הגנה על האתר – הכללים בקיצור, ומבט מבפנים

בעבר כבר כתבנו לא מעט על דרכים לשפר את ההגנה על האתר שלכם בדגש על פלטפורמות וורדפרס משאר מרעין בישין. התקפות כמו שאנו חווים היום הן לחם חוק באינטרנט והפעילות הזו מתקיימת בלי רעש תקשורתי כדבר שבשגרה. הרעים לא מחכים להזדמנות להיות רעים ומתרגלים את זה פחות או יותר על בסיס קבוע. כלים אוטומאטיים פשוטים יחסית, בליווי ידע טכני מינימאלי יכולים לחולל נזק – תדמיתי ומוראלי בעיקר, בצד השבתת האתר לכמה שעות – בכל אתר וורדפרס שאינו מוגן, ובקלות יחסית. מטבע הדברים, הגנה על האתר שלכם צריכה להיות מנוהלת באופן פרופורציונלי למידת הנזק החזוי היה וייפרץ: חשבו מה יהיה הנזק הכלכלי, מה יהיה הנזק למוניטין, כמה שערות לבנות תרוויחו ומהם הנכסים האמיתיים עליהם אתם צריכים להגן. ככלל, אתר שאינו מחזיק במידע עסקי רגיש, בפרטים אישיים ובמידע פיננסי ומגובה כהלכה לא יצדיק על פי רוב הגנה יקרה ומתוחכמת. יחד עם זאת, הקלות המקוממת כמעט שבה ניתן להפיל אתרים בלתי מוגנים שבהם לא הושקע אפילו מאמץ מינימאלי מחייבת את בעלי האתרים לשנות גישה ולאמץ כמה כללים פשוטים וכלים זולים להקשחת האתרים – גם הסכנה שבפריצה לאתר תדמית מחייבת התייחסות לנושא.

השקעה מינימאלית בבנייה נכונה, בהכנסה לשימוש של כלי הגנה והקפדה על הכללים הידועים והמוכרים תפתור אותם ממרבית האיומים ברמה נמוכה המופעלים על ידי זבי חוטם חסרי השכלה טכנולוגית ויכולות האקינג אמיתיות – script kiddies יכולים להחליף את דף הבית באתר לא מוגן בקלות רבה יחסית, אבל מלאכתם תהיה קשה יותר – וכמו כל פורץ חכם הם ימשיכו הלאה – אם נקשה עליהם את החיים.

אז מה עושים?הגנה על האתר על רגל אחת:

  1. וודאו שוורדפרס בנוי נכון, ומוקשח בהתאם לפרקטיקות של ניסיון מצטבר ונהלים. תוכלו למצוא רבים מהם כאן.
  2. אנחנו מוצאים לנכון להדגיש במיוחד את נושא הסיסמאות – בחרו סיסמה קשה – משפט משיר, סיסמה ארוכה, שילוב בין תווים שונים (גדול, קטן, מספרים, תווים מיוחדים) – יש שיטות רבות שהכלל הבסיסי הוא שסקריפט שנועד לפצח סיסמאות יעמוד בפני מספר בלתי הגיוני של אפשרויות. אם תעתיקו את הסיסמא ממערכת האזעקה ותבחרו במספר בן ארבע ספרות – זה יהיה קצר וכואב. בנוסף – הגבילו את מספר הכניסות כך שסקריפט מסוג זה ייחסם לאחר ארבעה ניסיונות.
  3. סוקורי, סוקורי, סוקורי
  4. אנחנו אוהבים גם את קלאודפלייר אבל חשוב לציין גם את אינקפסלוה הישראלית שנותנת מוצר דומה (ואולי אפילו טוב יותר – שווה לבדוק פעם לעומק)
  5. המחשב שלכם צריך להיות מוגן – עם אנטי וירוס טוב, עדכני ועם סריקות עיתיות.
  6. אל תחזיקו סיסמאות בקבצים על המחשב – סיסמאות נועדו להישמר מאחורי פרוטוקול SSL מאובטח וישנם ספקים רבים לתחום זה.
  7. לגבות! ואם זה מספיק חשוב – גבו לא רק על גבי השרת עצמו אלא גם בשרת מרוחק. וודאו שהגיבוי מתעדכן באופן התומך את קצב העדכון באתר ושמי שאחראי לכך עושה את כל מה שצריך בכדי שביום פקודה הגיבוי יעשה את מלאכתו
  8. בחרו ספק אמין ואיכותי. אפשר לרכוש אחסון בסיסי בעשרות שקלים לחודש, זה יכול להתאים לבלוג אישי, אבל אתר עסקי דורש יותר מזה, אחרת זה עלול להיגמר בפריצות ח וזרות ונשנות. קשה להפריז בחשיבות הנושא בטווח הארוך.
  9. פשוט פנו אלינו ונעשה את כל האמור והרבה יותר עבורכם

הגנה על האתר - סוקורי

אמרנו מבט מבפנים – אז הנה שלנו: ביומיים האחרונים עצר הפיירוול של סוקורי 112 ניסיונות כניסה מכתובות IP חשודות. לא כולם זה האיום האיראני אבל טוב להיות בטוחים מלהצטער.

סקרינשוט נוסף מראה מה חוסמת קלאודפלייר.

הגנה על האתר - קלאודפלייר

אתרים פיננסיים, עיתונים ואתרי ממשל הם קבוצת סיכון מדרג אחר ולהם פתרונות יקרים הרבה יותר. אבל גם עסקים קטנים יכולים להינזק. החדשות הטובות הן שאפשר להתגונן, ובקלות רבה יחסית להוריד את רמת האיום.

 

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *