זה לא אישי
הרבה פעמים אני שומעת מלקוחות: "אין באתר פרטים של גולשים", "את מי האתר שלי מעניין ולמה שיפרצו אליו בכלל?"
ביננו, גם אתרי חנות לא מחזיקים מקומית פרטים של כרטיסי אשראי. אלה תמיד יוחזקו וינוהלו על ידי חברות הסליקה בדיוק כמו חנות פיזית שמתקשרת לחברת האשראי מהמסוף לקבל אישור תשלום ולא שומרת אצלה את פרטי האשראי.
לרב, כשאנחנו חושבים על פריצה לאתר, עולה לנו לראש תמונה של האקר (אולי עם כובע או מסיכה?) שיושב שעות מול המחשב, מזין קודים מסובכים ומשקיע מאמצים מרובים לפרוץ לאתר. המציאות שונה בתכלית. מעטים הם האתרים שנפרצים באופן הזה. רוב הפריצות לאתרים בימינו מבוצעות על ידי תוכנות אוטמטיות (בוטים) שסורקות את הרשת בצורה סדרתית תוך חיפוש אחר פרצות דרכן יוכלו לפרוץ ולהשתלט על האתר. האתר לא צריך להיות "חשוב" או מעורר מחולקת, לא צריך להיות פופולרי במיוחד ולא חייבים להיות בו פרטי לקוחות חשובים או סודיים כדי שבוטים יגיעו אליו. הוא רק צריך להיות מספיק זמן באוויר כדי שישימו אליו לב.
למה שיפרצו לאתר שלי? מה יוצא להם מזה?
אז מה בכל זאת אפשר להשיג מפריצה לאתר שלכם? הנה כמה דוגמאות:
– מניעים פוליטים/רעיוניים
Hacktivism הוא מונח שמחבר בין Hacking ל Activism. הוא מתאר האקרים שפורצים לצורך קידום רעיונות פוליטיים או חברתיים שיקרים לליבם. יש אינסוף דוגמאות לתרחישים כאלה. ארגון שמתנגד לפגיעה בבעלי חיים שירצה לפגוע באתר של מפעל בשרים או נקניקים, מישהו שנפגע מארגון או חברה כלשהי וירצה לנקום, יריבים פוליטים שירצו לפגוע באתר של מתמודד ועוד ועוד. פגיעות כאלה יאופיינו לרב על ידי השחתת עמוד הבית של האתר תוך הצגת מסרים שאותם הפורצים רוצים לקדם.
במסגרת הזו, למשל, כל אתר בארץ חשוף למתקפה על ידי ארגונים פרו פלסטינים או איראניים שנאבקים במדינת ישראל. זה נכון לכל השנה ובמיוחד ליום ירושלים האיראני שחל ביום השישי האחרון של הרמאדן בכל שנה שלקראתו יש מאמץ תקיפה מוגבר על אתרים ישראלים.
– SEO ספאם
בסוג המתקפות הללו, אחרי שהשיגו גישה לאתר שלכם, ישתלו בו ההאקרים תכנים שונים ומשונים וינצלו את המשאבים והמוניטין שלכם במנועי החיפוש דוגמת גוגל כדי לקדם אותם. התכנים הללו יישתלו על ידי סקריפטים אוטומטים ויכולים להשלח לגוגל באמצעות מפות אתר מזוייפות שגם הן מיוצרות על ידי התוקפים. התכנים הללו לא יופיעו באתר או יקושרו מהתפריטים הראשיים ולכן סיכוי טוב שלא תבחינו בקיומם בזמן שמאחורי הקלעים התכנים הללו יאונדקסו על ידי גוגל וימשכו אליהם ישירות גולשים שונים ומשונים.
אם פריצה כזו לא נחשפת מהר זה יכול להגיע לכמות מטורפת של קישורי ספאם באתר שלכם, לתעבורה אדירה שמעמיסה על האתר ואינה קשורה בשום צורה לקהל האמיתי שלכם ולבסוף, כשגוגל יבין שיש כאן פריצה, להסרה של האתר שלכם מתוצאות החיפוש ומתן התראות לכל הגולשים בדפדפנים שהאתר שלכם נגוע ולא כדאי לגלוש בו. פגיעה כזו בדומיין ובמוניטין היא פגיעה שקשה מאוד ולוקח הרבה זמן להשתקם ממנה. חשוב לא להגיע לשם. אינדיקציות לקיומם של קישורי ספאם באתר שלכם יכולות להיות: תוצאות חיפוש בגוגל מהאתר שלכם בשפות שונות משפת האתר (הרבה פעמים שפות אסייתיות), תעבורה חריגה בנפח ו/או ממדינות מפתיעות באתר שלכם, האתר שלכם עולה בתוצאות חיפוש למילים שאינן קשורות כלל לתוכן האמיתי שלו (כמו תרופות מפוקפקות, למשל).
– ספאם ופישינג
משנפרץ אתר אפשר להוסיף לו עמודים או רכיבים (דוגמת פופאפים) שמבקשים מגולשים תמימים להזין פרטים אישיים באמתלה כלשהי או לחליפין מפנים אותם לאתרים חיצוניים, זדוניים, שבהם הם נדרשים להזין פרטים אישיים. הכל תוך שימוש במוניטין שלכם שבזכותו הגיעו הגולשים לאתר מלכתחילה.
– שימוש במשאבי האתר לצרכים שלהם
מי שמצליח לפרוץ לאתר שלכם ודרכו מקבל גישה לשרת עליו האתר מאוחסן יכול לעשות שימוש ביכולות השרת כמו נפח הדיסק שלכם, התעבורה, כוח החישוב, חשבונות המייל שלכם. אפשר, למשל, להוציא מיילים מהשרת שלכם (לרבות מכתובת האימייל שלכם) או להריץ על השרת שלכם בוטים זדוניים שסורקים את הרשת כדי לפרוץ לאתרים אחרים או כדי לתקוף אותם במתקפות DDoS (מניעת שירות). האתר שלכם הופך, בלי שתדעו, לעוד שרת ברשת הרשע ומבצע שלל פעולות עבור האקרים.
– הפצת נוזקות לגולשים שמגיעים לאתר שלכם
קוד זדוני שנשתל באתר יכול להפיץ עצמו למכשירים של הגולשים התמימים שמגיעים לאתר שלכם, לטלפונים ולמחשבים שלהם. באתר שלכם אמנם אין פרטים אישיים שלהם, אבל על הטלפון שלהם כבר ממש יש. גלישה באתר פרוץ חושפת את הגולשים בו לשלל נזקים שיכולים להגרם להם מחוץ לאתר עצמו.
– כופר
מי שמצליח לפרוץ לאתר שלכם יכול לבקשר מכם תשלום כדי "לשחרר" את האתר ולהמנע מביצוע פעולות פוגעניות באתר ובגולשים. בהקשר הזה כדאי לשים לב לשני דברים.
- לא כל פנייה אליכם בטענה שהצליחו לפרוץ לאתר ובקשת תשלום אכן מעידה על כך שהאתר נפרץ. יש לא מעט פניות ספאמיות כאלה בשיטת "מצליח".
- אין שום ערובה שאחרי תשלום הכופר האתר אכן ישוחרר ויימנע מכם נזק.
– אגו ויוקרה מקצועית
לעיתים המוטיבציה לפרוץ לאתר לא נובעת ממניעים כלכליים אלא מרצון להוכיח יכולת טכנולוגית ולטפח את האגו והריגוש של מי שפורץ.
– מכירת פרטי הגישה לאתר בשוק השחור
יש שוק שחור שלם שבו האקרים שהצליחו לפרוץ לאתר יכולים למכור את פרטי הגישה לאתר הפרוץ לצד שלישי שיעשה בנתונים הללו שימוש לצרכיו. הצרכים הללו רבים ומגוונים. לא חסרים גופים שמעוניינים להזיק, כל אחד וסיבותיו הוא. זה יכול להיות עבור ריגול עסקי תחרותי, פגיעה פוליטית, או כל צורך אחר.
המשמעות של אתר שנפרץ היא קשה גם אם אין בו פרטים אישיים שיכולים לדלוף ישירות. אתם מסכנים את הגולשים שלכם, המוניטין המקצועי שלכם נפגע, אתם מסתכנים בהשבתת האתר ואובדן הכנסות והדירוג שלכם בתוצאות החיפוש עשוי להפגע אנושות.
מה אפשר לעשות?
החדשות המצויינות הן שיש בהחלט מה לעשות כדי למנוע פריצה לאתר שלכם. לא אצליח לפרט במאמר אחד את כל האמצעים איתם תוכלו להגן על האתר שלכם (אשתדל להרחיב בפוסטים עתידיים) אבל כן אזכיר בקצרה שישה כללים עיקריים ששמירה עליהם תקטין דרמטית את היכולת לפרוץ לאתר שלכם ואת היכולת שלכם להתאושש במהירות אם, חלילה, האתר נפרץ:
1. גיבוי
כאן מדובר פחות על מניעת פריצה ויותר על אמצעי לשיקום מהיר אחרי שחלילה נפרץ לכם האתר. הקפידו שתמיד יהיה לכם גיבוי עדכני מלא (קבצים ודטבייס) של האתר שלכם אצלכם על המחשב במקום בטוח. לא על השרת שעליו יושב האתר. גיבוי עדכני וזמין חשוב להתאוששות מעוד צרות שבגינן אתר מפסיק לעבוד, לא רק במקרים של פריצה.
2. עדכון גרסאות
אתם חייבים להקפיד על כך שכל רכיבי האתר יהיו עדכניים. זה אומר ליבה, תוספים ותבניות. חולשות אבטחה מתגלות ומדווחות באופן שוטף, הן מוכרות וידועות גם למנסים לפרוץ. חשוב להתעדכן עם גרסאות שמכילות טיפול וסגירה של פרצות אלה. באופן כללי, הקפידו על מינימום תוספים באתר, בחרו רק כאלה מוכרים, בשימוש נרחב שזוכים לעדכונים שוטפים והקפידו להסיר מהאתר תוספים או תבניות שאינם בשימוש.
3. ניהול נכון של משתמשים וסיסמאות
הקפידו להגדיר באתר כמה שפחות משתמשים ותנו לכל משתמש את ההרשאות המינימליות שנדרשות לצורך מילוי תפקידו. מי שאחראי רק על הזנת תכנים לאתר, לא צריך להיות מורשה ברמת מנהל (אדמין).
כפו מדיניות גורפת של ססמאות חזקות לכל המשתמשים בכל רמות ההרשאה.
כאן תמצאו הסבר מפורט יותר לגבי ניהול סיסמאות באתר.
4. התנהלות אישית זהירה
גם אם תקפידו על אתר מאובטח ומעודכן, אם שם המשתמש והסיסמה שלכם יחשפו – לא תהייה בעיה להתחבר לאתר ולהשתלט עליו מהדלת הראשית. זה מובן מאליו, ובכל זאת אזכיר שלא כדאי למסור את פרטי ההתחברות שלכם לאף אחד, לא להעביר אותם באמצעי תקשורת חשופים כמו אימייל, לא להשאיר אותם על פתקים, לא להתחבר דרך רשתות ציבוריות או מחשבים משותפים ולהשאר מחוברים. בקיצור, הבנתם. להזהר עם פרטי הגישה ולשמור עליהם מכל משמר.
בנוסף, הקפידו לא ללחוץ על קישורים מפוקפקים בינהם קישורים בתגובות ספאם שאתם מקבלים ושאותם אתם קוראים, סביר להניח, כשאתם מחוברים למערכת הניהול של האתר.
ניקטו באמצעי זהירות כמו שימוש באנטיווירוס על המחשב האישי שלכם ומיעוט אפליקציות. הקפידו לעבוד רק עם אפליקציות ממקור אמין ובטוח.
5. בחירת אחסון איכותי
בחרו תמיד חברת אחסון רצינית ששמה דגש על אבטחת השרתים. זה אומר עבודה עם גרסאות עדכניות ובטוחות של תוכנות התשתית על השרתים, ניטור תנועות חשודות וחסימתן, בדיקת קבצים שעולים לשרת כדי לוודא שאינם מכילים קוד זדוני, מתן תשתיות Firewall ועוד. שרתים שיתופיים, צורת האחסון העיקרית לעסקים קטנים ובינוניים, מעמידה את האתר בסכנה לפריצה במקרה שמצליחים לפרוץ לאתר אחר על אותו שרת ודרכו להגיע אליכם. גם כאן, חשובה חברת אחסון איכותית שמקפידה על כללי הפרדה ובטיחות.
אחסון איכותי עולה קצת יותר אבל שווה כל גרוש. יש דברים שלא כדאי לחסוך עליהם.
6. מעקב וניטור
ניטור שוטף יאפשר לאתר את הגישות החשודות סמוך מאוד להתרחשות באופן שיאפשר מניעת הפריצה או שיקום מהיר וצמצום משמעותי של הנזק אם קרתה כזו. יש מגוון כלים שמאפשרים לכם לעקוב אחרי מה שקורה באתר:
- מעקב אחרי פעולות משתמשים וניסיונות התחברות באמצעות תוספים כמו זה. עשו לכם הרגל לבדוק מעת לעת אילו פעולות התבצעו באתר ועל ידי מי. משתמשים חדשים, תכנים חדשים, פופאפים שלא אתם הגדרתם – כל אלה הם נורות אדומות מהבהבות שהאתר שלכם נפרץ.
- מעקב שוטף אחרי האתר דרך google search console ו google analytics. עבור אילו מילות חיפוש האתר שלכם עולה בגוגל? מאילו מדינות מגיעים אליכם? יש פיקים לא ברורים בגישות לאתר? שינויים לא מוסברים בדפוסי הגלישה אליכם?
- ממליצה להריץ מידי פעם את הפקודה הבאה בשורת החיפוש של גוגל: site:yoursite.com (כאשר במקום yoursite.com מלאו את שם הדומיין שלכם). גוגל יציג בפניכם את כל התכנים מהאתר שלכם שנמצאים אצלו באינדקס. משהו חריג? לא מוכר לכם? בשפה מוזרה?
- מעקב אחרי שינויים בקבצי האתר על ידי תוספי אבטחה ייעודיים דוגמת Wordfence, Sucuri Security, או iThemes Security. תוספים אלה ידעו לזהות מיידית שינויים חשודים ולשלוח אליכם התראות בזמן אמת (בנוסף לעוד הרבה יכולות שלהם להקשיח את האתר ולהקשות על האקרים לפרוץ).
יש עוד הרבה פעולות שניתן לנקוט כדי לאבטח את האתר שלכם. להגביל ניסיונות התחברות, לחסום גישה לאזור ניהול האתר על פי מדינה או על פי כתובות IP ספציפיות, להוסיף הקשחות ברמת השרת, להוסיף אימות דו שלבי לגישה לניהול האתר, לשנות את נתיב הגישה לניהול האתר ועוד ועוד.
אם תתחילו משמירה על הכללים הבסיסיים שהזכרתי במאמר הזה כבר תורידו באופן דרמטי את הקלות שבה ניתן יהיה לפרוץ לאתר שלכם. במאמרים הבאים אשתף בעוד צעדי מנע שכדאי לנקוט.