הבנת האופן שבו האתר נפגע היא חלק חשוב בהגנה על האתר מפני התקפות. בדף הזה מפורטות כמה נקודות חולשה באבטחה שעלולות לגרום לפריצה לאתר.
בסרטון הבא מפורטים הסוגים השונים של הפריצות והדרכים שבהן האקרים יכולים להשתלט על האתר.
סיסמאות שנחשפו
תוקפים יכולים להשתמש בטכניקות של ניחוש סיסמאות על ידי ניסיון של סיסמאות שונות עד שהם ינחשו את הסיסמה הנכונה. אפשר לבצע התקפות של ניחוש סיסמאות בשיטות שונות, כמו ניסיון להשתמש בסיסמאות נפוצות או סריקה של שילובים אקראיים של אותיות ומספרים, עד שהסיסמה מתגלה. כדי למנוע זאת, צור סיסמה חזקה שקשה לנחש. טיפים ליצירת סיסמה חזקה מופיעים במאמר של Google במרכז העזרה.
יש שתי נקודות שחשוב לזכור. קודם כול, חשוב להימנע משימוש חוזר בסיסמאות בשירותים שונים. אחרי שהתוקפים יצליחו לזהות שילוב פעיל של שם משתמש וסיסמה, הם ינסו להשתמש בשילוב של שם המשתמש והסיסמה בכמה שיותר שירותים. לכן, שימוש בסיסמאות שונות בשירותים שונים עלול למנוע פריצה לחשבונות אחרים בשירותים אחרים.
שנית, כדאי להשתמש באימות דו-שלבי (2FA), כמו אימות דו-שלבי של Google, אם האפשרות הזו זמינה. אימות 2FA מאפשר שכבה שנייה של פרטי כניסה, לרוב באמצעות קוד בהודעת טקסט או קוד אימות אחר שנוצר באופן דינמי, שמפחית את היכולת של תוקפים לגשת לחשבון שלכם באמצעות סיסמה שנגנבה בלבד. חלק מספקי ה-CMS מציעים הנחיות להגדרה של 2FA: עיינו בתיעוד של Joomla!, WordPress או Drupal.
החמצת עדכוני אבטחה
גרסאות קודמות של התוכנה יכולות להיות מושפעות מפגיעות אבטחה בסיכון גבוה, שמאפשרות לתוקפים לסכן את האתר כולו. תוקפים מחפשים באופן פעיל תוכנות ישנות עם נקודות חולשה. אם מתעלמים מנקודות חולשה באתר, מגדילים את הסיכויים לתקיפה.
דוגמאות לתוכנות שכדאי לעדכן:
- תוכנת שרת אינטרנט, אם אתם מפעילים שרתים משלכם.
- מערכת ניהול התוכן (CMS) שלכם. לדוגמה: גרסאות אבטחה מ-Wordpress, מ-Drupal ומ-Joomla!.
- כל יישומי הפלאגין והתוספים שבהם אתם משתמשים באתר שלכם.
עיצובים ויישומי פלאגין לא מאובטחים
יישומי פלאגין ועיצובים במערכת ניהול תוכן מוסיפים תכונות משופרות וחשובות. עם זאת, עיצובים ויישומי פלאגין מיושנים או לא מתוקנים הם מקור עיקרי לנקודות חולשה באתרים. אם אתם משתמשים בעיצובים או ביישומי פלאגין באתר, חשוב לעדכן אותם. מסירים עיצובים או יישומי פלאגין שכבר לא מתוחזקים על ידי המפתחים שלהם.
יש להיזהר מאוד מיישומי פלאגין או עיצובים חינמיים מאתרים לא מהימנים. זו טקטיקה נפוצה בקרב תוקפים להוספת קוד זדוני לגרסאות חינמיות של יישומי פלאגין או עיצובים בתשלום. כשמסירים פלאגין, חשוב להסיר את כל הקבצים שלו מהשרת ולא רק להשבית אותו.
הנדסה חברתית
הנדסה חברתית היא ניצול הטבע האנושי כדי לעקוף תשתיות אבטחה מתוחכמות. התקפות מהסוג הזה מטעות משתמשים מורשים וגורמות להם למסור מידע סודי כמו סיסמאות. אחת הצורות הנפוצות של הנדסה חברתית היא פישינג. במהלך ניסיון פישינג, תוקף שולח אימייל שמתחזה לארגון לגיטימי ומבקש מידע סודי.
זכרו לעולם לא למסור מידע רגיש (כמו סיסמאות, מספרי כרטיס אשראי, פרטי בנק או אפילו תאריך לידה), אלא אם אתם בטוחים לגבי הזהות של מגיש הבקשה. אם האתר מנוהל על ידי מספר אנשים, כדאי להעביר הדרכה כדי להגביר את המודעוּת לאבטחה מפני התקפות של הנדסה חברתית. לקבלת טיפים בסיסיים להגנה מפני פישינג, תוכלו לעיין במרכז העזרה של Gmail.
חורים במדיניות האבטחה
אם אתם אדמינים או מנהלים אתר משלכם, חשוב לזכור שמדיניות אבטחה לקויה עלולה לאפשר לתוקפים לסכן את האתר. דוגמאות:
- מאפשרת למשתמשים ליצור סיסמאות חלשות.
- להעניק הרשאת אדמין למשתמשים שלא זקוקים לה.
- לא להפעיל HTTPS באתר שלכם ולאפשר למשתמשים להיכנס באמצעות HTTP.
- מתן הרשאה להעלאת קבצים ממשתמשים לא מאומתים או ללא בדיקת סוג.
כמה טיפים בסיסיים להגנה על האתר:
- מוודאים שהאתר מוגדר עם אמצעי בקרת אבטחה גבוהים על ידי השבתת שירותים מיותרים.
- בדיקה של בקרות הגישה והרשאות המשתמש.
- יש להשתמש בהצפנה בדפים שמטפלים במידע רגיש, כמו דפי התחברות.
- חשוב לבדוק את היומנים באופן קבוע כדי לאתר פעילויות חשודות.
דליפות נתונים
דליפות נתונים יכולות לקרות כשמעלים נתונים סודיים, ובעקבות הגדרה שגויה המידע הסודי זמין לציבור. לדוגמה, טיפול בשגיאות ושליחת הודעות באפליקציית אינטרנט עלול להדליף את פרטי ההגדרות בהודעת שגיאה שלא טופלה. גורמים זדוניים יכולים להשתמש בשיטה שנקראת 'dorking', לנצל את הפונקציונליות של מנוע החיפוש כדי למצוא את הנתונים האלה.
עליכם לוודא שהאתר לא חושף מידע רגיש למשתמשים לא מורשים, על ידי ביצוע בדיקות תקופתיות והגבלת המידע הסודי לישויות מהימנות באמצעות מדיניות האבטחה. אם גיליתם באתר מידע רגיש שצריך להסיר בדחיפות מתוצאות החיפוש ב-Google, תוכלו להשתמש בכלי להסרת כתובות URL על מנת להסיר כתובות URL מסוימות מחיפוש Google.