור WordPress, GiveWP, מנהל הורדות ומסד נתונים מתקדם מְנַקֶה.

כיצד לאבטח את אתר הוורדפרס שלך

אפשר היה להניח שפגיעות אלה תמיד מתוקנות או מוסרות ברגע שמתגלות, אבל זה למעשה לא המקרה.

מחקר מ Patchstack מצא שבשנת 2021 נרשמה עלייה של 150 אחוז בפרצות וורדפרס שדווחו בהשוואה לשנת 2020 - ו-29 אחוז מהחולשות הללו לא קיבלו תיקון. Patchstack גם גילתה שרק 0.58 אחוז מהפגמים שדווחו היו בליבת וורדפרס, מה שאומר שפגיעויות נמצאות כמעט תמיד בתוספים.

זה קריטי לוודא שכל התוספים שבהם אתה משתמש מעודכנים, כמו גם הליבה של וורדפרס עצמה.

לפני הורדה והתקנה של תוסף, ודא שתעשה קצת מחקר קודם. בדוק כמה התקנות יש לתוסף, קרא ביקורות באינטרנט, ראה מתי הוא עודכן לאחרונה, ובדקו האם הוא נבדק עם ליבת וורדפרס העדכנית ביותר. זה ייקח רק כמה דקות, אבל זה יכול לחסוך ממך הרבה צרות בהמשך הדרך.

לחלופין, אתה יכול להשתמש WPScan, שהוא סורק פגיעות וורדפרס פשוט ויעיל למדי. ניתן להשתמש בכלי זה גם כדי לחפש תוסף לפי שם. הגרסה החינמית מאפשרת עד 25 בקשות API ליום.

למרבה המזל, תוספים מסוימים נועדו למעשה להגן על אתר הוורדפרס שלך מפני פולשים. נעילת התחברות, Wordfence, BulletProof Security הם מהטובים ביותר תוספי אבטחה של וורדפרס היום. Login LockDown הוא חינמי לחלוטין, בעוד שלשניים האחרים יש דגמים בסיסיים וחינמיים.

עצות בטיחות וורדפרס

עד כמה ש-WordPress יכולה להיות פגיעה, נקיטת אמצעי זהירות אבטחה בסיסית עושה דרך ארוכה בכל הנוגע למניעה ולהדוף מתקפות סייבר.

שימוש בפרטי התחברות ייחודיים ובאימות דו-גורמי, שמירה על כל התוכנות מעודכנות, הסתרת שמות ערכות נושא ופרטי התחברות צריכים להיות הבסיס להיגיינת האבטחה של וורדפרס שלך.

כיצד לאבטח את אתר הוורדפרס שלך ב-5 שלבים פשוטים

קרא הבא

לַחֲלוֹקצִיוּץלַחֲלוֹקאימייל

נושאים קשורים

  • בִּטָחוֹן
  • מרשתת
  • אבטחה מקוונת
  • תוספים של וורדפרס
  • וורדפרס
  • ערכות נושא של וורדפרס

על הסופר

דמיר מויז'ינוביץ' (23 מאמרים שפורסמו)

דמיר הוא סופר וכתב עצמאי שעבודתו מתמקדת באבטחת סייבר. מעבר לכתיבה, הוא נהנה מקריאה, מוזיקה וקולנוע.

עוד מדמיר מוג'ינוביץ'

הירשם לניוזלטר שלנו

הצטרף לניוזלטר שלנו לקבלת טיפים טכניים, ביקורות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!

לחץ כאן כדי להירשם