בניית אתר ג'ומלה - עמידה בדרישות אבטחה

אתרי אינטרנט בכלל ואתרים ישראליים בפרט חשופים לניסיונות פריצה, פגיעה והשחתה. לעיתים מתורגמים ניסיונות אלו לכדי הצלחה. במצב זה, הנזק ומפח הנפש לבעלי האתר ולקוחותיהם הינו עצום ולעיתים בלתי ניתן לתיקון. שימו לב: הסטטיסטיקה הרשמית מדברת בשנים האחרונות על סדר גודל ממוצע של כ-900 ניסיונות פריצה על ידי האקרים לאתרים ישראליים בסיומת הדומיין co.il בכל דקה! מספר זה רק הולך וגדל ומן הסתם בחוק המספרים הגדולים - כך גם הצלחות המפגעים. למעשה, מדובר על טרור קיברנטי במלוא מובן המילה, כאשר מקור המפגעים אינו רק ממדינות ערב או מדינות העוינות את ישראל, אלא מכל מקום בעולם באמצעות יחידים וארגונים שכל מטרתם הינה לפגוע במערך הסייבר של מדינת ישראל. בניית אתרים חייבת לכלול מערך אבטחה מבוסס ויציב על מנת למנוע (ככל האפשר) פגיעה באתר. במאמר זה אדון בהרחבה בדרישות האבטחה מאתר ג'ומלה אשר נבנה עבור קהל יעד ישראלי ומאוחסן בישראל.

 

כבר בתחילת שנות ה-2000 עלה ממחקרים כי פשעי מחשב בכלל ופשעי אינטרנט בפרט הם בגדר קטגוריה מלאכותית של הפרת חוק והסטטיסטיקה אודותם מלמדת רק על המקרים שדווחו ולא על ההיקף האמיתי של הבעיה. מחקרים על ארגונים שהיו קורבנות לפשעי אינטרנט, מצביעים על מידה רבה של "אשמה" מצד הארגונים, עקב ההזדמנויות שהם עצמם יצרו עבור העבריינים. שינוי בסוגי ההזדמנויות גורם לא רק לשינוי בכמות פשעי האינטרנט, אלא גם לשינוי בגיוון האנושי של מבצעי הפשעים. זהו בעצם מעגל קסמים שבו עליה ברמת אבטחת אתרי האינטרנט או החומרה העומדת מאחוריהם, מובילה לעליה בכישורי הפורצים למערכת, הן מחוץ לה והן מתוכה.

כיום ברור לכולנו שאתוס ה"סייבר פאנק" של האקרים בשנות העשרה המונעים אחר יצר הרס, הונאה ושוד מתוך חיפוש ריגושים וסיפוק סקרנות, המתכנתים וירוסים ושולחים אותם בכדי לנקום בחברה ששונאת ודוחה אותם - אינו הפרופיל היחיד או הפרופיל המוביל של מוטיב הפגיעה באתרי אינטרנט. ארגונים כגון "אנונימוס", יחידות צבאיות ייעודיות ואנשים פרטיים כמו ג'וליאן אסאנג' (ויקיליקס) העלו את רמת הסיכון לאתרי אינטרנט לרמות גבוהות מאד. ושוב, ככל שרמת הסיכון עולה, עולים בהתאמה גם הכישורים והיכולות של מערכות ההגנה והאבטחה סביב אתרי אינטרנט ובסיס הנתונים שלהם.

ביטול אפשרות הרשמה לאתר: במידה ואין באתר שלכם צורך בהרשמת משתמשים או בכניסת משתמשים באמצעות שם משתמש וסיסמא, מומלץ מאד לבטל את אפשרות ההרשמה לאתר. ג'ומלה מאפשר ביטול אפשרות זו הן בהגדרות הכלליות (site login) והן באפשרויות המשתמשים. ביטול אפשרות זו על ידי ג'ומלה מונע מצב בו האקרים ינסו להתחבר לאתר ולנסות לפרוץ אליו כ- Registered User.

 

מניעת הזרקות SQL: הזרקת SQL היא שיטת פריצה לאתרים ולבסיס נתונים המשתמשת לרוב בשדות קלט (טפסים ליצירת קשר למשל) לשם ביצוע שאילתות זדוניות לבסיס הנתונים - לגרום לקריסתו או לפריצה אליו. ג'ומלה עובדת עם בסיס נתונים MySQL וגם מאפשרת התקנת רכיבים ייעודיים אשר ימנעו הזרקות SQL לבסיס הנתונים. מומלץ להתקין רכיב שכזה ולהגדיר אותו לפעולה הן על צד האתר והן על צד פאנל הניהול. כמו כן, מומלץ להגדיר את הרכיב לשלוח התרעות לאדמין על ניסיונות הזרקת SQL, על מנת שזה יוכל לחסום את כתובת ה- IP ממנה בוצע הניסיון.

 

הקשחת זיהוי משתמשים בכניסה לאדמין: כמה פעמים מותר לאדמין לטעות בשם המשתמש או הסיסמא שלו בכניסה לפאנל ניהול האתר? שאלה זו אינה נשאלת רק על ידי מנהלי האתר, אלא גם על ידי מי שמבקשים לפרוץ אליו היות וכלי פריצה המבצעים Brute Force Attacks מתבססים על כך שמרב הפעולה שלהם אינו מוגבל מבחינת ניסיונות הכניסה הכוחניים לפאנל ניהול האתר. על מנת למנוע הנחת יסוד זו, ניתן להתקין באתר ג'ומלה רכיב המנהל ומנטר את מספר ניסיונות הכניסה הכושלים לפאנל ניהול האתר וגם "מעניש" כאשר מספר הניסיונות עובר את המספר שהוגדר על ידי מנהלי האתר. הענישה מתבטאת בשני מישורים: האחד הוא פרק הזמן אשר יוקצב להמתנה בין ניסיון כניסה כושל אחד למישנהו והשני, למספר ניסיונות הכניסה הכושלים עד לחסימת כתובת ה- IP של המשתמש. רכיב זה הינו רכיב חזק מאד ומשמעותי מאד לאבטחת האתר ומומלץ להגדיר את הפרמטרים שבו באופן שבו תוקשח אבטחת האתר והתרעות תישלחנה למנהלי האתר כל אימת שבוצע ניסיון של Brute Force Attaack.

 

הגבלת הגישה לפאנל ניהול האתר לישראל בלבד: אם אתר האינטרנט שלכם מיועד לקהל גולשים בישראל, אתם חיים בישראל ואתם מנהל את האתר שלכם מישראל - מדוע לאפשר גישה לפאנל ניהול האתר ממדינות שאינן מישראל? קובץ htaccess ייחודי וייעודי בו אנו משתמשים, מאשר גישה לפאנל ניהול האתר רק מישראל. קובץ זה יודע לאפשר גישה לתיקיית administrator רק עבור כתובות IP מישראל. במצב זה נחסך מכם הצורך לבקר ולנטר את הגישה לניהול האתר משאר העולם. הדבר כמובן אינו משפיע על החלק הקדמי אשר נשאר פעיל ונראה לכל העולם.

 

הסתרת ה- URL לפאנל ניהול האתר: ברירת המחדל של אתר ג'ומלה היא להשתמש בשם הדומיין ולאחריו administrator/ על מנת להיכנס לפאנל ניהול האתר. עובדה זו מקילה מן הסתם על האקרים אשר מבקשים לפרוץ לפאנל ניהול האתר. למרות זאת, ניתן להסתיר את ה- URL הדיפולטי של פאנל הניהול באמצעות רכיב ייעודי של ג'ומלה אשר מאפשר להגדיר כתובת URL שונה לחלוטין ואישית, אשר תשמש אתכם לצורך כניסה לפאנל ניהול האתר. כל ניסיון להגיע ל- URL הדיפולטי, תחזיר את המשתמש לדף הבית של האתר. חשוב מאד לזכור את הנתיב האישי שלכם ולא לשכוח אותו, אחרת לא תוכלו להיכנס לפאנל ניהול האתר שלכם... (אל חשש יש גם דרך לתזכורת אם שכחתם).

 

סיסמת שרת בכניסה לפאנל ניהול האתר: מעגל אבטחה נוסף אותו ניתן להטמיע עבור אתר ג'ומלה, הוא ברמת שרת האינטרנט שבו מאוחסן האתר (Hosting). ברגע שמייצרים סיסמת כניסה לתיקיית administrator, כל כניסה לפאנל ניהול האתר דרוש הזנת שם משתמש וסיסמא על מנת להציג את מסך הכניסה לפאנל ניהול האתר. מעגל אבטחה זה משמש כתנאי מקדים להגעה לפאנל ניהול האתר. אי עמידה בתנאי זה תייצר שגיאת שרת ולא תאפשר גישה לפאנל ניהול האתר.

 

שימוש ברכיבי ג'ומלה חזקים ואמינים: חנות ההרחבות של ג'ומלה כוללת כ-10,000 הרחבות אפשריות לאתרי ג'ומלה. ככלל, אם ניתן להשתמש בליבת ג'ומלה במקום בהרחבה - מומלץ לעשות כן. יחד עם זאת, רכיבי ג'ומלה נבדלים זה מזה ביכולות ובעוצמות האבטחה שלהם. חשוב לעשות שימוש רק ברכיבים אמינים מבחינת אבטחת האתר, על מנת שגם אם רכיב מסוים משרת את הצורך שלכם באופן מושלם, לא מומלץ להשתמש בו במידה והוא יוצר פרצת אבטחה. בנוסף, מומלץ לעדכן את סדרת ג'ומלה היות ועדכוני אבטחה מהווים לא אחת חלק נכבד מהעדכונים השוטפים למערכת.

 

וודאו שחברת האחסון שלכם מאפשרת לכם לגבות את האתר ולשחזר אותו לפחות ל-3 נקודות זמן. במידה וקרה הגרוע מכל והאתר נפרץ והושחת, שחזור מהיר לנקודת הזמן הקרובה ימנע מכם את עוגמת הנפש והנזק המלווים בפריצת אבטחת האתר. חשוב לא פחות לאחר ביצוע השחזור, לתחקר את הפריצה, לגלות את המקור והסיבה ולסתום מהר ככל האפשר את הפירצה על מנת שהמקרה לא ישנה.