אבטחת אתרים

תחום אבטחת אתרים הינו חלק מענף טכנולוגי רחב יותר של אבטחת מידע אשר פועל במטרה להבטיח סודיות של מידע, את שלמות המידע ואת זמינותו – עבור ארגונים, מוסדות ואנשים פרטיים. זאת, באמצעות מניעה של גישה בלתי מורשית המהווה גניבה, שימוש, ציתות, או השמדה של המידע. אבטחת אתרים הינה אחד מתוך כל ההיבטים של אבטחת מידע,היות ואתרי אינטרנט כוללים מידע ופרטים אישיים של משתמשים האתר, מנהלי האתר, עורכי התוכן ומידע כללי אודות מבקרים באתר. אתרי מסחר כוללים גם תעבורת כרטיסי אשראי המשמשים לתשלום עבור מוצרים או שירותים הנמכרים באתר, כאשר אתרי בנקאות, שוק ההון, ביטוח – כוללים מידע אישי רגיש ברמה גבוהה גם כן. ניתן רק לדמיין את מידת החומרה של הפגיעה הכלכלית והאישית במצבים בהם מידע רגיש זה זולג לידי פצחנים, גורמים פליליים ו/או גורמי טרור. לפיכך יש להכיר בעובדה כי אבטחת מידע הינה הלכה למעשה הענף הטכנולוגי האמון על יכולתו של הציבור לבסס תעבורת מידע דיגיטלית תוך חשש מועט ככל הניתן שמידע זה יגיע לידיים הלא נכונות.

אבטחת אתרים היא בראש ובראשונה באחריות בעלי אתר האינטרנט, הן בהיבט המקומי של שימוש בטכנולוגיות ייעודיות לצורך אבטחת האתר והן בהיבט רכישת אחסון אתרים מחברת אחסון אתרים אשר לא רק מספקת תשתית טכנולוגית המסייעת לאבטחת האתר, אלא חברת אחסון אתרים אשר מסוגלת לתת ללקוחות אחסון אתרים שירות פרו אקטיבי של אבטחת אתרים. יש לציין כי קיימים עקרונות קוד וטכנולוגיות אשר נועדו להבטיח כי כבר בעת כתיבת קוד האתר, תתקיים רמה מסוימת של אבטחה אשר תפעל למניעת סיכונים, כמו למשל מערכות ניהול תוכן (CMS) אשר כתובות ב- PHP ועושות שימוש בקבצי htaccess. יחד עם זאת, מערכות ניהול תוכן מאפשרות התקנה והטמעה של תוספים או הרחבות למערכת, אשר נועדו להגביר ולהקשיח את מערך אבטחת האתר. באופן כללי, מדובר בתוספים אשר מבצעים פעולות כגון:

• הוספת שכבת אבטחה בכניסה לפאנל ניהול האתר – סיסמא נוספת לפני הזנת שם המשתמש והסיסמא לניהול תכני האתר, הוספת CAPTCHA לאחר X טעויות בשם המשתמש או הסיסמא, חסימת אפשרות הכניסה ל-X זמן לאחר טעויות בהזנת שם המשתמש / הסיסמא / ה- CAPTCHA. שכבת הגנה זו נועדה בעיקר למנוע כניסת משתמשים בלתי מורשים לפאנל ניהול האתר. כמו כן, ניתן להפעיל במערכות ניהול תוכן מתקדמות אפשרות של Two Factor Authentication אשר שולחת בכל כניסה לפאנל ניהול האתר סיסמא חדשה דרך אפליקציה במכשיר הטלפון החכם.
• מניעת הזרקות SQL מהצד הקדמי של האתר – טפסים שונים באתר כמו טפסי יצירת קשר, טפסי שאילתא, טפסי חישוב למיניהם, עלולים לשמש פצחנים לניסיונות “להזריק” פקודות SQL מזיקות לבסיס הנתונים של האתר. מנגנוני אבטחה ייעודיים שהוטמעו באתר יזהו ניסיונות כאלו וניסיונות RFI – Remote File Inclusion, ימנעו אותם ואף יחסמו את כתובת ה- IP של מקור הנזק.
• מניעת התקפות DDOS – התקפות מניעת שירות הן התקפות מאסיביות על האתר על מנת להעלות את התעבורה שלו למצב בו הוא לא יוכל לתפקד עקב העומס על המעבד של שרת אחסון האתר, דבר המוביל לקריסת האתר. מנגנונים מתוחכמים לאבטחת אתר מסוגלים לזהות סוג זה של התקפות ולחסום ברמת האתר את כתובת או כתובות ה- IP מהן מתבצע הניסיון להתקפת DDOS.
• מניעת ביצוע שינויים בפרטי האדמיניסטרטורים של האתר – על מנת למנוע מצב בו פריצה לאתר מתבצעת דרך הוספת אדמיניסטרטור חדש בעל הרשאות שינוי האתר, או שינוי הרשאות אדמיניסטרטור קיים, פועלים מנגנוני אבטחה באתר אשר מבטלים את האפשרות לעשות זאת, אפילו כאשר האדמיניסטרטור נכנס לפאנל ניהול האתר עם שם המשתמש והסיסמא שלו. במצב זה, על מנת לבצע שינויים כלשהם, יש לבטל את מנגנון האבטחה הפועל ולהחזיר אותו לפעילות רק בתום ביצוע השינוי.
• ביטול אפשרות התקנת רכיבים / תוספות באתר – אחת הדרכים להגביר את אבטחת האתר הינה על ידי מניעה יזומה של אפשרות התקנת תוספים באתר. מנגנון הפועל ברקע פאנל ניהול האתר יחסום את אפשרות ההתקנה של תוספים חדשים ואפשרות זו תחזור לפעילות רק לאחר הפסקה יזומה של המנגנון. במצב זה, לא יוכלו פצחנים להתקין באתר פלאגינים או תוספים אחרים המהווים נוזקה.
• מניעת גישה לכתובות IP ממדינות עוינות – רלוונטי במיוחד לישראל אשר סופגת התקפות סייבר אינטנסיביות בעיקר ממדינות עוינות. למרות שהתקפת סייבר יכולה להגיע גם ממדינה ידידותית, מומלץ להפעיל מנגנון אבטחה באתר אשר מזהה כניסות מכתובות IP המשויכות למדינות עוינות. המנגנון יחסות את גישת המשתמש מהמדינה העוינת ולא יאפשר לו להגיע גם לחלק הקדמי של האתר. במצב זה, ניתן לומר כי הסיכוי לאבטחת האתר עולה רק מעצם המניעה המקדמית של גישה אליו ממדינות עוינות.
• חסימה אוטומטית של כתובות IP המזוהות עם ספאם – מאגרים שונים ברשת האינטרנט אוספים ומרכזים מידע לתוך בסיס נתונים המשמשים מקור לזיהוי כתובות IP של ספאמרים ברחבי העולם. מנגנונים ייעודיים באתר של מערכות ניהול תוכן יכולות להתחבר למקורות אלו ולזהות כתובות IP של גולשים הניגשים לאתר ולחסום את גישתם אליו במידה והם ניגשים מכתובת IP המזוהה כמקור לספאם. לצורך העניין, גם איסוף כתובות דוא”ל על ידי ספאמרים מתוך אתרים לצורך הפצת ספאם צריכה להדליק נורה במנגנון זה ולאפשר לבעלי האתר אם לחסום אספני כתובות דוא”ל, או אפילו להסוות את כתובות הדוא”ל כקובץ גראפי. אגב, קיימת אפשרות גם להסוות כתובות דוא”ל כך שלמשתמש הן נראות ומתפקדות ככתובות דוא”ל, אך קוד ה- HTML שלהן מפורק לגורמים אשר מונעים מאספני דוא”ל להשתמש בכתובת להפצת ספאם.
• שינוי שם או נתיב תיקיית ניהול האתר – זוהי אחת הפעולות הבסיסיות המומלצות עבור אתרי ניהול תוכן, שכן כל משתמש ג’ומלה יודע שכתובת ה- URL לפאנל ניהול האתר היא administrator, כל משתמש וורדפרס יודע שכתובת ה- URL לפאנל ניהול האתר היא wp-admin וכן הלאה. מג’נטו למשל, מאפשרת לבעלי האתר לקבוע שרירותית בעת ההתקנה את הנתיב לפאנל ניהול האתר, אך עבור מערכות ניהול תוכן אחרות קיימים מנגנונים אשר יאפשרו שינוי הנתיב לפאנל ניהול האתר כך שכל ניסיון אפילו להגיע לפאנל הניהול יחזיר את המבקר לדף הבית או לדף שגיאה. שיטה זו מומלצת מאד היות ולמרות שהיא מהווה אבטחת מידע רק באשר לנתיב פאנל ניהול האתר, היא ללא ספק מונעת גישה אליו על ידי גורמים בלתי מורשים ותורמת לאבטחת המערכת ולמידע שהיא מכילה.

אחסון אתרים – אבטחת אתרים

ניהול חומת אש (Firewall): ספק אחסון אתרים מקצועי ורציני יאפשר ללקוחותיו לנהל את הגדרות חומת האש של חשבון האחסון שלהם, כאשר נקודת המוצא היא שספק אחסון האתרים הגדיר ברירות מחדל במערכת זו. הגדרות ברירת המחדל של חומת האש הן בדרך כלל מניעת גישה ממדינות עוינות ואפשרות פתיחת חסימות שרת אחסון האתר על ידי מנהלי חשבון האחסון. יחד עם זאת, יאפשר ספק אחסון אתרים גם פתיחת גישה מיוחדת לחשבון האחסון ולאתר האינטרנט על ידי פתיחת הרשאת גישה זמנית (מקסימום שבוע ימים) לפי כתובת IP או על ידי אישור הודעת דוא”ל. הסיבה לכך היא שבעלי אתרים רוכשים לעיתים תוספים והרחבות מספקי תוכנה אשר ממוקמים פיזית במדינות שהוגדרו עוינות, אך הם מספקים תמיכה טכנית ללקוחותיהם מכיוון שהם אינם חפצים בפגיעה במוניטין שלהם וכתוצאה – ירידה בהכנסות ממכירת ההרחבות. לפיכך, פתיחת גישה על ידי ממשק ניהול חומת האש יאפשר לבעלי האתר לקבל תמיכה טכנית, אך גם לבקר ולנהל אותה באופן שלא תפגע בחשבון אחסון האתר.

חסימת זחלנים פוגעניים: ספקי אחסון אתרים אשר עובדים עם אינקפסולה מסוגלים לנטר פעילות זחלנים (בוטים – Bots). המטרה היא להגן על המידע באתר ולסייע ביצירת שכבת אבטחה אשר בודקת פעילות זחלנים באתרי לקוחות אחסון אתרים ומצליבה את המידע אודותיהם מול בסיס נתונים מרכזי. ברגע שזחלן עונה על קריטריונים המופיעים בבסיס הנתונים, מערכת אבטחת האתרים חוסמת אותו. הזחלנים עוברים ניתוח על פי כתובת IP המוצא שלהם, התוכן שלהם והתוכן שהם מחפשים וכן, טביעת האצבע הטכנולוגית שהם משאירים אחריהם בזמן שהם סורקים את האתר. יש לציין כי מערכות אבטחת אתרים מתוחכמות מסוגלות לדעת מתי לחסום את הזחלן ומתי רק “להפריע” לו.

ניטור וחסימת “דלתות אחוריות”: דלתות אחוריות (Back Doors) נוצרות בקבצים ובסיסי נתונים של אתרי אינטרנט כתוצאה מכתיבת קוד רשלנית, תוספים / הרחבות מערכת שלא עודכנו ומניסיונות פריצה והזרקת נוזקות. לא תמיד מאפשרות דלתות אחוריות אלו לגרום נזק ישיר ומידיי לאתר, אולם ברגע שהן נמצאות וניתן לזהות אותן, עלולים פצחנים מתוחכמים יותר לנצל את פרצות האבטחה הללו לגרימת נזק. לספקי אחסון אתרים קיימת יכולת באמצעות אינקפסולה לנטר ולחסום דלתות אחוריות באתרי אינטרנט, אך ביצוע סריקה מתמדת אחר דלתות אחריות היא כבר בגדר בזבוז זמן ומשאבים ולכן, משתמשת אינקפסולה בטכנולוגיה אשר מנטרת את התעבורה לתוך האתר וברגע שמתגלה ניסיון גישה למה שזוהה כדלת אחורית או כפוטנציאל לדלת אחורית – רק אז נחסמת הגישה אליה ובעלי האתר מקבלים הודעה על כך לצורך חקירה ותיקון המצב.

ניטור ובקרה בזמן אמת ופעילות פרו אקטיבית: ספקי אחסון אתרים אשר שמים את נושא אבטחת אתרים כחלק משגרת שירות הלקוחות שלהם, יפעלו באמצעים טכנולוגיים לניטור בזמן אמת של ניסיונות פריצה לאתרים ובה בעת, יפעילו גם מנגנון פרו אקטיבי ביחס ללקוח ומערך אחסון האתרים שלו. הכוונה בפרו אקטיביות היא למהלך המבוצע ביוזמת ספק אחסון האתרים על מנת לגלות, למנוע ובעיקר להתריע בפני לקוח אחסון אתרים כי בוצע ניסיון פריצה לאתר או לאתרים שלו במערך האחסון. הגילוי והמניעה הם החלק הראשון בתהליך, אולם הוא אינו מסתיים כאן. ספק אחסון אתרים צריך להתריע ללקוח אחסון אתרים כי בוצע ניסיון פריצה לאתר, מהיכן בוצע הניסיון, איזה רכיב במערכת האתר היווה דלת אחורית או נקודת גישה וחשוב מכל – מה על בעלי האתר לעשות על מנת למנוע הישנות התופעה. חשוב להבין כי האחריות של ספק אחסון אתרים איננה רק כלפי בעלי האתר אשר חווה ניסיון פריצה או אפילו איבד מידע כתוצאה מכך, אלא כלפי כלל לקוחות אחסון אתרים באחסון השיתופי אשר עלולים להוות מטרה קלה בעקבות פריצה לאחד האתרים באחסון השיתופי. אבטחת אתרים בהיבט זה משפיעה על כלל מערך אחסון האתרים השיתופי.

גיבוי ושחזור בקליק: השלב הבא של אבטחת אתרים הוא בקרת נזקים במידה והאתר ניזוק. ספק אחסון אתרים אשר מאפשר ללקוחותיו לעשות שימוש במערכת גיבויים אוטומטית, יאפשר גם ללקוחות אחסון אתרים לשחזר במהירות וביעילות – בקליק, את חשבון האחסון כולו, את בסיס הנתונים ואת תיבות הדוא”ל. למרות שמערכת גיבוי אוטומטי ושחזור אינם מהווים חלק ממערך אבטחת אתרים, הם ללא ספק מהווים חלק משמעותי ביותר ביכולת ההתאוששות מאסון של בעלי אתרים. לפיכך, המשמעות של אחסון אתרים המספק מערכת גיבוי ושחזור בקליק היא גבוהה מאד ועשויה להוות גורם מכריע בבחירת ספק אחסון אתרים.

הפעלת תעודת SSL בדומיין האתר: שכבת SSL לדומיין האתר יוצר הצפנה של התעבורה בין המשתמשים באתר לבין האתר עצמו, באופן שלא ניתן ליירט את התעבורה ולהשתמש במידע העובר בין המשתמשים לבין האתר. שכבת הגנה זו מהווה אבטחת מידע באתרים בהם מזינים משתמשים פרטים אישיים ופרטי אמצעי תשלום. ספק אחסון אתרים צריך לאפשר לבעלי האתר להטמיע תעודת SSL שנרכשה מגוף מוסמך, או להטמיע תעודת SSL חינם (Lets Encrypt), על מנת להגיע למצב בו קיימת אבטחת מידע פעילה באשר לתעבורת המידע באתר.

נעילת תיקיות רגישות בסיסמת צד שרת: מערכת ניהול אחסון אתרים cPanel מאפשרת לבעלי אתרים לנעול באמצעות שם משתמש וסיסמא, תיקיות חשובות או תיקיות רגישות. חברות אחסון אתרים אשר מספקות ללקוחותיהן פאנל ניהול אחסון אתרים של cPanel, מאפשרות הלכה למעשה להוסיף שכבת אבטחה לאתר על ידי דרישה להזנת שם משתמש וסיסמא אשר הוגדרו מראש לצורך גישה לתיקיות ספציפיות כגון: תיקיית administrator באתרי ג’ומלה, תיקיית wp-admin באתרי וורדפרס וכדומה. יש לציין כי נעילת תיקיות רגישות בסיסמת צד שרת איננה מבטיחה כי לא ניתן יהיה לפרוץ לאותה תיקייה, אולם אפשרות זו מגבירה את האפשרות לאבטחת האתר כאשר ניתן להגדיר כי מספר ניסיונות כניסה כושלים יובילו אוטומטית לחסימת כתובת ה- IP של מבצע ניסיון הכניסה לאותה תיקייה.