למה שמשהו ינסה לתקוף את האתר שלי?
לרוב הסיבות לתקיפה של אתרים קטנים נובעת מהקשר שלהם לישראל ופרצת אבטחה שזוהתה בקלות. וורדפרס לדוגמא טוענים ש 42% מכלל האתרים בעולם (קטנים וגדולים) משתמשים בוורדפרס, לכן גילוי של פרצת אבטחה וניצול שלה יכול להיות אטרקטיבי עבור מי שמחפש לפגוע. עם זאת וורדפרס נחשבת למערכת אמינה ובטוחה, מרבית הפגיעות הן בעקבות גרסה לא מעודכנת או רכיב שפותח ברשלנות או לא נתמך. הפופולריות וקהילת המפתחים העצומה של וורדפרס, הם גם הגורם שמאפשר לנו להתמודד בתקציב הגיוני מול פרצות ואיומים.
לאתרים גדולים יותר אשר מחזיקים מידע רגיש במסדי הנתונים, יש כמובן ערך רב יותר והם אטרקטיביים יותר לתקיפה וחדירה של גורמים עוינים: הן פוליטיים והן פליליים. באופן רציונלי קיים קשר בין רמת האטרקטיביות של האתר כיעד לתקיפה, לבין המשאבים והאנרגיה שישקיעו גורמים עוינים במטרה לפגוע בו.
בעולם של היום אין שום דבר שמחובר לאינטרנט ובאמת מוגן ב 100%, אז מה אני יכול לעשות כי להגן על האתר שלי? חשוב להשקיע ולא להקל ראש בנושא האבטחה: מעבר לעדכונים ותחזוקה שוטפת של וורדפרס, התוספים והתבניות – אל תתקינו שום דבר עם דרוג נמוך, מעט משתמשים או מגורם בלתי מנוסה וותיק (תבדקו ביקורות וקבלו החלטות מושכלות). תמיד כדאי לשמור על רישיונות תקינים ותמיכה של יוצר הקוד. מומלץ לבצע עם הקמת האתר אבטחה בסיסית כמו: התקנה והגדרת FIREWALL, בחינה של הרשאות גישה לתיקיות בשרת, שינוי נתיב URL ברירת המחדל עבור גישה למערכת הניהול, הסרה של תבניות / תוספים שלא בשימוש, הסרה ויצירה רק של המשתמשים הפעילים, הגנה על טפסי האתר וגישה ליצירת משתמשים והתחברות, וכמובן גיבוי ראשוני מלא שתורידו ממשק ה CPANEL ותשמרו אצלכם מקומית במקום בטוח למקרה ותצטרכו אותו.
אתרים בעלי רגישות מיוחדת, כמו לדוגמא חנות, או אתר השומר מידע אישי על הלקוחות ומנהל אותו, דרוש התייחסות נקודתית לכל נושא ובעיה. את בעיות האבטחה ניתן לאתר על ידי ביצוע בדיקות חדירות, בדיקות אלו עושות שימוש באותן הטכניקות והכלים בהן משתמשים האקרים.
חדירה אל האתר שלכם יכולה להגיע מכיוונים שונים: גישה לסיסמאות, פריצה לשרת עצמו או אל האתר ומסדי הנתונים. כידוע פרצה קוראת לגנב, וכשם שגנב שמעוניין לגנוב רכב יבצע מספר שיקולים לפני שינסה לגנוב את הרכב שלכם: 1. מה שווי הרכב עבורו? 2. מה סיכויי ההצלחה לגנוב אותו מבלי להיתפס? 3. האם יש רכב אטרקטיבי יותר באזור שיותר קל לגנוב. לכן אם האתר שלכם מסחרי / תדמיתי וקטן, רוב הסיכויים שמי שינסה לפרוץ / לפגוע לא ישקיע זמן רב, מאמץ ומשאבים.
שמירה על מספר כללים בסיסים יכולים למנוע נזק לאתר ופגיעה בעסק.
דרך הפריצה הקלה ביותר היא על ידי השגת שם המשתמש והסיסמא. על כן לפני שאתם מאפשרים לגורם שלישי לטפל לכם באיזשהו אופן באלמנטים שונים באתר, חשוב לוודא ששם המשתמש והסיסמא יהיו אישיים וניתנים לביטול במקרה הצורך. אם אתם לא סומכים על האדם או הגוף שיטפל בכם ב- 100%, אל תאפשרו לו גישה אל מידע רגיש.
- חשוב שכל הסיסמאות של: ניהול האתר, המשתמשים, מערכת הניהול, חשבונות FTP, חשבון השרת וחשבון הדומיין ישמרו במקום בטוח. כלומר לא בחשבון האימייל / ג'ימייל, לא על מחשב שיש למספר אנשים גישה אליו, ולא יופיעו ביחד עם שם המשתמש.
- השתמשו בסיסמאות מורכבות ולא משהו שיהיה קל למצוא ולנחש. בנוסף אל תשתמשו באותה הסיסמא, אם הסיסמא תתגלה יהיה מאוד פשוט לפרוץ אל שאר המערכות והשירותים שאתם משתמשים בהם. בכל מקרה לעולם אל תשתמשו באותה הסיסמא גם לחשבונות האימייל שלכם. חשבון האימייל שלכם משמש במקרים רבים כדרך לזהות אתכם ולתקשר מול מערכת, גישה אל חשבון האימייל שלכם יכולה לחשוף בקלות מהם המערכות והארגונים שאתם פועלים מולם, לחסום אתכם מגישה לאימייל ע"י שינוי הסיסמא ואיפוס סיסמאות למערכות אחרות שישלחו את הסיסמאות אליכם לחשבון האימייל. אם פרצו לכם לחשבון הג'ימייל כדאי שתקראו את המאמר הבא:
https://support.google.com/mail/checklist/2986618?hl=en&rd=1
השתמשו בשילוב הכולל לפחות שבעה מספרים, אותיות וסימני פיסוק (כגון ! ו-&.)
ניתן להיעזר במחולל סיסמאות כדי להרכיב סיסמאות חזקות:
http://strongpasswordgenerator.com או http://www.newpasswordgenerator.com
- גיבוי, גיבוי ועוד פעם גיבוי – פרקטיקה נכונה היא לבצע גיבויים באופן שוטף לפני כל שינוי משמעותי באתר, הרשאות גישה לצד שלישי ופעם בחודש. אם האתר שלכם מושתת על מערכת ניהול או חנות, הגיבוי צריך לכלול את כל הקבצים ומסדי הנתונים. יש לשמור את הגיבוי במקום מאובטח שלא יאפשר לגורמים אחרים גישה אליו. (מומלץ בחום לא לשמור גיבויים על שירותי ענן). שמירה על כללי הגיבוי יאפשרו לכם במקרה של חירום להעלות את האתר מחדש. כדי למנוע מהחדירה או הפגיעה באתר לחזור שוב אחרי שהאתר עלה מחדש, יש לשנות את כל הסיסמאות, לחסום משתמשים חשודים ולבחון את דרך הפעולה כדי לתקן פרצות ככל הניתן.
- עדכון הקוד – שימוש במערכות ניהול תוכן קוד פתוח כמו ג'ומלה (JOOMLA) או וורדפרס (WORDPRESS) ואחרות, מספקות עדכוני מערכת כמעט כל הזמן. חלק מהעדכונים האלו הם עדכונים לצורך שיפור תפקוד המערכת, אך במקרים רבים הם כוללים תיקונים של פרצות אבטחה שהתגלו. ברוב המקרים מפתחי אתרים עושים שימוש בתוספים ורכיבים שפותחו על ידי גורמים חיצוניים (צד ג'), כדי לשפר את יכולות של האתר ומערכת הניהול. מפעם לפעם מתגלות פרצות אבטחה גם בפיסות קוד אלו, מפתחי הרכיבים יוציאו לרוב גרסה מעודכנת או טלאי כפתרון זמני עד הגרסה הבאה. חשוב ביותר לא לעשות שימוש ברכיבים שידוע שיש בהם פרצות, ולבצע עדכונים למערכת הניהול והרכיבים באופן קבוע. סיבה נוספת שקוד מתעדכן באופן קבוע היא שהעולם משתנה ומתקדם ואיתו הטכנולוגיה ואופן שאנחנו מורגלים ומתורגלים מידי יום לצרוך את התוכן שלנו. כל עוד הטכנולוגיה ואמצעי התקשורת מתפתחים ומשתנים, חשוב לשמור על קוד מעודכן ורישיונות תמיכה. מעבר לסכנה שבפרצות האבטחה, יכולות להיווצר תקלות והתנגשויות קוד.
- הצפנה – אם אתם מוכרים מוצרים דרך האתר או מחזיקים במידע רגיש של הלקוחות, עשו שימוש במפתחות הצפנה (SSL). ישנם סוגים שונים של תעודות SSL לשימושים וצרכים שונים, ובמקרים מסוימים הן אפילו חובה / סטנדרט. תמיד טוב להשתמש בתעודת אבטחה כשאתם מעבירים מידע אישי ורגיש בין האתר לשרת או מסדי הנתונים. SSL מספק ללקוחות שגולשים באתר הרגשת ביטחון והן בשל העובדה שהמידע שלהם מאובטח והן בשל העובדה שהעסק שהם מעוניינים לעבוד מולו הוא גוף מזוהה ולא מתחזה.שימו לב: מעבר לסכנה הברורה שקיימת באי שימוש ב SSL, וכחלק מהמאמץ של גוגל לספק לגולשים חווית גלישה טובה ובטוחה יותר. גוגל מורידה את הדירוג עבור אתרים שאין להם SSL.
- המנעו ככל הניתן מלספק לגולשים אפשרות להעלות או לשלוח קבצים דרך האתר. אפשרות זאת יכולה להיות מנוצלת כדי להעלות קובץ שנראה תמים, אבל מכיל קוד שיכול לפגוע קשות בשרת ולפתוח את האתר שלכם לאפשריות רבות שבו הוא יכול להיות מנוצל לרעה. אם יש לכם טופס באתר שמכיל אפשרות להעלות קבצים, תתייחסו אליהם בחשדנות רבה. מרבית סוגי קבצי תמונות מאפשרים להכיל הערות, אלו יכולים להיות מנוצלים להטמעת קוד שיופעל על גבי השרת. במקרים כאלו לא מספיק לחסום סוגי קבצים מסוימים או לאפשר רק לסוגים מסוימים לעלות, ניתן לבצע מספר פעולות שיכולות לעזור: שינוי שם הקובץ בזמן העלאה לשרת או שינוי ההרשאות גישה והפעלת הקבצים. כל הקבצים שעולים לאתר צריכים להיות ממוקמים מחוץ לתיקיית ה- ROOT.
- שרת – חלק לא מבוטל של פריצות לאתרים נובע מחדירה דרך פרצת אבטחה או אבטחה לקויה של חברת האחסון. בחרו בחברת אחסון רצינית, יש לנו שותפויות עם חברות אירוח אתרים ושרתים בארצות הברית, בישראל אנחנו שותפים עסקיים של גלקום ומספקים עבור הלקוחות שלנו פתרונות אירוח אתרים בחבילות שרת שיתופי, אישיות ומותאמות אישית וממשק CPANEL מתקדם ומאובטח. במיוחד באתרי וורדפרס, השתמשו בגרסאות אחרונות לצרכי המערכת. אם אתם מעוניינים במידע טכני יותר כנסו לקישור הבא: https://he.wordpress.org/about/requirements
- אתרים המאפשרים רישום וגישת משתמשים אל אזורים באתר, חשופים יותר למתקפות וניסיונות חדירה. פרקטיקה נפוצה ומקובלת היום היא יישום של TWO FACTOR AUTHENTIACATION עבור הגישה לממשק הניהול של האתר. הכוונה היא שהכניסה תתבצע בעזרת שני גורמים (סיסמא וקוד חד פעמי שנשלח לטלפון /מייל)
- FIREWALL לוורדפרס – השימוש בפיירוול (web application firewall או WAF) נועד לחצוץ ולשמש מגן בין האתר שלכם לבין התנועה שמגיעה אליו. אם תגדירו אותו נכון, יוכל הפיירוול למנוע ולטפל במקרים רבים של סכנות אבטחה אפילו לפני שהן מגיעות אל השרת שלכם. במקרים מסוימים השימוש בפיירוול יכול גם לשפר את הביצועים והמהירות של האתר. ישנם שני סוגי פיירוול עיקריים בשימוש היום. האפשרות הראשונה היא FIREWALL ברמת אפליקציה, שבוחנת את התנועה שזורמת לאתר ברגע שהיא מגיעה אל השרת ולפני שמאפשרת לשאר האתר להטען. האפשרות השנייה היא שירות FIREWALL ברמת DNS, במקרה הזה התנועה מוכוונת דרך שרתי פרוקסי בענן. הניטור והסינון מתבצע לפני שהתנועה מגיעה לאתר, ורק התנועה שמאושרת מגיעה אל שרת האתר. כמובן שיש הבדלים גם בעלות השירותים השונים, ההמלצה מבין שתי האפשרויות היא להשתמש ב FIREWALL ברמת DNS אבל אם זה כבד עליכם כלכלית, לפחות התקינו FIREWall ברמת אפליקציה / תוסף.