בדיקת חדירות לאתרי וורדרפס

בדיקת חדירות WPScan

בעולם אבטחת מידה והאקינג קיים מושג בדיקת חדירות (Penetration test) שמספק מידע על כל בעיות האבטחה של מערכת שנבדקה. קיימים לא מעט כלים אוטומטיים בתחום וגם כלים ידניים, במאמר הזה אני רוצה להסביר על כלי אוטומטי שמיועד לוורדרפס ובודק את כל בעיות האבטחה הקיימות באתר.

התייעלות מערכת וורדפרס – מקטינים מהירות

מהירות אתר הינו פרמטר מאוד חשוב בחווית גלישה. גולשים רבים סובלניים ב3-5 שניות הראשונות. בנוסף לכך, מנועי חיפוש נותנים למהירות משקל רב.
מהירות טעינה תלויה בגורמים חיצוניים (כמות אתרים באחסון שיתופי, הגדרות והתאמות שרת למערכת ספציפית, מהירות תגובה של השרת וכו…) וגורמים פנימיים (כתיבת קוד, פניות לשרת, Caching וכו…).

בפוסט הזה אני רוצה להציע כמה פתרונות להתייעלות מערכת וורדפרס, אבל זה מתאים גם למערכות אחרות.

שיפור מהירות האתר

איך אני הקטנתי מהירות של האתר שלי:
בפברואר העברתי את האתר כולו ל HTML5 וCSS3, המעבר הזה אפשר לי לצמצם משמעותית את זמן הטעינה. עד חודש יולי הכל היה בסדר, אפילו Google Webmaster Tools הציג גרף קבוע בירידה, אבל לאחר חודש יולי (שדרגתי ל 3.4.1) חלה עליה משמעותית ומהירות עלתה בצורה דרסטית (עד 10 שניות).
התחלתי לחפש פתרונות בבלוגים השונים ובWordpress Documentation, שום דבר לא עזר לי.
כנראה הגיע זמן לשדרג ולשכלל תבנית שוב, במיוחד כשאר גוגל מכריזים שלא ייתמכו יותר באקספלורר 8.

פריצה חדשה בעדכון אוטומטי של וורדפרס 3.3.2

פריצה חדשה בעדכון אוטומטי של וורדפרס 3.3.2

מיתוס הנפוץ ביותר אצל רוב בעלי אתרים על בסיס וורדפרס שממשק ותוספים מעודכנים משפר את אבטחת האתר. לכן רובם עושים את העדכונים בעזרת ממשק באופן אוטומטי (לוח בקרה – שדרוגים). במקרה של שדרוג אוטומטי לגרסה האחרונה (3.3.2) שיצאה לפני זמן קצר קיים חשש לפריצה.
למרבה הצער, עדכון מעדכן קבצי ממשק, ולא מוחק את הקבצים שכוללים קוד זדוני או קבצים נגועים בצורה כזאת או אחר. לכן חשוב מאוד לנקות את הקבצים השונים לפני עדכון.
תשתית לפריצה נוצרה ,בערך ב 20 לאפריל, לפני שגרסה האחרונה שוחררה. פריצה למעשה ממתינה לביצוע עדכון אוטומטי.