אבטחת אתרים: 7 צעדים שכדאי לבצע היום כדי להגדיל הסיכוי של האתר שלך להיות חסין נגד פריצות

להתעורר בבוקר ולגלות שעל האתר שלך השתלטו גורמים עוינים או לראות את האתר שלך קורס מול העיניים בלי שיש לך שליטה על המצב, זה בוודאי הסיוט של כל אחד מאיתנו.

הפריצה המתוקשרת לאתרים ישראליים דרך שרת האחסון של חברת UPRESS במאי 2020 והיעלמות האתרים שחוו חלק מקוחות חברת box (אפריל 2020) הן שתי דוגמאות מהזמן האחרון. נכון, לא כל אתר שייך לבנק או לחברות ענק שמחויבות מטבען לרמת אבטחת אתרים גבוהה ומשקיעות בה הון רב (וגם הן לא תמיד חסינות), אבל עדיין, כדאי להכיר את הבסיס שיעזור לך באבטחת האתר ויוכל למנוע לפחות חלק מתסריטי האימה האלה.

7 צעדים לאבטחת אתרים טובה יותר:

1. בחירת חברת אחסון אמינה

מעבר לחשיבות שיש לאחסון בכל מה שנוגע לביצועי האתר ולמהירות הטעינה שלו, חברת האחסון היא הפרמטר הקריטי ביותר בכל מה שנוגע לגיבוי ואבטחת האתר והתכנים שלך. זה לא המקום לחסוך כמה שקלים. מומלץ לבחור חברה שמציגה רמה גבוהה של אבטחת אתרים ומערך גיבויים מסודר, ורצוי כזו שמתמחה בוורדפרס. זו התמחות לא טריוויאלית, ומומלץ לבחור בחברות בינלאומיות עם ההתמחות הזו (לדוגמה wpengine), ולא חברות ישראליות צעירות וחסרות משאבים מלאים לשירות פרימיום כזה.

2.  הימנעות משימוש בתוספים

רוב הפריצות מגיעות מתוך תוספים לא מעודכנים, או כאלה שהמקור שלהם לא אמין. ההמלצה שלנו היא לא להשתמש בתוספים כפתרון ברירת מחדל עבור כל אלמנט שרוצים להוסיף לאתר (בוודאי לא כזה שניתן לפתור בכמה שעות עבודה של מתכנת). יוצאים מהכלל הם תוספים ותיקים כמו yoast או woocommerce, שיש להם אבא ואמא (היתרון הגדול ביותר הוא שגם במקרה ובו נמצאה פרצת אבטחה בתוסף כזה, זמן התגובה והטיפול הוא מאד מהיר).

כאשר תוותרו על קוד חיצוני מיותר כמו תוספים, והמתכנת שלכם יכתוב קוד ייעודי לביצוע הפונקציונליות שרציתם, הקוד לא יהיה חשוף להאקרים כמו תחת ספריות התוספים, ויהיה קשה יותר למצוא בו פרצות.

3.  שימוש נכון בהרשאות הכניסה לאתר

  • הקפדה סיסמאות בדרגת חוזק גבוהה בכניסה לאדמין (שילוב אותיות גדולות קטנות וגדולות, תווים, סימנים ומספרים)
  • בחירת שם משתמש שאינו admin  / שמך הפרטי/ המייל העסקי שלך (אחת הפרצות הכי בסיסיות!) הצעד הזה לבדו יכול לצמצם את סיכויי הפריצה למשל בהתקפה מסוג Brute Force.
  • למי שרוצה לעלות ברמת האבטחה: שימוש ב two step authentication, ששולח קוד אבטחה אישי לכל חיבור. באמצעות תוסף אבטחה כגוןwordfence.
  • לא כל מי שאתם נותנים לו גישה לאתר צריך להיות בעל הרשאה ברמת  אדמין. הקפידו לתת רק את ההרשאה המינימלית הנדרשת לכל משתמש:

Contributor – ניתן לערוך רק את הפוסטים שלך. לא ניתן לפרסם ללא אישור מנהל.

Author – אפשרות כתיבה ופרסום שלך הפוסטים שלך בלבד.

Editor – הרשאה לכתוב ולפרסם גם פוסטים ועמודים שלך וגם של אחרים, אבל ללא גישה לאזורים הנוגעים בקוד, למשל ניהול תבניות ותוספים, עריכת קבצים וטפסים

Administrator  – אדמין ראשי, מנהל האתר, בעל הרשאה לכל חלקי המערכת. זו ההרשאה הגבוהה ביותר שלא מומלץ לתת לאף אחד למעט בעל האתר או המתכנת שלו.

4. שימוש בפרוטוקול SSL

מומלץ להגדיר את האתר כך שיהיה תחת תקשורת מאובטחת – כלומר כל הדפים מוגשים כ-https.

אם הדומיין שלכם נראה ככה: https://www.etyhadar.com וסימן של מנעול לידו, אתם מסודרים.

במידה ולא, ניתן להעביר האתר להיות תחת https באמצעות ספק האחסון (אצל רבים מהספקים אפשר להתקין תעודת SSL שיתופית באופן אוטומטי ובחינם), או על ידי רכישה של תעודה דרך ספק SSL מורשה. 

https secure url

5. גיבוי, גיבוי ושוב גיבוי אתר

גם אם לא מנענו את הפריצה לאתר, במצבים כאלה קריטי ביותר שתהיה לנו ביד גרסה אחרונה של האתר, אותה נוכל להעלות במידה והגיבוי של חברת האחסון לא עבד או אם נרצה להחליף את החברה ולעבור לאחסון חדש. אפשר להשתמש בשירות גיבוי ששומר גרסה ישירות לדרופבוקס/גוגל דרייב או לבקש ממי שמתחזק את האתר להוריד גיבוי אתר וורדפרס מהשרת ולשמור אותו בנפרד מהאחסון.

6. עדכון גרסת וורדפרס לעיתים קרובות

וורדפרס היא מערכת ניהול התוכן (CMS) הנפוצה ביותר בעולם. לכן היא מטרה מבוקשת לפורצים וסטטיסטית תשמעו על יותר אתרי וורדפרס שנפרצו פשוט כי יש הרבה יותר אתרי וורדפרס מכל סוג אתר אחר כרגע. אם מוסיפים לזה אתרים מבוססי תוספים, קיבלנו רגישות יתר. אחת הסיבות שוורדפרס משיקה עדכוני גרסה בתדירות גבוהה יחסית, היא כדי לסתום חורי אבטחה אפשריים. תנו לקהילה לעזור לכם- עדכנו גרסה.

שדרוג גרסת וורדפרס בצורה נכונה wordpress

איך מעדכנים גרסה בצורה בטוחה? קודם כל, לא לוחצים בעצמכם על כפתור עדכון גרסה!
העדכון צריך להתבצע במספר שלבים:

  • יצירת גיבוי לאתר והעלאה של הגרסה לסביבת פיתוח
  • שדרוג גרסה בסביבת הפיתוח
  • בדיקה יסודית של האתר כולל האדמין כדי לוודא שהאתר פועל בצורה תקינה בגרסה החדשה
  • בתום הבדיקה וביצוע התאמות במידת הצורך, שדרוג בשרת החי שלכם!

7. התקנת תוסף לאבטחת אתרים

מומלץ להתקים תוסף כגון wordfence, שמספק כמה שכבות ופונקציונליות בהגנה על האתר, בין השאר:

  • מנגנון הגבלת מספר ניסיונות הכניסה לאתר (מאפשר גם חסימת משתמש שמנסה להיכנס כמה פעמים).
  • Firewall – זיהוי התקפות על האתר ועל הדטהבייס והתראה על כך בזמן אמת (כלומר נסיונות גישה לאתר בתכיפות גבוהה מאותו מקור).
  • סריקות אבטחה על בסיס קבוע לאיתור שינויים בקבצי האתר.
  • הוספת מנגנון 2FA) Two Step Authentication), ששולח קוד אבטחה אישי בכל חיבור.
התקנת תוסף אבטחה wordfence
פאנל הניהול של תוסף האבטחה wordfence

מה לקחת מזה?

למרות שמדובר באירועים קיצוניים יחסית, כולנו נישן טוב יותר אם נדע שעשינו כל מה שאפשר כדי לעזור לאתר שלנו להיות מאובטח יותר. אף אחד מהצעדים האלה לא ימנע מ 100% את הפריצה הבאה, אבל כולם יחד יעשו את החיים של ההאקר קשים הרבה יותר. 

לקוחות ותיקים וחדשים שלנו, אתם מוזמנים כמובן להתייעץ איתנו ולהתאים לאתר שלכם תכנית אבטחת אתרים מסודרת, כולל טיפול בתשתית וניטור שוטף.

0

אטי הדר

עוד בנושא:

הנורמלי החדש: 3 מחקרים חדשים ומה אפשר ללמוד מהם על עסקים בדיגיטל בתקופת Covid19

ניתוח של 3 מחקרים חדשים, בינלאומיים ומקומיים, עם תובנות לגבי אסטרגיות להתמודדות, הסתגלות והצלחה של עסקים דיגיטליים בתקופת הקורונה

המשך קריאה
שמישות אתרים (Usability): איך לגרום לאתר להיות שימושי יותר?

שמישות גרועה באתר פוגעת באתר ובחווית השימוש בו ולכן תפגע גם בעסק שהאתר מקדם. במדריך נלמד איך לשפר שמישות ולחזק את חווית המשתמש החיובית

המשך קריאה
על עבודה מרחוק, WordPress, Covid19 ואיש אחד שהוא השראה

ראיון עם האוונגליסט של העבודה מרחוק כבר 15 שנה, האבא של WordPress וההשראה לצורת העבודה שלנו הרבה לפני הקורונה ועכשיו יותר מתמיד

המשך קריאה
חרדת נטישה: איך להקטין אחוזי נטישה באתר שלך?

המטרה של כל אתר היא לגרום למשתמשים להישאר בו כמה שיותר זמן, אבל מה עושים כשהם נוטשים מהר מדי?

המשך קריאה
התאמת האתר למובייל: הרבה מעבר לעיצוב רספונסיבי. טיפים מעשיים

טיפים ללעיצוב ו UX מותאמים למובייל. איך מוודאים שהאתר שלך רספונסיבי ומתוכנן נכון לשימוש ממכשירי מובייל?

המשך קריאה
שיווק וחווית משתמש – 4 נתונים מעניינים ומה אפשר ללמוד מהם כדי לשפר עכשיו את האתר שלך?

כמה סטטיסיקות והמסקנות שאפשר להסיק מהן וליישם כבר היום כדי לשפר את האתר שלך

המשך קריאה

הוספת תגובה

האימייל לא יוצג באתר.