וורדפנס (Wordfence) תוסף האבטחה – מדריך התקנה מעודכן ליוני 2019

במאי 2016 פירסמתי לראשונה מדריך הגדרת וורדפנס ועם הזמן הסתבר שהוא אחד הפוסטים הכי נקראים באתר הזה. היות ובגרסאות האחרונות השתנה מבנה מסכי הניהול של Wordfence, הגיע הזמן למדריך עדכני עם מסכי הניהול החדשים של התוסף. המדריך הזה נכתב באפריל 2017 סוף יוני 2019 על פי גרסה 6.3.6 7.3.4 של וורדפנס. אגב, למי שלא מכיר – זהו אחד התוספים הפופולריים (אם לא הפופולרי ביותר) לטובת אבטחת אתרי וורדפרס.

לפני שנתחיל, מספר מילים על מה זה בכלל Wordfence (לטובת הפשטות, אקרא לו וורדפנס בעברית לאורך המאמר). ובכן, וורדפנס הינו תוסף אבטחה עבור מערכות וורדפרס, ונכון לשורות אלו הוא כנראה הפופולרי ביותר מבין תוספי האבטחה עם מעל 3 מליון התקנות. התוסף יודע לסרוק את קבצי המערכת ולזהות נוזקות מסוגים שונים ולהתריע על ניסיונות פריצה. מבחינתי זהו התוסף הראשון שאני מתקין לאחר התקנת וורדפרס.

ועכשיו למספר הבהרות לגבי המדריך:

  1. אינני לוקח אחריות על כל פגיעה באתר שלכם בעקבות התקנת ו/או הגדרת וורדפנס בהתאם להגדרות במדריך. לא בעקבות ההגדרות עצמן ולא בעקבות פריצה לאתר על אף הגדרת Wordfence בהתאם להגדרות המצורפות. מצטער, אני מרגיש שאני חייב לציין את זה. בעיקר, צריך להבין שאני לא יכול לעבור על כל אפשרויות ההתקנה בהתאם לכל האפשרויות הקיימות באחסונים השונים (סוג שרת, גרסת PHP, הרשאות שונות וכו'). אני מציג את הדרך שעובדת לי ואמורה לעבוד על רוב אחסוני הלינוקס השיתופיים. אם נתקלתם בבעיה ואתם מעוניינים בעזרה בתשלום, אתם מוזמנים לפנות אלי.
  2. אישית, אני משתמש בגרסה החינמית של Wordfence, אך זה המקום להעיר שיש גרסת פרימיום לתוסף עם תוספות מאוד מעניינות. נכון לכתיבת שורות אלה גרסת פרימיום עולה 99 דולר לשנה לאתר יחיד.
  3. בהמשך לסעיף הקודם, המדריך הזה יתבסס אך ורק על האפשרויות הקיימות בגרסה החינמית.
  4. בתפיסות המסך שאני מצרף אני מוסיף עיגולים אדומים עם מספרים. הכוונה היא שהמספרים מתווים את הדרך לביצוע, על פי הסדר שלהם מ-1 והלאה.
  5. אני בן אדם. לא רובוט. ואפילו לא הכלאה ביניהם, אז יש מצב שנפלה טעות אחת או יותר במדריך. אל תתביישו להשאיר הודעה עם הטעות בכדי שאוכל לתקנה. ובאותה נשימה, אם המדריך הזה עזר לכם – אני אשמח לשמוע אפילו יותר. מבטיח.

התקנת התוסף

טוב, זה החלק הקל. ואם אתם כאן אני סומך על זה שאתם יודעים איך מוצאים את וורדפנס במאגר התוספים של וורדפרס. אבל ליתר בטחון, כדי שנוודא שאנחנו מתחילים מאותו קו וכדי שאף אחד לא יתבייש לשאול – מצורפים מתחת שלושה מסכים למציאת, התקנת והפעלת התוסף.

אז יאללה, תתקינו ותחזרו לפה.

הגדרת וורדפנס - מסך 1
מסך 1: מציאת וורדפנס במאגר התוספים והתקנתו
הגדרת וורדפנס - מסך 2
מסך 2: הפעלת וורדפנס

הגדרה ראשונית

הגדרת וורדפנס - מסך 3
הגדרת וורדפנס לקבלת התראות למייל - מסך 3

לאחר אקטיבציה של התוסף, נקבל מסך להזנת אימייל לטובת קבלת התראות שנשלחות ע"י וורדפנס (עיגול 1 במסך 3). באותה הזדמנות, וורדפנס מציע לכם להצטרף לניוזלטר שהם שולחים מדי פעם (עיגול 2 במסך 3). בנוסף נצטרך לאשר את מדיניות הפרטיות ואת תנאי השימוש בתוסף (עיגול 3 במסך 3).

שימו לב שכפתור ההמשך לא יאפשר לחיצה עליו ללא מילוי הפרטים לעיל.

הגדרת וורדפנס - מסך 4
הגדרת וורדפנס - מסך 4

מסך 4 הוא מעין מסך החלטה – האם יש לכם רשיון לגרסת הפרימיום או שתרצו להשתמש בגרסה החינמית. שימו לב שכפתור הבחירה בגרסה החינמית (לינק עם המילים No Thanks) מוצנע כנראה מתוך הרצון לגרום למשתמשים להירשם לתוסף כאילו הוא פרימיום בלבד. אז בהנחה שאתם מתכוונים להתשתמש בגרסה החינמית – ליחצו על No Thanks.

לאחר מכן תועברו לעמוד התוספים שלכם (לפחות זה מה שקרה אצלי) וחבל. כי לא גמרנו את העבודה. האמת, בקושי התחלנו. לכן, היכנסו לתפריט Wordfence בתפריט הצד של פאנל הניהול שלכם להמשך ההגדרות.

הגדרת וורדפנס - מסך 4
הגדרת וורדפנס - מסך 5

בכניסה הראשונה ללוח הבקרה (Dashboard) של וורדפנס, תקבלו מעין סיור או הסבר בשלושה צעדים על מה כל חלק בלוח הבקרה עושה. מומלץ לעבור על זה אם זו הפעם הראשונה שבה אתם משתמשים בוורדפנס, בשביל להכיר את הסביבה בה תעבדו בהמשך. אם אתם כבר מכירים את התוסף, ליחצו על האיקס בפינה הימנית של המסך הלבן.

לאחר שסיימתם את הסיור הקצר, חיזרו לראש העמוד של לוח הבקרה. שם מחכים לנו 2 פעולות.

הגדרת וורדפנס - מסך 6
הגדרת וורדפנס - מסך 6

במסך 6 נאשר קודם כל עדכון אוטומטי לוורדפנס (צעד 1 במסך 6), כך שכל פעם שיצא עדכון לתוסף, הוא יעודכן ברקע. זה חשוב מכיוון שיש פעמים שמזוהה נוזקה מסויימת ובאמצעות עדכון אוטומטי, וורדפנס מעודכנת לטיפול או הגנה בפני הנוזקות החדשות ביותר. עדכון אוטומטי יאפשר הגנה רציפה וטובה יותר על האתר שלכם (רק תזכרו שאין דבר כזה הגנה הרמטית, תמיד משהו יכול להשתבש, לכן חובה להקפיד על גיבוי ורצוי לשמור עליו מחוץ לאתר).

לאחר מכן תיעלם ההתראה האדומה הזו ונישאר עם ההתראה הצהובה שמבקשת מאיתנו ללחוץ על CLICK HERE TO CONFIGURE לטובת המשך עדכון התוסף. יאללה, לוחצים…

הגדרת וורדפנס - מסך 7
הגדרת וורדפנס - מסך 7

Wordfence אמור לזהות את תצורת שרת האחסון שלכם. והוא יוצג בחלונית המסומנת באדום. ייתכן מאד וזה לא יגיד לכם כלום. תצטרכו לסמוך על מפתחי התוסף שהם יודעים מה שהם עושים. אבל בכל מקרה, זה בדיוק הזמן לוודא שיש לכם גיבוי עדכני, זמין ורצוי מחוץ לאחסון עצמו לצורך שימוש במקרה ומשהו משתבש. אישית, התקנתי את התוסף כבר עשרות פעמים ולא קרתה לי ולו תקלה אחת איתו. אבל… Never say never.

אוקיי, וידאתם שיש לכם גיבוי למקרה הצורך – ליחצו אל DOWNLOAD .HTACCESS היות והוורדפנס עומד לשנות את הקובץ הזה (למי שלא מכיר, זהו קובץ חיוני עם הגדרות בסיס הקשורות לאתר ולשרת שלכם) למקרה ומשהו השתבש, תוכלו להעלות את הקובץ הזה חזרה לספריית השורש של האתר שלכם באמצעות FTP או בכל דרך אחרת שתתן לכם גישה לשם (למשל מנהל הקבצים של פאנל ניהול האחסון שלכם).

סיימנו את ההגדרות הראשונית של וורדפנס. מכאן נעמיק להגדרות הפרטניות יותר. שימו לב שאני אעבור רק על הגדרות שכדאי או מומלץ לשנות. יש המון הגדרות ברירות מחדל שאני לא נוגע בהם ולכן לא אציג אותן כאן.

הגדרות הפיירוול

הגדרת וורדפנס - מסך 8
הגדרת וורדפנס - מסך 8

אישית אני לא נוגע בחלקים האלה, אבל אם אתם מעוניינים להלבין (מלשון Whitelist) כתובת IP שתוכל לעקוף את הבדיקות של וורדפנס, עושים את זה בחלק שעליון שמסומן במספר 1.

בחלק מס' 2 ניתן להגדיר לוורדפנס לחסום מיידית כתובות IP שמנסות להגיע לכתובת מסוימת באתר. זה יכול לעזור אם אתם מעוניינים לתפוס IP ספציפי שמנסה לפרוץ לכם לאתר.

הגדרת וורדפנס - מסך 9
הגדרת וורדפנס - מסך 8

טוב, כאן יש כמה הגדרות שאני מעדיף לשנות מברירת המחדל. אעבור עליהם לפי מספרי הצעדים בתפיסת המסך:

  1. חסימת משתמש לאחר מספר נסיונות שגויות – ברירת המחדל היא 20 נסיונות. לטעמי זה יותר מדי ואני מוריד את זה ל-5 נסיונות.
  2. אותו כנ"ל לגבי נסיונות שיחזור ססמא – ברירת המחדל היתה לחסום את המשתמש לאחר 20 נסיונות. אני מוריד את זה ל-5.
  3. על פני כמה זמן לספור את הנסיונות הנ"ל? ברירת המחדל היתה 4 שעות. לטעמי זה הרבה יותר מדי, היות וגם ככה רוב הנסיונות הם של האקרים שמשתמשים בסקריפטים אוטומטיים, אני מעדיף לחסום אותם מהר ולא לתת להם יותר מדי זמן לעוד נסיונות. לכן אני מוריד את הספירה לטווח של 5 דקות. אבל קחו לעצמכם כמה דקות ותחשבו מה יתאים לאתר שלכם.
  4. חסימת משתמשים שמנסים להתחבר עם שם משתמש שאינו קיים במערכת. לא ממליץ להפעיל את זה עבור אתר עם משתמשים רבים היות ולא מן הנמנע שהמשתמשים שלכם יקלידו בטעות שם משתמש שגוי ואז ייחסמו. אני עצמי משתמש בכלי התחברות אוטומטיים לאתרים שלי, ולרובם יש משתמשים בודדים, לכן על הנייר אני לא אמור לשגות בשם המשתמש שלי ולכן אני לא אמור להיחסם. שוב, אם יש לכם משתמשים רבים או אפילו מעט שעלולים להקליד את שם המשתמש שלהם לא נכון – אל תפעילו את זה.
  5. זו אחת האופציות שאני ממש אוהב – חסימת כתובות IP שמשתמשות בשמות משתמש שהגדרתם מראש שאסור להשתמש בהם. אחד השמות הראשונים שהאקרים מנסים לבדוק אם ניתן לחדור דרכם לאתר הוא admin על צורותיו השונות. לכן כמו שניתן לראות בדוגמה בתפיסת המסך אני שם שמות משתמשים שאני חושב שהאקרים עלולים להשתמש בהם. לרוב אני מוסיף גם את הדומיין של האתר כשם משתמש שיש לחסום מיידית.
לא לשכוח לשמור את השינויים שעשיתם.

הגדרת הסורק של וורדפנס

הגדרת וורדפנס - מסך 10
הגדרת וורדפנס - מסך 9

נעבור להגדרות הסורק (Scan) של וורדפנס על ידי לחיצה על תת התפריט המתאים (צעד 1) ולחיצה על Scan Options and Scheduling (צעד 2).

הגדרת וורדפנס - מסך 12
הגדרת וורדפנס - מסך 10

במסך זה תתבקשו לבחור מעין חבילת סריקה, מתוך 3 חבילות סריקה מוגדרות מראש ואחת מותאמת אישית, כאשר ההבדלים ביניהם הם:

הראשונה, Limited Scan, תתאים לאתרים כנראה קטנים המתארחים על שרת שיתופי (כנראה) עם משאבים מוגבלים. בעל אתר כזה, עדיף שיבחר בתוכנית זו כדי למנוע עומס על משאבי האתר/שרת שעלולים לגרום לסריקה בלתי נגמרת עקב חוסר במשאבים.

החבילה השניה, Standard Scan, היא המומלצת ע"י וורדפנס לרוב האתרים.

השלישית, High Sensitivity, מתאימה לבעלי אתרים שמאמינים שהאתר שלהם נמצא תחת מתקפה.

אני ממליץ לכם לעבור על האפשרויות המוצעות בחבילת הסטנדרט ולשנות אפשרויות בהתאם לפעילות האתר/שרת שלכם. שימו לב שאם תשנו אפילו אפשרות אחת מהחבילות המוגדרות מראש, וורדפנס יסמן כי בחרתם בחבילת מותאמת אישית (Custom Scan). לא שזה בעיה, פשוט שתדעו.

שאר האפשרויות

הגדרת וורדפנס - מסך 13
הגדרת וורדפנס - מסך 9

נעבר לתפריט המרכז את כל ההגדרות של וורדפנס ונעכבור על ההגדרות שאני ממליץ לשנות, אותן סימנתי באדום. מה שלא מסומן – נשאר בברירת המחדל.

2 ההגדרות ששיניתי פה הם:

  1. הסתרת גרסת וורדפרס – אם גרסת הוורדפרס שלכם תהיה גלויה, אתם עוזרים להאקרים לקצר את הזמן שלהם בשביל לחדרות לאתר שלכם, זאת מכיוון שידוע אלו פגיעויות (Vulnerabilities) קיימות בכל גרסה, וכך הם יכולים להשתמש ישירות בפגיעות ידועה שקיימת בגרסת הוורדפרס שלכם.
  2. ביטול האפשרות להריץ קוד בספרית ה-Uploads – נניח שהאקר הצליח להעלות קובץ PHP או דומה לספריית ההעלאות שלכם, האוצפיה הזו תמנע ממנו להריץ את הקובץ באותה ספרייה. זה נעשה על ידי כתיבת קובץ htaccess. מיוחד לספרית ההעלאות המונע זאת.
הגדרת וורדפנס - מסך 12
הגדרת וורדפנס - מסך 10

במסך זה תתבקשו לבחור מעין חבילת סריקה, מתוך 3 חבילות סריקה מוגדרות מראש ואחת מותאמת אישית, כאשר ההבדלים ביניהם הם:

הראשונה, Limited Scan, תתאים לאתרים כנראה קטנים המתארחים על שרת שיתופי (כנראה) עם משאבים מוגבלים. בעל אתר כזה, עדיף שיבחר בתוכנית זו כדי למנוע עומס על משאבי האתר/שרת שעלולים לגרום לסריקה בלתי נגמרת עקב חוסר במשאבים.

החבילה השניה, Standard Scan, היא המומלצת ע"י וורדפנס לרוב האתרים.

השלישית, High Sensitivity, מתאימה לבעלי אתרים שמאמינים שהאתר שלהם נמצא תחת מתקפה.

אני ממליץ לכם לעבור על האפשרויות המוצעות בחבילת הסטנדרט ולשנות אפשרויות בהתאם לפעילות האתר/שרת שלכם. שימו לב שאם תשנו אפילו אפשרות אחת מהחבילות המוגדרות מראש, וורדפנס יסמן כי בחרתם בחבילת מותאמת אישית (Custom Scan). לא שזה בעיה, פשוט שתדעו.

האמת שאפשר להמשיך עודו ועוד לחפור באפשרויות הרבות שעוד יש לוורדפנס להציע, אבל אני חושב שזה מספיק בתור מינימום. אני כן מציע לעבור על האפשרויות תחת Email Alert Preferences. יש שם כל כך הרבה אפשרויות לקבלת התראות במייל, שזה באמת תלוי באיזה בן אדם אתם. אם אתם חרדתיים ורוצים לקבל התראה על כל מה שזז, כנראה שתפעילו שם את רוב האפשרויות. אם אתם סומכים על התוסף (אישית, לא מציע לסמוך רק על התוסף, זה או אחר) ו/או על הקונפיגורציה של השרת שלכם, אולי תרצו פחות התראות אם בכלל. תעברו על האפוציות ותבינו מה כל אחת מהן אומרת. גם אם לא פגעתם בול, תמיד אפשר לחזור לשם ולשנות.

הגדרת וורדפנס - סיכום

זהו. סיימנו את מדריך הגדרת וורדפנס. עברנו על תהליך ההתקנה ועל הגדרת התוסף בהתאם להגדרות שאני חושב שהן נכונות. ממליץ לכם להשקיע קצת מאמץ בהבנה מה כל הגדרה בתוסף עושה ולהגדיר אותה באופן מיטבי עבורכם.

אם בכל זאת אתם מתקשים, ניתן לשאול אותי כאן שאלות או לפנות אלי לצורך עזרה בתשלום בהתקנת התוסף או בכל צורך שאתם נתקלים בו באתר הוורדפרס שלכם.

נהניתם? שתפו עם חברים והשאירו תגובה. זה תמיד משמח.

דוד ארוון

מהנדס תעשיה וניהול בהשכלתי, בעולם המחשבים מאז מחשב ה-AT 286 ובעולם התקשורת כבעל BBS עוד לפני שנולדה רשת האינטרנט. את הדומיין הראשון שלי קניתי בשנת 2000 (עדיין קיים) ומתעסק בבניית אתרים מאז, כשבשנים האחרונות אני מתרכז בוורדפרס בלבד.

לפוסט הזה יש 9 תגובות

  1. Avatar

    הסבר נהדר תודה
    איך אני יכולה לשחרר ip שנחסם ולא מעוניינת שיחסם.הוא חסם לי את הסריקה של גוגל

    1. דוד ארוון

      היי אורית. שמחתי שהמדריך הזה עזר לך.
      תחת התפריט של וורדפנס ב-Tools, תציגי רק את החסומים. שימי לב שיש חסומים ויש חסומים ע"י הפיירוול. אני מניח שאת צריכה את אלה שחסומים ע"י הפיירוול.
      אגב, מוזר לי שחסם לך את הבוטים של גוגל. יש מצב שאלו בוטים רעים שמתחזים לבוטים של גוגל.
      העליתי לך תפיסת מסך כדי שתראי איך זה נראה פה: https://pasteboard.co/Ikks8Mq.png

  2. Avatar

    היי
    תודה רבה על ההסבר. ניסיתי להתקין את התוסף וזה לא מאפשר להמשיך אם אין משתמש פרימיום, זה משהו חדש?

    1. דוד ארוון

      לא. לפחות לא שידוע לי.
      באיזה שלב נתקעת?

  3. Avatar

    מיד לאחר ההתקנה וההפעלה, הוא מבקש כתובת מייל ואז לאחר מכן קוד של משתמש פרימיום. גם ברשימת התוספים, אין קישור להגדרות התוסף אלא אפשרות לכבות אותו או לשדרג לפרימיום.

    1. דוד ארוון

      אני אתקין אותו מחדש על אתר בדיקות ואעדכן אותך בתגובות. יש מצב שאצטרך לעדכן את הפוסט הזה.

    2. דוד ארוון

      הדר, תודה על תשומת הלב. אז ככה:
      1. אין חובה לרכוש רשיון. מה שכן הם די הסתירו והקטינו את האפשרות להמשיך עם הגרסה החינמית.
      2. בזכות הערנות שלך, שכתבתי את כל המדריך והתאמתי אותו לגרסה האחרונה של וורדפנס (7.3.4). התייחסתי בו גם לנקודה הזו ששאלת (מסך 4).

      מקווה שעכשיו הכל יותר מובן ומתאים לגרסה שהתקנת. תעדכני אותי אם הסתדרת.

      1. Avatar

        תודה רבה, הצלחתי להתקין 🙂

        1. דוד ארוון

          מעולה!

כתיבת תגובה

 

סגירת תפריט