אבטחת אתרי אינטרנט

אבטחת אתרי אינטרנט היא סוגיה חשובה שעולה אצל כל בעל אתר ואצל כל איש מקצוע בתחום. מה הסכנות שאורבות לאתר שלנו ברשת? מה הגורמים שמביאים לכך שאתר הוא לא מאובטח ומהן הפעולות שיגנו על האתר ויאבטחו אותו בצורה המיטבית?

תוכן עיניינים

למה חשוב להתעסק באבטחת האתר ומה הסכנות שאורבות לו ברשת?

אתר לא מאובטח חשוף לפריצות, השחתות, גניבת מידע חסוי ואפילו להפלתו מהרשת במקרים החמורים יותר. על מנת לשמור על פעילות תקינה ושוטפת בעסק, כמו גם על הכנסות יציבות ומוניטין גבוה, עלינו לתת את הדעת בכל הקשור לסוגיית אבטחת האתר שלנו.

הצעד הראשון על מנת להפוך אתר למאובטח, הוא קודם כל להבין מהן הסכנות שאורבות לו ברשת.
על מנת לסבר את האוזן, להלן מספר דוגמאות לסכנות קיימות –

  • גניבת פרטי הכניסה של מנהל האתר (שם משתמש וסיסמה) – כך שהפורץ יוכל להשחית, למחוק, לגנוב מידע חסוי ולהעלות תכנים ככל שיעלה על דעתו לאתר שלנו.
  • פריצה לבסיס הנתונים של האתר – כך שהפורץ יכול לדוגמה לשלוף מידע אודות לקוחות שביצעו הזמנות באתר וכדומה.
  • מתקפות מסוגים שונים – כגון מתקפת Brute Force שמטרתה לייצר עשרות אלפי שילובים של הסיסמאות כדי לפצח את פרטי הגישה לניהול תכני האתר, מתקפת XSS שמטרתה להכניס קוד JS שיאפשר שליטה על האתר או מתקפת DDoS שמטרתה להפוך את האתר או את השרת ללא זמין עקב ניצול מקסימלי של המשאבים העומדים לרשותו.

אלו כמובן רק מספר דוגמאות אחדות לסכנות אבטחה רבות שאורבות לאתר שלנו ויש עוד לא מעט סוגי מתקפות ידועים ו"פופולריים" ברשת.

אבטחת אתר

איך להפוך אתר WordPress למאובטח?

ראשית, חשוב להבין שאתר צריך להיות מאובטח בשתי רמות אבטחה –
1. אבטחת האתר עצמו
2. אבטחת שרת האחסון עליו יושבים קבצי האתר ובסיס הנתונים

על מנת לשפר את אבטחת האתר, אנחנו ממליצים לכם לנקוט במספר פעולות פשוטות ולעמוד במספר כללי בסיס, שעושים הבדל משמעותי בהגנה על האתר –

  1. הרשאות ניהול האתר – ככל שיש יותר הרשאות כניסה לניהול התוכן של האתר, כך הסיכון שהפרטים הללו יזלגו לגורם בלתי רצוי – גדלה. על מנת להפוך אתר למאובטח, הרשאות הניהול חייבות להיות שקולות ומדודות. חשוב לוודא שרק למי שצריכה להיות הרשאה, יש הרשאה. ובנוסף, שההרשאות הן לפי התפקיד והמשימות של כל בעל עניין (לא כולם צריכים להיות מורשים על הכל).
  2. איכות הסיסמאות לכניסה לאתר – בעלי אתרים רבים בוחרים סיסמאות פשוטות שקל לזכור, אבל כפי שראינו, מתקפת Brute Force לדוגמה תציב תחילה את הצירופים הפשוטים והבנאליים ביותר על מנת לנסות לפרוץ לאתר, כך ששילובים פשוטים וידועים מהווים סכנת אבטחה חמורה לאתר. חשוב לקבוע סטנדרט גורף בכל הסיסמאות הקשורות לאתר – אם זה פרטי הגישה של מנהלי האתר, משתמשים רשומים לאתר ואפילו הסיסמה לבסיס הנתונים – שימוש בסיסמאות מורכבות (הכוללות צירוף של אותיות גדולות, אותיות קטנות, מספרים וסמלים) שלא יאפשרו פיצוח קל ומהיר.
  3. הפעלה של מעגלי אבטחה פנימיים באתר – מערכת ניהול התוכן של וורדפרס כוללת מנגנוני אבטחה מובנים, אך אלו מספקים רמה מסוימת בלבד של אבטחה. על מנת להפוך את האתר למאובטח בצורה מיטבית והדוקה יותר – עלינו להפעיל מנגנונים נוספים בצורה אקטיבית כגון ביצוע חסימת IP ממדינות עוינות מגישה לאתר, שימוש באימות דו-שלבי בכניסה לאתר (2FA) עם סיסמה זמנית, שימוש במנגנון reCAPTCHA לטפסים וכו'.
  4. שימוש ברכיבים ותוספים בדוקים ומאושרים – חשוב להשתמש ברכיבים ובפלאגינים איכותיים בלבד. האינדיקציה לתוספים איכותיים – כמות התקנות (לפחות מעל 10,000 התקנות), ביקורות (מעל 4 כוכבים) ותאריך עדכון אחרון של התוסף מהחודשים האחרונים והתאמה לגרסת וורדפרס וPHP.
  5. עדכון גרסאות – מעבר ליתרונות הברורים של עדכון גרסאות כמו שיפור הביצועים והמהירות של האתר, חשוב להבין שגרסאות ישנות חשופות יותר לפריצות מכיוון שהאקרים מחפשים אותן כי יש להם הכרות טובה יותר עם הפירצות והליקויים שבהן. הגרסאות שכדאי לעדכן – עדכון גרסת וורדפרס, עדכון גרסאות של כלל התוספים בהם אתם משתמשים באתר, עדכון גרסת PHP.
  6. שינוי כתובת URL של האדמין של האתר – מכיוון שכולם יודעים שהגישה לממשק הניהול מתבצעת עם wp-admin כברירת מחדל, קל לגשת לכתובת הזו ולנסות מגוון של סיסמאות ושמות משתמש בכדי לנסות ולפרוץ לאתר. שינוי של הURL לממשק ניהול יקשה על האקרים ובוטים ברמה הזו. תוסף מומלץ שמאפשר את הפעולה הזו.
  7. הגבלת מספר ניסיונות כניסה לאתר – וורדפרס מאפשרת באופן דיפולטיבי מספר נסיונות בלתי מוגבל להכנסת סיסמה. על מנת להתגבר על זה ועל מתקפת Brute Force, קיימים תוספים שמאפשרים להגביל את כמות הנסיונות ולחסום את הIP של הפורץ במידת הצורך. לינק לתוסף שאנחנו ממליצים עבור פעולה זו.
  8. שימוש ב-Cloudflare – מערכת המספקת שירותי אבטחה והגנה נוספים לאתרים. באמצעות מעבר דרך שרתי הDNS של Cloudflare היא בעצם מסננת תעבורה חשודה ותוקפנים בזמן אמת, מה שיכול להפחית את המתקפות על האתר ולספק הגנה חזקה יותר. בנוסף, היא מספקת תכונות כמו SSL/TLS, חתימות בקוד מוגן והגנה מפני התקפות DDoS.
  9. אחסון האתר – חשוב לאחסן את האתר בחברת אחסון אתרים המתמחה בניטור והגנה על האתרים והשרתים שלה ומפעילה מערך מסודר וחזק של אבטחה – הכולל גם בדיקה וניטור של פרצות אבטחה וגם תתריע בפני בעלי האתרים אשר אינם עומדים בסנדרטים המתאימים לאבטחה בדרישה לתיקון על מנת שלא להוות סיכון אבטחה לעצמם ולאתרים השכנים באותו השרת. כמו כן, חשוב לבחור בחברת אחסון אתרים המספקת שירות גיבוי אוטומטי ושחזור בקליק כדי שבמידה וקרה אסון והאתר נפרץ/הושחת/הושבת – תוכלו להעלות את האתר ואת בסיס הנתונים שלו מחדש מהגיבוי. מוזמנים לקרוא עוד על אחסון האתר שלכם במאמר שלנו בנושא.

לסיכום

בעולם של היום, כל אתר (כן כן, כל אתר – גם האתר שלכם) חשוף לפריצות אבטחה מסוגים שונים כפי שתיארנו פה במאמר. כדי להבטיח מערך אבטחה חזק כמה שיותר, חשוב לבצע את כל הפעולות ולשמור על כל הכללים. שימו לב – זה לא מקום להקל ראש או לחפף! אתר מאובטח הוא אתר שייתן שקט ויציבות לעסק שלכם.

הסתבכתם? רוצים שנעזור לכם בזה?
מוזמנים לפנות אלינו בכל שאלה.
בהצלחה!

מדריכים נוספים חמים מהתנור

עיצוב ופיתוח אתרים

בדיקות שעלינו לעשות לפני העלאת אתר לאוויר

מזל טוב! סיימתם בהצלחה את תהליך האפיון, העיצוב והפיתוח של האתר שלכם.
אבל מה עכשיו? מה עוד צריך לעשות כדי להשיק את האתר בצורה המיטבית ביותר?

וורדפרס

קידום אורגני (SEO) באתרי וורדפרס

SEO (קידום אורגני) הפך להיות מושג שגור וחשוב בעולם עיצוב ופיתוח האתרים.

מה זה SEO? למה קידום אורגני זה דבר חשוב עבור אתר הוורדפרס שלכם? ואילו פעולות עלינו לעשות כדי לקדם את האתר בצורה המיטבית?