וורדפרס היא אחת המערכות הכי פופולריות בעולם להקמת אתרים קטנים ובינוניים. כמעט כל בונה אתרים משתמש בה בהזדמנות כזו או אחרת לפני שהוא מתנסה במערכות אחרות. אחרי הכל, היא מאוד קלה לשימוש, לא מצריכה כל כך ידע טכני בכתיבת קוד (למעט כמובן המקרים אם אתה רוצה לשנות קוד בתוכנה/עיצוב/תוסף), ואפשר להרים איתה אתר שנראה טוב תוך דקות ספורות, ולאחר מכן להוסיף תוספים שונים, עיצובים, דפים, גרפיקה, תוכן וכו'.

מכיוון שוורדפרס מאוד פופולרית, היא גם מאוד פופולרית בנסיונות פריצה. כל יום מנסים לפרוץ לאלפי אתרים מבוססים וורדפרס. לא צריך להיות גאון כדי לפרוץ לוורדפרס, יש סקריפטים רבים שעושים זאת.

רבים נוטים לחשוב כי אם הם יתקינו את הגירסה האחרונה של וורדפרס, גירסה אחרונה של תוספים ועיצוב, הם יהיו מוגנים.

הלוואי וזה היה כך, אך צר לי לבעס אתכם/ן. זה לא מספיק.

וורדפרס, כעקרון, מותקן כמעט ללא הגנות, הנה חלק מהבעיות שלו:

• המשתמש הראשי תמיד נקרא admin והוא עם user ID מספר 1, מה שמאוד מקל על סקריפטים לעשות SQL Injection ולשנות את סיסמת ה-Admin ו/או את כתובת המייל ואז אם הפורץ עושה שחזור סיסמא, מייל יגיע אליו ומשם הדרך קצרה מאוד להשתלטות על האתר שלכם, להפוך אותו לספאמר (דפים נסתרים וכו'), לשנות תכנים וכו'.
• התיקיות עצמן הן Hard coded, תמיד התוכן/תוספים/עיצובים ישבו ב-wp-content, ושוב – סקריפטים משתמשים בזה כדי לפרוץ.
• הרשאות קבצים פתוחות מדי. שוב, זה אחלה דבר לסקריפטים. מומלץ להסתכל בקישור הזה כדי לראות מה ההמלצות מבחינת הרשאות מומלצות.
• קבצים חיוניים שאמורים לא להיראות – נראים גם נראים, כמו wp-config.php ועוד. נכון, הם לא מציגים שום דבר שמראים אותם בדפדפן, אבל גם במקרה זה סקריפטים יודעים להשתמש במידע.
• גירסת הוורדפרס מוצגת, מה שמקל על סקריפטים לדעת היכן נקודות החולשה של האתר
• המערכת אינה חוסמת נסיונות התחברות שגוים מרובים ל-wp-admin, מה שמאפשר לסקריפטים לרוץ חופשי ולנחש סיסמאות. נכון, זה אולי לא נשמע מזיק (אם כתבת סיסמא חזקה), אבל ראיתי לא מעט מקרים שדווקא עם זה חדרו לאתרים
• סיסמאות מוגדרות הן חלשות ו-וורדפרס לא יודעת לאסור סיסמאות חלשות.

אלו, על קצה המזלג, בעיות שיש לוורדפרס.

לשמחת כולם, יש פתרון שיכול למנוע את רוב הבעיות שהצגתי והוא נקרא Better WP Security. זהו תוסף שיכול לתקן פאקים רבים של וורדפרס ולתת הגנה כלשהי. יחד עם זאת, התוסף הזה הוא לא פתרון של "שגר ושכח". יש בו מספר אופציות שאם תפעילו, האתר שלכם פשוט לא יעלה או יסגור אתכם בחוץ, לכן אם אתם רוצים להתקין אותו, צרו גיבוי של המערכת, וקראו מה כל אופציה עושה ותחליטו אם להפעיל אותה או לא. לדוגמא: אם יש לכם אתר קיים והחלטתם להפעיל את ההמלצה לשנות את ה-wp-content, תראו שכל האתר שלכם נשבר, כי התוסף לא משנה בתוך ה-DB את החלק של הכתובת לשם תיקיה חדשה. השינוי הזה לדוגמא מאוד מומלץ שמקימים אתר חדש.

עוד תוסף שכדאי לתת עליו את הדעת ה-BPS Security. התוסף הזה נותן חלק מפונקציות שלא קיים בתוסף לעיל, אבל גם לו יש כל מיני Issues, במיוחד אם יש לכם תוסף כמו WP Super Cache (תצטרכו ליצור את ה-Rules מחדש ב-יhtaccess ולפעמים תצטרכו לשנות דברים ידנית בקובץ הנ"ל).

עניין נוסף: במקרים רבים כשיש Defacement, אנשים פונים לספק, הוא משחזר ורבים חושבים שכך נגמר העניין. אז זהו, שלא. בחלק לא קטן מהמקרים ה-DB (ספציפית טבלת המשתמשים) במקרים רבים שונה ושחזור לדוגמא של מערכות WHM/CPANEL לא משחזר DB, כך שאם הפורץ שינה את אחת הסיסמאות או הוסיף את עצמו, אתם תמצאו שאתרכם יפרץ שוב, לעיתים לאחר כמה שעות. לכן, מומלץ לבדוק את טבלת ה-DB לאחר שחזור ולראות איזה משתמשים יש, והאם סיסמתם לא שונתה (יש סקריפטים שמשנים באופן גורף את כל הסיסמאות לדברים כמו admin123).

בהצלחה