הגן על ספריית הניהול – wp-admin

wp-admin היא ספריית ברירת המחדל לניהול וורדפרס. יש כאלו המשנים את שמה על מנת להקשות, אבל זה יכול ליצור בעיה של תאימות ואחזקה. אני מעדיף להגן ברמת האפאצי ולאפשר רק ל-IP  שלי גישה לספריית הניהול. למי שאין IP  קבוע, הייתי ממליץ לחסום גישה ל IP  ישראלי בלבד. מהניסיון שלי 99.99% מהפריצות בישראל נעשים דרך שרתים פרוצים בחו"ל.

אבטחה לוורדפרס

עדכון תוכנת וורדפרס

יש לעדכן את התוכנה ואת התוספים באופן קבוע. יש כאלו במיוחד באתרים מורכבים,שיהססו בצדק לעדכן מכיוון שעידכון כזה יכול לשבש מספר מרכיבים באתר. זה החסרון של ארוחה בחינם. אולם אין ברירה וחייבים לעדכן. בכדי לצמצם את הבעתיות בעידכון תוכנה וגם מסיבות אבטחה, יש להשתדל להתקין רק תוספים עם קהילה פעילה ושהם נתמכים ומשתדרגים על בסיס קבוע

תוספי אבטחה לוורדפרס

ניתן להתקין תוספי אבטחה לוורדפרס שיהדקו את החגורה. דוגמא לתוספים: BulletProof Security , Secure WordPress, WordPress Firewall

בקרת גישה לניהול וורדפרס

החלף את שם המשתמש הראשי המוקם כברירת מחדל Admin , בנוסף יש לדאוג לסיסמא חזקה.

מחיקת אינפורמציה נחוצה להאקרים בלבד

מחיקת כל אינפורמציה הנשלחת גם בכותרת הבקשה HTTP כמו X-Powered-By וגם בכותרות ה HTML ובמיוחד את :
<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />
זה אפשרי על ידי עריכה של קובץ Header.php
אופציה נוספת על ידי הוספת פונקציה הסרה בקובץ: function.php

remove_action('wp_head', 'rsd_link');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'index_rel_link');
remove_action('wp_head', 'wp_generator');

אחסון אתרים בטוח

אחסון האתר או השרת הוירטואלי בחברת אחסון אתרים אמינה המאבטחת ומעדכנת את התשתיות שלה על בסיס קבוע אם זה מרכיבי רשת התקשורת ואם זה תוכנות ההפעלה.