איך להפוך אתר למאובטח?
השאלה איך להפוך אתר למאובטח היא שאלה חשובה העולה אצל כל בעל אתר ואצל כל בונה אתרים, מכיוון שאתר מאובטח מאפשר פעילות שוטפת של האתר ברשת האינטרנט ומונע מצב של פריצה לאתר והשחתתו. אתר שאינו מאובטח עלול להביא לכך שהתקפות האקרים על האתר ו/או על בסיס הנתונים שלו, יגרמו לפריצה לאתר, השחתתו או הפלתו מהרשת. במקרה זה, התוצאה של אתר שאינו מאובטח עלולה לבוא לידי ביטוי לא רק בעוגמת נפש אלא גם באובדן הכנסות לבעלי האתר וכן, פגיעה חמורה במוניטין האתר. על מנת להבין איך להפוך אתר למאובטח יש לדעת תחילה מהן הסכנות האורבות לאתרי אינטרנט בכלל ולאתרי מסחר בפרט וכן, יש להבין את הסיבות או הגורמים המביאים לכך שאתר לא יהיה מאובטח מלכתחילה. לבסוף, נציג מספר כללים או עקרונות מנחים על מנת להפוך אתר למאובטח.
רוצים לדעת עוד על איך להפוך אתר למאובטח? צלצלו:
077-5452546
אילו סכנות אבטחה קיימות לאתרי אינטרנט?
אתר מאובטח הינו אתר אשר מפעיל ומתחזק לפחות שני מעגלי אבטחה: אחד כחלק מהאתר עצמו והשני – כחלק ממערך אחסון האתר. יש לציין כי בחלוקה הגסה שבין אתרי אינטרנט תדמיתיים ואתרי אינטרנט המהווים חנות מקוונת, קיימות יותר סכנות אבטחה לאתרי אינטרנט מסחר שכן אלו מצריכים ברוב המקרים הזנת פרטים אישיים של הקונים ומסירת פרטי כרטיס האשראי לצורך ביצוע התשלום.
כאמור, הצעד הראשון שלנו במענה לשאלה איך להפוך אתר למאובטח, הינו להבין את היקף סכנות האבטחה הקיימות לאתרי אינטרנט. להלן מספר סכנות אבטחה מולן מתמודד אתר מאובטח:
1. גניבת פרטי כניסה לאתר: הסכנה הבסיסית ביותר לאבטחת אתר הינה גניבת שם המשתמש והסיסמא של מנהל התוכן של האתר, או של מנהל בדרג נמוך יותר. פורץ אשר בידו פרטי כניסה לרמת ניהול כלשהי של תכני האתר עלול להשתמש בהם על מנת למחוק תכנים באתר ולהעלות במקומם תכנים בלתי חוקיים, תכנים פרובוקטיביים ואף תכנים מוסווים אשר ישרתו אותו מבלי שבעלי האתר יוכלו לגלות אותם.
2. מתקפת Brute Force: ברוב המקרים לא יהיו בידי הפורץ פרטי גישה לאתר ויהיה עליו לנסות להשיג את שם המשתמש והסיסמא של בעלי הרשאות ניהול. אחת הדרכים לעשות זאת הינה באמצעות מתקפת Brute Force אשר משתמשת בתוכנה המזינה לשדות שם המשתמש והסיסמא לניהול האתר, עשרות אלפי שילובים של שמות משתמשים וסיסמאות, במטרה לקלוע לצירוף הנכון ולזכות בגישה לניהול תכני האתר.
3. פריצה לבסיס הנתונים של האתר: קיימות מספר דרכים לפרוץ לבסיס הנתונים של האתר והמוכרת ביותר נקראת SQL Injection – הזרקת SQL לבסיס הנתונים. בגדול, מדובר בהזרקה של שאילתא זדונית לבסיס הנתונים של האתר דרך טפסים הקיימים באתר כגון טופס יצירת קשר, או עגלת קניות. השאילתא הזדונית יכולה לבצע פעולה בלתי חוקית בבסיס הנתונים של האתר ולגרום, בין היתר, למחיקת טבלאות או למתן גישה לפורץ.
4. מתקפות XSS: מתקפות אלו נקראות מתקפות Cross-site scripting והן מתבצעות על ידי הזרקת קוד JavaScript לאתר על מנת להשיג שליטה על חלק ממנו או על כולו וכך לשתול תכנים זדוניים או לפגוע בתצורה ובתפעול האתר.
5. מתקפת DDoS: מדובר במתקפת מניעת שירות מבוזרת – Distributed Denial of Service אשר מטרתה להפוך אתר אינטרנט או שרת אינטרנט לבלתי זמין עקב ניצול מקסימלי של המשאבים העומדים לרשות האתר או השרת (משאבים כגון רוחב פס, זיכרון, כוח מעבד). מתקפת DDoS רגילה מתרחשת כאשר מחשב מרוחק אחד תוקף את משאבי האתר או השרת ומתקפת DDoS מבוזרת כוללת מספר מחשבים מרוחקים אשר תוקפים את משאבי האתר או השרת. תוצאתה של מתקפת DDoS הינה בהפלת האתר או שרת האינטרנט, שכן ניצול מקסימלי של המשאבים שהוקצו להם על ידי חברת האחסון, גורר באופן אוטומטי הפסקת פעילות האתר או השרת.
6. מתקפת Man in the Middle: סוג מתקפה זה על אתרי אינטרנט, כשמו כן הוא – מעמיד את הפורץ בין האתר לבין המשתמש המעביר מידע אישי לבסיס הנתונים של האתר או מקבל מידע מבסיס הנתונים של האתר לאחר שביצע שאילתא (כמו למשל מילא טופס יצירת קשר או ביצוע תשלום עבור רכישה באתר). התוקף למעשה מעמיד את עצמו בין האתר לבין המשתמש ומנסה לבצע Intercept – יירוט של תעבורת המידע אשר בין המשתמש לאתר. הצלחה של היירוט – משמעותה גניבת מידע ומתן אפשרות לפורץ להשתמש בה לתועלתו.
אלו רק מספר דוגמאות לסכנות אבטחה בפניהן עומדים אתרי אינטרנט.
רוצים לדעת איך להפוך אתר למאובטח כך שיעמוד בכל סיכוני האבטחה הללו וסיכוני אבטחה נוספים?
פנו לחברת ג’טסרבר – מומחים בתחום אחסון אתרים ואבטחת אתרים בטלפון:
077-5452546
מה גורם לאתר לא להיות מאובטח?
הצעד השני שלנו במענה לשאלה איך להפוך אתר למאובטח, יציג מספר סיבות עיקריות הגורמות לכך שאתר אינו מאובטח:
1. ריבוי הרשאות ניהול: בעל אתר אשר נותן למספר גדול של אנשים יכולת לנהל תכנים באתר, מגביר את הסיכון לכך שהרשאות כניסה לניהול תוכן יזלגו לגורם בלתי רצוי.
2. שימוש בסיסמאות קצרות ופשוטות: מתקפת Brute Force תציב תחילה את הצירופים פשוטים והבנאליים ביותר על מנת לנסות לפרוץ לאתר – בדומה לגנב אשר יחפש מפתח רזרבי מתחת לשטיח או לעציץ לפני שישבור חלון או מנעול של אחת הדלתות. עד כמה שזה נשמע מופרך, מנהלי תוכן רבים משתמשים למשל בשם המשתמש user ובסיסמא 12345 על מנת שלא לשכוח את הפרטים ואולי כדי לחסוך לעצמם זמן בתהליך ההזדהות. מיותר לציין כי שילוב זו ושילובים דומים הינם סכנת אבטחה חמורה מאד העלולה להביא לפריצה לאתר ללא מאמץ רב.
3. שימוש בסיסמא פשוטה לבסיס הנתונים: רבים חושבים כי בתהליך ההגדרה והבניה של בסיס הנתונים באתר, אפשר להשתמש בסיסמא פשוטה עבור בסיס הנתונים. טעות! בסיס הנתונים של האתר עלול להיפרץ בדומה לפריצה להרשאות ניהול במידה והסיסמא שלו קצרה ופשוטה.
4. היעדר שימוש ב- SSL: מתקפת Man in the Middle בונה בדיוק על זה שהאתר אינו מופעל תחת תעודת SSL אשר מצפינה את התעבורה בין המשתמש לאתר. במצב זה, התעבורה אינה מוצפנת וכל האקר יכול ליירט את המידע העובר בין המשתמש לאתר ומהאתר למשתמש.
5. הסתמכות על מנגנוני אבטחה מובנים של מערכות ניהול תוכן: מערכות ניהול תוכן כגון ג’ומלה, וורדפרס, דרופל ומג’נטו – כוללות מנגנוני אבטחת מידע המובנים במערכת ניהול התוכן. מנגנוני אבטחה אלו מספקים רמה מסוימת של אבטחה, אולם אין זה מספיק כדי לראות באתר כאתר מאובטח. יש לציין בנקודה זו כי בין מערכות ניהול התוכן, ניכר כי ג’ומלה מספקת אבטחה טובה יותר שכן הסטטיסטיקה מציינת פחות אתרי ג’ומלה שנפרצים מאשר אתרי מערכות ניהול תוכן אחרות.
6. אחסון אתרים Windows: מבלי להיכנס לדקויות של אחסון אתרים Windows בהשוואה לאחסון אתרים Linux, ניתן לומר במישור האבטחה כי אחסון אתרים Linux מאובטח יותר מאשר אחסון אתרים Windows. אם נחזור למערכות ניהול תוכן מהסעיף הקודם, ג’ומלה, וורדפרס, דרופל ומג’נטו חייבים אחסון אתרים לינוקס ולפיכך נקודת המוצא באשר למצב האבטחה שלהם טוב יותר מאשר אתרי Dot.net אשר חייבים אחסון אתרים Windows.
7. אחסון אתרים אצל ספק שאינו מומחה אבטחת מידע: קיימות חברות רבות לאחסון אתרים אשר מספקות חבילות אחסון טובות ושירות לקוחות טוב, אולם הן אינן מתמחות גם באבטחת מידע ובנושא הזה – עלולות להביא אסון על לקוחותיהן ואף על עצמן. ספק אחסון אתרים אשר אינו מפעיל מערך ניטור והגנה על אתרי האינטרנט המאוחסנים אצלו ועל שרתי האינטרנט הפיזיים והוירטואליים שלו, מעמיד את לקוחותיו ואת עצמו בסיכון אבטחה משמעותי.
8. היעדר מערכת גיבוי האתר וגיבוי בסיס הנתונים: נושא זה קשור יותר לתוצאה של פגיעת אבטחה באתר. פגיעת אבטחה המפילה את האתר דורשת תגובה מהירה ויעילה על מנת להשיב את האתר לפעילות. לצורך כך, ספקים מקצועיים של אחסון אתרים מפעילים מערכת גיבוי אוטומטי של קבצי האתר וגיבוי בסיס הנתונים שלו, כך שבמקרה אסון ניתן יהיה לשחזר אותם מהר ככל האפשר ולהשיב את האתר לפעילות מתוך נקודת הגיבוי האחרונה.
גם כאן, ציינו רק מספר גורמים העלולים לגרום לאתר לא להיות מאובטח. קיימים גורמים נוספים אשר משקלם באבטחת אתרים חשוב מאד.
איך להפוך אתר למאובטח? – כלים וכללים
הגענו לשורה התחתונה במענה לשאלה איך להפוך אתר למאובטח. הבנו מהם סיכוני האבטחה העיקריים בפניהם עומדים אתרי אינטרנט והבנו מהם הגורמים העיקריים הגורמים לאתר לא להיות מאובטח. נציג כעת מספר כללים וכלים אשר יסייעו לבעלי אתרים ובוני אתרים להפוך אתר למאובטח:
1. מידור הרשאות ניהול האתר: לא כל אחד חייב להיות אדמיניסטרטור ולקבל הרשאות מלאות לניהול תוכן. על מנת להפוך אתר למאובטח, הרשאות הניהול חייבות להיות ממודרות כך שלמשל עורך בלוג באתר לא יוכל לבצע פעולות שמנהל האתר יכול לבצע.
2. קביעת סטנדרט לסיסמאות באתר: בכדי להפוך אתר למאובטח, יש למנוע מצב בו הסיסמאות של בעלי הרשאות הניהול באתר הינן קצרות ובנאליות. חשוב מאד לקבוע באופן גורף שכל מנהל באתר וכל משתמש רשום באתר, ישתמשו בסיסמאות של לפחות 8 תווים וסיסמאות הכוללות צירוף של אותיות, מספרים, אותיות גדולות וסמלים. שימוש בסיסמאות מורכבות לא יאפשר פיצוח מקרי של הסיסמא ויקטין באופן משמעותי מאד את האפשרות של מתקפת Brute Force לגלות את הסיסמא. בנקודה זו יש לציין כי גם סיסמת בסיס הנתונים חייבת להיות חלק מנורמה זו.
3. הפעלת מעגלי אבטחה פנימיים באתר: על מנת שנוכל להפוך אתר למאובטח, עלינו להפעיל מספר מעגלי אבטחה פנימיים ובמידת הצורך, עם להשתמש בתוספי אבטחה ייעודיים אשר יאפשרו לנו לעשות כן:
א. הסתרת קישור הכניסה לניהול – ניתן להחליף את שמה של תיקיית הניהול של האתר לשם אחר שאינו ברירת המחדל. למשל בג’ומלה נחליף את שם התיקייה administrator לשם אחר שידוע רק לנו. גם עבור פעולה זו קיים תוסף שיכול לעזור.
ב. הצבת סיסמא לפני מסך ההזדהות בשם משתמש וסיסמא לניהול – לפני הזדהות בשם משתמש וסיסמא לניהול האתר, נציב סיסמא ראשית אשר יש להזין לפני מסך ההזדהות. פעולה זו תמנע אפשרות גישה ממשתמשים שאינם מורשים ולא תאפשר להם להזין שם משתמש וסיסמא לניהול האתר.
ג.כאשר מדברים על איך להפוך אתר למאובטח חשוב לבצע חסימת מדינות עוינות מגישה לאתר – ידוע שיש מדינות עוינות לישראל, מהן מתבצעות רוב המתקפות על אתרים. לכן מומלץ מאד לחסום מראש גישה לאתר ממדינות עוינות.
ד. ביטול אפשרות עריכה למשתמשים רשומים באתר – הגדרה זו ניתן לבצע מתוך פאנל ניהול האתר ולמנוע מראש אפשרות עריכת תוכן ממשתמשים שכבר רשומים לאתר. חשוב לזכור כמובן שיש לאפשר למשתמשים, על פי המדרג המתאים, לבצע פעולות עריכה.
ה. הפעלת מנגנון למניעת מתקפת Brute Force – על מנת להפוך אתר למאובטח, מומלץ מאד לקבוע מספר ניסיונות כניסה לפאנל הניהול שלאחר כשלון, יופעל מנגנון reCAPTCHA אשר ימנע מתוכנות ובוטים להמשיך לנסות לבצע כניסה למערכת הניהול.
ו. שימוש במערכת FA2 עבור כניסה לניהול האתר – שיטה זו משלבת כניסה באמצעות שם משתמש וסיסמא, יחד עם מספר רנדומלי מתחלף אשר מהווים יחד אישור כניסה למערכת ניהול התוכן.
ז. שימוש במנגנון reCAPTCHA לטפסים – אמצעי זה מסייע להפוך אתר למאובטח על ידי מניעת הצפה של טפסים על ידי בוטים.
4. שימוש בתעודת SSL להצפנת התעבורה באתר: תעודת SSL (חינמית Self-Signed או תעודת SSL מסחרית) מצפינה את התעבורה באתר ומונעת מתקפות Man in the Middle.
5. עדכון גירסת מערכת ניהול התוכן לגירסה האחרונה: מערכות ניהול תוכן בקוד פתוח משחררות לפחות אחת לחודש עדכוני אבטחה לפרצות אשר התגלו על ידי הקהילה והמפתחים. בכדי להפוך אתר למאובטח, חובה להתקין את עדכוני האבטחה הללו ולשמור על שגרת עדכוני גירסה כך שהאתר נמצא בגירסה האחרונה שלו.
6. שימוש ברכיבים ותוספים בדוקים ומאושרים על ידי קהילת מערכת ניהול התוכן: חל איסור חמור להשתמש ברכיבים, מודולים ופלאגינים אשר לא אושרו על ידי קהילת מערכת ניהול התוכן. רכיבים אלו עלולים להוות סיכון אבטחה במידה ולא עברו את הבדיקות של קהילת מערכת ניהול התוכן. על מנת להפוך אתר למאובטח יש להסיר תוספים כאלו ולהתקין במקומם תוספים אשר קיבלו את אישור קהילת מערכת ניהול התוכן לשימוש חברי הקהילה.
7. עדכון רכיבים ותוספים באתר לגירסתם האחרונה: בהמשך לשני הסעיפים הקודמים, חובה לעדכן את כל רכיבי האתר לגירסתם האחרונה מכיוון שהן מפתחי התוספים והן חברי קהילת מערכת ניהול התוכן מגלים פרצות אבטחה בתוספים ומוציאים עדכוני אבטחה, אותם יש לעדכן באתר.
8. ביקורות וסריקות תקופתיות לאיתור נוזקות באתר: בכדי להפוך אתר למאובטח מומלץ לעבו לשגרה של ביקורות וסריקות תקופתיות של כל מרכיבי האתר, לרבות תבנית העיצוב. ניתן להשתמש בכלים מקוונים לסריקת וירוסים ונוזקות וכן, מומלץ לעבור ויזואלית ולחפש קבצים הנראים חשודים.
9. הפעלת מעגלי אבטחה חיצוניים לאתר בפאנל אחסון האתר: חברת אחסון אתרים מקצועית תיתן בידי לקוחותיה כלים שנועדו להפוך את למאובטח ברמת שרת אחסון האתר:
א. מניעת גישה לפאנל ניהול האתר מחוץ לישראל – אתר המאוחסן בישראל ומיועד לקהל יעד ישראלי, גם ינוהל לרוב על ידי מנהלים הממוקמים בישראל. אין סיבה לתת גישה לכל העולם לפאנל ניהול האתר ועל מנת להפוך אתר למאובטח, מומלץ מאד לחסום גישה לפאנל ניהול האתר לגישה מחוץ לישראל.
ב. מתן הרשאת גישה ייחודית ומוגבלת בזמן ממדינות אחרות – במידה ויש צורך לתת גישה לניהול האתר לגורם הממוקם מחוץ לישראל, חברת אחסון אתרים מקצועית תאפשר ללקוח שימוש במנגנון אשר תפקידו לאפשר גישה לכתובת IP ספציפית לתקופה מוגבלת. הגבלת משך הגישה לאותה כתובת IP נועדה למנוע מצב בו שוכח הלקוח לבטל את הגישה לאחר סיום הפעולות שנדרשו לביצוע על ידי אותו גורם מחוץ לישראל.
ג. שימוש בסיסמאות חזקות לכניסה לפאנל ניהול אחסון האתר – כפי שהוזכר קודם לכן בנוגע לסיסמאות גישה לניהול האתר וסיסמת בסיס הנתונים, שימוש בסיסמאות ארוכות וחזקות חייב להיות גם עבור הגישה לפאנל ניהול אחסון האתר. האקרים ינסו לפרוץ לפאנל ניהול האחסון ולשבש או להשבית את האתר דרכו. חשוב להבין בנקודה זו כי במקרים רבים פריצה לפאנל ניהול האחסון של אתר אחד עלולה להוביל לפריצה לכל שרת האחסון והשבתה או השחתה של כל האתרים באותו שרת.
10. אחסון האתר בחברת אחסון אתרים המתמחה בניטור והגנה על האתרים והשרתים: תפקידה של חברת אחסון אתרים אינו רק לאחסן אתר על מנת שיוצג ויופעל ברשת האינטרנט. על מנת להפוך אתר למאובטח, תפעיל חברת אחסון אתרים מקצועית ואמינה גם מערך מסודר וחזק של ניטור אבטחת האתרים ואבטחת השרתים. תפקידה של מערכת ניטור זו כפול: א. בדיקה ואיתור פרצות אבטחה, נוזקות, ניסיונות פריצה לאתרים ולשרתים. ב. להתריע בפני בעלי אתרים אשר אינם עומדים בסטנדרטים המתאימים לאבטחת האתר אודות מצב אבטחה מצוי וכן, לדרוש תיקון המצב על מנת שלא להוות סיכון אבטחה לעצמם ולאתרים אחרים באותו שרת.
11. אחסון האתר בחברת אחסון אתרים המספקת שירות גיבוי אוטומטי ושחזור בקליק: קרה אסון ואתר נפרץ, הושחת או הושבת. מנקודה זו כל שנותר לעשות הוא להעלות את האתר ואת בסיס הנתונים שלו מגיבוי. חברת אחסון אתרים מקצועית תספק ללקוחותיה מערכת אוטומטית לגיבוי האתר, כך שבעל האתר יוכל לשחזר אותו מלפחות 5 נקודות זמן בהן בוצע גיבוי אוטומטי. חובה על פעולת השחזור להיות פשוטה, קלה וידידותית על מנת שהאתר יוכל לחזור לפעילות מהר ככל האפשר.
מחפשים חברת אחסון אתרים המתמחה גם באבטחת אתרים ואבטחת מידע?