לכל מי שזוכר את אירועי המשט של טורקיה שבעקבות אותו משט נפרצו למעלה מ-1000 אתרים ישראלים גדולים ובניהם: סטימצקי ואתר עיריית תל אביב, וכד' בתור אחד שחטף גם באותה תקופה לא מעט מתקפות על השרת גיבוי שלי שיושב באנגליה, החלטתי השנה להקדים תרופה למכה ולהכין מיני מדריך לי ולכם שיעזור לכולנו לעבור את התקופה הקרובה באופן בטוח ועם כמה שפחות מתקפות של האקרים על האתרים שלנו.
1. שינוי מיקום לקובץ wp-config.phpלהעביר את הקובץ wp-config מתייקית ה-~/home/user/public_html/wp-config.php לתיקיה אחת למעלה ~/home/user/wp-config.php; (בדרך כלל מדובר בתיקיה שנקראת בשם הדומיין). כאשר אתם משאירים את הקובץ בתייקית public html של השרת אתם בעצם מאפשרים לגורמים עיונים לגשת לקובץ הזה ובאמצעותו הם יוכלים לשנות את ההגדרות של האתר שלכם ולמחוק לכם את כל האתר, כאשר אתם משנים את המיקום של הקובץ, וורדפרס יודע לזהות את המיקום החדש של הקובץ. אף על פי כן, חשוב לציין כי הזיהוי לא יתבצע אוטומטי לאנשים שהאתר שלהם יושב תחת תת קטגוריה. לדוגמה: domain.co.il/blog, או כאשר ביצעתם add-on domain תחת מערכת cPanel.
. מחיקת משתמש ברירת מחדל (admin)בדרך כלל, מרבית האתרים המבוססים על וורדפרס מוגדרים בהתקנה עם משתמש ברירת מחדל בשם admin. לאחר ההתקנה, חשוב ליצור משתמש חדש עם הרשאות ניהול ולאחר מכן למחוק את המשתמש admin. במידה ותחליטו להישאר עם המשתמש admin, אתם בעצם מאפשרים להאקרים להעריך מראש מה השם משתמש שלכם וכל מה שנותר להם זה לפצח את הסיסמה שלכם (משהו שאפשר לבצע כלי פריצה אוטומטיים לניחוש סיסמא). בשונה ממערכות וורדפרס הישנות שאילצו אותנו ליצור מנהל ראשי תחת השם admin כיום התקנות וורדפרס של מערכות בגירסאות 3.0 + מאפשרות לנו לבחור איזה שם משתמש שאנחנו רוצים, אז תשתדלו לא להתקבע על המשתמש admin (גם אם אתם רגילים אליו כבר).
1. שינוי מיקום לקובץ wp-config.phpלהעביר את הקובץ wp-config מתייקית ה-~/home/user/public_html/wp-config.php לתיקיה אחת למעלה ~/home/user/wp-config.php; (בדרך כלל מדובר בתיקיה שנקראת בשם הדומיין). כאשר אתם משאירים את הקובץ בתייקית public html של השרת אתם בעצם מאפשרים לגורמים עיונים לגשת לקובץ הזה ובאמצעותו הם יוכלים לשנות את ההגדרות של האתר שלכם ולמחוק לכם את כל האתר, כאשר אתם משנים את המיקום של הקובץ, וורדפרס יודע לזהות את המיקום החדש של הקובץ. אף על פי כן, חשוב לציין כי הזיהוי לא יתבצע אוטומטי לאנשים שהאתר שלהם יושב תחת תת קטגוריה. לדוגמה: domain.co.il/blog, או כאשר ביצעתם add-on domain תחת מערכת cPanel.
. מחיקת משתמש ברירת מחדל (admin)בדרך כלל, מרבית האתרים המבוססים על וורדפרס מוגדרים בהתקנה עם משתמש ברירת מחדל בשם admin. לאחר ההתקנה, חשוב ליצור משתמש חדש עם הרשאות ניהול ולאחר מכן למחוק את המשתמש admin. במידה ותחליטו להישאר עם המשתמש admin, אתם בעצם מאפשרים להאקרים להעריך מראש מה השם משתמש שלכם וכל מה שנותר להם זה לפצח את הסיסמה שלכם (משהו שאפשר לבצע כלי פריצה אוטומטיים לניחוש סיסמא). בשונה ממערכות וורדפרס הישנות שאילצו אותנו ליצור מנהל ראשי תחת השם admin כיום התקנות וורדפרס של מערכות בגירסאות 3.0 + מאפשרות לנו לבחור איזה שם משתמש שאנחנו רוצים, אז תשתדלו לא להתקבע על המשתמש admin (גם אם אתם רגילים אליו כבר).