אבטחת אתרי אינטרנט

אבטחת אתרי אינטרנט

פורסם ב 01-09-2019

אבטחת אתרי אינטרנט הינה משימה המוטלת על מספר גורמים: החברה הבונה את האתר, בעלי האתר המתפעל אותו באופן שוטף וחברת אחסון האתר. תמצית המשמעות של אבטחת אתרים הינה בכך שאתר האינטרנט מוגן מפני פריצה לאתר, מוגן מפני נוזקות העלולות לפגוע באתר או להשבית אותו וכי האתר מוגן מפני פריצה למערך אחסון האתר – קרי מוגן מפני פריצה לשרת אחסון האתר. אבטחת אתרי אינטרנט הינה קריטית לכל סוג אתר, בין אם מדובר באתר מסחר מקוון או באתר תדמית, שכן על אף שאתר מסחר שומר מידע רגיש יותר מאתר תדמית, פריצה לאתר מסחר או פריצה לאתר תדמית תתבטא בנזק לכל דבר.

אבטחה של אתרי אינטרנט כתחום מישנה של אבטחת מידע ברשת, מכיל מספר לא מבוטל של כלים, מנגנונים וטכנולוגיות, אשר בהם נדון במאמר זה. נציין עם זאת, כי קיימות מספר הנחות עבודה בתחום אבטחת אתרים, אשר מישתנות בין מומחי אבטחת מידע וזאת בעיקר לנוכח העובדה כי תחום אבטחת אתרי אינטרנט מנסה כל הזמן לעמוד לפחות צעד אחד לפני טכנולוגיות תקיפה ופריצה לאתרי אינטרנט ושרתי אחסון אתרים ולפיכך, חלק מהנחות העבודה מצדדות יותר בפעולות פרו אקטיביות בעוד שאחרות מצדדות בדרכי מענה לאחר מעשה.

אבטחת אתרי אינטרנט הינה כאמור, בראש ובראשונה באחריות הגוף הבונה את האתר ובעלי האתר המתחזקים אותו באופן יומיומי. כל מערכת ניהול תוכן כמו ג’ומלה, וורדפרס, דרופל, מג’נטו וכדומה – בנויה מבסיס נתונים ומערכת קבצים המתקשרים בינם לבין עצמם ועם בסיס הנתונים. מערכות ניהול תוכן אלו בנויות מלכתחילה באופן ובצורה שנועדו למנוע פריצה לאתר: דירוג הרשאות משתמשים, הגנה מפני מתקפות Brute Force וכדומה. כמו כן, מערכות ניהול התוכן הללו עוברות בדיקות והערכות הגנה ומעת לעת משחררות עדכוני גירסה הכוללים תיקוני פרצות שהתגלו ועדכוני אבטחה נוספים. בעת בניית אתר אינטרנט, יתקין בונה האתר מערכות הגנה מפני הזרקת SQL, מערכות הגנה מפני תקיפות DDoS ומערכות הגנה נוספות, אשר אינן מהוות בדרך כלל חלק אינטגרלי ממערכת ניהול התוכן.

.על בונה האתר להסביר לבעלי האתר את אופן פעולת מערכות האבטחה המובנות והמותקנות ואת האופן בו עליו לנהוג במידה ואחת המערכות מתריעה על פעילות חשודה או גרוע מכך – ניסיון פריצה לאתר. באמצעות ידע זה יוכל בעל האתר לתת מענה ראשוני החשוב מאד לנוכח סיכון אבטחה כלשהו המובא לידיעתו. ניקח למשל מקרה טיפוסי של אבטחת אתרי אינטרנט: מצב בו בעל האתר מקבל דוא”ל אוטומטי מהאתר המודיע לו באמצעות מערכת האבטחה של האתר כי בוצע ניסיון להתקין תוסף באתר. בעל האתר יוודא תחילה כי לא מדובר באדם נוסף האמון על תחזוקת האתר או פיתוחו ולאחר מכן, במידה ומדובר בגורם חיצוני, יחסום בעל האתר את כתובת ה- IP ממנה בוצע ניסיון התקנת התוסף. אחת מן הסיבות הנפוצות ליצירת מצבים מעין אלו מלכתחילה הינה עקב היעדר עדכון גירסת מערכת ניהול התוכן ו/או היעדר עדכון תוספי צד שלישי הפועלים באתר. חשוב להבין כי נושא של האבטחה מדגיש כל הזמן את ההכרח לשמור על גירסאות עדכניות של מערכות ניהול התוכן וגירסאות עדכניות של כל תוספי צד ג’ הפועלים במערכת, שכן אלו ואלו מתעדכנים לא רק לצורך שיפור המערכת, אלא כל אימת שמתגלה בהם פרצת אבטחה או פוטנציאל לפרצת אבטחה.

אבטחת אתרי אינטרנט על ידי חברת אחסון האתר

אבטחה של אתרים ברשת אינטרנט על ידי חברת אחסון האתר מתבצעת בשני מישורים עיקריים: המישור הפרו אקטיבי – מישור פעולה בו קיים ניטור קבוע של התעבורה בשרת אחסון האתר והתעבורה באתרי האינטרנט המאוחסנים בשרת, כאשר פעילות חשודה מקבלת תשומת לב מיידית עד כדי השבתה שלה וסילוק הגורם העוין מן השרת. כאשר זוהתה פעילות חשודה, או פרצת אבטחה, או ניסיון החדרת נוזקה לאחד מאתרי האינטרנט המאוחסנים בשרת תפנה חברת אחסון האתר לבעלי האתר ותתריע בפניו כי זוהתה אצלו פרצת אבטחה שעליו לתקנה. חשוב לציין כי קיימת זכות לחברת אחסון האתר שלא להמשיך לאחסן אתר אינטרנט אשר מהווה פוטנציאל נזק לאתרים אחרים בשרת האחסון או לשרת האחסון עצמו. זאת – לפי שיקול דעתה ובהתאם לשיתוף הפעולה של בעל האתר לתיקון הבעיה שהתגלתה אצלו. המישור האקטיבי – פעולות מנע ופעולות בזמן אמת המבוצעות על ידי חברת אחסון האתר להשמדת האיום או הרחקתו מסביבת האתר וסביבת שרת האחסון.

אבטחת אתרי שונה בין שרתי לינוקס לשרתי Windows. מבלי להיכנס ליתרונות או לחסרונות של שרת אחסון אתרים כזה או אחר, נדגיש כי אתרי אינטרנט המבוססים על שפת PHP ובסיס נתונים MySQL יאוחסנו בשרתי לינוקס, לעומת אתרי אינטרנט המבוססים על טכנולוגיית דוט.נט אשר יאוחסנו בשרתי Windows. דבר נוסף שחשוב להבין בעניין זה הינו גירסאות ה- PHP הפועלות בשרת אחסון אתרים לינוקס. שפת התכנות PHP מתעדכנת ומשתפרת כל הזמן בזכות הקהילה העולמית הבונה את השפה, תומכת בה ומפתחת אותה. לגירסת PHP השפעה ניכרת על אבטחת אתרי אינטרנט המבוססים על PHP וחשוב מאד לעדכן בפאנל ניהול אחסון האתר את גירסת ה- PHP לעדכנית ביותר. על חברת אחסון האתר לאפשר ללקוחותיה מנגנון לעדכון גירסת PHP של חשבון האחסון.

אבטחה מושפעת גם מהיכולת להצפין את התעבורה שבין האתר לבין שרת האחסון. במילים אחרות: אבטחת אתרי אינטרנט ניתנת לשיפור באמצעות התקנת תעודת SSL אשר מצפינה את התעבורה בין מידע המוגש על ידי הגולשים באתר, לבין שרת אחסון האתר המקבל נתונים אלו ומעבד אותם. ספקי אחסון אתרים מאפשרים ללקוחותיהם להתקין תעודות SSL מסחריות וכן תעודות SSL חינמיות (Self Signed) אשר מופעלות על ידי שרת אחסון האתר. מלבד העלות הכספית, אין הבדל בין הצפנת התעבורה באתרי אינטרנט באמצעות תעודת SSL מסחרית לבין הצפנת התעבורה באתרי אינטרנט באמצעות תעודת SSL חינמית, כאשר תעודת SSL חינמית מתחדשת אוטומטית כל שלושה חודשים.

נושא האבטחת גם קשור לחוזק סיסמאות הגישה לפאנל ניהול האתר וחוזק סיסמאות הגישה לבסיס הנתונים של האתר. האחריות להשתמש בסיסמאות גישה חזקות (סיסמאות הכוללות אותיות, תווים ומספרים) היא כמובן על לקוח אחסון האתר, אולם באחריות ספק אחסון אתרים – ראשית לתת אפשרות שימוש במחולל סיסמאות חזקות וכמו כן, במהלך ניטור האבטחה הקבוע של שרת אחסון האתר, לזהות סיסמאות קצרות ולהתריע בפני בעלי חשבון האחסון כי עליו לשנות את הסיסמאות שלו לחזקות יותר.

אבטחת אתרי אינטרנט בצד חברת אחסון האתר מבוססת גם על מתן או חסימה של גישה לפאנל ניהול האחסון. אבטחה זו תאפשר כמובן גישה לפאנל ניהול אחסון האתר באמצעות שם משתמש וסיסמא לבעלי חשבון האחסון, אולם אין די בכך כדי להבטיח אבטחת אתרי האינטרנט של הלקוח. חברת אחסון האתר גם תגביל ותחסום באופן גורף גישה לפאנל ניהול אחסון האתר ממדינות הידועות כמדינות עוינות לישראל. יחד עם זאת, תאפשר חברת אחסון האתר חריגה מחסימה זו, במקרים בהם בעלי חשבון האחסון מבקש לתת גישה למתכנתים ממדינות זרות. הדרך לעשות זו הינה על ידי מתן גישה ייחודית וייעודית לכתובת IP ספציפית – גישה מוגבלת בזמן ובעלת תיעוד כתוב המסביר לצורך מה ניתנה הגישה המיוחדת.

עניין נוסף הקשור בתחום אבטחת אתרי אינטרנט בצד חברת אחסון האתר, הינו הרשאות קבצי האתר והרשאות התיקיות. הרשאות אלו הינן בדרך כלל ברירת מחדל וקובעות את ההרשאות: 644 לקבצים ו- 755 לתיקיות. כעקרון אין סיבה לשנות הרשאות אלו לקבצים ותיקיות, אולם קיימים מקרים בהם יש לשנות הרשאות אלו. השינוי מבוצע לרוב על ידי בעלי האתר, אולם על חברת אחסון האתר להתריע בפניו כי בוצע שינוי כזה העלול לפגוע באבטחת המידע של הקבצים או התיקיות שהרשאתם שונתה. מומלץ מאד שלא לבצע שינויים בהרשאות קבצים ותיקיות בשרת האחסון.