פוסטים

אבטחת אתרים

לא יודעים במדויק כמה אחוזים מסך אתרי האינטרנט פועלים על בסיס מערכת ניהול התוכן וורדפרס. אבל הערכות הנמוכות ביותר מצביעות על בין 30%-50% מהאתרים שפועלים עם מערכת זו. בישראל ישנם הערכות שמדובר בקרוב ל-70% מסך האתרים בשפה העברית.

אבטחת אתרי וורדפרס

מערכת וורדפרס זוכה לכבוד כפול, הן מאחר והיא המערכת הנפוצה ביותר בעולם והן בגלל שהיא גם המערכת שנפרצת הכי הרבה.  (כן, אנחנו יודעים, יש קורלציה בין היקף השימוש והיקף הפריצות).
מסיבה זו, יש להתייחס לאבטחת אתרי וורדפרס בנפרד מאבטחת יתר מערכות הניהול של אתרי האינטרנט כדוגמת ג'ומלה, דרופל, מג'נטו, נופקומרס ועוד..

הסיבה שצריך להתייחס לוורדפרס בנפרד הנה בגלל מבנה הקוד של המערכת, ליבת המערכת הנה קוד פתוח. כלומר, כולם יודעים אילו קבצים ושורות קוד האתר שלכם מכיל מה שמקנה לפורצים יתרונות רבים בבואם לחפש אתרים פריצים. אמנם מפתחי המערכת מוציאים כל הזמן גרסאות חדשות שנועדו להתמודד עם פרצות אבטחה ועם תנאי השוק העדכניים אך מרבית בעלי האתרים אינם מעדכנים את האתר שלהם בכל פעם שיוצאת גרסה חדשה ולכן הם נמצאים בסכנה לא קטנה.

מורכבות האבטחה באתרי וורדפרס


מעבר לליבת הקוד של המערכת, ישנם גם פרצות אבטחה נוספות כתוצאה משימוש בשכבות קוד נוספות באתר:
  • עיצוב האתר – חלק מהתבניות עלולות להיות מבוססות על קוד פריץ.
  • תוספי האתר – רוב הפריצות כיום נעשות על ידי זיהוי תוספים עם דלת אחורית למערכת.
מספיק לעשות שימוש בתוסף (אפילו עדכני) שנפרץ בהצלחה בכדי להימצא באיום מידי לפריצה לאתר כולו. זה קרה בשנה החולפת מאות אלפי פעמים ומכך גם החשש הייחודי לבעלי אתרי וורדפרס מפריצה למערכת האתר שלהם.

כעת שהבנו איך מערכת וורדפרס שונה ממערכות ניהול תוכן אחרות, ניתן להתייחס לאפשרויות האבטחה לאתרי הוורדפרס,

איך מאבטחים אתר וורדפרס?

השלב הראשון באבטחת אתרי וורדפרס הנה לא לסמוך על מערכת האתר מלכתחילה. כלומר, גם אם בחרתם סיסמה חזקה במיוחד, אינכם יכולים להיות בטוחים שהאקר לא יצליח לפרוץ את המערכת עצמה. עם הבנה זו, ניתן לבחון אפשרויות שונות שיסייעו לנו להבטיח שאנו לא נהיה תחת איום פריצה:
  1. חסימת האתר לבוטים לא מוכרים.
  2. הוספת רכיבי הגנה אקטיביים לאתר.
  3. הוספת רכיבי אבטחה אקטיביים לשרת.
  4. הפרדה בין הגולשים לבין מגע עם השרת.
  5. גיבוי, גיבוי ושוב גיבוי.
אחד הפעולות הראשונות שנבצע זה למנוע מבוטים לא מזוהים לסרוק את קוד האתר. בוטים יכולים לחפש אתרים עם קוד מסוים (תוסף/גרסת מערכת) כדי לסמן את האתר ככזה שניתן לפרוץ, חסימה של בוטים אלו תמנע את הופעת האתר בראדר של הפורצים.

לאחר מכן, נרצה גם להתקין רכיבי אבטחה אקטיביים. כאלו שיודעים לתת לנו התרעה בזמן אמת על ניסיונות פריצה ואו על רכיבים שזוהו היכן שהוא בעולם כפרוצים כך שאנו לא מחכים לפגיעה אלא מגיבים בהתאמה הרבה לפני כן על ידי הסרת התוסף המסוכן והחלפתו עם אחר..

לאחר מכן אנו גם נטמיע רכיבי אבטחה על השרת של האתר כך שמדינות שלהם אנו לא מעניקים שירות לא יוכלו להיכנס לאתר מלכתחילה. כך לדוגמה, רואה חשבון בישראל אינו צריך תנועת גולשים מאינדונזיה ואו פקיסטן – כך בעצם אנו מנטרלים הרבה מאוד זירות מסוכנות הרחק מהאתר.

ניתן ללכת צעד אחד נוסף קדימה ולהשתמש במערכת פריסת מדיה בענן CDN אשר בעצם אנו נציג לגולשים צילום של אתר האינטרנט משרת מקומי ולא את האתר עצמו בשרת המקומי. כך, ניסיונות פריצה יגיעו לשום מקום..

לבסוף חשוב לדעת שהכל פריץ. אם פורצים לבנקים ואף לפנטגון, כנראה שהאתר שלכם אינו חסין מפריצות למרות הכל. לכן, ההגנה הטובה ביותר הנה לגבות את האתר על שרת נפרד ואפילו שרת שאינו מחובר לאינטרנט. כך, גם כאשר נפרצתם, ניתן לשחזר הכל בקלות ובמהירות בתוך שעות בודדות.

האם אנחנו מאבטחים אתרי וורדפרס?

בוודאי. יש לנו כלים מתקדמים שאנו יודעים להטמיע באתרי וורדפרס שעושים את כל מה שמתואר מעלה והרבה מעבר. הצוות שלנו מאוד מקצועי וראה את כל סוגי נסיונות הפריצה לאתרי וורדפרס ולכן גם יודע להתגונן מפניהם בהצלחה יתרה.

אם אתם מרגישים מאוימים ואו חוששים מכך שהאתר אינטרנט שלכם ייפרץ, אנו מזמינים אתכם לפנות אלינו להתייעצות ולהתאמת חבילת הגנה מותאמת אישית.
אבטחת אתרים

בעבר הלא רחוק, היקף הפריצות לאתרי אינטרנט היה זניח למדי. למעט תקופות מסוימות בשנה פריצה לאתר נחשבה לאירוע נדיר במיוחד. אבל, בשנים האחרונות זה השתנה. אתרי אינטרנט ישראליים רבים נפרצים מידי חודש ובעליהם לעתים אובדי עצות. כל מי שנפרץ פעם אחת עושה מאמצים גדולים למנוע פריצה נוספת ולכן שוכר את שירותי חברות כדוגמתנו, חברות אבטחה לאתרי אינטרנט.

מה זה אבטחת אתרים?

אבטחת אתרים הנה תחום מורכב למדי המכיל בתוכו מגוון רחב של מרכיבים שיחד יוצרים את המכלול שמאפשר לבעלי אתרים לישון טוב בלילה.

אבטחת אתרים משמעותה שיש מגוון רמות של אבטחה על האתר אשר מונעות פריצה אליו בשלושה שלבים שונים:

  1. אבטחת אתר בשוטף – מניעת פרצות אבטחה שיאפשרו להאקרים להיכנס למערכת הניהול של האתר.
  2. אבטחת אתר תחת איום – התגוננות אקטיבית בעת ניסיון פריצה אמיתי ומידי למערכת הניהול של האתר.
  3. אבטחת אתר לאחר פריצה – שחזור, למידה וחזרה לשגרה בטוחה בניהול האתר.

למרבית בעלי האתרים אין אף אחד מההגנות הללו בשגרה והם קוראים לנו רק בשלב השלישי לאחר שכבר נפרצו וכאשר קשה בהרבה לתקן את המצב הקיים.

האם יש הגנה הרמטית לאתר אינטרנט?

כפי שניתן לראות מהשלב השלישי במכלול פעולות האבטחה לאתר, התשובה היא לא. מספיק שתוסף אשר מותקן באתר ייפרץ בכדי להכניס דרכו קודים זדוניים שפותחים את האתר לרווחה עבור הפורצים.

אין כזה דבר 100% הצלחה. אבל בהחלט יש 99% הצלחה וברוב מוחלט של המקרים זה מספיק. לאותם 1% שזה לא הספיק, יש לנו מענה אפקטיבי ומהיר לאחר הפריצה.

האם ניתן לרכוש ביטוח לאתר אינטרנט?

אין כיום פוליסת ביטוח לאתרי אינטרנט. אך בהחלט יש סוגי פוליסות ביטוח אשר יאפשרו פיצוי בעת גרימת נזק במידת הצורך וזאת במתכונת של העסק כולו ולא של האתר בלבד.

אבל, במידה ושכרתם חברת אבטחת אתרים כדוגמתנו, לא באמת תידרשו לביטוח עבור האתר. הסיכון בפריצה נמוך מידי והנזק שייגרם במידה וכן תיפרצו ניתן למזעור ואף לביטול על ידי שחזור לאחור. לכן, אם אין לכם חובה (מכרז ממשלתי לדוגמה),. אין סיבה ללכת לחפש פוליסת ביטוח מסוג זה..

צריכים שירותי אבטחה לאתר האינטרנט שלכם? פנו אלינו ונציע לכם חבילת הטמעה וחבילת שירות לשקט נפשי שלכם!