אבטחת אתרים

יש לא מעט סיבות לכך שבעלי אתרים ירצו להסתיר את זהותם. במקרים בהם מסתירים את הזהות של בעל האתר, מדובר במהלך בעל מספר שלבים פשוטים אך חשובים ועליהם נרחיב בקצרה במאמר זה.

הסתרת זהות בעל אתר אינטרנט

אם אתם מקימים אתר אינטרנט חדש ורוצים להישאר אנונימיים. הסתרת זהות חייבת להתבצע בצורה חכמה והרמטית לחלוטין.

מניסיוננו, יש 2 סיבות עיקריות להסתרת זהות:
  • אבטחה מתקדמת לאתר האינטרנט.
  • פעילות בעלת גוון פיראטי או פוליטי.

ברמת אבטחת אתר, הסתרת זהות בעל האתר מבטיחה שהחוליה החלשה באבטחה – הגורם האנושי – הנו מחוץ לתמונה. לא ניתן לנסות להשיג את הגישה לאתר האינטרנט באמצעות פישינג או פריצה ממוקדת למחשב של בעלי האתר.

ברמת פעילות בתחום האפור, הסתרת זהות מאפשרת לבעל האתר להמשיך לפעול ולהרוויח כסף מתחומים שאינם חוקיים ואו אינם מוסריים מבלי להסתכן בזיהוי ובעמידה למשפט ציבורי או משפטי.

איך מסתירים זהות בעל אתר אינטרנט?

כדי להסתיר את הזהות שלכם, חיוני לתכנן את המהלכים בצורה מותאמת לאופי השימוש ובצורה נכונה:
  • הקמת דואר אלקטרוני חדש ונפרד.
  • רישום דומיין ברשם המאפשר הסתרה.
  • רישום דומיין עם סיומת מדינה ללא פיקוח.
  • הפניית הדומיין לשירות CDN חיצוני.
  • הפניית הדומיין לשרת עצמאי/נפרד.

בשלב ראשון, יוצרים בסיס חדש לפרמידה. רושמים חשבון מייל חדש שאינו בשימוש ואינו מחובר לפעולות אחרות של המשתמש ואו לזהותו.

בשלב השני רושמים דומיין חדש עם פרטים פיקטיביים תוך שימוש בפרט המזהה היחידי שיש לנו, כתובת מייל חדשה שיצרנו בשלב קודם.

בשלב השלישי, נבחר בדומיין של מדינה עצמאית אך ללא מערכת פיקוח מסודרת (ללא אימות זהות בעל דומיין) כדוגמת סיומת .me של מונטנגרו..

בשלב הרביעי, נפנה את הדומיין לשירות מתווך אשר יקלוט את הרשומות ויפנה לשרת בפועל כך שלא ניתן לזהות את השרת עליו יושב האתר בפועל.

בשלב חמישי, נפנה את הדומיין לשרת חדש ונפרד בו רק האתר הרלוונטי מאוחסן, גם במקרה זה עם פרטים פיקטיביים למעט כתובת דואר אלקטרוני לפרטי אשראי (נטען).

יש כמובן פעולות נוספות שניתן לבצע כדי להסתיר זהות בעל אתר. אך אם תצמדו להוראות אלו, פרטי בעל האתר לא צפויים להיחשף בשום צורה. גם לא בהוראת בית משפט..

*אין לראות באמור כהמלצה לעבור על החוק.
** בהחלט ניתן לפנות אלינו לביצוע פעוט אלו עבורכם תחת חתימה על הסכם סודיות NDA מסודר.
*** לא מתחייבים להסכים לכל פניה.
אבטחת אתרים

רבים שואלים האם ייתכן ויש באתר האינטרנט שלהם וירוס? התשובה היא שבוודאי שכן! יש מגוון סוגי וירוסים ורוגלות אשר יכולים להיטמע בכל סוג של ספריית קבצים ואתר אינטרנט הנו לגמרי ספריית קבצים. אבל, בשונה מקבצים במחשב, הקבצים על גבי השרת לרוב אינם כוללים מערכת הפעלה שמזהה התנהגות חשודה כך שהסיכון גבוהה אף יותר!

סריקת וירוסים באתר אינטרנט

כאשר יש לנו חשד לכך שיש באתר שלנו קבצים נגועים או שכלי פרסום כמו גוגל או פייסבוק מסרבים לאפשר לנו לפרסם קישורים לאתר מאחר והם מזהים וירוסים באתר, הרי שעלינו לבצע מגוון פעולות בכדי לאמת ואו לשלול את קיומם של קבצים זדוניים וכמה שיותר מהר.
אנו נוכל לעשות זאת באחת משני אופנים:
  1. הורדת כלל קבצי האתר למחשב לסריקה מקומית.
  2. סריקה מקוונת על ידי כלים ייעודיים לכך.
באפשרות הראשונה, אנו נוריד את האתר כולו, כולל מסד הנתונים כך שיהיה לנו תיקייה מסודרת על גבי המחשב ורק לאחר מכן שנריץ סריקה של התיקייה על ידי אנטי וירוס – בדגש על אנטי וירוס עדכני ואשר מותאם להגדרות הגנה מפני נוזקות רשת.

באפשרות השניה, אנו נבצע סריקה מקוונת על ידי הרצת פקודות שונות ברמת שרת (בגישות מלאות לקבצי השרת) לאיתור מגוון פקודות שמזוהות עם וירוסים (הפניות חיצוניות, קישורים חיצוניים לדוגמה). במקרים אחרים בהם מדובר במערכת ניהול תוכן פופולרית כדוגמת וורדפרס, נוכל לעשות שימוש בכלים מאוד מסוימים שיסרקו עבורכם את האתר בצורה פשוטה יותר.

כמה זמן לוקח לסרוק אתר אינטרנט מוירוסים?

משך סריקת אתר תלויה לרוב במשקל סך הקבצים של האתר וגודל מסד הנתונים.
  • אתר סטנדרטי – בין 3-5 שעות.
  • אתר גדול – בין 6-12 שעות.
  • אתר ענק – בין יום ליומיים.
פעולות הסריקה כוללות מעבר קובץ קובץ ושורה שורה בתוך כלל הקבצים הללו בניסיון לאתר חריגות קוד מאילו המוכרים למערכת ניהול התוכן כמו גם פקודות מוכרות ומשויכות לוירוסים מוכרים.

כמה עולה סריקת אתר לוירוסים?

עלות סריקה מקיפה של אתר אינטרנט מפני וירוסים, רוגלות ונוזקות תלויה במערכת ניהול תוכן, בגודל ספריית הקבצים ובסוג החשד שלנו מפני פגיעה אפשרית.

עלות הסריקה תעמוד לרוב על בין 500-3,000 ש"ח התלוי בפרמטרים השונים של כל אתר.

כאשר במקרים רבים מזוהים גם מספר רב של קבצים נגועים ואז צריך לעבור קובץ קובץ ולנקות את הקוד כך שיהיה שוב נקי ושמיש. יש כמובן לחשב עלויות אלו בנוסף וזה כבר הנושא המורכב יותר מאחר וכל קובץ בו יש קוד זדוני דורש תמחור וטיפול מקומי ולכך יש השלכות כספיות בהתאמה.

ניקוי של מערכת אתר קומפלט תעלה לרוב כמה אלפי שקלים אך לאחר מכן יש גם לבצע עבודות תחזוקה נוספות כדי לסגור את הפרצות ולדאוג לכך שאירועים מסוגים אלו לא ישנו בעתיד.

אם לסכם, סריקת אתר מוירוסים הנה צעד אחד מתוך שלושה צעדים שונים בכדי להפוך את האתר למאובטח כהלכה ובכדי להבטיח שהאתר ימשיך לשרת אתכם נאמנה. צריכים הצעה מותאמת אישית? השאירו פניה ונשמח לעמוד לרשותכם!
אבטחת אתרים

במרבית המקרים אתר האינטרנט כשלעצמו אינו מכיל מידע רב ערך השווה פריצה. ניתן כמובן להביך את בעלי האתר אך פגיעה ממשית לרוב אין. אבל, לעתים קרובות אתר האינטרנט משמש ככניסה למערכת מידע עם מידע שיש לאבטח. איך עושים זאת? מה הדרך הבטוחה ביותר להגן על המידע?

אבטחת אתרי אינטרנט עם גישה למידע

חברות ביטוח, בנקים, קופות חולים, משרדי ממשלה, מוסדות חינוך ובעצם כל גוף רציני כיום מאפשר ללקוחותיו להתחבר למערכת ולבצע פעולות עצמאיות בכוחות עצמם. כלים אלו חיוניים לשנת 2021 וזה חשוב מאוד. אבל מה קורה כאשר הדבר מהווה איום על מערכות המידע? איך מונעים זליגת מידע פרטי החוצה?

יש מגוון פתרונות למנוע ממידע לזלוג החוצה בצורה לא מבוקרת, אחת מהם הנה לבצע הפרדה מלאה בין הסביבה הנגישה לקהל הרחב ובין הסביבה המאובטחת על ידי אחסון החלקים השונים על גבי שרתים נפרדים תוך יצירת פרוטוקול תקשורת לשליפה של רשומות יחידות בצורה מאובטחת.

איך עושים זאת?

משתמש מבקר באתר ומתחבר עם פרטיו האישיים. לאחר מכן מופעל אימות כפול (סמס/דוא״ל/שיחה) שמאמתת את זהות המשתמש ורק לאחר מכן נשלחת שאילתה דרך פרוטוקול מאובטח היכולה לגשת אך ורק למידע המשויך למשתמש המאומת ולהציגו למשתמש.

כאשר המערכת מתכוננת היטב, אין אפשרות לשליפה של יותר מרשומה בודדת למשתמש/קריאה כך שגם אם פרטי משתמש נחשפים ומתבצע אימות שאינו חוקי, המידע שיזלוג מבוקר ומינימלי.

בצורה זו, הצד החיצוני של המערכת מאובטח לחלוטין. בכל הקשור לאבטחת המערכת עצמה, כלומר התשתית עליו כלל המידע מאוחסן (השרת השני) הרי ששם יש להפעיל פרוטוקולים שונים לגמרי של אבטחת מידע וזה כבר סיפור לאנשי IT המתמחים בכך.

האם ניתן להסתפק באבטחה זו?

לא. ממש לא. מעבר לאבטחת תשתית המידע, יש לבצע עוד שלל פעולות אבטחה נוספות כדוגמת הקמת חומות אש, שימוש בCDN ולבצע עדכונים תדירים של מערכת ניהול התוכן.

אבטחת אתר אינטרנט לא נגמרת לעולם, יש להשקיע באופן מתמשך במגוון מאמצי אבטחה לאתר האינטרנט וגם אז אין התחייבות ל-100% הצלחה!

אם יש לכם שאלות בנושא זה, הרגישו חופשיים להתייעץ איתנו בטלפון או בפניה דרך הטופס באתר.

אבטחת אתרים

רוצים לישון טוב בלילה ולדעת שהאתר אינטרנט שלכם מאובטח כנדרש? מעוניינים שיהיה גורם מקצועי שנמצא לימינכם לאורך כל הדרך ומבטיח אבטחה מקסימלית? אתם נדרשים לשירותי אבטחה אקטיבית. ועל כך במאמר זה.

שירותי אבטחת אתרים (אקטיבי)

אבטחת אתרים הנה קטגוריה רחבה של פעולות משני סוגים עיקריים:
  • פעולות שימור – אבטחה פסיבית.
  • פעולות מנע – אבטחה אקטיבית.
  • בעוד הסוג הראשון כולל לרוב הטמעה חד פעמית של מגוון כלי הגנה שמצמצים משמעותית את הסיכון להיפרץ וזאת על ידי הרחקת האיומים ככל שניתן מגישה לקבצי או מסד הנתונים של האתר.

    הסוג השני כבר דורש פעולות אקטיביות שוטפות שאינם מסתיימות בטיפול חד פעמי אלא נדרשות על בסיס קבוע וזאת בעיקר כדי להבטיח שקט מוחלט גם כאשר האתר תחת מתקפה חוזרת מצד האקרים שונים.

    מה זה אבטחה אקטיבית לאתר?

    אבטחה אקטיבית לאתרי אינטרנט כוללת הצמדה של מומחה אבטחה לאתרי אינטרנט שאינו מסתפק באבטחה בלבד אלא גם מנטר בתדירות גבוהה את הקבצים של האתר ואת מסד הנתונים של האתר אחר שינויים בקוד, ערכים זדוניים ואו פרצות אבטחה.

    כלומר, מומחה אבטחה לאתר יבצע את הפעולות הבאות:
  • כל שינוי נדרש באתר.
  • הקמה/שינוי משתמשים בעלי גישה.
  • סריקת קבצי מערכת ועיצוב.
  • ניטור קבוע אחר איומים חדשים.
  • עדכוני קוד ופאטצים של אבטחה.
  • ועוד פעולות רבות אחרות שנותנות לכם את השקט הנדרש.

    כמה עולה אבטחה אקטיבית לאתר האינטרנט?

    עלות אבטחת אתר אינטרנט הנה נגזרת של מערכת הניהול של האתר, של האיומים על האתר, של היקף המשתמשים המנהלים את האתר ועוד שלל פרמטרים נוספים.

    בפועל, מחירי אבטחת אתרים ינועו בטווחים הבאים:
  • אבטחת אתרים אקטיבית לאתר לא מאוים: החל מ-2,000 ש"ח לחודש.
  • אבטחת אתרים אקטיבית לאתר מאוים: החל מ-5,000 ש"ח לחודש.
  • יקר? יכול להיות. שיקולי אבטחה תלויים לרוב במידע הנגיש דרך האתר כמו גם לתדמית של המותג מאחורי האתר.

    רוצים הצעה מותאמת אישית לשירות אבטחה לאתר שלכם? השאירו פרטים ונכין לכם הצעה מותאמת אישית!

    אבטחת אתרים

    אם אתם שומעים על יותר ויותר פריצות לאתרים ומערכות ומפחדים שגם לכם זה יקרה, כדאי מאוד שתעשו משהו בעניין. נכון, אתם לא אנשי אבטחת מידע ונכון שאינכם בקיאים בכל האפשרויות אך יש לא מעט דברים שאתם יכולים לעשות בכוחות עצמכם בכדי לאבטח את האתר אינטרנט שלכם. במדריך זה נציג את האפשרויות הפשוטות ליישום לבעלי אתרי וורדפרס.

    אבטחת אתר וורדפרס עצמאית

    כדי לאבטח אתר וורדפרס יש לבצע שורה של פעולות שברובם אינם דורשים ידע מטורף. כל שעליכם לעשות זה להתרכז טיפה ולנסות ליישם את ההצעות הבאות:

    1. שנו את כתובת ההתחברות לאתר.
    2. בקשו מחברת האחסון להוסיף רובד אבטחה בהתחברות.
    3. הפנו את הדומיין לשרת דרך שירות CDN.
    4. חסמו התקנות ועריכות דרך מערכת האתר.
    5. עדכנו את המערכת, העיצוב והתוספים.
    6. השתמשו בסיסמאות חזקות!

    אם תבצעו פעולות אלו, הסיכויים שלכם להיפרץ קלושים במיוחד. הפורצים פשוט יעברו הלאה לאתר הבא – אתם כבר לא אטרקטיביים בעיניהם (עניין של עלות תועלת).

    אז איך עושים זאת בתכלס?

    1. שינוי כתובת התחברות לוורדפרס

    אם אינכם אנשי מקצוע, הדרך הקלה ביותר להחליף את כתובת ההתחברות למערכת הניהול של הוורדפרס עוברת דרך התקנת תוסף ייעודי לכך:

    תוסף פשוט זה יעשה בדיוק זאת. הוא יאפשר לכם לקבוע כתובת גישה חלופית תוך ביטול זו הסטנדרטית (wp-admin).

    כך, בוטים המחפשים לנסות סיסמאות על קישור מסוג זה יגיעו למבוי סתום.

    2. הוספת רובד אבטחה להתחברות לאתר

    לאחר ששיניתם את כתובת הגישה לניהול מערכת האתר, חשוב מאוד לפנות לחברת האחרון ואו לבדוק האם יש בכלי האחסון המנוהל יכולות להוספת רובד אבטחה נוסף. רובד זה בעצם מגדיר קישורים מסוימים כמאובטחים ומאלץ מחשבים חדשים להזין שם משתמש וסיסמה נוספים על אילו של האתר בכדי לגשת לחלון ההתחברות של המערכת.

    בעזרת הוספת רובד אבטחה, אנו מרחיקים במעט את התוקפים ומחייבים אותם להשקיע מאמצים רבים יותר בפיצוח 2 רמות אבטחה במקום אחת.

    3. הפניית אתר דרך שירות CDN

    ככלל, רצוי להרחיק את המשתמשים אפילו יותר. ישנם שירותים חינמיים כדוגמת cloudflare אשר יאפשרו לכם לנתב את הדומיין לשרת תוך הסתרת פרטי השרת ותוך הוספת חוצץ בין הגולשים לבין הא ר עצמו.

    במקרים חריגים בהם יש התקפה מכוונת ליצירת עומס על השרת ולאו דווקא לפריצה אליו, שירות CDN בעצם מפעיל הגנה ומונע עומס על השרת האמיתי וכך מאפשר לגולשים לגשת לשרת גם כאשר האתר נמצא תחת מתקפה.

    4. חסימת עדכונים והתקנות באתר

    מאחר ויש תוספים לוורדפרס שנפרצים ומהווים כניסה אחורית למערכת האתר יש להפעיל אמצעי הגנה גם מתוך מערכת ניהול האתר עצמה. זאת עושים על ידי נעילת האפשרות לביצוע פעולות משמעותיות דרך פאנל הניהול של האתר.

    מונעים התקנה של תוספים, עריכת קוד מקור התבנית, מגע במסד הנתונים ועוד. כדי לעשות זאת יש לבצע עריכה קלה בקובץ ההגדרות של האתר בכתובת public_html<config.php

    נעשה פעולה פשוטה למדי, נוסיף שורת קוד קטנטנה שחוסמת כל מגע מתוך מערכת הניהול:

    define( 'DISALLOW_FILE_EDIT', true );

    מיד אחרי שמירת הפקודה, לא יתאפשר עוד לבצע שינויים מתוך מערכת ניהול התוכן.

    5. עדכוני מערכת והתוספים באתר

    כדי למנוע מלכתחילה אפשרות לכניסות אחוריות לאתר, מומלץ להקפיד לעדכן את תוספי המערכת, עיצוב האתר וליבת הוורדפרס אחת לשבועיים במינימום. תוך כיבוי כל תוסף שאינו נדרש ואו אינו נמצא בשימוש בכדי להקטין את היקף החשיפה לאיומים.

    אם אינכם מגיעים לעשות זאת, שכרו חברת ניהול אתרים ואו לפחות חברת תחזוקת אתרים בכדי שתבצע זאת עבורכם!

    6. חיוב שימוש בסיסמאות חזקות

    לבסוף, כל הפעולות שבעולם לא יעזרו אם לא תשתמשו בסיסמאות חזקות. סיסמה חזקה תכלול למעלה מ-8 תווים הכוללים אותיות גדולות וקטנות, מספר וסימן נוסף כדוגמת +*:$ שיכפילו את מספר הקומבינציות הנדרשות בכדי לנחש את הסיסמה המקורית.

    אם אתם ממש רוצים להחמיר, אתם יכולים להתקין תוסף לאימות כפול שיאפשר לכם להתחבר לאתר רק לאחר הזנת סיסמה וקוד ייחודי שיופק על ידי אפליקציה ייעודית של גוגל או שירותים אחרים.

    רוצים שנעשה זאת עבורכם?

    אין לכם זמן או ראש לעשות פעולות אלו? רוצים לישון טוב בלילה? תנו לנו לעזור לכם ולבצע את פעולות האבטחה לאתר. זה אמנם יעלה לכם מעט אך יחסוך לכם זמן, כאב ראש ובעיקר יתן לכם שקט.

    אבטחת אתרים

    יש לכם אתר אינטרנט, יש לכם פרסומות שרצים חודשים ואף שנים רבות בגוגל אדס, הכל עובד יפה עד שפתאום כל המודעות שלכם בגוגל אדס נשללים כתוצאה מ-"לא אושר:תוכנה זדונית" ואין לכם מה עושים? אנחנו כאן בשבילכם!

    "לא אושר: תוכנות זדוניות"

    גוגל הנו אינדיקטור מעולה לבעיות פריצה לאתר אינטרנט. במקרים רבים אתר אינטרנט נפרץ ומוטמע בו קוד זדוני ואף אחד לא רואה זאת. פורצים יכולים לגנוב דאטה על הגולשים, להטמיע עמודי פישינג שאתם לא תראו ואו לבצע מגוון פעולות אחרות תוך ניצול הנכס הדיגיטלי שלכם בלי שתעלו על זה.
    אבל לגוגל כלים משלה והיא סורקת מעת לעת את האתרים של המפרסמים ואם היא מיידעת אתכם על קוד זדוני באתר, חשוב מאוד לבדוק היטב מה המקור של הבעיה.

    איך מטפלים בקוד זדוני באתר?

    כדי לטפל בבעיה, עלינו לבצע את הפעולות הבאות:
    1. לפנות לגוגל לבקש הסבר על ההערה.
    2. לקבל מגוגל את רשימת העמודים שבהם זוהה הקוד.
    3. לבצע סריקת אבטחה על ידי תוספי אבטחה.
    4. ניקוי הקבצים הנגועים ואו החלפתם בחדשים.
    5. הגשת המודעות מחדש לגוגל אדס.
    בשלב ראשון נפנה לגוגל דרך המייל או הצ'אט (למעלה בצד שמאל תחת עזרה) ונבקש לקבל מהם פירוט הקודים הזדוניים שזוהו באתר. כמו כן ננסה לקבל את העמודים בהם הם זיהו את הקוד הבעייתי.

    לאחר מכן נתקין תוסף אבטחה לאתר האינטרנט ומבצע סריקה לזיהוי קבצי ליבת מערכת ששונו ואו לזיהוי קבצים שאינם שייכים למערכת האתר ובכך בעצם לזהות את הקבצים הנגועים ולהחליפם בקבצים חדשים ונקיים.

    לאחר שניקינו את האתר כנדרש, נוכל להגיש את האתר לבחינה מחודשת ולאשר שהכל תקין בכדי לשוב ולפרסם כמו גם לדעת שהאתר שוב נקי מקוד זדוני – ברור מאליו שנרצה גם לבצע פעולות תחזוקה ואבטחה כדי למנוע הישנות של מקרים אלו..

    תוכלו לעשות עבורנו?

    בשמחה. יש לכך עלויות מאחר ומדובר בשעות עבודה על האתר. אבל, בהחלט נוכל לנקות לכם את האתר מכל קוד זדוני, רוגלה ואו וירוסים אחרים.

    אנו לא נחייב אתכם על השירות בהיעדר הצלחה מוחלטת בהשגת אתר נקי לחלוטין. אך בהחלט נמליץ לכם לשכור את שירותינו גם לאבטחת האתר בצורה טובה יותר כדי להבטיח שקט נפשי גם לעתיד לבוא.
    אבטחת אתרים

    לא נעים להגיד את זה, אבל היקף הפריצות לאתרים ומערכות נמצא בעליה חדה במיוחד! עוד ועוד גורמים עוינים משקיעים זמן וטכנולוגיות בכדי לפרוץ לאתרים ומערכות סגורות בכדי לגבות דמי כופר ואו בכדי להביך את הארגון שעומד מאחוריהם מסיבות פוליטיות/מדיניות.

    אחד הכלים שעומדים לרשות בעלי אתרים בהגנה על האתרים שלהם הנו כמובן לבצע בדיקת סקר אבטחה – לעתים בדיקה זו אף נדרשת כחלק מתנאי מכרז.

    בדיקת סקר אבטחה לאתר אינטרנט

    בדיקת סקר אבטחה הנו תהליך שנעשה על ידי חברות אבטחת מידע ואו חברות המתמחות במתן שירותים ייעודיים אלו.

    במסגרת הבדיקה, אנשי מקצוע מקטגוריות ה-blqck hat (כובע שחור) אשר מתמחים באיתור וניצול פרצות אבטחה למערכות ואתרים מסוגים שונים ינסו לפרוץ לאתר של הארגון ולעשות זאת תוך שליפת כמה שיותר מידע בעל ערך.

    בשונה ממה שנהוג לחשוב, אבטחת אתר אינטרנט אינה מתחילה בקוד, היא מסתיימת שם. במרבית המקרים, החוליה החלשה ביותר בשרשרת היא אנחנו, בני האדם שמאחורי האתר/המערכת שבבדיקה.

    מה זה בדיקת סקר אבטחה לאתר?

    בדיקת סקר אבטחה הנה בדיקה של גורם בלתי תלוי אשר מעניק בסיום הבדיקה אישור לרמת האבטחה של האתר. גם בדיקת סקר אבטחה לא מבטיחה 100% ביטחון שהאתר לא ייפרץ, אין מערכת חסינה מפריצות. אבל הבדיקה אכן מבצעת 2 פעולות חשובות:

    1. הבדיקה קובעת שהאתר מוגן ברמה סבירה ומעלה.
    2. הבדיקה מאפשרת ייעול אבטחה קיימת להקטנת הסיכון.

    איך מבצעים בדיקת סקר אבטחה לאתר?

    בדיקת סקר נעשית לרוב בשקט רב. ככל שניתן, רצוי שהעובדים לא ידעו על כך בכדי לאפשר מרחב תמרון רב ככל האפשר לחברה שמבצעת את הבדיקה.

    שלבי הבדיקה:

    1. ניסיון חדירה ברמה האנושית.
    2. ניסיון חדירה בעזרת כלי פריצה בסיסיים.
    3. ניסיון חדירה על ידי פישינג/איסוף מידע.
    4. ניסיון חדירה על ידי איתור פרצות אבטחה.
    5. הורדה וגיבוי כל מידע שניתן לאסוף.

    לפעמים בדיקה מסתיימת בקבלת מידע מגורים אנושי וכניסה למערכת האתר בדרך המלך. לפעמים נדרשים הרצה של כלי ניסוי של סיסמאות בניסיון לאיתור סיסמה חלשה.

    במקרים אחרים נדרשים לעלות מדרגה ולנסות לדמות את האתר למנהלים ואו בפריצה ממשית תוך ניצול חולשות מערכת (כאשר ישנם).

    לבסוף, עם כניסה למערכת, יידרשו הבוחנים להוכיח את הצלחתם על ידי הכנת גיבוי של כמה שיותר מידע פרטי באתר.

    כמה עולה בדיקת סקר אבטחה?

    עולה! בדיקת סקר דורשת רף מיומנויות גבוהה מצוות הבחינה, לכן יש לקחת בחשבון עלויות גבוהות.

    היתרון בשירות, כל פריצה שמזוהה מאפשרת לבעלי האתר לנטרל אותה להקטין דרמטית את סיכויי הפריצה לאתר בעתיד.

    רוצים ללמוד עוד על הנושא? השאירו פרטים..

    אבטחת אתרים

    אתם מחזיקים אתר אינטרנט אבל חוששים שמתישהו מישהו יפרוץ לכם לאתר האינטרנט? רוצים לישון טוב בלילה ולא לחשוש מפני איומים שונים רשת? מה שאתם רוצים זה להפעיל אמצעי מניעה שיאפשרו לכם לשמור על האתר בעזרת שגרה בריאה.

    הדרך להגן על אתר האינטרנט

    אתר אינטרנט, בטח כאשר הוא מבוסס על מערכת ניהול בקוד פתוח, נמצא בסיכון תמידי. כל שנה בחודשים אפריל, מאי ויוני מאות ואף אלפי אתרים ישראליים נפרצים על ידי גורמים אנטי ישראלים וביתר השנה אלפי אתרי אינטרנט נפרצים על ידי גורמים הרוצים לגנוב את התנועה לעמודי פרסומות..

    פריצה לאתר הנו דבר מאתגר. הן ברמת השחזור של האתר למצבו בטרם הפריצה והן ברמת הנראות של המותג שנפרץ ונראה רע על ידי ציבור הלקוחות.

    כאשר רוצים להימנע ממצבים מסוגים אלו, יש להפעיל מגוון אמצעי מניעה. יש לנסות לפעול לפי שגרה בריאה של פעולות שכל ייעודן להבטיח שפשוט לא תיפרצו. אז מה ואיך עושים?

    בניית שגרת הגנה לאתר האינטרנט

    שגרת ניהול לאתר האינטרנט יכולה להציל אתכם מפני מגוון רחב של פריצות, להלן הפעולות שיש לעשות:

    • יש לוודא שהסיסמאות חזקות (אותיות,ספרות, תווים מיוחדים) לכל משתמשי הניהול.
    • יש לוודא שמערכת האתר מעודכנת בגרסה האחרונה שיצאה.
    • יש לעדכן את תבנית העיצוב והתוספים לגירסאות האחרונות שלהם.

    במידה והאתר שלכם עדכני והסיסמאות שלכם חזקות, הסיכוי לפרוץ לאתר שלכם נמוך במיוחד.

    אם אתם רוצים להקטין אף יותר את הסיכון, חשוב לעקוב אחר מועדי העדכון האחרונים של התוספים באתר. אם תוסף לא עודכן במהלך 3 חודשים חולפים, יש להסירו/להחליפו בתוסף אחר שכן מעודכן. תוסף לא עדכני מהווה את מקור הפריצה הנפוץ ביותר לאתרי אינטרנט כיום!

    מה עושים כשאין זמן לזה?

    אם אתם רוצים הגנה אקטיבית על האתר אבל לא אין לכם את הזמן להתעסק עם זה, אתם יכולים לפנות לחברת אבטחת אתרים כדוגמתנו ואו לחברת ניהול אתרים שיעשו זאת עבורכם.

    כמה זה עולה? זה לרוב מתומחר כחלק משירותי תחזוקת אתרים ואו כשירות נפרד של אבטחת אתרים (יחד עם רכיבים נוספים). עלות השירות צריכה לעמוד על כ-500+מע"מ לחודש ומעלה.

    אבטחת אתרים

    לאחרונה יש יותר ויותר תקיפות על אתרים ישראליים. לא נעים לראות באתר האינטרנט של הארגון דגל פלסטין ואו דגל איראן ובטח שלא נעים לגלות שמידע פנימי שנשמר על שרתי האתר זלג החוצה לידיים זרות. בכדי למנוע מצבים אלו, מומלץ תמיד להשקיע מעט על אבטחת האתר אינטרנט ובדיוק לשם כך חברה כמונו אכן קיימת.

    אבל, לא תמיד מגיעים למצב בו צריך לערב חברת אבטחת אתרים, במקרים רבים ניתן להפעיל מגוון אמצעי מניעה עוד בטרם יש צורך בחברת אבטחה רצינית שתפעיל אמצעים אקטיביים בכדי לתקן את הנדרש.

    השאלה שרבים שואלים:

    האם חברת האחסון או הניהול יכולה לאבטח את האתר?

    התשובה על כך כמובן מעט מורכבת. זה תלוי במידה רבה בסוג נותן השירותים והיקף השירות שהוא מעניק לכם. כך לדוגמה, חברת אחסון אתרים יכולה להעניק רבדים שונים של אבטחה ברמת שרת אך לא בהכרח תוכל להבטיח אבטחה אקטיבית ברמת מערכת אתר..

    כלומר, לא מומלץ להישען על פתרונות אבטחת המידע של חברות האחסון בלבד, כדאי מאוד להתייחס גם למרכיבי אבטחה נוספים שחשובים לא פחות.

    לעומת זאת, דווקא חברת ניהול אתרים כן תוכל להעניק לכם שירותי אבטחה מלאים כחלק מתכולת השירות שלהם וזאת כי הם מנהלים את האתר, את השרת וגם עושים שימוש במשתמשי הניהול במערכת. במילים אחרות, יש להם את הכלים הנדרשים להעמיד מעטפת אבטחה מקיפה ולשמור עליה ככזו לאורך זמן וזאת כי הם המשתמשים העיקריים במערכת בפועל.

    אבל האם אקבל 100% שקט נפשי?

    חברת ניהול אתרים ואו כל גורם אחר יכולים להציע פתרונות טובים לעתים. אך, אם אתם רוצים לדעת באמת שההגנה הרמטית, עליכם להחזיק יועץ אבטחה מקצועי שזהו ההתמחות שלו. אם תפנו אלינו לדוגמה, נוכל לבצע עבורכם בדיקות סקר אחת לתקופה בכדי להבטיח שאכן האתר מאובטח ברמה הגבוהה ביותר ושאינכם נדרשים לחשוש עוד.

    הרגישו חופשיים לפנות אלינו ולהתייעץ בכל נושא, בהצלחה!

    אבטחת אתרים

    לא יודעים במדויק כמה אחוזים מסך אתרי האינטרנט פועלים על בסיס מערכת ניהול התוכן וורדפרס. אבל הערכות הנמוכות ביותר מצביעות על בין 30%-50% מהאתרים שפועלים עם מערכת זו. בישראל ישנם הערכות שמדובר בקרוב ל-70% מסך האתרים בשפה העברית.

    אבטחת אתרי וורדפרס

    מערכת וורדפרס זוכה לכבוד כפול, הן מאחר והיא המערכת הנפוצה ביותר בעולם והן בגלל שהיא גם המערכת שנפרצת הכי הרבה.  (כן, אנחנו יודעים, יש קורלציה בין היקף השימוש והיקף הפריצות).
    מסיבה זו, יש להתייחס לאבטחת אתרי וורדפרס בנפרד מאבטחת יתר מערכות הניהול של אתרי האינטרנט כדוגמת ג'ומלה, דרופל, מג'נטו, נופקומרס ועוד..

    הסיבה שצריך להתייחס לוורדפרס בנפרד הנה בגלל מבנה הקוד של המערכת, ליבת המערכת הנה קוד פתוח. כלומר, כולם יודעים אילו קבצים ושורות קוד האתר שלכם מכיל מה שמקנה לפורצים יתרונות רבים בבואם לחפש אתרים פריצים. אמנם מפתחי המערכת מוציאים כל הזמן גרסאות חדשות שנועדו להתמודד עם פרצות אבטחה ועם תנאי השוק העדכניים אך מרבית בעלי האתרים אינם מעדכנים את האתר שלהם בכל פעם שיוצאת גרסה חדשה ולכן הם נמצאים בסכנה לא קטנה.

    מורכבות האבטחה באתרי וורדפרס


    מעבר לליבת הקוד של המערכת, ישנם גם פרצות אבטחה נוספות כתוצאה משימוש בשכבות קוד נוספות באתר:
    • עיצוב האתר – חלק מהתבניות עלולות להיות מבוססות על קוד פריץ.
    • תוספי האתר – רוב הפריצות כיום נעשות על ידי זיהוי תוספים עם דלת אחורית למערכת.
    מספיק לעשות שימוש בתוסף (אפילו עדכני) שנפרץ בהצלחה בכדי להימצא באיום מידי לפריצה לאתר כולו. זה קרה בשנה החולפת מאות אלפי פעמים ומכך גם החשש הייחודי לבעלי אתרי וורדפרס מפריצה למערכת האתר שלהם.

    כעת שהבנו איך מערכת וורדפרס שונה ממערכות ניהול תוכן אחרות, ניתן להתייחס לאפשרויות האבטחה לאתרי הוורדפרס,

    איך מאבטחים אתר וורדפרס?

    השלב הראשון באבטחת אתרי וורדפרס הנה לא לסמוך על מערכת האתר מלכתחילה. כלומר, גם אם בחרתם סיסמה חזקה במיוחד, אינכם יכולים להיות בטוחים שהאקר לא יצליח לפרוץ את המערכת עצמה. עם הבנה זו, ניתן לבחון אפשרויות שונות שיסייעו לנו להבטיח שאנו לא נהיה תחת איום פריצה:
    1. חסימת האתר לבוטים לא מוכרים.
    2. הוספת רכיבי הגנה אקטיביים לאתר.
    3. הוספת רכיבי אבטחה אקטיביים לשרת.
    4. הפרדה בין הגולשים לבין מגע עם השרת.
    5. גיבוי, גיבוי ושוב גיבוי.
    אחד הפעולות הראשונות שנבצע זה למנוע מבוטים לא מזוהים לסרוק את קוד האתר. בוטים יכולים לחפש אתרים עם קוד מסוים (תוסף/גרסת מערכת) כדי לסמן את האתר ככזה שניתן לפרוץ, חסימה של בוטים אלו תמנע את הופעת האתר בראדר של הפורצים.

    לאחר מכן, נרצה גם להתקין רכיבי אבטחה אקטיביים. כאלו שיודעים לתת לנו התרעה בזמן אמת על ניסיונות פריצה ואו על רכיבים שזוהו היכן שהוא בעולם כפרוצים כך שאנו לא מחכים לפגיעה אלא מגיבים בהתאמה הרבה לפני כן על ידי הסרת התוסף המסוכן והחלפתו עם אחר..

    לאחר מכן אנו גם נטמיע רכיבי אבטחה על השרת של האתר כך שמדינות שלהם אנו לא מעניקים שירות לא יוכלו להיכנס לאתר מלכתחילה. כך לדוגמה, רואה חשבון בישראל אינו צריך תנועת גולשים מאינדונזיה ואו פקיסטן – כך בעצם אנו מנטרלים הרבה מאוד זירות מסוכנות הרחק מהאתר.

    ניתן ללכת צעד אחד נוסף קדימה ולהשתמש במערכת פריסת מדיה בענן CDN אשר בעצם אנו נציג לגולשים צילום של אתר האינטרנט משרת מקומי ולא את האתר עצמו בשרת המקומי. כך, ניסיונות פריצה יגיעו לשום מקום..

    לבסוף חשוב לדעת שהכל פריץ. אם פורצים לבנקים ואף לפנטגון, כנראה שהאתר שלכם אינו חסין מפריצות למרות הכל. לכן, ההגנה הטובה ביותר הנה לגבות את האתר על שרת נפרד ואפילו שרת שאינו מחובר לאינטרנט. כך, גם כאשר נפרצתם, ניתן לשחזר הכל בקלות ובמהירות בתוך שעות בודדות.

    האם אנחנו מאבטחים אתרי וורדפרס?

    בוודאי. יש לנו כלים מתקדמים שאנו יודעים להטמיע באתרי וורדפרס שעושים את כל מה שמתואר מעלה והרבה מעבר. הצוות שלנו מאוד מקצועי וראה את כל סוגי נסיונות הפריצה לאתרי וורדפרס ולכן גם יודע להתגונן מפניהם בהצלחה יתרה.

    אם אתם מרגישים מאוימים ואו חוששים מכך שהאתר אינטרנט שלכם ייפרץ, אנו מזמינים אתכם לפנות אלינו להתייעצות ולהתאמת חבילת הגנה מותאמת אישית.