פריצה לאתרי אינטרנט עלולה לפגוע קשות בפרנסתם של בעלי עסקים רבים. בשל כך, חשוב מאוד שתגנו על האתר שלכם ותהיו מוכנים לכל תרחיש שהוא, לרבות מתקפת סייבר רחבת היקף. לפניכם כמה טיפים כיצד לעשות זאת:
ביצוע פעולות הקשורות לאתר עצמו:
- ראשית, במידה והאתר שלכם מבוסס על מערכת WordPress, חשוב מאוד שתדאגו לשדרגו לגרסה המעודכנת ביותר שקיימת בשוק.
- מומלץ מאוד לעדכן לעיתים תכופות את הפלאגינים המותקנים ולהתקין פלאגינים של אבטחת מידע כגון Wordfence Security, WP Engine, Jetpack.
- חשוב לוודא שכלל הסיסמאות של המשתמשים באתר הן סיסמאות חזקות שיהיה קשה להאקר לפצח אותן.
- תוודאו שקבצי xml ,rpc סגורים למשתמשים חיצוניים וכן גם ה-API הפנימי. במידה ואינכם יודעים כיצד לעשות זאת, בקשו עזרה מאיש המקצוע הרלוונטי האחראי על האתר שלכם.
- אחת הדרכים הנפוצות והרגישות במערכת WordPress לפריצה, היא כתובת פאנל הניהול הקבוע wp-admin. המלצה גורפת היא שינוי כתובת האדמין וחסימה של עריכת קבצים שאינם מתוך השרת, תגדיל משמעותית את ההגנה על האתר שלכם.
- מערכת ה-WordPress מבוססת על קוד פתוח ובתחזוקה לא נכונה היא יכולה להיות הרסנית. בקשו מאיש המקצוע שלכם לבצע תהליכי הגנה מפני SQL injection (שיטה לניצול פרצת אבטחה בתוכנית מחשב באמצעות מסד נתונים). נוסף על כך, בקשו ממנו גם לבצע סריקות אבטחה של התוספים המותקנים כדי לאתר קבצים חשודים.
ביצוע פעולות הקשורות לצד לקוח:
- בקשו מאיש המחשוב שלכם שיבצע הגנה לאתרכם מפני מתקפות שונות, כמו: XSS attacks, Validation input, String output Encoding.
- אחת מהשיטות הנפוצות לפריצה לאתרי אינטרנט היא באמצעות הזרקת SQL, המנצלת פרצת אבטחה בקוד. כדי להגן על האתר שלכם מפני שיטת הפריצה הזו, וודאו כי איש המחשוב שלכם חסם את האפשרות לייבא קבצים חיצוניים ומונע בניית שאילתות SQL עם קלט משתמש.
ביצוע פעולות על ידי חברת האחסון שלכם:
- מומלץ לוודא עם חברת האחסון שלכם שהיא מתקינה תעודת SSL על צד שרת.
- וודאו כי ניתן לשחזר את המידע של האתר שלכם, הנמצא בקבצים ובדאטה בייס.
- חשוב לוודא שבאתר שלכם מותקן מנגנון Application Firewall ומערכת סינון וירוסים וספאם.
- בדקו עם חברת האחסון שלכם שבמקרה של פריצה לאתר שלכם, תוכלו להעביר את המידע ל״אתר מראה״.
גיבויים, גיבויים ושוב גיבויים:
אתרים עלולים להיפגע לא רק ממתקפת סייבר, אלא גם מתקלות בשרתי האחסון. באמצע חודש אפריל, לקוחות של חברת אחסון ישראלית אחרת, גילו שאתר האינטרנט שלהם הפסיק לעבוד וכך גם ממשקי הניהול שלהם. בעקבות תקלה שנוצרה בחוות השרתים של החברה, האתרים נמחקו מגוגל והמידע של האתרים אבד. רק לאחר שלושה ימים אותם לקוחות קיבלו מענה מחברת האחסון. המקרה הזה בא ללמד את בעלי האתרים, שמעבר לבחירה בחברת האחסון הנכונה, חשוב שתשאירו את המידע בידיים שלכם ותדאגו לעשות גיבוי ידני בתדירות סבירה. כך תוכלו להבטיח שהמידע שלכם יישמר גם במקרים של תקלה וגם במקרים של מתקפת סייבר.
כותב המאמר הינו מנכ"ל חברת WBDCloud.com המתמחה באחסון שרתי אינטרנט בענן ובין לקוחותיה: בנק הפועלים, Skechers, הסתדרות לאומית, Yandex, פרי השכרת רכב ועוד.
המאמר נכתב בשיתוף Omnis Digital Agency.