אבטחת אתרים: 7 צעדים שכדאי לבצע היום כדי להגדיל הסיכוי של האתר שלך להיות חסין נגד פריצות

להתעורר בבוקר ולגלות שעל האתר שלך השתלטו גורמים עוינים או לראות את האתר שלך קורס מול העיניים בלי שיש לך שליטה על המצב, זה בוודאי הסיוט של כל אחד מאיתנו.

הפריצה המתוקשרת לאתרים ישראליים דרך שרת האחסון של חברת UPRESS במאי 2020 והיעלמות האתרים שחוו חלק מקוחות חברת box (אפריל 2020) הן שתי דוגמאות מהזמן האחרון. נכון, לא כל אתר שייך לבנק או לחברות ענק שמחויבות מטבען לרמת אבטחת אתרים גבוהה ומשקיעות בה הון רב (וגם הן לא תמיד חסינות), אבל עדיין, כדאי להכיר את הבסיס שיעזור לך באבטחת האתר ויוכל למנוע לפחות חלק מתסריטי האימה האלה.

אבטחת אתר דוגמה לאתר שנפרץ
מתןך אתר חדשות N12

7 צעדים לאבטחת אתרים טובה יותר:

1. בחירת חברת אחסון אמינה

מעבר לחשיבות שיש לאחסון בכל מה שנוגע לביצועי האתר ולמהירות הטעינה שלו, חברת האחסון היא הפרמטר הקריטי ביותר בכל מה שנוגע לגיבוי ואבטחת האתר והתכנים שלך. זה לא המקום לחסוך כמה שקלים. מומלץ לבחור חברה שמציגה רמה גבוהה של אבטחת אתרים ומערך גיבויים מסודר, ורצוי כזו שמתמחה בוורדפרס. זו התמחות לא טריוויאלית, ומומלץ לבחור בחברות בינלאומיות עם ההתמחות הזו (כדוגמת wpengine), ולא חברות ישראליות צעירות וחסרות משאבים מלאים לשירות פרימיום כזה.

2.  הימנעות משימוש בתוספים

רוב הפריצות מגיעות מתוך תוספים לא מעודכנים, או כאלה שהמקור שלהם לא אמין. ההמלצה שלנו היא לא להשתמש בתוספים כפתרון ברירת מחדל עבור כל אלמנט שרוצים להוסיף לאתר (בוודאי לא כזה שניתן לפתור בכמה שעות עבודה של מתכנת). יוצאים מהכלל הם תוספים ותיקים כמו yoast או woocommerce, שיש להם אבא ואמא (היתרון הגדול ביותר הוא שגם במקרה ובו נמצאה פרצת אבטחה בתוסף כזה, זמן התגובה והטיפול הוא מאד מהיר).

כאשר תוותרו על קוד חיצוני מיותר כמו תוספים, והמתכנת שלכם יכתוב קוד ייעודי לביצוע הפונקציונליות שרציתם, הקוד לא יהיה חשוף להאקרים כמו תחת ספריות התוספים, ויהיה קשה יותר למצוא בו פרצות.

3.  שימוש נכון בהרשאות הכניסה לאתר

  • הקפדה סיסמאות בדרגת חוזק גבוהה בכניסה לאדמין (שילוב אותיות גדולות קטנות וגדולות, תווים, סימנים ומספרים)
  • בחירת שם משתמש שאינו admin  / שמך הפרטי/ המייל העסקי שלך (אחת הפרצות הכי בסיסיות!) הצעד הזה לבדו יכול לצמצם את סיכויי הפריצה למשל בהתקפה מסוג Brute Force.
  • למי שרוצה לעלות ברמת האבטחה: שימוש ב two step authentication, ששולח קוד אבטחה אישי לכל חיבור. באמצעות תוסף אבטחה כגוןwordfence.
  • לא כל מי שאתם נותנים לו גישה לאתר צריך להיות בעל הרשאה ברמת  אדמין. הקפידו לתת רק את ההרשאה המינימלית הנדרשת לכל משתמש:

Contributor – ניתן לערוך רק את הפוסטים שלך. לא ניתן לפרסם ללא אישור מנהל.

Author – אפשרות כתיבה ופרסום שלך הפוסטים שלך בלבד.

Editor – הרשאה לכתוב ולפרסם גם פוסטים ועמודים שלך וגם של אחרים, אבל ללא גישה לאזורים הנוגעים בקוד, למשל ניהול תבניות ותוספים, עריכת קבצים וטפסים

Administrator  – אדמין ראשי, מנהל האתר, בעל הרשאה לכל חלקי המערכת. זו ההרשאה הגבוהה ביותר שלא מומלץ לתת לאף אחד למעט בעל האתר או המתכנת שלו.

4. שימוש בפרוטוקול SSL

מומלץ להגדיר את האתר כך שיהיה תחת תקשורת מאובטחת – כלומר כל הדפים מוגשים כ-https.

אם הדומיין שלכם נראה ככה: https://www.etyhadar.com וסימן של מנעול לידו, אתם מסודרים.

במידה ולא, ניתן להעביר האתר להיות תחת https באמצעות ספק האחסון (אצל רבים מהספקים אפשר להתקין תעודת SSL שיתופית באופן אוטומטי ובחינם), או על ידי רכישה של תעודה דרך ספק SSL מורשה. 

https secure url

5. גיבוי, גיבוי ושוב גיבוי אתר

גם אם לא מנענו את הפריצה לאתר, במצבים כאלה קריטי ביותר שתהיה לנו ביד גרסה אחרונה של האתר, אותה נוכל להעלות במידה והגיבוי של חברת האחסון לא עבד או אם נרצה להחליף את החברה ולעבור לאחסון חדש. אפשר להשתמש בשירות גיבוי ששומר גרסה ישירות לדרופבוקס/גוגל דרייב או לבקש ממי שמתחזק את האתר להוריד גיבוי אתר וורדפרס מהשרת ולשמור אותו בנפרד מהאחסון.

6. עדכון גרסת וורדפרס לעיתים קרובות

וורדפרס היא מערכת ניהול התוכן (CMS) הנפוצה ביותר בעולם. לכן היא מטרה מבוקשת לפורצים וסטטיסטית תשמעו על יותר אתרי וורדפרס שנפרצו פשוט כי יש הרבה יותר אתרי וורדפרס מכל סוג אתר אחר כרגע. אם מוסיפים לזה אתרים מבוססי תוספים, קיבלנו רגישות יתר. אחת הסיבות שוורדפרס משיקה עדכוני גרסה בתדירות גבוהה יחסית, היא כדי לסתום חורי אבטחה אפשריים. תנו לקהילה לעזור לכם- עדכנו גרסה.

שדרוג גרסת וורדפרס בצורה נכונה wordpress

איך מעדכנים גרסה בצורה בטוחה? קודם כל, לא לוחצים בעצמכם על כפתור עדכון גרסה!
העדכון צריך להתבצע במספר שלבים:

  • יצירת גיבוי לאתר והעלאה של הגרסה לסביבת פיתוח
  • שדרוג גרסה בסביבת הפיתוח
  • בדיקה יסודית של האתר כולל האדמין כדי לוודא שהאתר פועל בצורה תקינה בגרסה החדשה
  • בתום הבדיקה וביצוע התאמות במידת הצורך, שדרוג בשרת החי שלכם!

7. התקנת תוסף לאבטחת אתרים

מומלץ להתקים תוסף כגון wordfence, שמספק כמה שכבות ופונקציונליות בהגנה על האתר, בין השאר:

  • מנגנון הגבלת מספר ניסיונות הכניסה לאתר (מאפשר גם חסימת משתמש שמנסה להיכנס כמה פעמים).
  • Firewall – זיהוי התקפות על האתר ועל הדטהבייס והתראה על כך בזמן אמת (כלומר נסיונות גישה לאתר בתכיפות גבוהה מאותו מקור).
  • סריקות אבטחה על בסיס קבוע לאיתור שינויים בקבצי האתר.
  • הוספת מנגנון 2FA) Two Step Authentication), ששולח קוד אבטחה אישי בכל חיבור.
התקנת תוסף אבטחה wordfence
פאנל הניהול של תוסף האבטחה wordfence

מה לקחת מזה?

למרות שמדובר באירועים קיצוניים יחסית, כולנו נישן טוב יותר אם נדע שעשינו כל מה שאפשר כדי לעזור לאתר שלנו להיות מאובטח יותר. אף אחד מהצעדים האלה לא ימנע מ 100% את הפריצה הבאה, אבל כולם יחד יעשו את החיים של ההאקר קשים הרבה יותר. 

לקוחות ותיקים וחדשים שלנו, אתם מוזמנים כמובן להתייעץ איתנו ולהתאים לאתר שלכם תכנית אבטחת אתרים מסודרת, כולל טיפול בתשתית וניטור שוטף.

0

אטי הדר

עוד בנושא:

10 טעויות קריטיות שבעלי אתרים עושים ואיך להימנע מהן בקלות ולשפר את האתר

הטעויות שעלולות לפגוע באתר שלכם. נלמד איך לזהות אותן, למנוע אותן ולתקן. בדרך לאתר מוצלח יותר

המשך קריאה
שמישות אתרים (Usability): איך לגרום לאתר להיות שימושי יותר?

שמישות גרועה באתר פוגעת באתר ובחווית השימוש בו ולכן תפגע גם בעסק שהאתר מקדם. במדריך נלמד איך לשפר שמישות ולחזק את חווית המשתמש החיובית

המשך קריאה
איך לבנות אמון של לקוחות באתר באמצעות UX חווית משתמש?

לפרטים הקטנים של חווית המשתמש יש כוח עצום בכל מה שנוגע לבניית אמון והם יכולים להשפיע בקלות. בעזרתעבודה נכונה של UX תוכלו ליצור אמון בין המותג שלכם לקהל ולזכות בנאמנות לאורך זמן.

המשך קריאה
התאמת האתר למובייל: הרבה מעבר לעיצוב רספונסיבי. טיפים מעשיים

טיפים ללעיצוב ו UX מותאמים למובייל. איך מוודאים שהאתר שלך רספונסיבי ומתוכנן נכון לשימוש ממכשירי מובייל?

המשך קריאה
סיכום שנה שמוקדש להורות, שירות לקוחות והוקרת תודה

שירות לקוחות הוא אבן יסוד בעסק מצליח. מההורות שלי למדתי ערכים של אחריות, כנות, הקשבה וזמינות שמשפרים את איכות שירות הלקוחות שלנו

המשך קריאה
לבנות או לא לבנות? למה כל כך קשה להחליט להקים אתר? 5 שאלות קשות עם תשובות קלות

מה יכול לעזור לך להחליט אם מתאים לך להקים אתר? האם עדיף אתר או פייסבוק ורשתות חברתיות?

המשך קריאה

הוספת תגובה

האימייל לא יוצג באתר.