וורדפרס ואבטחה

בעקבות פרסומים רבים בימים האחרונים על התקפה חמורה מהרגיל שמנצלת פרצה בגרסאות ישנות של וורדרפס, פרסמתי פוסט בנושא בבלוג הרשמי של וורדפרס בעברית, עם תזכורת בולטת לשדרוג כל התקנה של וורדפרס לגרסה העדכנית ביותר.

בהמשך לאותו הפוסט, אלו כמה הבהרות משלי בנוגע לאבטחה של וורדפרס ואבטחה בכלל.

1. כל מוצר תוכנה, בכל גרסה ובכל סדר גודל, כולל תקלות שתוקפים יכולים לנצל כדי להשתלט עליו, ולעיתים אף להשתלט דרכו על המערכת בה הוא פועל. וורדפרס, כמו כל מוצר תוכנה אחר, כוללת תקלות מסוג זה, שתוקפים יכולים לנצל כדי להשתלט על הבלוג שלכם, או להשתלט לגמרי על השרת עליו הוא פועל.

כשהמפתחים של מוצר תוכנה מזהים תקלה כזו, נעשים כל המאמצים האפשריים לתקן אותה, ולשחרר גרסה עדכנית שכוללת את התיקון ומאפשרת למשתמשים להתגונן מפני התקפות שמנצלות את התקלה. לדוגמה, במקרה של וורדפרס, ארבעת הגרסאות האחרונות (עם מספרי גרסה תלת ספרתיים: 2.8.4, 2.8.3 וכו') כללו תיקונים לתקלות שהיוו פרצות אבטחה. כמעט כל גרסה של וורדפרס ששוחררה בעבר כללה גם כן תיקונים לפרצות אבטחה.

ככלל, בכל רגע נתון, הגרסה הבטוחה היחידה של וורדפרס היא הגרסה העדכנית ביותר. במילים אחרות, כדי לפשט את העניינים ולחסוך בזמן, אם אתם משתמשים בכל גרסה אחרת מלבד הגרסה האחרונה של וורדפרס, הבלוג שלכם פרוץ, ואתם התוקפים שפרצו אותו.

עם זאת, אין פירוש הדבר שהגרסה העדכנית ביותר של וורדפרס היא בהכרח בטוחה. כמו כל תוכנה אחרת, גם בגרסה העדכנית ביותר של וורדפרס תתגלנה בסופו של דבר תקלות שמהוות פרצות אבטחה, ואלו תתוקנה בגרסה הבאה.

כלומר, כמעט כל גרסה של וורדפרס ששוחררה אי פעם כללה, מלבד התיקונים, גם תקלות חדשות. במילים אחרות, הגרסה הבטוחה ביותר של וורדפרס היא למעשה הגרסה הבאה. אבל גרסה זו לא שוחררה עדיין, וברגע שתשוחרר כבר לא תהיה הגרסה הבטוחה ביותר.

אין מוצר תוכנה בטוח לגמרי, ואין תוכנה שמוגנת לגמרי מפני התקפות. אבל כדי לשמור על הבלוג שלכם בטוח, עליכם לכל הפחות להתגונן מפני כל המתקפות המוכרות. הדרך היחידה לעשות זאת היא להשתמש בגרסה העדכנית ביותר של וורדפרס. לכן, הגרסה האחרונה בכל רגע נתון היא לא רק הגרסה הבטוחה ביותר של וורדפרס, היא הגרסה הבטוחה היחידה של וורדפרס.

2. המקור המוסמך היחיד למידע רשמי על וורדפרס הוא האתר שבכתובת wordpress.org. המקור המוסמך היחיד למידע רשמי על וורדפרס בעברית הוא האתר שבכתובת he.wordpress.org. בשם הפשטות ולמען החסכון בזמן, אם הורדתם את וורדפרס מכל מקור אחר, הבלוג שלכם פרוץ. אם הסתמכתם על המלצה או מילאתם הוראות שהגיעו מכל מקור אחר, הבלוג שלכם פרוץ.

אלו כתובות קצרות שאפשר לזכור בקלות ולהקליד ידנית בשורת הכתובות בלי שגיאות כתיב. בדרך זו אתם מגינים על עצמכם מפני גרסאות זדוניות של וורדפרס ומפני מתקפות משולבות שכוללות מתקפות פישינג – כמו וורדפרסז 2.6.4, שהופצה על ידי שתילת קישור זדוני בממשק הניהול תוך ניצול פרצה בגרסאות ישנות של וורדפרס.

המלצות דחופות להתקנה של גרסה עדכנית שכוללות הודעות של מתקפות חמורות, כמו ההמלצות לשדרוג של וורדפרס שנפוצו בימים האחרונים באימיילים, בבלוגים, בטוויטר בפייסבוק או בכל מקום אחר, הן חסרות אחריות ויש להתעלם מהן. לא בגלל שהן לא מבוססות או לא נכונות – קביעות כאלה יש לבחון באופן נקודתי – אלא בגלל ששדרוג והתקנה של עדכוני אבטחה היא לא פעולה שיש לבצע כתגובה לאיום, אלא כטיפול מונע, עוד לפני שהאיום קיים.

כהרחבה לנקודה זו, כל המלצה שלא לשדרג את וורדפרס לגרסה העדכנית ביותר, מכל סיבה שהיא, היא חסרת אחריות ויש להתעלם ממנה.

3. שדרוג התקנה של וורדפרס היא לא בהכרח משימה פשוטה – במקרים מסויימים תתכנה בעיות תאימות עם ערכת העיצוב או עם תוספים שפועלים בבלוג, עם ההתקנה של PHP או MySQL, עם תוכנות אחרות שפועלות על השרת, או עם גורמים אחרים.

כפועל יוצא מכך, ניהול בלוג עצמאי בוורדפרס היא לא בהכרח משימה פשוטה. עצמאות כרוכה תמיד במידה מסוימת של אחריות. אם אתם לא חושבים שתוכלו לעמוד בעדכונים שוטפים של התקנה של וורדפרס, העזרו באתרי בלוגים כמו WordPress.com או בלוגלי כדי להוציא מידיכם את האחריות על האבטחה של הבלוג שלכם, וכדי להתגונן מפני ספאם, גניבת זהות או גניבת רכוש, רצח אופי, סחיטה, ניצול, או כל נזק אחר שעלול להגרם כתוצאה מהשתלטות על הבלוג שלכם, על חבילת האחסון או השרת שלכם, או על המחשב האישי שלכם.

אם אתם אומרים שאתם לא סומכים על וורדפרס, אתם בעצם אומרים שאתם לא סומכים על עצמכם.