בכל פעם שפונים אלי בבקשה להקים אתר, אני אומר "מה הבעיה? נתקין וורדפרס, נבחר תבנית, נשנה אותה קצת ויש אתר"

אז זהו, שיש בעיה.

ככל שמערכת תוכנה יותר נפוצה, כך גם גדלה המוטיבציה של כל מני חולירות להשתמש בה לצרכים שלהם – ספאם לדוגמה.

מאז שהתקנתי לראשונה את וורדפרס לפני כמה שנים, המערכת הזאת היתה שער הכניסה לפריצות לאתרים שלי.

וזה לא נגמר. כל פעם אני מתקין את הגירסה האחרונה המכיל תיקוני אבטחה, ואחרי כמה ימים אני נדרש להתקין את הגירסה העוד-יותר-אחרונה המכילה תיקוני אבטחה.

ובינתיים, החולירות כבר הספיקו להכניס את הסוס הטרויאני שלהם לשרת שלי כך שאפילו אם עדכון האבטחה הורג את החיילים, אני צריך לרדוף אחרי הסוס ולהרוג אותו בעצמי.

אם הייתי מומחה באחזקת שרתים ושורק פקודות SSH להנאתי, מילא. אבל אני לא.

כיום יש באחריותי בערך 10 התקנות של וורדפרס. פרוייקטים אישיים שלי וטובות שאני עושה לחברים וידידים.

עכשיו אני צריך לעקוב אחרי עדכוני האבטחה של וורדפרס ולעדכן עשר התקנות. וזה עוד טוב כי אני נמנע מתוספים שגם הם פוטנציאל לבעיות אבטחה. (ואני לא מתכוון להיכנס ל WP MU)

וגם לא ידוע לי על כלים להתראה על התקפות אלא רק תיקון החורים בדיעבד.

לסיכום, משהו פה דפוק.

בינתיים גם הפרוייקט האישי החדש שלי יקום על וורדפרס ולא נראה שיש לי אופציות טובות אחרות, כי גם הן יהיו פופולאריות ולכן מטרות טובות להתקפות.

עד כאן העניינים הכלליים ועכשיו עניינים טכניים ספציפיים.

אם מודיעים לכם שמקבלים התראת אבטחה בדפדפן, חפשו בקוד סביב הפרסומות של גוגל או הקוד של גוגל אנליטיקס. החולירות המסויימים האלה מכניסים לשם קוד דומה שמפנה לשרתים שלהם. תקראו טוב טוב את הקוד. חפשו קוד המכיל את google-query.com. זה לא אתר של גוגל.

הפורצים המסויימים האלה גם משאירים עקבות מצחיקים. משום מה, התוכנה שלהם מחליפה בתבנית את האות העברית "ט" באיזו קוד. אם אתם רואים פתאום קישקושים בשם "רן יניב הרטשטיין", זו הודעה ברורה שפרצו לכם לאתר.

אני מתחיל לשמוע לעצתו של צפריר ריהן ומפריד את הפרוייקטים שלי למשתמשים שונים. זאת הסיבה שבימים הקרובים "לא רלוונטי" יקבל דומיין משלו. זה האתר העיקרי שלי ואני רוצה להפריד אותו מכל התקנות הוורדפרס האחרות שנמצאות תחת המשתמש הראשי שלי.

התקינו את התוסף WordPress Exploit Scanner שיעזור לכם לראות האם הושתל בהתקנה קוד זדוני.

התוסף גילה לי שיש קוד חשוד באחד הקבצים באחד הבלוגים שלי. הורדתי את הקובץ החשוד והאנטי וירוס זיהה אותו כ Trojan PHP/Rst.AK. מחקתי את הקובץ ועכשיו אני יודע טוב יותר מה לחפש ולהרוג.

עד הפעם הבאה.