google-site-verification: google4cc082079dc775a7.html
 
  • Yechiel Yogev

שישה טיפים לאבטחת אתרי אינטרנט

היום כמעט כל אחד לומד סייבר, ומתקפות סייבר הפכו לשכיחות יותר ויותר, אז איך מאבטחים אתר אינטרנט, במיוחד אתר אינטרנט מסחרי, מפני מתקפות סייבר. כאשר מקימים אתר אינטרנט, אחד הדברים החשובים זה לשמור אותו מאובטח. כאשר מספר אתרי האינטרנט בעולם הולכים וגדלים ( שני מיליארד אתרי אינטרנט נכון ל 2021 ) מספר מתקפות הסייבר גדלות בהתאם.



אז איזה התקפות סייבר קיימות


  1. הזרקת injections SQL - SQL

  2. מתקפת כופרה - Ransomware

  3. מתקפת (XSS) Cross - site scripting

  4. DoS/DDoS attacks - מתקפות DoS/DDoS


 

SQL injections - SQL הזרקת

קודם כל מה זה SQL? שפת ה-SQL משמשת לטיפול והזנה של בסיסי נתונים ומאפשרת לבצע פעולות שונות על טבלאות הנתונים הללו. בהזרקת SQL התוקפים משתלטים על דטא-בייס כלומר מאגר מידע המכיל בתוכו מידע רגיש. במתקפה כזאת ניתן גם לשנות את מבנה מסד הנתונים ולהוסיף ולגרוע ממנו מידע ולפגוע באמינותו ובתכלית שלשמה הוא נועד כלומר לאגור מידע אמין ומאמן בין השאר סיסמאות ומידע רגיש על משתמשים.

מתקפות SQL מהוות סכנה לאתר שלך ולמידע שהוא מאכסן. התקפה כזאת יכולה לפגוע גם בתפקוד האתר ולאיבודו של מידע רגיש.

 

מתקפת כופרה - Ransomware


מתקפת כופרה היא מתקפה שבה מחדירים קובץ למחשב המונע גישה לקבצים יישומים אפליקציות ומערכות מחשוב מסוימות שעל המחשב. פצחנים כלומר אקרים אז יכולים לדרוש כופר תמורת הגישה למקורות שנחסמו, אחרי התשלום בדרך כלל האקרים משחררים את האחיזה על המשאבים שהגישה נחסמה אליהם. מתקפות כאלה מבוצעות בדרך כלל על - ידי פעולה שנקראת פישינג כלומר שליחת קישור זדוני שנראה תמים דרך מייל או כל אמצעי אחר תקשור אחר וכאשר פותחים אותו על ידי הקלקה הוא "מתיישב" על נמחשב וכך האקרים מקבלים גישה אליו.

בשנת 2021 נפל בית חולים הילל יפה בישראל למתקפת כופרה כזאת דוגמא נוספת למתקפת כופר שהתרחשה בישראל, היא הפריצה למאגרי המידע של חברת הביטוח שירביט.



 


מתקפת Cross-site scripting (XSS)


מתקפה זו מתרחשת כאשר קוד javascript זדוני "מוזרקת" דרך אתר אינטרנט שהמשתמש בוטח בו לתוך דפדפן המשתמש. סוג מתקפה זה דומה למתקפת "הזרקת" SQL ונסמך על כך שהדפדפן לא יכול לזהות בין קוד javascript רגיל לאחד שהוא זדוני.

מתקפה זו בדרך כלל משמשת בקוקיז "עוגיות" של ( שאריות היסטורית גלישה באתרים) התוקף לוקח את המידע הזה ומשחרר אותו לרשת. מתקפה כזאת משמשת לדליית מידע כמו סיסמאות או מספרי כרטיסי האשראי של המשתמשים באתרי האינטרנט.



 

DoS/DDoS attacks - מתקפות DoS/DDoS

מתקפות ( denial of service ) DDoS הן מתקפות של "מניעת שרות" כלומר המשתמש לא יצליח במצב כזה לקבל את השרות שהוא מבקש מאתר האינטרנט שאליו הוא נגש.

מתקפה כזאת מתרחשת כאשר התוקף או תוקפים שולחים כמות עצומה של תנועה אל האתר ובעצם כך מונעים תפקוד תקין על ידי הצפתו של השרת המאחסן את האתר בתנועה לא אמתית ובנפח גבוה. שבסופו של דבר פוגעת בתפקוד האתר, ומונעת את השרות שהוא אמור לספק ללקוח.



מתקפות סייבר יכולות להשפיע בצורה משמעותית על תפקוד האתר שלכם ולפעמים אף באופן קבוע. בטווח הקצר מתקפות כאלה יכולות להקטין את התנועה לאתר שלכם ואף להקטין את כמות האמרות. בטווח הארוך, מתקפות סייבר יכולים לפגוע באמינותו של המותג שעמלתם קשה כדי לפתח.


 


אז מה הם הנזקים שעלולים להתרחש?

 
  1. נטישה של לקוחות ופגיעה במוניטין המותג

  2. כניסה לרשימה שחורה של מנטעי החיפוש

  3. השעית האתר


 

נטישה של לקוחות, ופגיעה במוניטין המותג -


משתמשים חייבים לדעת שהמידע שלהם נמצא בידיים בטוחות, בכדי לבטוח באתר שהם משתמשים בו, וכך להיות לקוחות חוזרים. מתקפות זדוניות ישפיעו על תפיסת הלקוחות את העסק שלך, ובסופו של דבר את המותג שלך, שזה הוא נזק לטווח ארוך, ואולי אף נזק סופני.

 


כניסה לרשימה שחורה של מנוע החיפוש -

כאשר גוגל סורקת אתר אינטרנט, ומגלה תוכנה זדונית, או קוד זדוני, גוגל יכולה להחליט להכניס את האתר "הנגוע" לרשימה שחורה, מה מה שמקשה למצוא את האתר במנוע החיפוש. מה שיוביל לירידה דרמתית בתנועה לאתר, שבתורו ישפיע על השרות שהאתר מיועד לספק, אפ זה מסחרי או שרות אחר.

דבר נוסף שיכול להתרחש, אחרי שמנוע החיפוש גוגל, נתקל באתר "נגוע" הוא יתקשה לאנדקס את האתר מה שיוביל לשגייה 500 גוגל תוכל להחליט להפסיק לסרוק את האתר, מה שיוביל בירידה חדה של הופעת האתר במנוע החיפוש.



 


השעיית האתר -


מתקפות סייבר יכולות להשהות, שרותי אתר אחראים כמו היכולת לבצע כניסה לחשבון ויכולת לבצע רכישות.

מה שיקשה על משתמשים לבצע אינטראקציות עם האתר שלך. מכיוון שיקר להסיר תוכנה הזדונית ודורשת זמן להסרה, עדיך להתכונן למתקפות כאלה מאשר לטפל בהן.

 

אז מה עושים? שבע דרכים להגן על האתר שלכם


התחילו בבחירת בפלטפורמה המתאימה ביותר לבנות עלייה אתר, פלטפורמה שמספקת אבטחת אתרים באופן מובנה. מה שישאיר אתכם עסוקים בניהול האתר שלכם. הינה מספר צעדים שאתם או בונה האתרים שלכם צריכים לקחת בחשבון כשאתם מקימים ומעצבים אתר:



  1. פלטפורמת ליבה ועדכוני צד שלישי

  2. פרוטוקולי SSL

  3. אחסון אתרים מאובטח

  4. הרשאות אדמין ברורות

  5. גיבוי האתר

  6. פעל לפי כללי עבודה עם סיסמאות


 

1. פלטפורמת ליבה ועדכוני צד שלישי

למרות שזה נשמע לא בטוח, כדי מאוד שהאתר שלך יהיה בנוי על פלטפורמה שמנותרת 24/7 כלומר פלטפורמה סגורה שתבטיח לך שקט נפשי לגבי הביטחון של אתר האינטרנט שלכם, פלטפורמות סגורות מעלות מוניטין כמו WIX מנותרות כל הזמן ומעסיקות צוותי אבטחה שלמים, כדי לשמור על בטחון האתרים שנבנים על הפלטפורמה. צוותי אבטחה אלה דואגים לעדכוני אבטחה תמידיים ובנוסף סורקים אחרי פרצות אבטחה תמידית.

אפליקציות צד שלישי יכולות להוות פרצת אבטחה משמעותית עם פוטנציאל לפגוע במלוני אתרים באותו זמן. בכדי להימנע ממצב זה מומלץ להשתמש בפלטפורמת בניית אתרים, שמגיע יחד עם מאות אפליקציות כך שהן בטוחות, בזכות הניטור התמידי מפני סיכוני אבטחה של הפלטפורמה.

 

2. פרוטוקולי SSL


כל אתר שמכבד את עצמו היום חייב להיות פרוטוקול SSL, אז איך אם לאתר מסוים יש את פרוטוקול ה - SSL, פשוט מאוד אתר רגיל ללא פרוטוקול SSL בתחילת ה - URL שלו יופיע HTTP ללא S בסוף ולאתר עם פרוטוקול אבטחה כתובת ה - URL תופיע עם S בסוף כלומר כך - HTTPS.

פרוטוקול ה - SSL מאבטח את התקשורת בין אתר האינטרנט לבין השרת עלי ידי הצפנת המידע ומונע מהקרים לקרוא את המידע שנשלח בין אתר האינטרנט והשרת וההפך. פרוטוקול SSL חשוב במיוחד באתרי מסחר, מכיוון שאתר כזה מכיל מידע מסחרי רגיש, כמו כתובות, שמות, ומספרי כרטיסי אשראי של לקוחות. אתרי וויקס - WIX מגיעים עם אבטחת SSL מובנת. כדי ללמוד עוד על האבטחה באתרי WIX גדי לקרוא.

 

3. אחסון אתרים מאובטח

ישנם מספר שכבות אבטחה הכרחיות כשמדובר באתרי אינטרנט, ואחד מהם הוא שרות אכסון אתרים אמין ובעל מוניטין אירוח אתרים מאובטח הוא חובה, ומונע התקפות על האתר שלך דרך השרת שמארח את האתר. חשוב גם שהאירוח שלך ייבדק באופן קבוע כדי להבטיח שהוא מוכן לכל איומים, כולל DDoS, שיגיעו אליו. באופן אידיאלי, אירוח מאובטח צריך לכלול בדיקות מתמשכות וניטור 24/7 כדי להבטיח עמידה באיומי הסייבר המתקדמים ביותר, העומדים בתקן GDPR ולעמוד בסטנדרטים בינלאומיים לגבי פרטיות ואבטחה מקוונים.


 

4. הרשאות אדמין ברורות

אתרים גדולים דורשים צוות של אנשים כדי לנהל אותם, וכל אחד מהם ידרוש דרגות שונות של הרשאות גישה. חשוב היטב עד כמה גישה צריך מנהל אתר כדי לבצע את עבודתו, ולאחר מכן הענק גישת מנהל לאתר שלך בהתאם. הענקת גישה מלאה בצורה עיוורת לכל מי שעובד באתר שלך תשאיר אותו פגיע יותר להתקפות. יוגיוויקס - Yogiwix.com ממליצה בנוסף לכתוב מדיניות אבטחה ברורה החלה על כל מנהלי האתר. זה צריך לכלול: בחירת סיסמה, הורדות של אפליקציות של צד שלישי ומשימות חשובות אחרות של ניהול אתרים כדי לוודא שלצוות שלכם יש את נושא אבטחת האתר בראש סדר העדיפויות שלהם.


 


5. גיבוי האתר


בעוד ששיטות האבטחה הטובות ביותר כוללות התקפות מקדימות, במקרה של פרצת אבטחה, התאוששות מהירה תהיה תלויה בגיבוי האתר שלך. משמעות הדבר היא שמירת גרסה של האתר שלך בנפרד, שניתן לשחזר אותה בכל דרך שהיא אם השרת או האתר יותקפו.

בוני אתרים רבים, כולל ב- Yogwix, מגבים את כל האתרים שלהם. אתה לא צריך לעשות כלום, אבל היה סמוך ובטוח.


 

6. פעל לפי כללי עבודה עם סיסמאות


שינוי סיסמת האתר שלך באופן קבוע יכולה להגן עליך מפני התקפות אישורים. בחר בסיסמאות חזקות - הקפד להשתמש בשילוב של מספרים, אותיות ותווים עצות נוספות: לעולם אל תשתף את הסיסמה שלך אל תשמור אותה בדפדפן שלך. הימנע משימוש באותה סיסמה באתרים נוספים. כמו כן, מומלץ מאוד להגדיר אימות רב-שלבי (MFA). זה מקשה על אקרים לפרוץ לאתר שלכם. MFA יכלול הוספת רמה נוספת של אימות, כגון הודעת טקסט ממכשיר נייד. התקפות של שימוש חוזר בסיסמאות הם אחד האיומים הנפוצים ביותר על אבטחת אתרים, בין השאר מכיוון שמשתמשים חוזרים בדרך כלל על הסיסמאות שלהם במספר אתרים ופלטפורמות מקוונות. לכן, פריצה רק לאחד מעניקה גישה ליותר מאשר רק לאתר ממנו נגנבו.

 


#אבטחת_אתרים #מתקפות_סייבר #YogiwixBlog






4 צפיות0 תגובות