מאמר זה יעסוק באתר וורדפרס שסבל מהתקפה של האקרים, איך מתמודדים עם זה ואילו כלים יעזרו לכם להגן על האתר וורדפרס שלכם בעתיד (בתקווה). כיוון שאינני יודע עד כמה חמורה הפריצה לאתר שלכם אינני יכול להבטיח כי הצעדים במאמר זה יעזרו לכם לשקם את האתר שלכם אך בהחלט ננסה.
צעד ראשון: הישארו רגועים
ראשית עליכם להישאר רגועים. אנו הולכים לבצע מספר פעולות טכניות, חלקן מורכבות ואין דבר כמו לחץ כגורם לשגיאות. אני יודע שרבים משקיעים את נשמתם באתר אבל אין ברירה אלא להתמודד עם המצב כרגע.צעד שני: סריקת וירוסים ו-Malware
לעיתים עשוי להיות לנו על המחשב וירוס או malware ששולח את הנתונים שאנו מקלידים כאשר אנו מתחברים כדי לנהל את האתר שלנו אל מישהו ברשת ללא ידיעתנו אז לפני שננדב בלא יודעין את הסיסמה שוב ושוב כדאי לבדוק טוב שזה לא המצב. אם אין לכם אנטי וירוס תוכלו להוריד אנטי וירוס בחינם מאתר AVG או Avast. בדומה ניתן להוריד גם תוכנה אשר סורקת ומשמידה malware בחינם ברשת אך לא הוספתי קישור כיוון שלא מצאתי אתר המציע זאת בצורה קבועה. פשוט תעשו חיפוש עם מילת המפתח "free malware"צעד שלישי: פנו אל חברת האחסון שלכם!
מקור מידע טוב הוא החברה אשר מארחת לכם את האתר. פעמים רבות אתם תגלו שלא פרצו רק לאתר שלכם (אם אתם מאחסנים עם חברת אחסון אתרים טובה הם ישתפו אתכם במידע זה). פנו אליהם והסבירו להם בדיוק מה קרה ובקשו עזרה.צעד רביעי: שנו את הסיסמאות
כעת הגיע הזמן לשנות את כל הסיסמאות אותם אתם יכולים לשנות החל עם האתר וורדפרס שלכם. התחברו אל האתר ושנו את הסיסמה. זכרו שאם מי שפרץ לכם לאתר עדיין נמצא בממשק ניהול שלכם לא ישפיע עליו שינוי הסיסמה והוא יוכל לשנות אותה שוב ושוב וזאת מכיוון שה-קוקיז (cookies) שלו עדיין בתוקף. מה עושים? דרך אחת היא לשנות את כתובת ההתקנה לדוגמא מהכתובת www.sagive.co.il אל הכתובת sagive.co.il… בצורה זאת כל המשתמשים חייבים להתחבר שוב כדי לעשות שינויים. כך אתם יכולים לשנות את הסיסמה ומיד לאחר מכן לשנות את הכתובת של האתר בממשק האתר ב: תפריט הצדדי > הגדרות > הגדרות כלליות.מה קורה אם אינני מצליח להתחבר אל וורדפרס?
הדרך הראשונה היא לנסות לשחזר את הסיסמה שלכם בחלון ההתחברות אל וורדפרס שם תמצאו קישור "שכחתם את הסיסמה שלכם?". אם זה לא עוזר, כלומר מייל השחזור לא מגיע אליכם תצטרכו (קרוב לוודאי) לשנות את כתובת הדואר האלקטרונית במסד הנתונים של האתר וורדפרס שלכם. זה הזמן להזכיר שוב אם סעיף שימו לב.מידע נוסף:
כשנכנסים למסד הנתונים כדאי לעשות זאת בזהירות ולכן בראש ובראשונה חשוב לגבות את מסד הנתונים! כעת ולאחר שגיביתם את מסד הנתונים נבחר במסד הנתונים של האתר וורדפרס שלכם ואני מקווה שאתם יודעים איך קוראים לו. בתוך מסד הנתונים צריך לבחור בעמודה wp_users. ברשומה זאת ניתן לראות ולערוך את שם המשתמש והאימייל שלכם. זכרו לא לשנות כאן את הסיסמה כיוון שהמערכת מקודדת אותה כאשר היא משתנה בממשק הניהול של וורדפרס.
במקום זה שנו את האימייל ובקשו חידוש סיסמה בדרך הרגילה וכאילו איבדתם את הסיסמה. מיד לאחר ששחזרתם את הסיסמה אני ממליץ לשנות את הכתובת במעט (כפי שהסברתי למעלה כך שגם אם מי שפרץ לכם לאתר עדיין מחובר הוא לא יוכל לשנות אותה שוב.
עוד דרך לנתק משתמשים מהאתר שלכם לאחר שינוי סיסמה הוא לשנות את המפתח הסודי של האתר שלכם. מפתחות סודיים הם סדרה של 10 הגדרות וניתן לקבל חדשים באתר וורדפרס העולמי או על ידי לחיצה על הקישור הבא: יוצר המפתחות של וורדפרס. את מפתחות אלו יש להחליף בדף wp_config.php
גבו אם מה שנשאר מהאתר
באופן כללי אני ממליץ תמיד לגבות את קבצי האתר וגם לייצא את התוכן של האתר. מערכת וורדפרס או לפחות הגרסא המעודכנת של וורדפרס מציעה דרך קלה לייצא את התכנים באתר שלכם. זה לוקח רגע ותוכלו לעשות זאת פעם בשבועיים כדי להגן על עצמכם. בכדי לייצא את תכני האתר שלכם גשו אל התפריט הצדדי > כלים > ייצוא.
מחפשים אחר קבצים פרוצים / דלתות אחוריות
אני שמח בשבילכם אם הצלחתם להיכנס אל וורדפרס! כעת הגיע הזמן לוודא שלא נשאר קוד חבוי אשר יאפשר להאקר לפרוץ שוב אל האתר שלכם. לכן, עלינו לעבור על מספר קבצים ולבדוק שאין בהם קוד חבוי.הקובץ wp-blog-header: אחד המקומות בהם אוהבים האקרים לשתול קוד חבוי הוא הקובץ wp-blog-header.php. קובץ זה נמצא בתיקיית השורש של התקנת וורדפרס ולכן הוא איננו חלק מהתבנית שלכם. בנוסף הוא קובץ אשר לא משתנה עם שדרוג וורדפרס ולכן נוח להם.
פתחו קובץ זה ובדקו מה הוא מכיל… הסתכלו על הקוד ונסו להבין מה הפעולה שלו. אם הוא מכיל קידוד מסוג כלשהוא כמו eval() או base64_decode() קרוב לוודאי שמוחבאת שם פקודה שאתם לא אמורים להבין. במקרה כזה כדאי להסיר קוד זה.
הקובץ .htaccess: בדקו היטב את הקובץ .htaccess אשר נמצא בתיקיית השורש של האתר שלכם. קובץ רגיל יכיל את הקוד ההכרחי לתקשורת בין וורדפרס לשרת אחסון שלכם ולרוב יראה כך:
# BEGIN WordPress RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress
נחום 15 בינואר 2014
עכשיו אתה נותן את המדריך הזה??
פרצו לי לאתר האקרים (לדעתי ערביים) לפני שבועיים, חבל שלא כתבת את המדריך קצת לפני:)
שגיב SEO 15 בינואר 2014
מקווה שזה יעזור לעתיד לבוא. הייתי עד בשבוע האחרון לגל
תקיפות של האקרים טורקיים ולכן כתבתי את המאמר
ובקרוב מאמר איך לשמור את האתר שלך בטוח מפריצות עתידיות
פיקס מן 15 בינואר 2014
איך אפשר לדעת אם פרצו לי לאתר?
שגיב SEO 15 בינואר 2014
אם היו פורצים לך לאתר היית יודע.. במקום דף הבית היה מופיע קרוב לוודאי תוכן אחר
או בחלק אחר של הדף היה מופיע פתאום קישורים אל אתרים יוצאים וכו'
יש כאלה שפורצים בלי לגעת רק בשביל האתגר אבל אני לא חושב שאתה מנהל
אתר של בנק נכון? 😉
בונה אתרי וורדפרס 15 בינואר 2014
תשמע, גם לי פרצו לאתר וורדפרס לפני שבועיים, ומאז האתר תקוע בלי לזוז, אני הולך לנסות את המדריך הזה ונראה מה הוא שווה.
שגיב SEO 15 בינואר 2014
בהצלחה, שתף אותנו אם עשית תגליות מעניינות או אם תצטרך עזרה.
nico 15 בינואר 2014
פרצו לי לאתר ושינו את הסיסמא וכנראה גם את כתובת המייל בממשק של וורדפרס מה שאומר שכרגע אני לא יכולה להיכנס לניהול של האתר.
בחברת האחסון אמרו שהם יכולים לשחזר את האתר אבל לא את הסיסמא מכיוון שוורדפרס הוא חיצוני ואין להם יכולת לעשות זאת
מה עושים?????
שגיב SEO 15 בינואר 2014
אם הם ישחזרו את האתר ולא תצליח להתחבר עם המשתמש / סיסמה המקורי שלך סימן ש.. פרצו לך למסד נתונים ואז תצטרך לפעול בגישה אחרת כדי לתקן את הסיסמה שלך.
בכל מקרה כדאי לפעול על פי הפעולות המוצעות כאן שנייה אחרי השחזור או במאמר המצורף אם הצלחת אחרי השחזור להתחבר כדאי לפעול לאבטחת האתר שלך. צירפתי שני מאמרים נוספים אשר יתנו לך מידע נוסף:
איך למנוע פריצה לאתר וורדפרס
ננעלתי מחוץ / לא מצליח להתחבר לוורדפרס
אנדי 15 בינואר 2014
וואו תודה רבה. עם גל הפריצות האחרון פרצו לשני לקוחות שלי את האתר. מאמר מעולה!! תודה רבה שגיב.
מרק 15 בינואר 2014
וואו שגיב. תודה רבה… הייתי בטוח שאבוד לי ושמעכשיו אצטרך לגבות כל שבוע אבל יש לך סט מאמרים מעולים על אבטחת וורדפרס והכי אהבתי שהם במילים פשוטות שגם מתחילים כמוני יכולים להבין. תודה רבה
שגיב SEO 15 בינואר 2014
מעולה, שמח שאמרת את זה ושמחים לעזור. בהצלחה…
אנונימי 16 ביולי 2015
קודם כל שלום,
עכשיו רק נתקלתי במדריך הנ"ל, ויש לי כמה דברים להוסיף.
1)בעניין של סיסמאות – היום כמעט ולא עושים brute force password לממשק ניהול, אם וכן עושים זה ילדים שרק מתחילים ללמוד האקינג . הם מורידים תוכנות שיש ברשת ומתחילים לחפש מזל.אחוז הפריצות הוא 1-2 מכל הפריצות.
2)Malware – פחות מעניין שוב דברך כלל השימוש הוא רק אם אתר שלך הוזמן לפריצה.אם זמינים אצל האקר לפקוץ אתר זה עולה כסף ולא נראה לי שזה הסיפור של רוב האתרים שנפרצים מידי יום.
3)קידוד מסוג כלשהוא כמו eval() או base64_decode() – שבדרך כלל נמצאה בחלק העליון של אתר ,או אחרי פתיחת תג של PHP ?> ,כמו שנאמר במדריך .אבל זה סך הכל קוד שהופץ על ידי קובץ אחר לגמרי וצריך למצוא את הקובץ ולמחוק אותו.
4) לפנות לשרת שמאחסן את האתר צד נכון, אבל זה לא אומר שסגרתפ פריצה HTACCESS עם הגדרות שאני רואה פה לא עוזר .
5)לפנות לחברת אחסון שלכם כמו שנאמר פה נכון רק בשביל מידע שהם יכולים לספק ולא תמיד כי לוגים נשמרים רק בין 24-48 שעות , או שמקסימום להגיד לכם איזה קבצים הם עם קוד זדוני ולא יותר מזה כי שרת נסרק עם Firewall.
6)מה שנכון פה נאמר תמיד לדאוג לעדכן גרסה של WORDPRESS ואת הפלגנים שלהם,אבל שוב זה לא תמיד עוזר בדרך כלל עדכון של פלגנים יוצא רק לאחר שאותו פלגין הותקף ונפרץ.
מה כן צריך לעשות, לפנות למתכנת שלכם שהוא ברמה PHP שתמיד הבדוק פלגנים או תבנית ,האם אפשר לפרוץ או לא , אם כן אז לסגור פריצה ברמה של קוד.
בהצלחה לכולם,
שגיב SEO 17 ביולי 2015
קודם כל.. תודה – אבל בלי פרסומות (בשם או בתגובה – נא להגיב עם שם אנושי ואמיתי).
ברוט פורס זאת התקפה שנעשית דיי הרבה כי.. מרבית "ההאקרים" הם בעצם קראקרים שאין להם מידע רב. תוכנה / סקריפט פשוט + מאגר סיסמאות שאפשר להוריד בחינם + שם המשתמש שלרוב (במרבית התבניות קל להשיג) וזה כל מה שצריך (ואולי כמה מאות פרוקסים חינמיים). דבר שני – אין שום סיבה שלא לאבטח כנגד זה וזהו.
אני לא יודע מאיפה הבאת את "הסטטיטיקה" אבל מרבית המשתמשים עבורם בנינו אתר הגיעו אלינו עם סיסמה מאוד מאוד פשוט. לרוב תאריך לידה או מספר נייד.. כלומר קומבינציה של 8-10 ספרות.
לגבי HTACCESS – תמיד כדאי לחסום גישה לקבצים אשר חושפים מידע (בכלל מנהג בריא)..