פוסטים

אבטחת אתרים

לא יודעים במדויק כמה אחוזים מסך אתרי האינטרנט פועלים על בסיס מערכת ניהול התוכן וורדפרס. אבל הערכות הנמוכות ביותר מצביעות על בין 30%-50% מהאתרים שפועלים עם מערכת זו. בישראל ישנם הערכות שמדובר בקרוב ל-70% מסך האתרים בשפה העברית.

אבטחת אתרי וורדפרס

מערכת וורדפרס זוכה לכבוד כפול, הן מאחר והיא המערכת הנפוצה ביותר בעולם והן בגלל שהיא גם המערכת שנפרצת הכי הרבה.  (כן, אנחנו יודעים, יש קורלציה בין היקף השימוש והיקף הפריצות).
מסיבה זו, יש להתייחס לאבטחת אתרי וורדפרס בנפרד מאבטחת יתר מערכות הניהול של אתרי האינטרנט כדוגמת ג'ומלה, דרופל, מג'נטו, נופקומרס ועוד..

הסיבה שצריך להתייחס לוורדפרס בנפרד הנה בגלל מבנה הקוד של המערכת, ליבת המערכת הנה קוד פתוח. כלומר, כולם יודעים אילו קבצים ושורות קוד האתר שלכם מכיל מה שמקנה לפורצים יתרונות רבים בבואם לחפש אתרים פריצים. אמנם מפתחי המערכת מוציאים כל הזמן גרסאות חדשות שנועדו להתמודד עם פרצות אבטחה ועם תנאי השוק העדכניים אך מרבית בעלי האתרים אינם מעדכנים את האתר שלהם בכל פעם שיוצאת גרסה חדשה ולכן הם נמצאים בסכנה לא קטנה.

מורכבות האבטחה באתרי וורדפרס


מעבר לליבת הקוד של המערכת, ישנם גם פרצות אבטחה נוספות כתוצאה משימוש בשכבות קוד נוספות באתר:
  • עיצוב האתר – חלק מהתבניות עלולות להיות מבוססות על קוד פריץ.
  • תוספי האתר – רוב הפריצות כיום נעשות על ידי זיהוי תוספים עם דלת אחורית למערכת.
מספיק לעשות שימוש בתוסף (אפילו עדכני) שנפרץ בהצלחה בכדי להימצא באיום מידי לפריצה לאתר כולו. זה קרה בשנה החולפת מאות אלפי פעמים ומכך גם החשש הייחודי לבעלי אתרי וורדפרס מפריצה למערכת האתר שלהם.

כעת שהבנו איך מערכת וורדפרס שונה ממערכות ניהול תוכן אחרות, ניתן להתייחס לאפשרויות האבטחה לאתרי הוורדפרס,

איך מאבטחים אתר וורדפרס?

השלב הראשון באבטחת אתרי וורדפרס הנה לא לסמוך על מערכת האתר מלכתחילה. כלומר, גם אם בחרתם סיסמה חזקה במיוחד, אינכם יכולים להיות בטוחים שהאקר לא יצליח לפרוץ את המערכת עצמה. עם הבנה זו, ניתן לבחון אפשרויות שונות שיסייעו לנו להבטיח שאנו לא נהיה תחת איום פריצה:
  1. חסימת האתר לבוטים לא מוכרים.
  2. הוספת רכיבי הגנה אקטיביים לאתר.
  3. הוספת רכיבי אבטחה אקטיביים לשרת.
  4. הפרדה בין הגולשים לבין מגע עם השרת.
  5. גיבוי, גיבוי ושוב גיבוי.
אחד הפעולות הראשונות שנבצע זה למנוע מבוטים לא מזוהים לסרוק את קוד האתר. בוטים יכולים לחפש אתרים עם קוד מסוים (תוסף/גרסת מערכת) כדי לסמן את האתר ככזה שניתן לפרוץ, חסימה של בוטים אלו תמנע את הופעת האתר בראדר של הפורצים.

לאחר מכן, נרצה גם להתקין רכיבי אבטחה אקטיביים. כאלו שיודעים לתת לנו התרעה בזמן אמת על ניסיונות פריצה ואו על רכיבים שזוהו היכן שהוא בעולם כפרוצים כך שאנו לא מחכים לפגיעה אלא מגיבים בהתאמה הרבה לפני כן על ידי הסרת התוסף המסוכן והחלפתו עם אחר..

לאחר מכן אנו גם נטמיע רכיבי אבטחה על השרת של האתר כך שמדינות שלהם אנו לא מעניקים שירות לא יוכלו להיכנס לאתר מלכתחילה. כך לדוגמה, רואה חשבון בישראל אינו צריך תנועת גולשים מאינדונזיה ואו פקיסטן – כך בעצם אנו מנטרלים הרבה מאוד זירות מסוכנות הרחק מהאתר.

ניתן ללכת צעד אחד נוסף קדימה ולהשתמש במערכת פריסת מדיה בענן CDN אשר בעצם אנו נציג לגולשים צילום של אתר האינטרנט משרת מקומי ולא את האתר עצמו בשרת המקומי. כך, ניסיונות פריצה יגיעו לשום מקום..

לבסוף חשוב לדעת שהכל פריץ. אם פורצים לבנקים ואף לפנטגון, כנראה שהאתר שלכם אינו חסין מפריצות למרות הכל. לכן, ההגנה הטובה ביותר הנה לגבות את האתר על שרת נפרד ואפילו שרת שאינו מחובר לאינטרנט. כך, גם כאשר נפרצתם, ניתן לשחזר הכל בקלות ובמהירות בתוך שעות בודדות.

האם אנחנו מאבטחים אתרי וורדפרס?

בוודאי. יש לנו כלים מתקדמים שאנו יודעים להטמיע באתרי וורדפרס שעושים את כל מה שמתואר מעלה והרבה מעבר. הצוות שלנו מאוד מקצועי וראה את כל סוגי נסיונות הפריצה לאתרי וורדפרס ולכן גם יודע להתגונן מפניהם בהצלחה יתרה.

אם אתם מרגישים מאוימים ואו חוששים מכך שהאתר אינטרנט שלכם ייפרץ, אנו מזמינים אתכם לפנות אלינו להתייעצות ולהתאמת חבילת הגנה מותאמת אישית.