תוסף האבטחה Wordfence כולל אפשרויות רבות. זה יכול לבלבל אם לא מכירים את המושגים. נעבור ביחד על הגדרת התוסף בכדי לוודא שהוא מוגדר לעבוד בצורתו המיטבית.
בהמשך לפוסט אבטחת וורדפרס – תוסף Wordfence עושה את העבודה, נתבקשתי להראות כיצד להגדיר נכון את תוסף האבטחה Wordfence. המדריך הזה יתייחס לגרסה 6.1.7 החינמית של תוסף האבטחה Wordfence. אל תשכחו להשאיר תגובה אחרי שסיימתם לקרוא. 🙂
מוזמנים לקרוא את המדריך עבור הגרסאות החדשות יותר, עודכן ביוני 2019
כמה מילים על אבטחת מידע ולמה אנחנו בכלל צריכים תוספי אבטחה. ובכן, אם לא ידעתם עד היום אז הרי החדשות המסעירות – כ-25% מכלל האתרים באינטרנט עובדים על מערכת וורדפרס. בתרגום לעברית – כל אתר רביעי עובד על וורדפרס. אי לכך, וורדפרס הינה המערכת השכיחה ביותר באינטרנט ולכן גם המאויימת ביותר על ידי האקרים ודומיהם. אשר על כן אנחנו נדרשים לאבטח את האתר שלנו מפני אפשרויות תקיפה שונות. יש לכך דרכים רבות ושיטות שונות. אחד מהם זה לבחור תוסף מספיק חזק שיאבטח את האתר. אבל כמו בכל משחק שוטרים וגנבים, כל אבטחה סופה להיפרץ. ולכן, אחד הדברים היותר חשובים אפילו מאבטחה טובה הוא גיבוי עדכני וזמין. לכן אל תזלזלו בגיבויים. תגבו, תגבו, תגבו!
טוב, לעבודה…
במדריך הזה נעבור על השלבים הבאים, לפי סדר התפריט של וורדפנס:
1. התקנה והגדרות ראשוניות
נכנס למקטע התוספים של וורדפרס בפאנל הניהול [עיגול 1 בתפיסת מסך מס' 1], נכניס wordfence בשדה החיפוש ונלחץ אנטר [עיגול 2 בתפיסת מסך מס' 1], נמצא את wordfence ונלחץ התקנה [עיגול 3 בתפיסת מסך מס' 1].
לאחר ההתקנה נפעיל את התוספף על ידי לחיצה על הפעל תוסף [תפיסת מסך מס' 2].
לאחר הפעלת התוסף נקבל מצד ימין אפשרות להזנת כתובת אימייל לצורך קבלת התראות מ-Wordfence. אני לא הזנתי. אתם תעשו כפי שאתם חושבים. יש גם אפשרות לעשות סיור על אפשרויות התוסף. אני תמיד מבטל את זה, לאחר שעשיתי את זה כבר פעם אחת. סך הכל זה די מומלץ לפחות פעם אחת [עיגול 1 בתפיסת מסך מס' 3].
כבר ראיתי בעלי אתרים שחושבים שזהו. הם התקינו את התוסף ועכשיו הכל בסדר ומתעלמים מההודעה ש-Wordfence מוסיפה בראש פאנל הניהול. אנחנו לא נתעלם מההודעה הזו ונלחץ על Click here to configure [עיגול 2 בתפיסת מסך מס' 3].
במידה ולא ביטלתם את אפשרות הסיור במסך הקודם, יוצע לכם שוב לצאת לסיור היכרות עם התוסף. שוב, אני מבטל, אבל ממליץ למי שלא עשה מעולם [עיגול 1 בתפיסת מסך מס' 4].
וורדפנס מבקש מכם להגדיר את קונפיגורצית שרת האחסון שלכם. אם אתם לא מבינים בזה, אין מה לנסות להבין. התקנתי את וורדפנס כבר בכמה שרתים ולא קרה שהוא לא ידע לזהות לבד. לכן, נלחץ על continue להמשך. למקרים קיצוניים בהם וורדפנס לא מזהה את קונפיגורציית השרת, הם הוסיפו אפשרות ידנית לשינוי קובץ ה-php.ini שלכם. אני לא מתכוון להסביר על זה, היות ולדעתי ברוב המקרים זה כלל לא נדרש [עיגול 2 בתפיסת מסך מס' 4].
שאפו ליוצרים של וורדפנס. לפני שהם נוגעים בקובץ ה-htaccess שלכם, הם דורשים מכם להוריד גיבוי למחשב שלכם. ולא מסתפקים בזה שתורידו, אלא מחייבים אתם ולא תוכלו להמשיך הלאה בלי להוריד את הקובץ. לחצו על הורדת קובץ htaccess [עיגול 1 בתפיסת מסך מס' 5].
שמרו את הקובץ בספריה לבחירתכם [עיגול 2 בתפיסת מסך מס' 5].
לאחר ששמרתם את הקובץ תוכלו להמשיך בתהליך. ליחצו Continue [עיגול 3 בתפיסת מסך מס' 5].
מזל טוב. התוסף מותקן ומעודכן בהגדרות הראשוניות שלו [עיגול 1 בתפיסת מסך מס' 6]. האתר שלכם מוגן שזה טוב, אבל לא מצויין. אנחנו לא נסתפק בזה וניכנס להגדרות קצת יותר מעמיקות. בכל אופן, אם הכל הלך כמו שצריך עד עכשיו, אתם תראו שדרגת ההגנה שלכם היא Extended Protection, מה שאומר שוורדפנס הגדיר את מה שצריך באתר כדי שהוא יעלה לפני וורדפרס והוא מתפקד כעת כ-firewall לאתר. אם מופיע לכם Basic Protection, עשיתם משהו לא נכון במהלך הדרך. בידקו את עצמכם.
ה-firewall של וורדפנס נמצא כעת בשלב הלימוד. למשך מספר ימים הוא "יאזין" לבקשות שהאתר מקבל ויבחר את הדרך הנכונה להגן על האתר שלכם ויעבור למוד עבודה רגיל בתאריך ובשעה המצויינת במסך. הנה ציטוט מהמסך לעיל:
When you first install the Wordfence Web Application Firewall, it will be in learning mode. This allows Wordfence to learn about your site so that we can understand how to protect it and how to allow normal visitors through the firewall. We recommend you let Wordfence learn for a week before you enable the firewall.
ליחצו על Save וזהו. ההגדרות הראשוניות במקום [תפיסת מסך מס' 7].
בהמשך ניכנס להגדרות העמוקות יותר ונעבור על החלונות השונים של תוסף האבטחה וורדפנס ונתעכב על ההגדרות שרצוי לשנות.
תודה על שלקחת ברצינות את הבקשה למאמר המשך על הגדרת התוסף .מאמר מושקע הכולל הדרכה צעד אחר צעד עם תמונות .
לגבי חסימת ip האם קיימת אופציה למשהו הפוך דהיינו אני פונה לקהל ישראלי על כן אני מגדיר רק גישה רק למי שאני מעוניין דהיינו לip ישראלי בלבד וכל שאר העולם חסום בברירת מחדל .
היי ירון,
הייתי ממליץ לאשר גישה רק לטווחי IP של ישראל דרך קובץ htaccess.
אם אתה יודע מה אתה עושה, יש לך כלי שיבנה לך את הקובץ שאתה צריך כולל טווחי ה-IP של ישראל או כל מדינה אחרת שתרצה:
https://www.countryipblocks.net/country_selection.php
בהצלחה! 🙂
הפעלית את הקאש של וורדפנס והוא פשוט הרס לי את כל האתר. בטלתי והאתר חזר לקדמותו.
תודה על המאמר. הוא מצויין
באמת?! מצער נורא לשמוע. אבל משמח שהצלחת להחזיר את האתר לקדמותו.
מעניין היה לחקור את העניין. ידוע לך מה התנגש איתו?
אגב, בחרת במנוע של פלקון או ב-cache הרגיל?
מטריד אותי שה-Cache הפיל לך את האתר. יש מצב שיש לך תוסף Cache אחר מופעל והתנגשות ביניהם גרמה לנפילת האתר?
אין לי בכלל את המסך Performance Setup, הגיוני ?
איזה קטע. אחרי התגובה שלך בדקתי אצלי וראיתי שגם אצלי המסך לא מופיע. חיפשתי בגוגל ומצאתי שהחברה המפתחת החליטה להסיר את האפשרות ל-Caching ולהתמקד באבטחה ולא בשיפור ביצועים. עדכנתי את המאמר בהתאם. תודה לך.
תודה תודה תודה על ההשקעה ועל הנגשת המידע הכל כל חשוב הזה!
אליפות! תודה רבה! מדריך שלקח אותי פשוט צעד אחר צעד והיה מדויק לגמרי לכל מה שהופיע לי במסך הפעלה של התוסף. תודה!!!
ממש שמחתי לשמוע!
אגב, אני עובד על מדריך שמתאים לגרסה הנוכחית של Wordfence, שמסכי הניהול שלה טיפה השתנו.
אשמח לדעת באיזו גרסה של Wordfence את משתמשת.
דוד תודה רבה על המאמר המושקע.
ניסיתי להפעיל את התוסף ולא הצלחתי. אני עובד על שרת מקומי. האם לדעתך זה קשור?
תודה מראש
היי אסי,
תנסה להוסיף לקובץ C:\xampp\apache\conf\httpd.conf את הקוד שמופיע פה:
https://wordpress.org/support/topic/wordfence-and-xampp-problem/
האמת שאני לא ככ מבין בכל הקבצים של XAMPP ומפחד להרוס שם משהו. נראה לי אחכה שהעלה את זה לאחסון ואז התקין את WORDFENCE כמו שצריך.
תודה רבה 🙂
היי דוד, העליתי את האתר שלי לאחסון והגדרתי את כל ההגדרות לפי ההסבר שלך. אני חייב להגיד לך שהמדריך שלך מושלם, וגם מישהו שלא מבין במחשבים כמוני הצלחתי לעשות הכל 🙂
רציתי לעדכן שהמסך WHO IS LOOKUP בגרסה האחרונה בתוך מסך TOOLS וכן מסך ADVANCE BLOCKING בתוך מסך BLOCKING. (אבל כמובן שמהמדריך אפשר להבין בדיוק מה לעשות במסכים אלה).
רציתי לשאול: כשעשיתי סריקה ידנית SCAN הוא העלה לי 3 שגיאות:
1. Publicly accessible config, backup, or log file found: wp-content/debug.log
2. WordPress core file modified: readme.html
3. The Plugin "להגביל ניסיונות התחברות" appears to be abandoned (updated 1 בJune 2012, tested to WP 3.3.2).
האם אתה מכיר את הבעיות הנ"ל? האם חשוב לטפל בהם?
שוב המון המון תודה
היי אסי. תודה רבה על התגובה שלך. שימחת אותי מאד שהמדריך שלי הצליח לעזור לך.
האמת שאני חושב כבר כמה זמן לעשות מדריך חדש שישקף את הגרסה העכשווית, אבל אני שמח לשמוע שעדיין ניתן להבין מהמדריך כמו שהוא כרע מה צריך לעשות.
לגבי השאלות שלך:
1. נשמע כאילו שהאתר שלך נמצא במצב debug. תבדוק בwp-config שהוא off.
2. תמחוק את הקובץ הזה מספריית השורש. הוא מאפשר להאקרים לדעת מה גרסת הוורדפרס שאתה מריץ.
3. התוסף הזה לא עודכן כבר 5 שנים. מצד שני אם אתה משתמש בוורדפנס אין לך צורך בתוסף הזה היות ווורדפנס יודע להגביל נסיונות התחברות.
תודה. עוזר מאוד