אבטחת אתרים: 7 צעדים שכדאי לבצע היום כדי להגדיל הסיכוי של האתר שלך להיות חסין נגד פריצות

להתעורר בבוקר ולגלות שעל האתר שלך השתלטו גורמים עוינים או לראות את האתר שלך קורס מול העיניים בלי שיש לך שליטה על המצב, זה בוודאי הסיוט של כל אחד מאיתנו.

הפריצה המתוקשרת לאתרים ישראליים דרך שרת האחסון של חברת UPRESS במאי 2020 והיעלמות האתרים שחוו חלק מקוחות חברת box (אפריל 2020) הן שתי דוגמאות מהזמן האחרון. נכון, לא כל אתר שייך לבנק או לחברות ענק שמחויבות מטבען לרמת אבטחת אתרים גבוהה ומשקיעות בה הון רב (וגם הן לא תמיד חסינות), אבל עדיין, כדאי להכיר את הבסיס שיעזור לך באבטחת האתר ויוכל למנוע לפחות חלק מתסריטי האימה האלה.

7 צעדים לאבטחת אתרים טובה יותר:

1. בחירת חברת אחסון אמינה

מעבר לחשיבות שיש לאחסון בכל מה שנוגע לביצועי האתר ולמהירות הטעינה שלו, חברת האחסון היא הפרמטר הקריטי ביותר בכל מה שנוגע לגיבוי ואבטחת האתר והתכנים שלך. זה לא המקום לחסוך כמה שקלים. מומלץ לבחור חברה שמציגה רמה גבוהה של אבטחת אתרים ומערך גיבויים מסודר, ורצוי כזו שמתמחה בוורדפרס. זו התמחות לא טריוויאלית, ומומלץ לבחור בחברות בינלאומיות עם ההתמחות הזו (לדוגמה wpengine), ולא חברות ישראליות צעירות וחסרות משאבים מלאים לשירות פרימיום כזה.

2.  הימנעות משימוש בתוספים

רוב הפריצות מגיעות מתוך תוספים לא מעודכנים, או כאלה שהמקור שלהם לא אמין. ההמלצה שלנו היא לא להשתמש בתוספים כפתרון ברירת מחדל עבור כל אלמנט שרוצים להוסיף לאתר (בוודאי לא כזה שניתן לפתור בכמה שעות עבודה של מתכנת). יוצאים מהכלל הם תוספים ותיקים כמו yoast או woocommerce, שיש להם אבא ואמא (היתרון הגדול ביותר הוא שגם במקרה ובו נמצאה פרצת אבטחה בתוסף כזה, זמן התגובה והטיפול הוא מאד מהיר).

כאשר תוותרו על קוד חיצוני מיותר כמו תוספים, והמתכנת שלכם יכתוב קוד ייעודי לביצוע הפונקציונליות שרציתם, הקוד לא יהיה חשוף להאקרים כמו תחת ספריות התוספים, ויהיה קשה יותר למצוא בו פרצות.

3.  שימוש נכון בהרשאות הכניסה לאתר

  • הקפדה סיסמאות בדרגת חוזק גבוהה בכניסה לאדמין (שילוב אותיות גדולות קטנות וגדולות, תווים, סימנים ומספרים)
  • בחירת שם משתמש שאינו admin  / שמך הפרטי/ המייל העסקי שלך (אחת הפרצות הכי בסיסיות!) הצעד הזה לבדו יכול לצמצם את סיכויי הפריצה למשל בהתקפה מסוג Brute Force.
  • למי שרוצה לעלות ברמת האבטחה: שימוש ב two step authentication, ששולח קוד אבטחה אישי לכל חיבור. באמצעות תוסף אבטחה כגוןwordfence.
  • לא כל מי שאתם נותנים לו גישה לאתר צריך להיות בעל הרשאה ברמת  אדמין. הקפידו לתת רק את ההרשאה המינימלית הנדרשת לכל משתמש:

Contributor – ניתן לערוך רק את הפוסטים שלך. לא ניתן לפרסם ללא אישור מנהל.

Author – אפשרות כתיבה ופרסום שלך הפוסטים שלך בלבד.

Editor – הרשאה לכתוב ולפרסם גם פוסטים ועמודים שלך וגם של אחרים, אבל ללא גישה לאזורים הנוגעים בקוד, למשל ניהול תבניות ותוספים, עריכת קבצים וטפסים

Administrator  – אדמין ראשי, מנהל האתר, בעל הרשאה לכל חלקי המערכת. זו ההרשאה הגבוהה ביותר שלא מומלץ לתת לאף אחד למעט בעל האתר או המתכנת שלו.

4. שימוש בפרוטוקול SSL

מומלץ להגדיר את האתר כך שיהיה תחת תקשורת מאובטחת – כלומר כל הדפים מוגשים כ-https.

אם הדומיין שלכם נראה ככה: https://www.etyhadar.com וסימן של מנעול לידו, אתם מסודרים.

במידה ולא, ניתן להעביר האתר להיות תחת https באמצעות ספק האחסון (אצל רבים מהספקים אפשר להתקין תעודת SSL שיתופית באופן אוטומטי ובחינם), או על ידי רכישה של תעודה דרך ספק SSL מורשה. 

https secure url

5. גיבוי, גיבוי ושוב גיבוי אתר

גם אם לא מנענו את הפריצה לאתר, במצבים כאלה קריטי ביותר שתהיה לנו ביד גרסה אחרונה של האתר, אותה נוכל להעלות במידה והגיבוי של חברת האחסון לא עבד או אם נרצה להחליף את החברה ולעבור לאחסון חדש. אפשר להשתמש בשירות גיבוי ששומר גרסה ישירות לדרופבוקס/גוגל דרייב או לבקש ממי שמתחזק את האתר להוריד גיבוי אתר וורדפרס מהשרת ולשמור אותו בנפרד מהאחסון.

6. עדכון גרסת וורדפרס לעיתים קרובות

וורדפרס היא מערכת ניהול התוכן (CMS) הנפוצה ביותר בעולם. לכן היא מטרה מבוקשת לפורצים וסטטיסטית תשמעו על יותר אתרי וורדפרס שנפרצו פשוט כי יש הרבה יותר אתרי וורדפרס מכל סוג אתר אחר כרגע. אם מוסיפים לזה אתרים מבוססי תוספים, קיבלנו רגישות יתר. אחת הסיבות שוורדפרס משיקה עדכוני גרסה בתדירות גבוהה יחסית, היא כדי לסתום חורי אבטחה אפשריים. תנו לקהילה לעזור לכם- עדכנו גרסה.

שדרוג גרסת וורדפרס בצורה נכונה wordpress

איך מעדכנים גרסה בצורה בטוחה? קודם כל, לא לוחצים בעצמכם על כפתור עדכון גרסה!
העדכון צריך להתבצע במספר שלבים:

  • יצירת גיבוי לאתר והעלאה של הגרסה לסביבת פיתוח
  • שדרוג גרסה בסביבת הפיתוח
  • בדיקה יסודית של האתר כולל האדמין כדי לוודא שהאתר פועל בצורה תקינה בגרסה החדשה
  • בתום הבדיקה וביצוע התאמות במידת הצורך, שדרוג בשרת החי שלכם!

7. התקנת תוסף לאבטחת אתרים

מומלץ להתקים תוסף כגון wordfence, שמספק כמה שכבות ופונקציונליות בהגנה על האתר, בין השאר:

  • מנגנון הגבלת מספר ניסיונות הכניסה לאתר (מאפשר גם חסימת משתמש שמנסה להיכנס כמה פעמים).
  • Firewall – זיהוי התקפות על האתר ועל הדטהבייס והתראה על כך בזמן אמת (כלומר נסיונות גישה לאתר בתכיפות גבוהה מאותו מקור).
  • סריקות אבטחה על בסיס קבוע לאיתור שינויים בקבצי האתר.
  • הוספת מנגנון 2FA) Two Step Authentication), ששולח קוד אבטחה אישי בכל חיבור.
התקנת תוסף אבטחה wordfence
פאנל הניהול של תוסף האבטחה wordfence

מה לקחת מזה?

למרות שמדובר באירועים קיצוניים יחסית, כולנו נישן טוב יותר אם נדע שעשינו כל מה שאפשר כדי לעזור לאתר שלנו להיות מאובטח יותר. אף אחד מהצעדים האלה לא ימנע מ 100% את הפריצה הבאה, אבל כולם יחד יעשו את החיים של ההאקר קשים הרבה יותר. 

לקוחות ותיקים וחדשים שלנו, אתם מוזמנים כמובן להתייעץ איתנו ולהתאים לאתר שלכם תכנית אבטחת אתרים מסודרת, כולל טיפול בתשתית וניטור שוטף.

0

אטי הדר

עוד בנושא:

שיווק וחווית משתמש – 4 נתונים מעניינים ומה אפשר ללמוד מהם כדי לשפר עכשיו את האתר שלך?

כמה סטטיסיקות והמסקנות שאפשר להסיק מהן וליישם כבר היום כדי לשפר את האתר שלך

המשך קריאה
טפסים באתר- עשה ואל תעשה

איך מתכננים ומעצבים טופס ידידותי למשתמש, כזה שעושה חשק למלא? מיני קורס עם כל הסודות

המשך קריאה
על עבודה מרחוק, WordPress, Covid19 ואיש אחד שהוא השראה

ראיון עם האוונגליסט של העבודה מרחוק כבר 15 שנה, האבא של WordPress וההשראה לצורת העבודה שלנו הרבה לפני הקורונה ועכשיו יותר מתמיד

המשך קריאה
בקרוב: גוגל תיתן עדיפות לאתרים בעלי חווית משתמש UX טובה יותר

גם בגוגל לקחו את המושכות לידיים ועשו צעד משמעותי בכיוון שיפור עולם הדיגיטל: עדיפות לאתרים עם חווית משתמש UX ועיצוב טובים יותר

המשך קריאה
הנורמלי החדש: 3 מחקרים חדשים ומה אפשר ללמוד מהם על עסקים בדיגיטל בתקופת Covid19

ניתוח של 3 מחקרים חדשים, בינלאומיים ומקומיים, עם תובנות לגבי אסטרגיות להתמודדות, הסתגלות והצלחה של עסקים דיגיטליים בתקופת הקורונה

המשך קריאה
כנס WordCamp Europe 2020

WordCamp Europe הוא הכנס השנתי הגדול של מפתחי ומשתמשי WordPress באירופה. סיכום היום הראשון- ההרצאות, החידושים, החשיפות

המשך קריאה