להתעורר בבוקר ולגלות שעל האתר שלך השתלטו גורמים עוינים או לראות את האתר שלך קורס מול העיניים בלי שיש לך שליטה על המצב, זה בוודאי הסיוט של כל אחד מאיתנו.
הפריצה המתוקשרת לאתרים ישראליים דרך שרת האחסון של חברת UPRESS במאי 2020 והיעלמות האתרים שחוו חלק מקוחות חברת box (אפריל 2020) הן שתי דוגמאות מהזמן האחרון. נכון, לא כל אתר שייך לבנק או לחברות ענק שמחויבות מטבען לרמת אבטחת אתרים גבוהה ומשקיעות בה הון רב (וגם הן לא תמיד חסינות), אבל עדיין, כדאי להכיר את הבסיס שיעזור לך באבטחת האתר ויוכל למנוע לפחות חלק מתסריטי האימה האלה.
7 צעדים לאבטחת אתרים טובה יותר:
1. בחירת חברת אחסון אמינה
מעבר לחשיבות שיש לאחסון בכל מה שנוגע לביצועי האתר ולמהירות הטעינה שלו, חברת האחסון היא הפרמטר הקריטי ביותר בכל מה שנוגע לגיבוי ואבטחת האתר והתכנים שלך. זה לא המקום לחסוך כמה שקלים. מומלץ לבחור חברה שמציגה רמה גבוהה של אבטחת אתרים ומערך גיבויים מסודר, ורצוי כזו שמתמחה בוורדפרס. זו התמחות לא טריוויאלית, ומומלץ לבחור בחברות בינלאומיות עם ההתמחות הזו (לדוגמה wpengine), ולא חברות ישראליות צעירות וחסרות משאבים מלאים לשירות פרימיום כזה.
2. הימנעות משימוש בתוספים
רוב הפריצות מגיעות מתוך תוספים לא מעודכנים, או כאלה שהמקור שלהם לא אמין. ההמלצה שלנו היא לא להשתמש בתוספים כפתרון ברירת מחדל עבור כל אלמנט שרוצים להוסיף לאתר (בוודאי לא כזה שניתן לפתור בכמה שעות עבודה של מתכנת). יוצאים מהכלל הם תוספים ותיקים כמו yoast או woocommerce, שיש להם אבא ואמא (היתרון הגדול ביותר הוא שגם במקרה ובו נמצאה פרצת אבטחה בתוסף כזה, זמן התגובה והטיפול הוא מאד מהיר).
כאשר תוותרו על קוד חיצוני מיותר כמו תוספים, והמתכנת שלכם יכתוב קוד ייעודי לביצוע הפונקציונליות שרציתם, הקוד לא יהיה חשוף להאקרים כמו תחת ספריות התוספים, ויהיה קשה יותר למצוא בו פרצות.
3. שימוש נכון בהרשאות הכניסה לאתר
- הקפדה סיסמאות בדרגת חוזק גבוהה בכניסה לאדמין (שילוב אותיות גדולות קטנות וגדולות, תווים, סימנים ומספרים)
- בחירת שם משתמש שאינו admin / שמך הפרטי/ המייל העסקי שלך (אחת הפרצות הכי בסיסיות!) הצעד הזה לבדו יכול לצמצם את סיכויי הפריצה למשל בהתקפה מסוג Brute Force.
- למי שרוצה לעלות ברמת האבטחה: שימוש ב two step authentication, ששולח קוד אבטחה אישי לכל חיבור. באמצעות תוסף אבטחה כגוןwordfence.
- לא כל מי שאתם נותנים לו גישה לאתר צריך להיות בעל הרשאה ברמת אדמין. הקפידו לתת רק את ההרשאה המינימלית הנדרשת לכל משתמש:
Contributor – ניתן לערוך רק את הפוסטים שלך. לא ניתן לפרסם ללא אישור מנהל.
Author – אפשרות כתיבה ופרסום שלך הפוסטים שלך בלבד.
Editor – הרשאה לכתוב ולפרסם גם פוסטים ועמודים שלך וגם של אחרים, אבל ללא גישה לאזורים הנוגעים בקוד, למשל ניהול תבניות ותוספים, עריכת קבצים וטפסים
Administrator – אדמין ראשי, מנהל האתר, בעל הרשאה לכל חלקי המערכת. זו ההרשאה הגבוהה ביותר שלא מומלץ לתת לאף אחד למעט בעל האתר או המתכנת שלו.
4. שימוש בפרוטוקול SSL
מומלץ להגדיר את האתר כך שיהיה תחת תקשורת מאובטחת – כלומר כל הדפים מוגשים כ-https.
אם הדומיין שלכם נראה ככה: https://www.etyhadar.com וסימן של מנעול לידו, אתם מסודרים.
במידה ולא, ניתן להעביר האתר להיות תחת https באמצעות ספק האחסון (אצל רבים מהספקים אפשר להתקין תעודת SSL שיתופית באופן אוטומטי ובחינם), או על ידי רכישה של תעודה דרך ספק SSL מורשה.
5. גיבוי, גיבוי ושוב גיבוי אתר
גם אם לא מנענו את הפריצה לאתר, במצבים כאלה קריטי ביותר שתהיה לנו ביד גרסה אחרונה של האתר, אותה נוכל להעלות במידה והגיבוי של חברת האחסון לא עבד או אם נרצה להחליף את החברה ולעבור לאחסון חדש. אפשר להשתמש בשירות גיבוי ששומר גרסה ישירות לדרופבוקס/גוגל דרייב או לבקש ממי שמתחזק את האתר להוריד גיבוי אתר וורדפרס מהשרת ולשמור אותו בנפרד מהאחסון.
6. עדכון גרסת וורדפרס לעיתים קרובות
וורדפרס היא מערכת ניהול התוכן (CMS) הנפוצה ביותר בעולם. לכן היא מטרה מבוקשת לפורצים וסטטיסטית תשמעו על יותר אתרי וורדפרס שנפרצו פשוט כי יש הרבה יותר אתרי וורדפרס מכל סוג אתר אחר כרגע. אם מוסיפים לזה אתרים מבוססי תוספים, קיבלנו רגישות יתר. אחת הסיבות שוורדפרס משיקה עדכוני גרסה בתדירות גבוהה יחסית, היא כדי לסתום חורי אבטחה אפשריים. תנו לקהילה לעזור לכם- עדכנו גרסה.
איך מעדכנים גרסה בצורה בטוחה? קודם כל, לא לוחצים בעצמכם על כפתור עדכון גרסה!
העדכון צריך להתבצע במספר שלבים:
- יצירת גיבוי לאתר והעלאה של הגרסה לסביבת פיתוח
- שדרוג גרסה בסביבת הפיתוח
- בדיקה יסודית של האתר כולל האדמין כדי לוודא שהאתר פועל בצורה תקינה בגרסה החדשה
- בתום הבדיקה וביצוע התאמות במידת הצורך, שדרוג בשרת החי שלכם!
7. התקנת תוסף לאבטחת אתרים
מומלץ להתקים תוסף כגון wordfence, שמספק כמה שכבות ופונקציונליות בהגנה על האתר, בין השאר:
- מנגנון הגבלת מספר ניסיונות הכניסה לאתר (מאפשר גם חסימת משתמש שמנסה להיכנס כמה פעמים).
- Firewall – זיהוי התקפות על האתר ועל הדטהבייס והתראה על כך בזמן אמת (כלומר נסיונות גישה לאתר בתכיפות גבוהה מאותו מקור).
- סריקות אבטחה על בסיס קבוע לאיתור שינויים בקבצי האתר.
- הוספת מנגנון 2FA) Two Step Authentication), ששולח קוד אבטחה אישי בכל חיבור.
מה לקחת מזה?
למרות שמדובר באירועים קיצוניים יחסית, כולנו נישן טוב יותר אם נדע שעשינו כל מה שאפשר כדי לעזור לאתר שלנו להיות מאובטח יותר. אף אחד מהצעדים האלה לא ימנע מ 100% את הפריצה הבאה, אבל כולם יחד יעשו את החיים של ההאקר קשים הרבה יותר.
לקוחות ותיקים וחדשים שלנו, אתם מוזמנים כמובן להתייעץ איתנו ולהתאים לאתר שלכם תכנית אבטחת אתרים מסודרת, כולל טיפול בתשתית וניטור שוטף.