כאשר אנחנו חושבים על האופן בו האתר שלנו יתפקד, אחד הנושאים החשובים ביותר שאי אפשר להתעלם מהם הוא אבטחת האתר. כיום נושא הפריצה לאתרים והשחתה שלהם עולה שוב ושוב לכותרות.
במקרה הטוב מטרת הפריצה היא "מורלית" ומכוונת כלפי כל אתר ישראלי שניתן לפרוץ אליו יחסית בקלות על מנת ליצור מבוכה. במקרים הפחות טובים המטרה יכולה להיות גם ניסיון לסחוט את בעל העסק, לגנוב מידע רגיש כגון מספר כרטיסי אשראי של לקוחות או להשתמש באתר שלו כדי להפיץ תוכנות זדוניות כמו למשל תוכנות כופר (RansomWare).
בכל מקרה, אין ספק שפריצה לאתר היא עניין לא נעים ואפילו טראומתי עבור מי שרואה באתר את "הבייבי" שלו.
אז מה עושים?
כמו במקרים רבים, גם כאן דרך ההגנה הטובה ביותר היא מניעה. כלומר, עלינו לבנות מלכתחילה אתר בטוח על מנת למזער את סיכויי הפגיעה בו. שום אתר לא יכול להיות בטוח ב-100%, אך אם נבצע את ההכנות הנכונות, נוכל לפחות להיות בטוחים שנצליח לשחזר את האתר למצבו הקודם לאחר פריצה במהירות.
יש שיטות רבות להגן על האתר ולמעשה דווקא בגלל שניתן לתקוף את האתר בלא מעט דרכים ובכמה רמות שונות, אין שיטה אחת שמכסה את כל האפשרויות.
הנה 7 דרכים להגן על האתר שלכם בצורה טובה יותר:
שימו לב, כאשר אנחנו מדברים על פאנל הניהול, אנחנו מתכוונים לזה של השרת (cpanel, plesk, directadmin) ולא של מערכת ניהול התוכן.
1.להתקין תעודת אבטחה ולהצפין את הסיסמאות במסד הנתונים שלכם
תעודת אבטחה היא אחד הפתרונות החשובים ביותר והוא גם קל להתקנה באופן יחסי וזמין לכל דורש (יש אפילו מיזמים שמאפשרים לקבל תעודה בחינם).
המטרה העיקרית של תעודת האבטחה היא להבטיח כי המידע העובר בין מחשבו של הגולש לבין השרת יהיה מאובטח באמצעות מנגנון הזהה לזה של מנעול ומפתח. המשמעות היא שגם אם מידע רגיש כמו למשל פרטי אשראי או אפילו סיסמאות ושמות משתמשים שעובר דרך טפסים מגיע לידיים זדוניות, לא ניתן יהיה לפענח אותו ללא המפתח המתאים.
כיום כאמור מדובר בסטנדרט וגוגל אף ממליצים כי כל אתר ישתמש בתעודת אבטחה מסוג SSL, כשהיא רומזת שבמקרים מסוימים אתרים כאלו יוכלו לקבל יתרון כלשהו בתוצאות החיפוש על פני אתרים שאינם מאובטחים. יתרה מזאת, אם דפדפן כרום מזהה אתר לא מאובטח, הוא מציג אזהרה לגולש ואינו מראה את סימן המפתח הנעול ליד הכתובת שלו.
מלבד הצפנה בזמן מעבר מידע בין האתר למשתמש, חשוב שגם המידע הרגיש שמאוחסן במסד הנתונים של האתר יהיה מוצפן. לדוגמה, הצפנת סיסמאות נעשית על מנת שלא יהיה ניתן לשחזר אותן, אלא רק לבדוק שהסיסמה שהקשתם נכונה ותחזיר את אותה מחרוזת מוצפנת (הצפנה חד כיוונית).
זו אגב הסיבה שברוב המכריע של האתרים כיום ברשת לא תוכלו לקבל את הסיסמה הישנה שלכם, אלא רק להחליף אותה בחזרה.
יחד עם זאת, במערכות ניהול תוכן ישנות או אתרים שבנויים מאפס על קוד מותאם אישית, לא תמיד דואגים לבצע את ההצפנה הזו. אם אין לכם אפשרות לעדכן את מערכת ניהול התוכן בעצמכם, עליכם לבדוק כי אכן מתקיימת הצפנה שכזו דרך החברה שבנתה עבורכם את האתר (ראו גם את הסעיף הבא).
2.מוודאים כי מערכת ניהול התוכן והשרת מעודכנים לגרסה האחרונה שמאפשרת לאתר לפעול
כאשר אנחנו מדברים על עדכון האתר לגרסאות האחרונות, אפשר לחלק את הנושא לשניים: גרסת השרת ומערכת ניהול התוכן.
מערכת ניהול התוכן כגון WordPress היא החלק אותו יותר קל לעדכן והעדכון בדרך כלל נעשה על ידי משתמש הקצה, אלא אם כן מדובר במערכת מותאמת אישית. בנוסף, יש לעדכן גם את התוספות החיצונית (תוספים / פלאגינים) ואפילו את תבניות העיצוב. גם אלו נעשים מאוד בקלות ויש אפשרות לעדכונים אוטומטים (תמונת המסך מתוך וורדפרס).
אחת מפרצות האבטחה הגדולות ביותר בצד השרת היא גרסה לא מעודכנת של PHP, השפה בה כותבים חלק נכבד מהסקריפטים דרכם פועלים אתרים כיום (למעשה סוג של אלגוריתמים). למרבה המזל, הבחירה בגרסה אותה השרת יריץ עבור האתר בדרך כלל אפשרית דרך פאנל הניהול.
לעיתים ברירת המחדל היא דווקא להשתמש בגרסה ישנה על מנת למנוע בעיות תאימות, אך זהו כמובן דבר שצריך לבדוק באופן פרטני.
למעשה, לרוב לקוח הקצה (כלומר מנהל האתר) לא יהיה מודע לכך שהשרת שלו איננו מעודכן, אלא אם כן הוא יקבל אזהרה ממערכת ניהול התוכן, ולעיתים גם זה רק אם יתקין הרחבות מסוימות. חשוב להזכיר כי כלפי חוץ האתר עדיין יפעל וייראה כרגיל, אך הוא יהיה פגיע יותר.
טיפ נוסף: שנו את שמה של ספריית האדמין מכיוון שזו הספרייה הראשונה שההאקרים ינסו לתקוף. למרבה הצער, לעיתים לא ניתן לעשות זאת ללא תוסף חיצוני כמו למשל "HC Custom WP-Admin URL" עבור וורדפרס.
3.תמיד מגבים את קבצי קוד המקור של האתר
דבר נוסף וחשוב מאוד שצריך לעשות הוא לדאוג לכך שיהיה גיבוי אוטומטי של האתר בחברת האחסון, לפחות פעם בכמה ימים. הגיבוי הזה אמור להיות מאובטח בספריה נפרדת על השרת. באופן זה קל מאוד לשחזר את קבצי האתר במקרה ומישהו השחית אותו.
4.סיסמאות
רוב חברות האחסון קובעות סיסמאות זהות לכל השירותים של האתר: שרת ה-FTP (דרכו מעלים קבצים ישירות), שרת המייל (דרכו שולחים ומקבלים מייל עם הסיומת של האתר (כגון admin@mdomain.co.il) ופאנל הניהול. חשוב לשנות את הסיסמאות האלו דרך פאנל הניהול.
אבל הסיסמה הכי חשובה היא ללא ספק הסיסמה של מערכת התוכן שלכם. בדרך כלל הסיסמה הראשית מוגנת כמו שצריך, אבל כשפותחים חשבונות לעוד משתמשים, לפעמיים משתמשים בסיסמאות קלות לניחוש. זה כבר יכול להיות מסוכן, גם אם רמת הגישה של המשתמשים האלו היא מוגבלת.
למרבה המזל, ברוב מערכות ניהול התוכן כיום יש מנגנונים שמונעים יצירה של סיסמאות כאלו והדפדפן כרום מציע באופן אוטומטי סיסמאות רנדומליות חזקות יחסית כשבוחרים סיסמה חדשה.
5.מתקינים תוספי אבטחה
ברוב מערכות ניהול התוכן יש תוספי אבטחה ספציפיים שמשלימים לנו את בדיקות האבטחה הנוספות שאנחנו צריכים. לדוגמה, הם יכולים לזהות פעילות חשודה מכתובות אינטרנט ספציפיות או לסרוק את האתר ולמצוא קודים זדונים.
אחד התוספים הכי ידועים לוורדפרס שכדאי להתקין על כל אתר הוא Wordfence.
6.מגדירים את האתר לקבלת התראות מגוגל דרך ה-Search Console
במהלך הסריקות של גוגל, הוא מזהה בעצמו קודים זדוניים באתר ומציג אזהרות לגולש שמנסה להיכנס לאתר שכזה מתוצאות החיפוש. אם תחברו את האתר שלכם לשירות של גוגל בשם Search Console, תוכלו לקבל התראות על בעיות אבטחה קונקרטיות באתר או המלצות אחרות לשיפור האבטחה של האתר ישירות למייל שלכם.
הנה דוגמה להתראה כזו (אל דאגה, היא ישנה 😉):
אם אתם מקבלים התראה קונקרטית על בעיית אבטחה באתר, רצוי לטפל בה בהקדם, אחרת תאבדו את רוב התנועה האורגנית לאתר שלכם.
7.מוודאים שיש לכם הגנה בסיסית על המחשב
כיום המחשבים שלנו מחוברים לרשת 24 שעות ביממה גם אם אנחנו לא עושים שימוש פעיל בדפדפן. לכן, חשוב לוודא שחומת האש (Firewall). בחלונות או כל מערכת הפעלה אחרת (כגון Mac OS) פועלת.
מבחינת תוכנות אבטחה ואנטי – וירוסים, לחלונות 10 יש את Windows Defender שמספק הגנה לא רעה בכלל. עם זאת, ההמלצה היא עדיין להתקין תוכנה נוספת כמו למשל Avast. במקרה הספציפי שלנו, הגרסאות בתשלום הן המומלצות מכיוון שהם יסרקו את תעבורת הרשת שלכם. הן בדרך כלל לא יקרות ועולות באזור ה-100 ₪ לשנה.
מהניסיון שלנו, קחו בחשבון שתוכנות אנטי וירוס עשויות להפריע להרצה של תוכנות מסוימות, ולכן חשוב שתדעו איך לבטל את ההגנה שלה באופן זמני או להוסיף אפליקציות ל"רשימה לבנה".
