כמה בטוח האתר שלך? למד את האיומים וכיצד להישאר בטוח

גילוי נאות: התמיכה שלך עוזרת להפעיל את האתר! אנו מרוויחים דמי הפניה עבור חלק מהשירותים שאנו ממליצים עליהם בדף זה.


ככל שהשוק המודרני הסתמך על מדיה וירטואלית, חזיתות ניהול וניהול מערכות יחסים, הצורך בביטחון סייבר גדול יותר – בכל דבר, החל מאירוח שרתים למחשבים אישיים למכשירים ניידים – גדל באופן אקספוננציאלי. חלפו הם ימי המחסנים המזדמנים של GeoCities, המאובטחים רק באמצעות סיסמה חזקה (יש לקוות) ועין ערנית..

כמה בטוח האתר שלך?

שובבות ברשת העולמית

כיום רשת האינטרנט העולמית מונה כמעט 15 מיליארד דפי אינטרנט (הפרוסים על פני יותר מ -600 מיליון אתרים), ואבטחת הסייבר הפכה לעסקים גדולים. מונחים שמשמעותם מעט מאוד לאף אחד מחוץ לתחום טכנולוגיית המידע הנדיר אז לפני עשרים ואף עשר שנים – פריצה, פישינג, מניעת שירות (DoS) – נכנסו לזרם המרכזי כאשר עסקים ואנשים פרטיים מוצאים את עצמם בסוף הקבלה של האינטרנט שובבות.

עם זאת, “שובבות” לא יכולה להיות מונח חזק מספיק. ההתקפות על אתרי אינטרנט עסקיים וממשלתיים גברו ככל שפעילים, אנרכיסטים, ואולי (המפורסם ביותר), קבוצת “האקינג”, אנונימוס, הפכו את האפשרות לאפשר לאתרי האינטרנט ולהגן על קבצי יעדים חסרי מזל שלהם למשהו שהוא אומנות. ולמי שמוצא את עצמו בסוף הסיום של “קטע ביצוע” של האקר, העלויות יכולות להיות אסטרונומיות.

אתרים ממשלתיים אינם חסינים

קחו בחשבון את העיר נפרוויל, אילינוי, שאתר העיר הרשמי שלה נפרץ באוקטובר 2012. בנוסף להשבית דוא”ל לעובדי העיר ומחוצה לה, ההתקפה ביטלה למעשה את הגישה המקוונת של תושבי Naperville לשירותים ושירותים חברתיים. העיר אישרה כמעט 700,000 $ לשחזר את האתר ולשפר את האבטחה, אך עלויות העזר הנלוות – זמן, אמון אזרחים בבטיחות הנתונים שלהם, עיכובים בשירותים – קשה יותר לכמת.

כמובן שאתרי ממשל אינם המטרה הפופולרית היחידה להתקפה. במה שהפך למשהו של סיפור אזהרה הן עבור קהילת המשחקים והן מצד תומכי אבטחת הרשת כאחד, רשת PlayStation של סוני נכה בשנת 2011 על ידי מתקפת סייבר שעלתה לחברה 171 מיליון דולר והשאירה את הנתונים האישיים (כולל שמות, כתובות ואשראי פרטי כרטיס) של 77 מיליון בעלי חשבונות שנחשפו. ג’וגנות האלקטרוניקה התמודדה עם התדיינות מאסיבית, נאלצה למתג מחדש, וממשיכה להיאבק בכדי להחזיר את אמון הלקוחות.

האיומים הם אמיתיים – ורבים

האיום אמיתי, וההימור גבוה. עם 86% מהאתרים הפגיעים כיום בווקטור אחד לפחות של התקפת סייבר, תוכנית אבטחת סייבר חכמה, מפותחת ומתאימה להתאמה – כזו הכוללת מציאת ספק אירוח עם אפשרויות אבטחה נאותות – כבר לא אופציונלית לעסקים המעוניינים לשמור על אתרי האינטרנט שלהם. ונתוני לקוחות מאובטחים.

כמה בטוח האתר שלך גדול

כמה בטוח האתר שלך?

מאות אלפי אתרים עם שתי מערכות ניהול התוכן הנפוצות ביותר מותקפים מדי שנה. בדקנו עד כמה התקפות אלה נפוצות, מה גורם להן ואיך למנוע מהן להמשיך אחרי האתר שלכם.

634,000,000 אתרים שדווחו ברחבי העולם – דצמבר 2012.

  • 10% מהאתרים שעברו על ידי וורדפרס
  • 4.7% מהאתרים המופעלים על ידי ג’ומלה!
  • 48% מתוך 100 הכדורים המובילים משתמשים בוורדפרס.

כמעט 25,000 תוספי וורדפרס זמינים עם יותר מ -450 מיליון הורדות.

משנת 2010 עד 2012, תוכנות זדוניות באינטרנט גדלו בכ -140%.

כמעט 200,000 התקפות דיוג ברחבי העולם במחצית הראשונה של 2012 והסתכמו בהפסד של 687 מיליון דולר – עלייה של 19% לעומת 2011.

  • אפריל 2013
    • 90,000 כתובות IP עם וורדפרס וג’ומלה! אתרים
      • סיבה: שמות משתמשים וסיסמאות חלשים
    • קישורי זבל של “הלוואת יום שלם” הוזרקו לתוסף הווידג’ט של המדיה החברתית הפופולרי בוורדפרס (יישומי ווידג’ט-חברתיים) עם 900,000 הורדות
      • סיבה: התוסף נמכר והבעלים החדשים החליטו להשתמש בקהל הדו-קומי שלהם ולהזריק ספאם בכל האתרים המשתמשים בתוסף. זה קרה גם בג’ומלה! אתרים
  • דצמבר 2012
    • וורדפרס וג’ומלה! אתרי אינטרנט היו קורבנות להתקפות הרעלת מנועי חיפוש (SEP)
      • סיבה: תיאוריה אחת הייתה אירוח של GoDaddy, אחרת הייתה גרסאות מיושנות לפלטפורמות. סקורי איתר שתי גרסאות שונות להתקפה
  • ספטמבר 2012
    • ראשית אתרי אינטרנט אמריקאיים לבנקים, ואז מספר יישומי אינטרנט אחרים של PHP, כמו ג’ומלה! ואתרי וורדפרס רבים
      • סיבה: גרסה מיושנת של התוסף timoem (שינוי גודל פופולרי מבוסס PHP מבוסס-תמונות.) הגרזן גרם למספר פוסטים כוזבים באתר שלו, כולל ראיון מזויף עם מנהיג צבא המורדים הסורי.
  • אוגוסט 2012
    • תומסון רויטרס
      • סיבה: גרסה מיושנת של WordPress (פועלת בתאריך 3.1.1 במקום 3.4.1 הנוכחי אז)
  • מרץ 2012
    • למעלה מ- 30,000 אתרי אינטרנט של ExpressionEngine, Joomla! ו- WordPress נפגעו מהתקף הזרקת המונים שנועד להפיץ תוכנות אנטי-וירוס מזויפות.
      • סיבה: אישורי FTP חלשים

הסוגים הנפוצים ביותר של התקפות על וורדפרס וג’ומלה! אתרים

  • דלתות אחוריות
    • הותקף על ידי אימות רגיל כדי להשיג גישה מרחוק לסביבתך בשיטות לא תקינות כמו FTP, SFTP & WP-Admin.
  • הורדות Drive-by
    • תוכנות זדוניות מוטמעות באתר שלך באמצעות הזרקת תסריט כלשהי. הגורמים השכיחים הם תוכנה מיושנת, אישורי פשרה והזרקת SQL.
  • פארמה פריצות
    • יותר איום בספאם מאשר תוכנות זדוניות. אלה מסוכנים עוד יותר מכיוון שהם גלויים בראש ובראשונה למנועי חיפוש בלבד. אם זה מושפע, האתר שלך עשוי להיות מתויג כ”התפשר “.
  • הפניות מחדש זדוניות
    • מפנה את המשתמש לאתר אחר ויכול להשפיע הן על הדומיין הראשי שלך והן על תחומי המשנה.

הבעיות הנפוצות ביותר

  • אירוח זול
  • הרחבות של צד שלישי בקידוד שגוי
  • סיסמאות גרועות או חלשות ותעודות מנהל
  • קבצי ליבה מיושנים, פלטפורמות, תוספים ותוספים

פתרונות ושיטות עבודה מומלצות לאבטחה

  • הישאר משכיל
  • השתמש במארח מאובטח
  • השתמש בסורק כמו בדיקת ה- Sitech של Securi (שהיא בחינם) כדי לבדוק זיהומים. קיימים גם בדיקות נושא ותוספים
  • הירשם לכלי מנהלי האתרים של גוגל ואמת את האתר שלך
  • השתמש בסיסמאות חזקות מאוד
  • קח מלאי של תוספי PHP, שמור אותם מעודכנים
  • התחבר לתעבורת רשת כדי לחשוף בקשות PHP נכנסות החושפות תוקפים שיהיו חשודים ליישומים כאלה
  • גבה את האתר שלך

וורדפרס

  • עדכן את האתר שלך (אל תתעלם מהודעת וורדפרס המפצירה בך לעדכן לגרסה האחרונה!)
  • התקן תוספים שמגבילים את מספר ניסיונות ההתחברות מאותה כתובת IP או רשת (ומעדכנים אותם)
  • הפעל אימות דו-גורמי כדי להוסיף שכבת אבטחה נוספת

ג’ומלה!

  • השתמש בעדכון האבטחה האחרון
  • השתמש ברכיב SEF שהופך את האתר שלך לבטוח יותר. כתובת ברירת מחדל של ג’ומלה מספרת לצופה הרבה על הדף בו ביקר; שזה ג’ומלה! ובאילו רכיבים משתמשים. רכיב SEF מסווה את המידע הזה ומקשה על האקר למצוא פגיעויות אבטחה
  • כתוב-הגן על קובץ התצורה שלך (הפוך ללא כתוב). הקובץ נקרא “Configuration.php” ונמצא בתיקיית השורש של הדומיין שלך
  • מחק תבניות שאינן בשימוש
  • שנה את הרשאות הקבצים כדי להגביל עריכה או החלפה

הישאר מעודכן והישאר מאובטח!

מקורות

  • wordpress.com
  • wordpress.org
  • wp.smashingmagazine.com
  • blogs.rsa.com
  • thenextweb.com
  • blog.sucuri.net
  • מידע שבוע
  • blogs.wsj.com
  • Hyphenet.com
  • wpmu.org
  • joomlasecurity.org
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map