ניקוי ותחזוקה של האתר

כדי לשמור על האתר שלך נקי ולמנוע פריצות בעתיד, תזדקק לפרטים הבאים:

  • גישת אדמין מעטפת או גישה של טרמינל לשרתי האתר שלכם: אינטרנט, מסד נתונים, קבצים
  • היכרות עם פקודות מעטפת או טרמינל
  • היכרות עם קוד (כגון PHP או JavaScript)
  • אחסון ליצירת גיבויים של האתר, כולל הקבצים, מסד הנתונים והתמונות

הפעולות הבאות

בשלב זה נעסוק בכמה פעולות:

  • איפה לאתר משאבים נוספים אם לדעתכם ההאקר התכוון להשיג מידע אישי של משתמשים (למשל באמצעות דפי פישינג).
  • האפשרות להשתמש בתכונה הסרת כתובות URL ב-Search Console כדי לזרז את ההסרה של כתובות URL חדשות לחלוטין, לא רצויות ולא רצויות שנוצרו על ידי ההאקר, ושאתם לא רוצים שיופיעו בתוצאות החיפוש ב-Google.
  • האפשרות לבקש מ-Google לסרוק מחדש את כתובות ה-URL ב-Search Console כדי לזרז את העיבוד של דפים נקיים על ידי Google, כלומר דפים חדשים או דפים שעודכנו לאחרונה, שברצונך להציג בתוצאות החיפוש ב-Google.
  • התקנה של גרסת התוכנה העדכנית והמאובטחת ביותר.
  • הסרת אפליקציות או יישומי פלאגין מיותרים או שאינם בשימוש, שעלולים להפוך את האתר לפגיע יותר בעתיד.
  • שחזור תוכן טוב וסילוק התוכן של ההאקר.
  • תיקון סיבת השורש לפגיעות שנוצלה על ידי ההאקר.
  • שינוי כל הסיסמאות.
  • אתם מתכננים לשמור על אבטחת האתר.

1. חיפוש מקורות מידע לתמיכה

אם פרטי משתמש סודיים הושגו מהאתר (לדוגמה, מפני שהוא נחשף לתקיפת פישינג), מומלץ לשקול אחריות עסקית, רגולטורית או משפטית לפני שתתחיל לנקות את האתר או למחוק קבצים. במקרה של פישינג, ל-antiphishing.org יש משאבים שימושיים, כמו המסמך What to do if you your site has been caishers (מה צריך לעשות אם האתר שלך נפרץ על ידי פישינג).

2. שקול לזרז את ההסרה של כתובות אתר שנוצרו על ידי ההאקר

אם ההאקר יצר כתובות URL חדשות לחלוטין וגלויות למשתמשים, תוכלו להסיר את הדפים האלה מהר יותר מתוצאות החיפוש ב-Google באמצעות התכונה הסרת כתובות URL ב-Search Console. השלב הזה הוא אופציונלי. אם פשוט תמחקו את הדפים ואז תגדירו לשרת להחזיר קוד סטטוס 404, הדפים ייעלמו באופן טבעי מהאינדקס של Google עם הזמן.

  • סביר להניח שההחלטה להשתמש בהסרת כתובות URL תהיה תלויה במספר הדפים החדשים והלא רצויים שנוצרו (הוספה של יותר מדי דפים עשויה להיות מסורבלת בהסרת כתובות URL), וכן בנזק הפוטנציאלי שדפים אלה עלולים לגרום למשתמשים. על מנת למנוע הופעה של דפים שנשלחו באמצעות התכונה 'הסרת כתובות אתרים' בתוצאות חיפוש, ודא שהדפים מוגדרים גם להחזיר תגובה מסוג '404' 'קובץ לא נמצא' עבור כתובות האתרים הלא רצויות שהוסרו וכתובות ה-URL שהוסרו.
  • אין להשתמש בכלי הזה כדי לבקש הסרה של דפים שהיו טובים בעבר אך נגרם להם נזק רק על ידי ההאקר. מומלץ שדפים אלה יופיעו בתוצאות החיפוש לאחר שינקו אותם. הסרת כתובות URL מיועדת רק לדפים שאתם לא רוצים שיופיעו בתוצאות.

3. שקול לזרז את עיבוד הדפים הנקיים על ידי Google

אם יש לכם דפים נקיים חדשים או מעודכנים, תוכלו לבקש מ-Google לסרוק מחדש את כתובות ה-URL ב-Search Console כדי לשלוח את הדפים האלה לאינדקס של Google. זה אופציונלי. אם תדלגו על השלב הזה, סביר להניח שהדפים החדשים או הדפים ששונו ייסרקו ויעובדו עם הזמן.

4. התחל לנקות את השרתים שלך

זה הזמן להתחיל לנקות את האתר בהתאם להערות שכתבתם במהלך הערכת הנזק וזיהוי נקודות החולשה. הנתיב שתבצעו בשלב הזה תלוי בסוג הגיבוי הזמין:

  • גיבוי נקי ועדכני
  • גיבוי נקי אך לא עדכני
  • אין גיבוי זמין

קודם כול, בודקים שהגיבוי נוצר לפני שהאתר נפרץ.

גיבוי נקי ועדכני

  1. שחזר את הגיבוי שלך.
  2. התקן שדרוגים, עדכונים או תיקונים זמינים עבור התוכנות. זה כולל תוכנות של מערכת ההפעלה אם אתם שולטים בשרת, וגם את כל האפליקציות, כמו מערכת ניהול התוכן, פלטפורמת המסחר האלקטרוני, יישומי הפלאגין או התבניות.
  3. כדאי להסיר מהשרת תוכנות שהאתר כבר לא משתמש בהן (כמו ווידג'טים, יישומי פלאגין או אפליקציות) .
  4. תקן את הפגיעות.
  5. ודאו שכל הבעיות שנמצאו במהלך הערכת הנזק טופלו.
  6. שנה את הסיסמאות פעם נוספת עבור כל החשבונות הקשורים לאתר (למשל, פרטי התחברות לגישה ל-FTP, גישה למסד נתונים, מנהלי מערכת וחשבונות CMS). במערכות מבוססות Unix:
passwd admin1

גיבוי נקי אך לא עדכני

  1. יוצרים תמונת דיסק של האתר הנוכחי, על אף שהוא עדיין נגוע. עותק זה מיועד למטרת בטיחות בלבד. מסמנים את העותק כנגוע כדי להבדיל אותו מהעותקים האחרים. במערכת מבוססת Unix, יצירת תמונת דיסק יכולה להיות:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. צרו עותק גיבוי של מערכת הקבצים של השרת, כולל תמונות וקובצי מדיה. אם יש לך מסד נתונים, גבה גם את מסד הנתונים.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. שחזר את הגיבוי הנקי אך הלא מעודכן בשרת.
  2. כדאי לשקול אם אתם יכולים להסיר תוכנות מהשרת (למשל ווידג'טים, יישומי פלאגין או אפליקציות) שהאתר כבר לא משתמש בהן.
  3. תוכלו לשדרג את כל התוכנות, כולל מערכת ההפעלה אם אתם שולטים בשרת, וגם את כל אפליקציות התוכנה, כמו מערכת ניהול התוכן, פלטפורמת המסחר האלקטרוני, יישומי הפלאגין והתבניות. הקפידו לבדוק ולהתקין עדכוני אבטחה ותיקונים זמינים.
  4. תקן את הפגיעות.
  5. מבצעים אתר diff באופן ידני או אוטומטי – בין הגיבוי הנקי לבין העותק הנגוע הנוכחי.
diff -qr www/ backups/full-backup-20120124/
  1. מעלים תוכן חדש ונקי שרוצים לשמור מהעותק הנגוע בשרת המשודרג.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. בודקים שכל כתובת URL שרשומה בדף הערכת הנזק תוקנה.
  2. עליכם לשנות את הסיסמאות פעם נוספת לכל החשבונות שקשורים לאתר (לדוגמה, פרטי התחברות לצורך גישה ל-FTP, גישה למסד הנתונים, מנהלי מערכת וחשבונות CMS). במערכות מבוססות Unix:
$passwd admin1

אין גיבוי זמין

צור שני גיבויים של האתר שלך, על אף שהוא עדיין נגוע. גיבוי נוסף יעזור לשחזר תוכן שנמחק בטעות, או יאפשר לכם לחזור ולנסות שוב אם משהו משתבש. מסמנים כל גיבוי כ'נגוע' לשימוש עתידי.

אחד הגיבויים שלך ישמש כתמונת דיסק או כ"גירסה משובטת" של האתר. בפורמט הזה, אפשר לשחזר תוכן בקלות רבה יותר. במקרה חירום, תוכלו להשאיר את תמונת הדיסק בצד. במערכת מבוססת Unix, משתמשים בקוד הבא כדי ליצור תמונת דיסק:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

הגיבוי השני יהיה עותק של מערכת קבצים מהשרת, כולל תמונות וקובצי מדיה. אם יש לכם מסד נתונים, גבה גם את מסד הנתונים.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

אם אין לכם קובץ אימג' לדיסק, אתם צריכים ליצור שני גיבויים של מסד הנתונים ושני גיבויים של מערכת הקבצים.

כדי לנקות את תוכן האתר בעותק החדש של מערכת הקבצים לגיבוי (לא בשרת עצמו), צריך לבצע את הפעולות הבאות:

  1. אם בחקירה הקודמת שלכם נמצא הרשאות גישה חלשות מדי, עליכם לתקן אותן. הקפידו לעשות זאת בעותק הגיבוי, ולא בשרת עצמו.
  2. בנוסף, בעותק הגיבוי, מנקים את כל הקבצים שתואמים לכתובות ה-URL שהתגלו כפגועות בדף הערכת הנזק. אלה יכולים להיות קובצי תצורה של השרת, JavaScript, HTML או PHP.
  3. כמו כן, הקפידו להסיר (להציג תגובה 404) עבור קבצים חדשים שנוצרו על ידי ההאקר. יכול להיות ששלחתם את הקבצים האלה באמצעות הכלי להסרת כתובות URL ב-Search Console, אבל לא שלחתם אותם.
  4. תקן את הפגיעות אם היא קיימת בקוד או בסיסמאות שפוצחו. ספריות אימות קלט או ביקורות אבטחה עשויות להועיל.
  5. אם לאתר שלכם יש מסד נתונים, התחילו לנקות רשומות ששונו על ידי ההאקר בגיבוי. לפני שסיימתם, בדקו רשומות נוספות כדי לוודא שמסד הנתונים נראה נקי.
  6. שנו את הסיסמאות פעם נוספת לכל החשבונות שקשורים לאתר (לדוגמה, פרטי התחברות לגישה ל-FTP, גישה למסד הנתונים, מנהלי מערכת וחשבונות של מערכת ניהול תוכן). במערכות מבוססות Unix, משתמשים בקוד הבא:
$passwd admin1

בשלב הזה, עותק הגיבוי של האתר שהיה נגוע אמור להכיל רק נתונים נקיים. השאר עותק נקי זה בצד ועבור לפעולה #5.

5. יש להסיר תוכנות לא נחוצות

כדאי לשקול אם תוכלו להסיר תוכנות מהשרת, כמו ווידג'טים, יישומי פלאגין או אפליקציות, שהאתר כבר לא משתמש בהם. זה יכול לשפר את האבטחה ולפשט את התחזוקה העתידית.

6. נקה את כל השרתים

  1. בצע התקנה נקייה, לא רק שדרוג. שדרוגים יכולים להשאיר קבצים מגרסה קודמת. אם קובץ נגוע נשאר בשרת, יש סיכוי גבוה יותר שהאתר ייפרץ שוב.
    • אם אתם שולטים בשרת, כדאי גם להתקין את מערכת ההפעלה שלו, ואת כל אפליקציות התוכנה כמו מערכת ניהול התוכן, פלטפורמת המסחר האלקטרוני, יישומי הפלאגין והתבניות. חשוב לבדוק אם יש עדכוני אבטחה ותיקונים.
  2. מעבירים תוכן טוב מעותק נקי של מערכת הקבצים לגיבוי אל השרתים שהותקנו מחדש. מעלים ומשחזרים רק את הקבצים הנקיים או את מסד הנתונים הידוע. חשוב לשמור על ההרשאות המתאימות לקבצים ולא להחליף את קובצי המערכת החדשים שהותקנו.
  3. בצעו שינוי אחד אחרון של הסיסמאות עבור כל החשבונות הקשורים לאתר (למשל, פרטי התחברות עבור גישה ל-FTP, גישה למסד נתונים, מנהלי מערכת וחשבונות CMS). במערכות מבוססות Unix, משתמשים בקוד הבא:
passwd admin1

7. צור תוכנית תחזוקה לטווח הארוך

מומלץ מאוד לבצע את הפעולות הבאות:

  • בצע גיבויים אוטומטיים סדירים של האתר.
  • עמוד על המשמר ועדכן את התוכנות באופן שוטף.
  • חשוב להבין את נוהלי האבטחה של כל האפליקציות, יישומי הפלאגין ותוכנות צד שלישי אחרות לפני שמתקינים אותם בשרת. נקודת חולשה באבטחה באפליקציית תוכנה אחת יכולה להשפיע על הבטיחות של כל האתר.
  • כפה יצירה של סיסמאות חזקות.
  • חשוב להקפיד שכל המכשירים שמשמשים לכניסה למכונה יהיו מאובטחים (מערכת הפעלה ודפדפן עדכניים).

8. בצע בדיקה חוזרת כדי לוודא שהניקוי הושלם

עליך לוודא שהתשובה שלך היא 'כן' על השאלות הבאות:

  • האם נקטתי את הצעדים המתאימים במקרה שההאקר השיג מידע אישי של המשתמשים?
  • האם באתר שלי פועלות גרסאות התוכנה המאובטחות ביותר?
  • האם הסרתי את כל האפליקציות או יישומי הפלאגין המיותרים או שלא בשימוש, שעלולים להפוך את האתר שלי לפגיע יותר בעתיד?
  • האם שחזרתי את התוכן שלי והסרתי את התוכן של ההאקר?
  • האם פתרתי את סיבת השורש לפגיעות, שאפשרה את הפריצה לאתר שלי?
  • האם יש לי תוכנית לשמירה על אבטחת האתר שלי?

עכשיו אפשר להחזיר את האתר לאינטרנט.