אבטחת אתרים

נתחיל מהסוף. ב-90% מאתרי המכירות כלל אין צורך ביותר מידי פעולות לאבטחת האתר. זאת בעיקר משום שהסליקה (חיוב כרטיס האשראי) נעשה במסגרת שירות חיוב חיצוני. על מעט הפעולות שיש לבצע בכל זאת נרחיב במאמר זה.

אבטחת חנויות אינטרנט

על פניו, אתרי מכירות מהווים פוטנציאל התקפה להאקרים. בפועל, כמעט ואין התקפות על אתרי מכירות וזאת מאחר ואין מה לקחת..

כאשר בונים אתר מכירות, לרוב נפנה לחברות מסוף, חברות אשר כל ייעודן לאפשר חיוב בטוח של כרטיסי אשראי תוך שמירה על רמות האבטחה המתקדמות ביותר.

בכדי שזה יעבוד, חברות המסוף מאפשרות הטמעה של חלון בתוך האתר כך שהגולש מרגיש כאילו הוא מזין את פרטיו באתר עצמו, בד בבד, רכיב המסוף מטמיע עבור המשתמש מפתח הצפנה (טוקן) שמאפשר ללקוח לבצע רכישות חוזרות מבלי להזין את פרטי האשראי ומבלי שהפרטי אשראי חשופים לבעל האתר ואו לכל פורץ באשר הוא.

מפתח ההצפנה. הטוקן, בעצם מקשר בין משתמש באתר אינטרנט ובין פרטי כרטיס אשראי במערכת חברת המסוף ובכך בעצם מאפשרת לבעל האתר מכירות ללכת לישון בבטחה בלילה מבלי שהוא חשוף לפריצות העלולות לפגוע בלקוחותיו.

ובכל זאת, האם ניתן לגנוב פרטי אשראי מהאתר?

כן. גם רמות האבטחה המתקדמות ביותר לא יעזרו במידה והאקר יושב על התקשורת שבין המשתמש והאתר האינטרנט (התחברות לרשת האלחוטית, גישה לשרת) וזאת כי הנתונים שמזין המשתמש עלולים להיות גלויים לגורם זר.

כדי להבטיח שהתקשורת בין המשתמש והאתר אף הוא מאובטח, נהוג להתקין תעודת הצפנה – מוכר גם כSSL אשר יעודו להצפין כל תקשורת מהאתר ואל האתר כך שגם כאשר יש למישהו גישה לשרת ואו לרשת האלחוטית, אין לכך ערך רב עבור הפורצים.

מה עם אתרים עם סליקה עצמאית?

ישנם גופים גדולים שסולקים כרטיסי אשראי עצמאית, על ידי חיוב אופליין – כלומר תפיסת פרטי אשראי והזנתן ידנית למערכת קופה ואו על ידי ממשק חיוב עצמאי המתחבר לשב"א.

במקרים אלו, על האתר עצמו להפעיל פרוטוקולים מתקדמא של אבטחת מידע. חברות האשראי עלולות להימנע ממתן אישור לסליקה באתר או יחייבו באימותים כפולים בכל עסקה בכדי להימנע ממצבים בהם יקבלו הכחשת עסקאות..

רוצים לדעת עוד? השאירו פרטים ונאבטח גם אתכם!

אבטחת אתרים

רבים שואלים האם ייתכן ויש באתר האינטרנט שלהם וירוס? התשובה היא שבוודאי שכן! יש מגוון סוגי וירוסים ורוגלות אשר יכולים להיטמע בכל סוג של ספריית קבצים ואתר אינטרנט הנו לגמרי ספריית קבצים. אבל, בשונה מקבצים במחשב, הקבצים על גבי השרת לרוב אינם כוללים מערכת הפעלה שמזהה התנהגות חשודה כך שהסיכון גבוהה אף יותר!

סריקת וירוסים באתר אינטרנט

כאשר יש לנו חשד לכך שיש באתר שלנו קבצים נגועים או שכלי פרסום כמו גוגל או פייסבוק מסרבים לאפשר לנו לפרסם קישורים לאתר מאחר והם מזהים וירוסים באתר, הרי שעלינו לבצע מגוון פעולות בכדי לאמת ואו לשלול את קיומם של קבצים זדוניים וכמה שיותר מהר.
אנו נוכל לעשות זאת באחת משני אופנים:
  1. הורדת כלל קבצי האתר למחשב לסריקה מקומית.
  2. סריקה מקוונת על ידי כלים ייעודיים לכך.
באפשרות הראשונה, אנו נוריד את האתר כולו, כולל מסד הנתונים כך שיהיה לנו תיקייה מסודרת על גבי המחשב ורק לאחר מכן שנריץ סריקה של התיקייה על ידי אנטי וירוס – בדגש על אנטי וירוס עדכני ואשר מותאם להגדרות הגנה מפני נוזקות רשת.

באפשרות השניה, אנו נבצע סריקה מקוונת על ידי הרצת פקודות שונות ברמת שרת (בגישות מלאות לקבצי השרת) לאיתור מגוון פקודות שמזוהות עם וירוסים (הפניות חיצוניות, קישורים חיצוניים לדוגמה). במקרים אחרים בהם מדובר במערכת ניהול תוכן פופולרית כדוגמת וורדפרס, נוכל לעשות שימוש בכלים מאוד מסוימים שיסרקו עבורכם את האתר בצורה פשוטה יותר.

כמה זמן לוקח לסרוק אתר אינטרנט מוירוסים?

משך סריקת אתר תלויה לרוב במשקל סך הקבצים של האתר וגודל מסד הנתונים.
  • אתר סטנדרטי – בין 3-5 שעות.
  • אתר גדול – בין 6-12 שעות.
  • אתר ענק – בין יום ליומיים.
פעולות הסריקה כוללות מעבר קובץ קובץ ושורה שורה בתוך כלל הקבצים הללו בניסיון לאתר חריגות קוד מאילו המוכרים למערכת ניהול התוכן כמו גם פקודות מוכרות ומשויכות לוירוסים מוכרים.

כמה עולה סריקת אתר לוירוסים?

עלות סריקה מקיפה של אתר אינטרנט מפני וירוסים, רוגלות ונוזקות תלויה במערכת ניהול תוכן, בגודל ספריית הקבצים ובסוג החשד שלנו מפני פגיעה אפשרית.

עלות הסריקה תעמוד לרוב על בין 500-3,000 ש"ח התלוי בפרמטרים השונים של כל אתר.

כאשר במקרים רבים מזוהים גם מספר רב של קבצים נגועים ואז צריך לעבור קובץ קובץ ולנקות את הקוד כך שיהיה שוב נקי ושמיש. יש כמובן לחשב עלויות אלו בנוסף וזה כבר הנושא המורכב יותר מאחר וכל קובץ בו יש קוד זדוני דורש תמחור וטיפול מקומי ולכך יש השלכות כספיות בהתאמה.

ניקוי של מערכת אתר קומפלט תעלה לרוב כמה אלפי שקלים אך לאחר מכן יש גם לבצע עבודות תחזוקה נוספות כדי לסגור את הפרצות ולדאוג לכך שאירועים מסוגים אלו לא ישנו בעתיד.

אם לסכם, סריקת אתר מוירוסים הנה צעד אחד מתוך שלושה צעדים שונים בכדי להפוך את האתר למאובטח כהלכה ובכדי להבטיח שהאתר ימשיך לשרת אתכם נאמנה. צריכים הצעה מותאמת אישית? השאירו פניה ונשמח לעמוד לרשותכם!
אבטחת אתרים

במרבית המקרים אתר האינטרנט כשלעצמו אינו מכיל מידע רב ערך השווה פריצה. ניתן כמובן להביך את בעלי האתר אך פגיעה ממשית לרוב אין. אבל, לעתים קרובות אתר האינטרנט משמש ככניסה למערכת מידע עם מידע שיש לאבטח. איך עושים זאת? מה הדרך הבטוחה ביותר להגן על המידע?

אבטחת אתרי אינטרנט עם גישה למידע

חברות ביטוח, בנקים, קופות חולים, משרדי ממשלה, מוסדות חינוך ובעצם כל גוף רציני כיום מאפשר ללקוחותיו להתחבר למערכת ולבצע פעולות עצמאיות בכוחות עצמם. כלים אלו חיוניים לשנת 2021 וזה חשוב מאוד. אבל מה קורה כאשר הדבר מהווה איום על מערכות המידע? איך מונעים זליגת מידע פרטי החוצה?

יש מגוון פתרונות למנוע ממידע לזלוג החוצה בצורה לא מבוקרת, אחת מהם הנה לבצע הפרדה מלאה בין הסביבה הנגישה לקהל הרחב ובין הסביבה המאובטחת על ידי אחסון החלקים השונים על גבי שרתים נפרדים תוך יצירת פרוטוקול תקשורת לשליפה של רשומות יחידות בצורה מאובטחת.

איך עושים זאת?

משתמש מבקר באתר ומתחבר עם פרטיו האישיים. לאחר מכן מופעל אימות כפול (סמס/דוא״ל/שיחה) שמאמתת את זהות המשתמש ורק לאחר מכן נשלחת שאילתה דרך פרוטוקול מאובטח היכולה לגשת אך ורק למידע המשויך למשתמש המאומת ולהציגו למשתמש.

כאשר המערכת מתכוננת היטב, אין אפשרות לשליפה של יותר מרשומה בודדת למשתמש/קריאה כך שגם אם פרטי משתמש נחשפים ומתבצע אימות שאינו חוקי, המידע שיזלוג מבוקר ומינימלי.

בצורה זו, הצד החיצוני של המערכת מאובטח לחלוטין. בכל הקשור לאבטחת המערכת עצמה, כלומר התשתית עליו כלל המידע מאוחסן (השרת השני) הרי ששם יש להפעיל פרוטוקולים שונים לגמרי של אבטחת מידע וזה כבר סיפור לאנשי IT המתמחים בכך.

האם ניתן להסתפק באבטחה זו?

לא. ממש לא. מעבר לאבטחת תשתית המידע, יש לבצע עוד שלל פעולות אבטחה נוספות כדוגמת הקמת חומות אש, שימוש בCDN ולבצע עדכונים תדירים של מערכת ניהול התוכן.

אבטחת אתר אינטרנט לא נגמרת לעולם, יש להשקיע באופן מתמשך במגוון מאמצי אבטחה לאתר האינטרנט וגם אז אין התחייבות ל-100% הצלחה!

אם יש לכם שאלות בנושא זה, הרגישו חופשיים להתייעץ איתנו בטלפון או בפניה דרך הטופס באתר.

אבטחת אתרים

אם אתם שומעים על יותר ויותר פריצות לאתרים ומערכות ומפחדים שגם לכם זה יקרה, כדאי מאוד שתעשו משהו בעניין. נכון, אתם לא אנשי אבטחת מידע ונכון שאינכם בקיאים בכל האפשרויות אך יש לא מעט דברים שאתם יכולים לעשות בכוחות עצמכם בכדי לאבטח את האתר אינטרנט שלכם. במדריך זה נציג את האפשרויות הפשוטות ליישום לבעלי אתרי וורדפרס.

אבטחת אתר וורדפרס עצמאית

כדי לאבטח אתר וורדפרס יש לבצע שורה של פעולות שברובם אינם דורשים ידע מטורף. כל שעליכם לעשות זה להתרכז טיפה ולנסות ליישם את ההצעות הבאות:

  1. שנו את כתובת ההתחברות לאתר.
  2. בקשו מחברת האחסון להוסיף רובד אבטחה בהתחברות.
  3. הפנו את הדומיין לשרת דרך שירות CDN.
  4. חסמו התקנות ועריכות דרך מערכת האתר.
  5. עדכנו את המערכת, העיצוב והתוספים.
  6. השתמשו בסיסמאות חזקות!

אם תבצעו פעולות אלו, הסיכויים שלכם להיפרץ קלושים במיוחד. הפורצים פשוט יעברו הלאה לאתר הבא – אתם כבר לא אטרקטיביים בעיניהם (עניין של עלות תועלת).

אז איך עושים זאת בתכלס?

1. שינוי כתובת התחברות לוורדפרס

אם אינכם אנשי מקצוע, הדרך הקלה ביותר להחליף את כתובת ההתחברות למערכת הניהול של הוורדפרס עוברת דרך התקנת תוסף ייעודי לכך:

תוסף פשוט זה יעשה בדיוק זאת. הוא יאפשר לכם לקבוע כתובת גישה חלופית תוך ביטול זו הסטנדרטית (wp-admin).

כך, בוטים המחפשים לנסות סיסמאות על קישור מסוג זה יגיעו למבוי סתום.

2. הוספת רובד אבטחה להתחברות לאתר

לאחר ששיניתם את כתובת הגישה לניהול מערכת האתר, חשוב מאוד לפנות לחברת האחרון ואו לבדוק האם יש בכלי האחסון המנוהל יכולות להוספת רובד אבטחה נוסף. רובד זה בעצם מגדיר קישורים מסוימים כמאובטחים ומאלץ מחשבים חדשים להזין שם משתמש וסיסמה נוספים על אילו של האתר בכדי לגשת לחלון ההתחברות של המערכת.

בעזרת הוספת רובד אבטחה, אנו מרחיקים במעט את התוקפים ומחייבים אותם להשקיע מאמצים רבים יותר בפיצוח 2 רמות אבטחה במקום אחת.

3. הפניית אתר דרך שירות CDN

ככלל, רצוי להרחיק את המשתמשים אפילו יותר. ישנם שירותים חינמיים כדוגמת cloudflare אשר יאפשרו לכם לנתב את הדומיין לשרת תוך הסתרת פרטי השרת ותוך הוספת חוצץ בין הגולשים לבין הא ר עצמו.

במקרים חריגים בהם יש התקפה מכוונת ליצירת עומס על השרת ולאו דווקא לפריצה אליו, שירות CDN בעצם מפעיל הגנה ומונע עומס על השרת האמיתי וכך מאפשר לגולשים לגשת לשרת גם כאשר האתר נמצא תחת מתקפה.

4. חסימת עדכונים והתקנות באתר

מאחר ויש תוספים לוורדפרס שנפרצים ומהווים כניסה אחורית למערכת האתר יש להפעיל אמצעי הגנה גם מתוך מערכת ניהול האתר עצמה. זאת עושים על ידי נעילת האפשרות לביצוע פעולות משמעותיות דרך פאנל הניהול של האתר.

מונעים התקנה של תוספים, עריכת קוד מקור התבנית, מגע במסד הנתונים ועוד. כדי לעשות זאת יש לבצע עריכה קלה בקובץ ההגדרות של האתר בכתובת public_html<config.php

נעשה פעולה פשוטה למדי, נוסיף שורת קוד קטנטנה שחוסמת כל מגע מתוך מערכת הניהול:

define( 'DISALLOW_FILE_EDIT', true );

מיד אחרי שמירת הפקודה, לא יתאפשר עוד לבצע שינויים מתוך מערכת ניהול התוכן.

5. עדכוני מערכת והתוספים באתר

כדי למנוע מלכתחילה אפשרות לכניסות אחוריות לאתר, מומלץ להקפיד לעדכן את תוספי המערכת, עיצוב האתר וליבת הוורדפרס אחת לשבועיים במינימום. תוך כיבוי כל תוסף שאינו נדרש ואו אינו נמצא בשימוש בכדי להקטין את היקף החשיפה לאיומים.

אם אינכם מגיעים לעשות זאת, שכרו חברת ניהול אתרים ואו לפחות חברת תחזוקת אתרים בכדי שתבצע זאת עבורכם!

6. חיוב שימוש בסיסמאות חזקות

לבסוף, כל הפעולות שבעולם לא יעזרו אם לא תשתמשו בסיסמאות חזקות. סיסמה חזקה תכלול למעלה מ-8 תווים הכוללים אותיות גדולות וקטנות, מספר וסימן נוסף כדוגמת +*:$ שיכפילו את מספר הקומבינציות הנדרשות בכדי לנחש את הסיסמה המקורית.

אם אתם ממש רוצים להחמיר, אתם יכולים להתקין תוסף לאימות כפול שיאפשר לכם להתחבר לאתר רק לאחר הזנת סיסמה וקוד ייחודי שיופק על ידי אפליקציה ייעודית של גוגל או שירותים אחרים.

רוצים שנעשה זאת עבורכם?

אין לכם זמן או ראש לעשות פעולות אלו? רוצים לישון טוב בלילה? תנו לנו לעזור לכם ולבצע את פעולות האבטחה לאתר. זה אמנם יעלה לכם מעט אך יחסוך לכם זמן, כאב ראש ובעיקר יתן לכם שקט.