חנות
אתרי אינטרנט שנפרצים היא תופעה שהופכת לנפוצה יותר ויותר.
פריצה יכולה להתבטא באובדן שליטה מוחלט על האתר, כשהתוקף משתמש בו לצרכיו ומפרסם בו תוכן ככל העולה על רוחו, היא יכולה לשמש לצורך סחיטת דמי כופר, כשכל קבצי האתר מוצפנים עד לתשלום הכופר, או סתם לשם השחתה, מסיבות לאומניות ואחרות.
במאמר הבא נסקור כמה שיטות ודקכי פעולה שמומלץ ליישם, על מנת להפחית את הסיכוי לפריצה, וכן לשפר את יכולת ההתאוששות במקרה והאתר נפרץ בכל זאת.
1. הכי קריטי! 2FA – תפעילו הגנה דו שלבית על כל מה שקשור לאתר. על הכניסה לממשק חברת האחסון, לדשבורד אדמין של האתר, ובכל מקום אחר אפשרי. זו ההגנה הטובה ביותר שקיימת כיום כנגד מתקפות סייבר.
2. כמעט הכי קריטי, גיבוי – הפעילו מערכת גיבויים אוטומטית לאתר, שתשלח את הגיבויים גם לשרת אחסון אחר. במידה ותאבדו את שרת האתר יחד עם כל הגיבויים שעליו, אתם צריכים אלטרנטיבה.
פעם בכמה חודשים תורידו עותק גיבוי למחשב ושמרו אותו בדיסק קשיח שאינו מחובר לאינטרנט, ליתר ביטחון.
3. נהלו משתמשים וגישה – בעולם הIT יש עקרון שנקרא “principle of least privilege”. המשמעות היא שכל משתמש מקבל את רמת ההרשאות הנמוכה ביותר שניתן לתת לו, ולכן למשל איש השיווק של האתר יקבל הרשאת מנהל חנות ולא הרשאת מנהל אם אין בה צורך.
במקביל חשוב לנהל משתמשים, להסיר משתמשים בעלי הרשאות אדמין שאינם נחוצים, לחייב אותם להשתמש בסיסמאות מורכבות ואימות דו שלבי, ולסגור סשנים של חשבונות מנהל שאינם בשימוש.
4. יישום של המלצות אבטחה אוטומטיות של פלטפורמת ניהול האתר – בפלטפורמות כגון CPANEL, ישנה מערכת מובנית לזיהוי חולשות אבטחה, כגון עדכונים חסרים או גרסאות ישנות של וורדפרס, תוספים, PHP, MYSQL וכדומה.
ניתן ליישם את ההמלצות בלחיצת כפתור ובקלות, צריך פשוט לעשות את זה מדי פעם.
5. תוסף אבטחה, למשל wordfance – זה לא מותרות. מהר מאוד תתחילו לקבל דוחות מהתוסף שיראו לכם עד כמה האתר שלכם מותקף ואפילו לא ידעתם.
6. הגנה מפני בוטים, reCAPTCHA – בV3 ההגנה אפילו לא נראית לעיני המשתמש, אבל כשהיא מופעלת על הפוסטים, רישום משתמש ודף התחברות לאדמין, ההגנה יכולה לחסום המון מתקפות ניחוש סיסמה.
7. הסתרת כתובת הIP באמצעות פרוקסי (לא איראני
) – מומלץ לנתב את הדומיין דרך cloudflare, כך שכתובת הIP המקורית של האתר מוסתרת. יש עוד יתרונות כגון שיפור בביצועים וחסימת מתקפות DDOS.
8. חסימת geolocation – אם האתר שלכם פונה רק למדינה או מספר מדינות, אין סיבה לאפשר גישה ממדינות אחרות. החסימה תפחית משמעותית את מספר ניסיונות התקיפה, שבדרך כלל מגיעות מחוץ לישראל.
9. שימוש בסיומת .com ושרת לא ישראלי – בעולם הגדול הרבה אנשים לא אוהבים אותנו. ישראל היא מדינה שהתשתיות שלה מותקפות משמעותית יותר ממדינות אחרות. אם האתר שלכם מאוחסן מחוץ לישראל וסיומת הדומיין שלו היא לא co.il, האתר יהיה בסיכון נמוך יותר.
10. כשנועלים דלת, חשוב גם לסגור את החלון – יש המון דרכים לגשת לאתר שלכם. דרך מערכת ההפעלה של השרת, פלטפורמת אחסון האתרים, חשבון הCPANEL, דף האדמין של וורדפרס, FTP, SSH, וPHPMYADMIN לבסיסי הנתונים.
גם אם סגרתם את רוב הדלתות, כל עוד אחד החלונות האלו יישאר פתוח יהיה מי שינסה לנצל אותו, ואולי גם יצליח בסוף.
11. חיבור כל מסכי הlogin של האתר לreCaptcha.
שימוש בreCaptcha הוכח כיעיל במיוחד בחסימה של בוטים שונים.
הפעילו אותו על מסך ההתחברות של משתמשים, על תגובות לפוסטים בבלוג ועל כל טפסי יצירת הקשר באתר. תיווכחו לדעת שתגובות זבל ובוטים שנרשמים כמשתמשים ייעלמו לחלוטין.