חיפוש מותאם
חיפוש מותאם

תוספי אבטחה לוורדפרס לא תמיד בטוחים לאבטחת האתר.

סוגי התקפות סייבר.

מה עושה מומחה אבטחה לאתר וורדפרס ומיהו בעצם הגדרתו ?

מומחה אבטחה מוגדר מי שעובר הסמכות ע”י גופים בינלאומיים מוכרים לאבטחת מידע, גופים אלו אף תורמים לתקנות וחקיקה של תקני אבטחת מידע מקובלים ע”י מדינות.

מומחה אבטחה לאתר יכול לסרוק את האתר באמצעים שרק ההאקרים מכירים.

מומחה אבטחה יכול לבדוק חולשות באתרים ובעיקר באתרי וורדפרס .

מומחה אבטחה לאתר או בכלל

לרוב הינו האקר שלאו דווקא משתמש בידע האפליקטיבי או התשתיתי ולפעמים גם וגם לצורך ביצוע פעולות אלא יותר ברמת כתיבת נהלים.

כתיבת נהלי אבטחה מקצועית מתבצעת בהתאם לתו תקן איכות ואבטחת מידע ועל האירגון או הגוף או העסק ואף אנשים פרטיים עם מערכות מעל רשת ביתית אמורים לעמוד בדרישות אלו לצרכי ביטוח ובטחון אישי למניעת אירועי סייבר.

אירועי סייבר שקורים מידי יום וכמעט בכל המקרים אותם אירועים נבדקים ברמת הפעולות שנעשו ואז מתגלה ב99% שנהלי האבטחה לא יושמו בפועל.

נהלי אבטחת מידע קובעים מעבר לדרישות טכניות גם הקפדה על נהלי התנהגות העובדים למשל : 

הקפדה ומודעות לסכנות הנדסה חברתית .

מה תפקידם של תוספי אבטחה לוורדפרס?

  • התוספים השונים ברובם יעילים למניעת התקפות סייבר ואו פריצות .
  • התוספים אינם מתקנים מצבים או נזקים לאחר פריצה אבל עצם גילויה מקל על הניקיון למשל של קבצים שניזוקו.
  • התוספים אמורים לעשות עבודה שאינה דורשת משאבי מערכת גבוהים אך חלקם אם לא מוגדרים נכון בהחלט עלולים לגרום לאיטיות ועד לנפילת האתר.
  • התוספים אינם אמורים לפגוע בקידום אורגני או אחר אך אי הגדרתם נכון בהחלט עלול לחסום ביקורים גם של גוגל.
Responsive RTL Table
הפעלת שיתוף מסך הגדרת הרשאות שימוש בשיתוף מסך פתרון בעיות טכניות הגבלות טכניות
×

ניטור ובקרה על פעילות חריגה באתר.
סריקת קבצים.
מציאת נוזקות.
בקרה על רישום ברשימות שחורות.
הקשחת אבטחת המידע באתר.
פעולות מניעת פרצות אבטחה.
חומת אש.
מלחמה בbrute force.
התרעה על פעילות סייבר.

איום הנדסה חברתית והקשר לקידום אורגני לדוג’ :

חולשות אלו עושות שימוש בחולשות אנושיות כגון תמימות  , חוסר מודעות  , רגשות ויחסים בין אישיים.

סכנת סיסמאות : אם הסיסמא נשמרת או מוקלדת ללא הגנה המערכת כולה עלולה להיפגע .

בגלל דיסק און קי אחד שמוכנס למסוף ומעביר וירוס מסוגים שונים לתוך הרשת כל המחשבים ברשת עלולים להיפגע.

חברות ענק הפסידו מיליונים בגלל אי קיום דרישות נהלי אבטחת מידע שמונעים את החולשה הנ”ל

אם העובדים האחראים או מנהל אבטחת המידע בארגון ואו מומחה האבטחה דאג לקיים הדרכה מסודרת מתועדת גם בכתב ודרש חתימה כזו או אחרת על קריאת הנהלים אחת לשבוע או חודש או חצי שנה , מיליונים היו נחסכים לחברות ענק .

אם בעלי אתרים היו מודעים לסכנות של התקפות סייבר אזי היו מגנים על האתרים ולא נהיים חכמים לאחר מעשה או אירוע סייבר שעולה בדר”כ לא מעט.

תוספי אבטחה לאתרים שמפעילים וורדפרס.

מערכות cms כגון וורדפרס מפעילות תוכנות צד ג’ כגון תוספים , תוספי האבטחה אמורים לשמור על האתר דרך מערכת הניהול ויכולה להיות מוגדרת לאבטחה ברמה גבוהה ולפי הצורך , כמו גם לפי רמת האיום שהאתר אולי נמצא בה.

תוספי אבטחה טובים לפעמים דורשים שרת אחסון חזק ומתקדם מאחר ותוכנות אלו כמו תוספי אבטחה בעצם עובדות מאוד קשה ומבצעות המון בדיקות מאשר תוספים אחרים .

אם חברת האחסון לא מספיק מקצועית ולא מחזיקה את הטכנולוגיה המתקדמת ביותר מבחינת חומרה ותוכנה האתר עלול להיות איטי.

איך בוחרים תוסף אבטחה?

תוסף אבטחה טוב הוא תוסף שעושה את העבודה ומתעדכן בעדכונים מהחברה שפיתחה אותו אחת לשבוע עד חודש וכל חודש .

מהם עדכונים לתוספי אבטחה בוורדפרס?

עדכוני אבטחה הם תיקוני באגים וסגירת פרצות שהתגלו וממשיכות להתגלות מידי יום.

התיקונים של חברת הפיתוח של התוסף בעצם עובדת בלי הפסקה ואם אכן זה קורה האתר יהיה מוגן מפני אירועי סייבר דהיינו פריצות.

תוספי אבטחה או מומחה אבטחה לוורדפרס – יתרונות וחסרונות

אתרי וורדפרס

מורכבים ממערכת ניהול אתר שנקראת גם

Content management system

לפני לא מעט שנים אתרים היו מורכבים מדפים שהיו כתובים ברובם בHTML

היו עוד שיטות לפני אך זו השיטה שתפסה ואומצה ומשם התפתחה מפורמט כתיבה ללא קוד עד רמת קוד לדוג’ html5 .

תוספי אבטחה או מומחה אבטחה לוורדפרס – יתרונות וחסרונות

ניהול אתרים באמצעות  וורדפרס

מורכבים ממערכת ניהול אתר שנקראת גם

Content management system

לפני לא מעט שנים אתרים היו מורכבים מדפים שהיו כתובים ברובם בHTML

היו עוד שיטות לפני אך זו השיטה שתפסה ואומצה ומשם התפתחה מפורמט כתיבה ללא קוד עד רמת קוד לדוג’ html5 .

תוספי אבטחה לוורדפרס

קיימים בשוק מאות יצרנים של פתרונות אבטחה בצורת תוספי אבטחה  לוורדפרס  .

מה עושים תוספי אבטחה לוורדפרס ?

רובם והטובים בהם אמורים ואף חלקם אכן כאלו שמונעים ונלחמים בבעיות אבטחה כגון:

    • ניטור הפעילות באתר בזמן אמת .
    • סריקת הקבצים מהם מורכב האתר כולו.
    • הכנסה לרשימה שחורה של אתרים או מבקרים רעים לפי הגדרה .
    • סריקת תוכנות מזיקות malware 
    • הקשחת האבטחה באתר כולו.
    • ניטור פעולות העלולות להוביל לפריצה או נזק לפני שקרו.
    • יצירת סוג של חומת אש .
    • הגנה מפני brute force  .
    • התראות לבעל האתר או מי מטעמו על איומים שהתגלו.

ועוד ועוד ועוד …

תוספי אבטחה לוורדפרס

סריקת אבטחה האם האתר שלי נפגע בגוגל?

הבדיקה ידנית ואוטומטית אורכת כיום עבודה ומחירה בתשלום מראש 1000 ש”ח (מתבצעת ע”י כלים מתקדמים ומקצועיים )
הבדיקה אינה מזיקה לאתר או לאחסון האתר .
הבדיקה נותנת אבחון וקובעת האם האתר נפגע מבעיות סייבר אבטחת מידע.
מעוניין לקבל עוד פרטים

איחסון טוב תמיד יותר טוב מכל תוסף אבטחה 

איחסון אתרים שמציע הגנות ואפילו אחריות כנגד פריצות??

אין חיה כזו , כולם מפרסמים כמובן ולמרבה הצער גם מבטיחים שהם מוגנים ומצויידים בכלים הכי מתקדמים כדי לשמור על האתר בטוח.

ובחיים האמיתיים? במציאות ההווה? אף אחד לא יכול להבטיח 100%

חלק לא מבוטל מאירועי הסייבר באתרים מסחריים קורה בגלל התרשלות או חוסר מקצועיות או חוסר ידע תמים של בעלי חברת האיחסון , לעיתים אפילו שכחה של האיש הטכני בדר”כ איש סיסטם אחד או יותר עם ניסיון של שנים בניהול שרתים שבגלל סיבות מסויימות שכח להגדיר הגדרה שמאפשרת לאירוע סייבר להתרחש. 


מקס סטור
מקס סטור

אחסון לינוקס
אחסון לינוקס

הבעיות בתוספי אבטחה לוורדפרס

  • הגדרות לא טובות עלולות לגרום לאיטיות האתר.
  • התנגשות תוספים שזה אומר שתוספים אחרים עלולים לשבש את פעולתה של ההגנה או להשתבש בעצמם .
  • בבדיקות אבטחה שנעשות לאתרים עם תוספי אבטחה נמצא שאינם עושים את העבודה ב100% וישנם כאלו שגם לא עושים כלום אבל עדיין מומלצים בספריית התוספים של וורדפרס.
  • תוספי אבטחה שמהווים סיכון לאבטחה
  • מס’ תוספים המשווקים היום כתוספי אבטחה ולפעמים מדובר בחברות לא קטנות
חלק מתוספי האבטחה אפילו משאירים באתר  נזק באופן קבוע גם אם הסרתם אותם לאחר שניסיתם את התוספים והחלטתם להסירם .
הכי גרוע – בקדור שזה אומר אפשרות לעקוב אחרי האתר שלכם בלי שתדעו מבפנים.

היתרונות בתוספי אבטחה לוורדפרס.

חינמיים וגם אם גרסאות בתשלום אז עולים פחות מייעוץ ע”י מומחה לאבטחת האתר

עדיף כלום מכמעט או מכלום כמו בשיר של עברי לידר.

עדיף שיהיה תוסף אבטחה מאשר שום הגנה שתוסיף לאבטחה שניתנת בוורדפרס באופן דיפולטיבי.

תוספי אבטחה לפעמים מבצעים סדר ומתריעים על בעיות שגוגל עצמה עלולה לראות כבעיה ואז ניתן לפתור בעיה שבאמצעים רגילים של תוספי קידום או מקדמים לא ניתן לגלות למשל בעיות סריקה של בוטים.

למה אין מדריך מסודר לאבטחת אתרים?

כשמדובר באבטחת אתרים או בנושא הכללי אבטחת מידע אין התקפה אחת או בעיות אבטחה שניתן לכמת מהסיבה שכל יום שעה שעה ההתקפות נהיות מורכבות יותר והרעים מוצאים שיטות ודרכים חדשות לבצע התקפות על משאבי אינטרנט בין אם ברמת האתר או ברמת השרת ואפילו על dnsים וראוטרים. (התקפות על רכיבים אלקטרוניים ללא קוד)

איך משפרים ואו מחזקים את עמידות האתר בפני התקפות?

הדרך היעילה והכי חשובה לא להינזק בעקבות אירועי סייבר הינה לדאוג לגיבויים טובים שבמקרה של אירוע ניתן יהיה לשחזר וכמה שיותר מהר ואז לסגור את אותה פרצה שהאקרים מצאו.

מה עושים תוספי אבטחה לוורדפרס?

לפני שנכנסים לעניינים והסברים טכניים להלן פירוט ציפיות מבעלי אתרים שהאתר שלהם בנוי על פלטפורמת מע’ ניהול אתרים  וורדפרס wordpress.

מציאת קבצים זדוניים למשל וירוסים.

פיקוח וניטור על הרכיבים של האתר כגון :

  • מערכת וורדפרס כמערכת לניהול האתר.
  • תוספים מכל הסוגים שאמורים לעזור לבעלי האתר להוסיף לאתר תכונות שבעבר רק מתכנתים או בוני אתרים מקצועיים היו יכולים לספק.
  • פיקוח על בעיות טכניות של  אבטחה ואחרות של התבנית שאחראית על כל העיצוב באתר וורדפרס.
  • מציאה ואבחון של התנהגות חריגה לפי סטנדרטים ידועים ומקובלים ואו שינוי נתונים בקבצים שאינו טבעי או מקובל ע”פ רוב וסינכרוניזציה למאגרי דאטה של אבטחת מידע.
  • חסימת תנועה ממיקום או בעלת אופי זדוני כפי שנקבע בסטנדרטים של אבטחת מידע , למשל התקפות מסוג ddos וקיימות כמה וכמה סוגי התקפות המתאימות להגדרה.
  • חסימת מיילים חשודים זדוניים דרך מערכת האתר אל מיילים אחרים.
  • התראות דרך ובשיתוף ובניצול הדפדפן המקומי לפעילות זדונית .
  • חלק מתוספי האבטחה אפילו בודקים מה יש באחסון עצמו ומעל התקנת וורדפרס או Public html .
  • ניהול הרשאות והלבנת פעילות וקבצים  על כל המשתמע ומורכב כדוג’ אימות דו שלבי.
  • בשום מקרה ובשום אופן תוספי אבטחה לא אמורים להשאיר אחרי ההתקנה ויותר חשוב ההסרה קבצים שיכולים להיחשב במערכת כלשהי כזדוניים או לא לגיטימיים.
  • אם גוגל מגלה קבצים או פעילות לא לגיטימית כפי שמוגדרת במערכות אבטחה צד ג’ היא עלולה ואף פועלת נגד בעל האתר לדוג’ : פגיעה בקידום מכל סוג.
  • בשום אופן
  • בשום אופן
  • בשום אופן 
  • אם מסירים תוסף ממערכת וורדפרס אין שום סיבה בעולם שלחברה שייצרה את התוסף תהיה גישה או הסרתה ופעילותה לשעבר תיצור בקדור backdoor!!
  • במילים פשוטות יותר : 
  • אם התקנתי תוסף אבטחה שנקרא לו משה ומשה עבד עד שהחלטתי לכבות אותו ושלא יעבוד יותר.
  • אם אחרי שכיביתי אותו עדיין יש לחברה שייצרה את התוסף אפשרות גישה לא מורשית  ולא לגיטימית ושהגולש התמים לרוב אינו מודע לה , אז יש בעיה !!!
  • בתמונה רואים את עבודתו של תוסף מאוד מפורסם וטוב שמזהה תוסף אבטחה קטן ואחר ממנו כזדוני , הוא זדוני מהסיבה שהוא מאפשר לא רק לחברה הקודמת להיכנס לאתר אלא לכל האקר גישה נוחה לכניסה לאתר דרך מערכות אבטחה אחרות בין אם באתר או בשרת או בשירותי CF ועוד..
  • דוג' לקוד מסוג דלת אחורית

    דוג’ לקוד מסוג דלת אחורית

  • 100
    אתרי אינטרנט שנפרצים מידי יום
  • להלן הסבר טכני יותר על הנזק שיכול לגרום מחדל מעין זה שמתואר במאמר זה ומודגש בתמונה  המצ”ב
  • מהו   סוג  backdoor  561/c? 
  • הנ”ל הופיע בשמות הבאים כתוכנה זדונית שמאפשרת  כל מיני תופעות סייבר.
  • רשימה חלקית : 
    1. A backdoor known as cgok
    2. A backdoor known as 561C
    3. Suspicious eval with a base64_decode
    4. A suspicious code known as eval_exit
    5. Obfuscated code using eval via create_function.
    6. A malicious PHP backdoor
    7. A backdoor known as preg_replace-variant
    8. A backdoor known as SPEEDY-03
    9. A malicious file uploader known as Generic
    10. A backdoor known as n1zb
    11. A backdoor known as Xh33l 
  • הסבר קל ככל האפשר למי שאינו טכני  לפי הסדר ברשימה
  • 1. מוטמע ופועל מתוך phpinfo.php
  • ניתן לראות שהסימנים המקובלים להתראה אינם קיימים 
  •  eval, exec , system , assert , preg_replace ועוד..
  • הנגזרת לביצוע בדוג’ : 
  • התוצאה ? 
  • full shell access
  • רשימה קטנה של בקדור מהגדולים והמפורסמים שהסבו נזקים של מיליונים ולמיליונים.
    • Back Orifice
    • DSL
    • PGP full disk encripition
    • joomla plug-in 
    • The proftpd
    • borland interbase 
  •  
  • 2.  סוגי קוד זדוני שיעשה שימוש ב 
  • Obfuscation
  • במילים פשוטות הקוד יוחלף לקוד שאינו יזוהה ע”י מערכות ושיטות מקובלות , סוג של הסוואה. 
    ההתראה =  outright detection 
  • backdoor.PHP/Obfu 
  • 3. בקדור לכל דבר ועניין  שמקודד בbase64_decode   
  • בקדור שגורם לנגזרת שמייצרת אנומליות שמתגברת על  ids’ים מסוימים.
  • 5. הrequest שחוזר מייצר eval בערך של 0.
  • 6. קוד בphp שמייצר וירוס תולעת סוס טרויאני , דוג’ טובה היא reverse shell ולפעמים נכתב עם שימוש  בruby 
  • 7. בקדור  בשיטת variants replacment.
  • 8. בקדור שילוב של 2 ו6 .
  • 9. בקדור, טריגר ספריית הupload והפונקציה המובנית של וורדפרס  wp-wcd.php
  • 10. בקדור n1zb בדרך כלל מנצל חולשות  בתבנית לא מעודכנת עם רכיבים מובנים ואו דרך שינוי wp-config.php
  • לסיכום : 
  • בקדור דלת אחורית משמש לאסקלציית הרשאות וגישה מורשית ולרוב לא מורשית למשאבים ונתונים .
  • ההשלכות יכולות להיות חמורות ולגרום נזק רב גם לבעלי אתרים קטנים שמשקיעים בעסק ומשקיעים בקידום בגוגל ובמיתוג העסק על כל הרבדים .
אתרים חייבים לבצע בדיקת אבטחה אחת לשנה לפחות כדי לוודא שאין סיכוי שהמערכת מכילה חולשות ואם כן אז שהחולשות לא ינוצלו ע”י האקרים.

הגדרות נכונות לוורדפנס wordfence 

אין צורך לקנות את הגרסה בתשלום, החינמי מספיק!!

תוספי אבטחה לוורדפרס כגון וורדפנס

יודעים לבצע שינויים בקבצים אחרים חשובים שנוגעים לאבטחה למשל הHTACCESS והrobots.txt.

את התוסף יש להפעיל ולא מספיק רק להתקין.

בזמן שוורדפרס עולה התוסף לא יבצע פעולות שעלולות לעכב את האתר או טעינת הדפים.

יש לסמן את כל סוגי ההתקפות כדי שתוסף האבטחה יידע לזהות ולפעול.

יש לסמן כמו בתמונה כדי למנוע התקפות מהסוג המצויין בתמונה.

כל אחד שייחסם כי עבר על הגדרות האבטחה יקבל במסך החסימה מסר אישי מיוחד עם אפשרות לשחרור דרך פנייה במייל.

מבין תוספי האבטחה לוורדפרס הוורדפנס מבצע תצוגה של התקפות בזמן אמת והתוסף ידאג לחסום ואין צורך להתערב לו בפעולה.

הדרכת עובדים ועובדות בארגונים ובעסקים בנושא איומי סייבר ואבטחת מידע

הדרכות לאיומי סייבר ואבטחת מידע