הגדרת תוסף האבטחה וורדפנס (Wordfence) – מדריך צעד אחד צעד

במאי 2016 פירסמתי לראשונה מדריך הגדרת וורדפנס ועם הזמן הסתבר שהוא אחד הפוסטים הכי נקראים באתר הזה. היות ובגרסאות האחרונות השתנה מבנה מסכי הניהול של Wordfence, הגיע הזמן למדריך עדכני עם מסכי הניהול החדשים של התוסף. המדריך הזה נכתב על פי גרסה 6.3.6 של וורדפנס.

לפני שנתחיל, מספר מילים על מה זה בכלל Wordfence. ובכן, וורדפנס הינו תוסף אבטחה עבור מערכות וורדפרס, ונכון לשורות אלו הוא כנראה הפופולרי ביותר מבין תוספי האבטחה עם מעל 2 מליון התקנות (מעל 28 מליון הורדות לפי האתר של החברה המפתחת). התוסף יודע לסרוק את קבצי המערכת ולזהות נוזקות מסוגים שונים ולהתריע על ניסיונות פריצה. מבחינתי זהו התוסף הראשון שאני מתקין לאחר התקנת וורדפרס.


לעוד תוספים שאני ממליץ להתקין באתר שלכם


ועכשיו למספר הבהרות לגבי המדריך:

  1. אינני לוקח אחריות על כל פגיעה באתר שלכם בעקבות התקנת ו/או הגדרת וורדפנס בהתאם להגדרות במדריך. לא בעקבות ההגדרות עצמן ולא בעקבות פריצה לאתר על אף הגדרת Wordfence בהתאם להגדרות המצורפות. מצטער, אני מרגיש שאני חייב לציין את זה. בעיקר, צריך להבין שאני לא יכול לעבור על כל אפשרויות ההתקנה בהתאם לכל האפשרויות הקיימות באחסונים השונים (סוג שרת, גרסת PHP, הרשאות שונות וכו'). אני מציג את הדרך שעובדת לי ואמורה לעבוד על רוב אחסוני הלינוקס השיתופיים. אם נתקלתם בבעיה ואתם מעוניינים בעזרה בתשלום, אתם מוזמנים לפנות אלי.
  2. אישית, אני משתמש בגרסה החינמית של Wordfence, אך זה המקום להעיר שיש גרסת פרימיום לתוסף עם תוספות מאוד מעניינות. נכון לכתיבת שורות אלה גרסת פרימיום עולה 99 דולר לשנה לאתר יחיד. 
  3. בהמשך לסעיף הקודם, המדריך הזה יתבסס אך ורק על האפשרויות הקיימות בגרסה החינמית.
  4. בתפיסות המסך שאני מצרף אני מוסיף עיגולים אדומים עם מספרים. הכוונה היא שהמספרים מתווים את הדרך לביצוע, על פי הסדר שלהם מ-1 והלאה.
  5. אני בן אדם. לא רובוט. ואפילו לא הכלאה ביניהם, אז יש מצב שנפלה טעות אחת או יותר במדריך. אל תתביישו להשאיר הודעה עם הטעות בכדי שאוכל לתקנה. ובאותה נשימה, אם המדריך הזה עזר לכם – אני אשמח לשמוע אפילו יותר. מבטיח.

הגדרת וורדפנס - יאללה מתקינים...

טוב, זה החלק הקל. ואם אתם כאן אני סומך על זה שאתם יודעים איך מוצאים את וורדפנס במאגר התוספים של וורדפרס. אבל ליתר בטחון, כדי שנוודא שאנחנו מתחילים מאותו קו וכדי שאף אחד לא יתבייש לשאול – מצורפים מתחת שלושה מסכים למציאת, התקנת והפעלת התוסף.

אז יאללה, תתקינו ותחזרו לפה.

הגדרת וורדפנס - הגדרה ראשונית

התקנת Wordfence: מסך 4
הגדרת וורדפנס - מסך 4

יאללה, אני מבטיח שהגדרת התוסף לא תכאב גם אם זה אולי נראה כך ממבט ראשון. נשימה עמוקה וקדימה…

המסך שמופיע למעלה (מסך 4) הוא המסך הראשון שתקבלו לאחר הפעלת Wordfence. מצד שמאל, התוסף מציע לכם להזין את האימייל שלכם בשביל לקבל עדכונים למייל. כמו כן, יש אפשרות להתחיל היכרות עם התוסף על-ידי לחיצה על Start Tour. אישית, אני מדלג על זה וסוגר את תיבת הדו-שיח ע"י לחיצה על Close. אתם תחליטו כרצונכם.

בחלק העליון של המסך מזכיר לכם Wordfence שהתוסף עדיין לא מוגדר ולכן האתר שלכם חשוף. נלחץ על Click here to configure (כפתור 2) בכדי להיכנס למסכי ההגדרה של התוסף.

התקנת Wordfence: מסך 5
הגדרת וורדפנס - מסך 5

במסך זה נישאל באם אנחנו מעוניינים בהסבר על מסך ה-Live traffic של Wordfence. היות ובהמשך אני בכל מקרה מתכוון לכבות את האפשרות ל-Live traffic בשביל לחסוך במשאבי מערכת, אני לא מעוניין ללמוד עוד, ולכן אלחץ על End the tour. אם בא לכם ללמוד על הפיצ'ר הזה, אתם כמובן מוזמנים להמשיך לעשות זאת…

התקנת Wordfence: מסך 6
הגדרת וורדפנס - מסך 6

Wordfence אמור לזהות את תצורת שרת האחסון שלכם. והוא יוצג בחלונית המסומנת באדום. ייתכן מאד וזה לא יגיד לכם כלום. תצטרכו לסמוך על מפתחי התוסף שהם יודעים מה שהם עושים. אבל בכל מקרה, זה בדיוק הזמן לוודא שיש לכם גיבוי עדכני, זמין ורצוי מחוץ לאחסון עצמו לצורך שימוש במקרה ומשהו משתבש. אישית, התקנתי את התוסף כבר עשרות פעמים ולא קרתה לי ולו תקלה אחת איתו. אבל… Never say never. 

אוקיי, וידאתם שיש לכם גיבוי למקרה הצורך – ליחצו אל Continue להמשך הגדרת התוסף.

התקנת Wordfence: מסך 7
הגדרת וורדפנס - מסך 7, לשונית שמאלית

גם מפתח התוסף יודע שכדאי שיהיה גיבוי זמין, והיות והתוסף עומד לכתוב הגדרות מסויימות בקובץ ה-htaccess. שלכם, הוא דורש מכם להוריד את קובץ ה-htaccess. הנוכחי שלכם למחשב שלכם, כך שלמקרה ומשהו ישתבש – תוכלו להחליף את הקובץ שיצר Wordfence עם הקובץ המקורי. ולא, אי אפשר לדלג על השלב הזה. ללא שתורידו את הקובץ, ההתקנה לא תמשיך.

התקנת Wordfence: מסך 8
הגדרת וורדפנס - מסך 7, לשונית אמצעית

במסך זה, מספר 7, תחת לשונית Web Application Firewall נקבל סוף סוף את ההודעה שהתוסף הותקן, עובד ומגן על האתר שלנו. עם זאת, ישנם דברים שכדאי לשים לב אליהם. הראשון, שהתוסף כרגע נמצא בתקופת למידה. התוסף ילמד את דרכי השימוש באתר למשך כשבוע ולאחריו ייכנס אוטומטית למצב הגנה נורמלי. ליחצו על Save בכדי לאשר את צורת העבודה הזו.

אגב, מי שמעוניין לחקור קצת יותר, העמוד הזה מפרט את כל חוקי ההגנה של Wordfence. בשביל זה יותר מדי מידע שאני לא צריך, אבל אולי יש בקהל גיקים שמעוניינים להיכנס לזה. 

הגדרת וורדפנס - הגדרות נוספות

התקנת Wordfence: מסך 9
הגדרת וורדפנס - מסך 8

תחת לשונית Brute Force Protection נמצא את ההגדרות נגד נסיונות פריצה שונים. סימנתי באדום את ההגדרות שאני משנה. למשל (סימון מס' 2) – חסימת משתמש לאחר 5 נסיונות כניסה כושלים. בברירת המחדל מוגדר לחסום משתמש רק לאחר 20 נסיונות. לטעמי זה הרבה יותר מדי. באתר שלי, אין צורך בכניסת משתמשים כך שאני המשתמש היחיד לכאורה. ועל כן, אם מישהו מנסה להיכנס עם שם המשתמש שלי, והוא לא מצליח להזין ססמא נכונה במשך 5 נסיונות, זה כנראה לא אני ולכן אעדיף לחסום אותו לאחר אותם 5 נסיונות ולא לאחר 20 נסיונות.

במקרה הכי גרוע, גם אם אני עצמי טעיתי 5 פעמים בהזנת הססמא הנכונה, יש לי אפשרות לשנות ססמא דרך בסיס הנתונים, כך שלא מפחיד אותי להינעל.

בסימון מס' 3 אני מגדיר לתוסף לנעול כל נסיון להיכנס עם שם משתמש שאינו קיים במערכת. כך למשל, אם שם המשתמש שלי הוא wp-killer ומישהו מנסה להיכנס עם שם משתמש admin ואין משתמש כזה מוגדר במערכת – הוא יינעל מיידית. לא נותן למישהו כזה אפילו 5 נסיונות, שהרי ברור שהוא לא תמים.

מצד שני, אם אתם מנהלים אתר שמצריך התחברות של משתמשים, יש מצב שהמשתמשים שלכם שכחו את שם המשתמש שלהם או הקלידו אותו בטעות לא נכון בלי לשים לב – אזי במקרה כזה, לא הייתם רוצים שהמשתמש יינעל מיידית. כמו תמיד – חשוב להבין מה אתם מגדירים ולאיזה צורך. אז תפעילו את הראש.

לא לשכוח לשמור את ההגדרות ששיניתם בלחיצה על Save Options.

התקנת Wordfence: מסך 10
הגדרת וורדפנס - מסך 9

הגענו למסך ארוך ארוך ומייגע. בעצם דילגתי על שאר העמודים (וגם על הלשונית השלישית במסך הקודם) ועברתי למסך Options. זאת מכיוון וכל העמודים הללו לא רלוונטיים לגרסה החינמית.

בכדי להקל עליכם, ציינתי באדום רק את המקומות בהם שיניתי את ברירת המחדל של התוסף. 

השינויים שעשיתי:

  • כיבוי Enable live traffic view. כמו שכתבתי קודם, לצורך חסכון במשאבי השרת. בעיקר אם יש לכם אנליטיקס מותקן, אין צורך באופציה הזו.
  • הפעלת Update Wordfence automatically when a new version is released? כך אני מוודא שוורדפנס יתעדכן אוטומטית עם כל גרסה שתצא, ללא צורך שאעדכן באופן ידני. כך אני מוודא שהאתר שלי מוגן תמיד, גם כשוורדפנס מוציאים עדכון מיידי לצורך טיפול בבעיה חדשה שהם זיהו באופן גלובלי.
  • הזנת המייל שלי ב-Where to email alerts לצורך קבלת התראות לאימייל.
  • הדלקת Email me when Wordfence is automatically updated לקבלת התראה במייל על עדכון אוטומטי של וורדפנס. טוב, זה אולי קצת יותר מדי בשביל כל אחד. אני פשוט פריק של שליטה ואני רוצה לדעת כל מה שקורה באתר שלי. תכלס, אתם לא צריכים את זה.
  • הפעלת Enable email summary לטובת קבלת סיכום במייל. אני מגדיר את זה לפעם בשבוע. בודק אם יש משהו חריג שמצריך ממני שינוי הגדרה מסויימת ואם לא, פשוט מחכה לסיכום השבועי הבא.
  • הפעלת Use low resource scanning כך שהתוסף לא יעמיס על משאבי השרת. גם את זה יגרום לעיבוד איטי יותר של התוסף, אני מעדיף לוודא שהשרת זמין למשתמשים.
  • הפעלת Disable Code Execution for Uploads directory. כך שגם אם האקר מסוים הצליח להעלות קובץ לספריית ההעלאות (uploads), הוא לא יוכל להפעיל משם קוד PHP ולהזיק לאתר שלכם.

הגדרת וורדפנס - סיכום

זהו. סיימנו את מדריך הגדרת וורדפנס. עברנו על תהליך ההתקנה ועל הגדרת התוסף בהתאם להגדרות שאני חושב שהן נכונות. ממליץ לכם להשקיע קצת מאמץ בהבנה מה כל הגדרה בתוסף עושה ולהגדיר אותה באופן מיטבי עבורכם.

אם בכל זאת אתם מתקשים, ניתן לשאול אותי כאן שאלות או לפנות אלי לצורך עזרה בתשלום בהתקנת התוסף או בכל צורך שאתם נתקלים בו באתר הוורדפרס שלכם.

נהניתם? שתפו עם חברים והשאירו תגובה. זה תמיד משמח.

כתיבת תגובה

 

דוד ארוון

מהנדס תעשיה וניהול בהשכלתי, בעולם המחשבים מאז מחשב ה-AT 286 ובעולם התקשורת כבעל BBS עוד לפני שנולדה רשת האינטרנט. את הדומיין הראשון שלי קניתי בשנת 2000 (עדיין קיים) ומתעסק בבניית אתרים מאז, כשבשנים האחרונות אני מתרכז בוורדפרס בלבד.