פריצה לאתר

תתחדשו, האתר החדש שלכם באויר, השקעתם חודשי עבודה על כתיבת תכנים, עיצוב ופיתוח האתר. בצידו השני של הגבול או של העולם נמצא האקר שיהרוס את כל מה שבניתם. לפעמים ההאקר חדור אידיאליים נגד אתרים ישראליים או נגד התכנים באתרכם ולפעמים מתוך שעמום או אתגר טכנולוגי. במקרי קיצון ישנם גם שכירי חרב בתשלום שמשרתים את האויבים שלכם ותמורת סכומים לא גבוהים יפרצו לאתר יגנבו ממנו מידע, ישתלו בו וירוסים או סתם יפגעו בתכולתו.

בתחילת 2019, קיבלנו פנייה מאתר חדשות מקצועי, האתר מיועד לשוק המקצועי וסבל מבעיות זמינות קשות, כאשר מידי תקופה האתר היה קורס, זיהוי הנפילה בוצע באופן אנושי, במקום ע”י מערכת ניטור ותהליך השיקום לקח שעות ארוכות ולפעמים ימים. לבקשת הלקוח ביצענו פרויקט להעברת האתר לסביבת אירוח חדשה, מאובטחת לאחר בדיקה של מומחה אבטחה לתקינות האתר. המומחה מצא אתר מוזנח עם בעיות אבטחה קשות ונדרש לנקות אלפי רשומות פגועות שגרמו לחוסר היציבות ואיטיות האתר. נכון ליום פרסום הכתבה לאתר נמדדה זמינות של 100%. מדובר על אתר עם מנויים בתשלום ותקלות של חוסר זמינות הן פגיעה קשה במוניטין של הארגון.

נדרשת לא מעט השקעה בתחזוקת ואבטחת אתר, זו תעשה באופן מידתי בהתאם לסוג האתר, רגישות המידע השמור בו, הקריטיות לזמינות האתר והמשמעות העסקית במקרה של פגיעה באתר.
אתר של משרד אדריכלים קטן שיפגע, כמעט ולא יגרום לנזק משמעותי.
אתר מסחר או שירותים מקוונים מחזיק מידע רגיש על לקוחותיו, מידע רגיש המחייב את בעל האתר לציית לדרישות נחק ולתקנות הגנת הפרטיות. חוסר זמינות של האתר יכול לגרום לנזק ישיר של בעל האתר וגם ללקוחות.

מדריך קצר יעשה לכם סדר בפעולות והשירותים הנדרשים להגנה על האתר.

1. בחרו חברת אחסון טובה

קיימות מאות חברות איחסון אתרים, בחלקן תמצאו גם אירוח בחינם או בסכומים מצחיקים, זכרו שאין מתנות חינם. מחיר זול בא על חשבון איכות השירות והטכנולוגיה. עולם שירותי הענן מבוסס על שירותים בניהול עצמי (Self service) אשר מצד אחד מאפשר לכולם לקבל מערכות מתקדמות מאוד במחיר זול יחסית, אך מחייב שירות מומחה (Expert Services) להגדרה ותחזוקה נכונה.
בחרו בחברה ותיקה ויציבה, עם מוניטין ורמת שירות גבוהה, בדקו שהחברה מוסמכת לתקני אבטחת מידע ועובדת עם טכנולוגיות עדכניות.

2. אל תאחסנו אצל בונה האתר

במרבית המקרים בונה האתרים יבקש שתאחסנו אצלו ובחלק מהמקרים ידרוש זאת. המלצה חמה, לבצע הפרדה בין חברת פיתוח האתר לחברת האחסון.
בונה אתרים מבין בבניית אתרים ואינו מבין בשרתים, תקשורת ואבטחת-מידע במרבית המקרים. הסיבה שבונה האתרים יבקש לבצע את האחסון היא סיבה מסחרית לגיטימית, הוא רוצה להבטיח לעצמו הכנסה חודשית קבועה, לכן רואים שמרבית בוני האתרים מציעים אחסון אבל אף חברת אחסון לא מציעה בניית אתרים.

3. הגנה על מידע רגיש

יש לכם טופס צור קשר באתר? מאגר מידע של לקוחות? יתכן ואתם מנהלים מאגר מידע שאתם מחוייבים לדווח עליו ולאבטח אותו, לפי חוק הגנת הפרטיות ותקנות הגנת הפרטיות. אתרי אינטרנט נחשבים יחסית כקלים לפריצה ואבטחתם יכולה להיות יקרה ומורכבת. אם האתר שלכם נפרץ ואינו זמין זה לא נעים, יתכן גם נזק למוניטין או נזק כספי לא מבוטל, אם אם נגרמה זליגת מידע מהאתר, אתם מחוייבים להודיע על כך למטה הסייבר של משרד המשפטים ואתם חשופים לתביעה פלילית.
חשוב לבחון היטב איזה מידע נשמר באתר, אם המידע הכרחי והאם האתר מאובטח כנדרש.

4. גיבוי מידע

לפני הכל, תבדקו שיש לכם גיבוי. מרבית חברות האחסון כלל לא מגבות את המידע, אלו שמספקות גיבוי במרבית המקרים מדובר על גיבוי בסיסי אשר נשמר על אותו השרת למשך 7 ימים, במקרה של פגיעה בשרת האתר והגיבוי יפגעו יחד. במידה וגילתם אחרי יותר משבוע שהתאר נפגע גם הגיבוי הקיים לא יעזור.
הקפידו על גיבוי תקופתי חיצוני ועדיף שהוא יהיה בשליטה שלכם ולא של חברת אחסון האתרים או בונה האתר.

5. עדכוני גירסאות

אתר לא מעודכן הוא אתר פרוץ, יש להקפיד על גירסת WordPress עדכנית, על עדכון התבניות והתוספים. האקר מנוסה יודע בקלות לאתר אתרים לא מעודכנים ולפרוץ אותם בשניות.
את עדכון האתר מומלץ לבצע באמצעות בונה האתר ורק לאחר גיבוי בכדי לאפשר שיקום מהיר במקרה שאחד העדכונים פגע באתר.

6. הסרת תוספים ישנים או שאינם בשימוש

חלק גדול מהתוספים סיימו את חייהם ואינם זוכים לעדכונים בגלל שהמפתח לא ראה הצדקה כלכלית להשקעתו. תוסף או תבנית לא מעודכנים לא זוכים לעדכונים ולכן הם בסבירות גבוהה פרוצים וחשוב שיוסרו או יוחלפו בתוספים עדכניים.

7. WAF

חומת אש אפליקטיבית לאתר (באנגלית: Web application firewall), שירות חשוב המצמצם באופן משמעותי את פגיעות האתר. חומת האש עומדת בין הגולש לשרת האחסון ויודעת לסנן פניות מגורמים לא לגיטימיים. הגדרה של חומת האש תעשה ע”י מומחה אבטחה, אשר ידאג להגדרות נכונות גם בחומת האש וגם בשרת האחסון. שימוש מקצועי בWAF מצמצם את החשיפות

8. ניטור זמינות

ניטור זמינות אתר הוא שירות חשוב וזול יחסית, אתרים רבים סובלים מבעיות זמינות בגלל תקלות אצל ספק אירוח האתר, חריגה ממגבלות המשאבים של חבילת האירוח, תקלות אפליקטיביות או פריצה לאתר. ניטור יאפשר לכם לקבל התראה בזמן אמת ולהבטיח שהתקלה תטופל במהירות. יחד עם הניטור חשוב להכין תוכנית פעולה במקרה של התרעה, אם קבלתם התראה ואתם כבר לא בקשר עם בונה האתרים או אין לכם גיבוי עדכני, תהליך השיקום יהיה ארוך עד בלתי אפשרי.

9. ניטור אבטחה

ניטור אבטחה הוא שירות הכולל סריקת קוד האתר לזיהוי חולשות, פגיעויות, וירוסים או שינויים לא לגיטימיים. להבדיל מניטור זמינות שכל תפקידו להתריע אם האתר זמין או לא (Uptime) ניטור אבטחה יודע לזהות אתרים שנפגעו גם אם אין חיווי חיצוני כמו אתר שהושחת.

פריצה לאתר

פריצה לאתר

10. מבדקי חדירה

מבדק חדירה תקופתי יבוצע באתרים בעלי רגישות גבוהה, המבדק מבוצע ע”י האקר אתי/ האקר לבן (Ethical Hacker) במטרה לזהות חולשות באבטחת האתר. דו”ח הבדיקה מציג את הממצאים, הליקויים והמלצות לתיקון והקשחת האבטחה לאתר.

סיכום:

מדריך זה מציג על קצה המזלג את הנדרש לתחזוקה נכונה של אתר. היקף ההשקעה ימדד ביחס לגובה הנזק אשר יכול להיות כספי, תדמיתי (פגיעה במוניטין) או חשיפה משפטית פלילית. האחריות לאבטחת האתר היא על בעל האתר ולא על חברת האירוח או בונה האתרים. אנו עדים מידי יום לאתרים שנפרצים, קטנים וגדולים. הקשחת אבטחה, ניטור וגיבוי איכותי, יצמצמו את הסבירות לפגיעה ויבטיחו שיקום מהיר.
ישנם עוד מגוון טכנולוגיות ותהליכים אשר יכולים להבטיח את אבטחת וזמינות האתר, אך אלו היסודות החשובים.

צור קשר עם מומחה אבטחה עוד היום.