fbpx
דצמבר 28, 2014

אבטחת מידע באתרי וורדפרס

נכתב ע"י אליסף צור-249קראו את המאמר -אין תגובות כרגע

הנושא של אבטחת המידע באינטרנט מקבל תשומת לב הולכת וגוברת, ובצדק גמור. אלו הן לא רק כמויות המידע האדירות באתרים מהסוג הזה, אלא גם מקרים שהתרחשו בשנים האחרונות והוכיחו כי גם מערכות שנראות מאובטחות ניתנות לפריצה במסגרת ב-Cyber Terror. זליגת פרטי עשרות אלפי כרטיסי ישראלים של ישראלים על ידי האקר סעודי בתחילת 2012, פריצת תקן האבטחה OpenSSL או הפריצה למחשבי סוני שהתרחשה לאחרונה העלו חששות בקרב לא מעט אנשים. זאת, יחד עם הודעות שכמעט וכל משתמש מחשב מקבל בשלב זה או אחר, שתכליתן המלצה ברורה להחליף שם משתמש וסיסמא עקב חשד לפריצה לשרתים מסוימים.

אבל האם המידע שלנו באינטרנט בטוח? ברור שמבחינתם של בעלי אתרים, התמונה מורכבת הרבה יותר. החדשות הטובות הן שאם מקפידים על כללי הזהירות, הבטיחות גוברת שבעתיים. אתרי מערכת הקוד הפתוח וורדפרס (WordPress) מדגימים את זה בדיוק.

חשיבותם של עדכונים

אתרי וורדפרס הפכו את הליך בניית וניהול האתר לפשוט הרבה יותר, מה שמסביר את הפופולאריות העצומה שלהם. הבעיה היא שבעלי האתרים אינם מחזיקים בידע הנדרש להגנה מלאה על המערכת, מה שמותיר את האחריות על האבטחה בידי חברות האחסון, או לחילופין מערכת ני

הול התוכן עצמה.

ההמלצה הברורה, מהבחינה הזו, היא לא להותיר דבר ליד המקרה. וורדפרס נחשבת לאחת המערכות המאובטחות ביותר שיש, אך נסיונות של האקרים קיימים תמיד, ואלה מביאים ללא מעט עדכוני גרסה ואבטחה. חשוב, לכן, לעקוב אחר העדכונים ולהוריד את הגרסאות העדכניות, או פתרון מומלץ יותר: לאפשר עדכון אוטומטי של הגרסאות. בין התוספים שמציעה וורדפרס בולטים גם מספר תוספי אבטחה, ביניהם IThemes Security המומלץ (שימו לב שיש גרסה חינמית וגרסת Premium, כאשר ניתן להסתפק בגרסה החינמית).גם מנוע החיפוש הפופולארי ביותר בעולם, Google, מספק בכלי מנהלי האתרים (Google Webmaster Tools) מספר עזרים להגנה על האתר, ויש להיעזר גם בו.

על כל פנים, מומלץ להחליף את הססמאות מדי כחודשיים, וכמובן – לבחור בססמאות מורכבות לניחוש.

כך מגנים על ספריות

בכל אתר, יש אזורים אשר ההגנה עליהם חייבת להיות מקיפה יותר. ספריה המיועדת למנהל המערכת בלבד, או ה-Admin, היא כזו בדיוק. ההגנה עליה צריכה להיות הן ברמת מערכת הניהול והן בכל הנוגע לשרת עצמו. במצב הזה, אם האבטחה ראויה אז הפורץ יקבל הודעת שגיאה מהשרת לאחר הקלדה לא נכונה של השם המשתמש והסיסמא – אותו Error 403 הידוע, בדרך כלל. מערכות המחזיקות בחומת אש (Firewall) מאפשרות לדפדפן לזכור את שם המשתמש והסיסמא, כך שמנהלי האתר לא יסבלו על המידה מהליך ההגנה.

דגש משמעותי נוסף: ספריות עמוסות במידע (דוגמת תמונות) צריכות הרשאות שלא מאפשרות הרצה (Exexuting) של סקריפטים מהספריה, מה שמקטין את הסיכויים לפעילות זדונית של ההאקר.

אבטחת רכישות

סוגיה חשובה אחרת נוגעת לאתרים מסחריים, בהם מערכת לרכישת מוצרים. יש להדגיש שכדי לאפשר תשלום בכרטיס אשראי באמצעותם, ולא רק באמצעות ה-PayPal, נדרשת תעודת SSL מתאימה. התעודה למעשה מעידה כי הליך העברת הפרטים מהדפדפן לשרת, כמו גם פרטי הכרטיס עצמו, לא נשמרים באף אחד מצידי התהליך, מה שמקטין את הסיכויים לזליגת פרטים. חשוב לשים לב שהחלק מהאתרים מעבירים את הגולשים לשרתי סליקה חיצוניים, בהם התקן הרלוונטי הוא PCI.

בואו נקבע פגישה
השאירו פרטים ונחזור אליכם בהקדם




אתר זה מוגן באמצעות reCAPTCHA ו מדיניות הפרטיות ו תנאי השימוש של גוגל מופעלים.

בוא נקבע פגישה

דילוג לתוכן