מאמרים האתר שלי נפרץ

[YYDevelop]

קודם כל ולפני הכל,
שתהיה לכולנו שנה טובה ומתוקה (-:

---------------------------------------------

אני הבעלים של כמה עשרות אתרים,
כולם בנויים על וורדפרס,
וזה אומר שללא תחזוקה שוטפת,
זה רק עניין של זמן עד שהאתרים יפרצו.

הפעם הראשונה שאחד האתרים שלי נפרץ,
הייתה מלחיצה במיוחד,
ולא ידעתי להתמודד עם זה.

הנזק של הפריצה הזאת היה מאוד גדול,
ואיבדתי כמה חודשים של עבודה.

הפעם הראשונה שאתר של לקוח נפרץ,
הייתה הרבה יותר מלחיצה,
אבל הפעם הייתי מוכן,
וידעתי להתמודד עם המצב ולתקן את הבעיה.

---------------------------------------------

וורדפרס היא מערכת קוד פתוח,
וזה אומר שלפורצים יש אפשרות,
לסרוק את הקוד של המערכת ולחפש פרצות.

ובנוסף המערכת מגיעה,
עם כמה חורי אבטחה,
שמאוד חשוב לסגור.

ואם נוסיף עוד קצת שמן למדורה,
בשנתיים האחרונות אפשר לראות,
הרבה יותר אתרים ישראליים שנפרצים מפעם.

בתקופה האחרונה יש אפילו 2 חברות אחסון ישראליות,
שנפרצו וכך גם כל האתרים שהיו מאוחסנים בהם.

לחברה אחת לקח כמה ימים להתאושש,
ולחברה השנייה זה לקח כמה חודשים.

החלק המעניין שאחת מהחברות שנפרצו,
היו מפרסמים מודעה בעבר,
שבכל דקה נפרץ אתר וורדפרס נוסף,
בנקודה מסוימת הם הצטרפו לסטטיסטיקה.

---------------------------------------------

הרעיון המרכזי בהגנה על אתר זה מניעה,
במידה ומישהו מספיק רציני ירצה לפרוץ לאתר,
אז רוב הסיכויים שהוא יצליח.

גם לפנטגון הצליחו לפרוץ,
אז פריצה לאתר שלך זה הרבה יותר פשוט.

המטרה שלנו היא לעשות את זה מספיק קשה,
כדי שהוא יחליט שזה לא שווה את הזמן,
יש פתרון מושלם עבור זה.

 

[אלעזר 1]

הדבר הכי חשוב - הגנה על דף הכניסה לאתר
קישור הכניסה לאתר בברירת המחדל זהה בכל האתרים שבנויים על וורדפרס
ובאמצעות התקפה שמריצה אלפי סיסמאות ברצף אפשר לפצח סיסמאות - בפרט אם לא בחרתם בסיסמה קשה
יש תוספים מומלצים שסוגרים את החור הזה באמצעות הגבלת כמות ניסיונות הכניסה
כך שלאחר X נסיונות שנכשלו אי אפשר להתחבר עם שם המשתמש הזה למשך X זמן

יש הרבה אתרים שמאפשרים לבדוק את חוזק הסיסמה, אבל בכל אופן לא הייתי ממליץ להכניס שם את הסיסמה האמתית שלכם.

How Secure Is My Password? | Password Strength Checker

Passwords are the bloodline of data and online security, but our research on the password habits in the U.S. shows that less than half of Americans feel

www.security.org

 

[אלעזר 1]

אגב, שינוי Prefix לבסיס הנתונים היא פעולה מיותרת בעלת פוטנציאל נזק גדול מהתועלת
כל מומחה וורדפרס או פורץ מיומן יכול לאחזר את הקידומת באמצעות פונקציה פשוטה ומובנית בוורדפרס

 

[סמליל]

מה זה אומר האתר נפרץ?
אם יש לי אתר, איך אני יודעת שזה קורה?
מה הנזק שעלול להיגרם לי\ללקוחות?

 

[אתרית]

אם יש לי אתר, איך אני יודעת שזה קורה?

זה לא הדאגה...

מה הנזק שעלול להיגרם לי\ללקוחות?

זה כן..

וברצינות, חוץ מסיסמא חזקה מאד, (זו שגוגל מציעה מספיקה?)
וחברת אחסון אמינה, אין עוד מה לעשות?

 

[סמליל]

ברצינות, חוץ מסיסמא חזקה מאד, (זו שגוגל מציעה מספיקה?)
וחברת אחסון אמינה, אין עוד מה לעשות?

אז בעצם אין לנו איך למנוע את זה

 

[YYDevelop]

זה לא הדאגה...

זה כן..

וברצינות, חוץ מסיסמא חזקה מאד, (זו שגוגל מציעה מספיקה?)
וחברת אחסון אמינה, אין עוד מה לעשות?

יש הרבה יותר דברים שאפשר לעשות מעבר לזה.

המטרה של ההודעה כאן הייתה לשווק קורס חדש שלי בנושא של אבטחת אתרים ושם היה אפשר לראות מה אפשר לעשות בסילבוס אבל מחקו לי את הקישור.

 

[YYDevelop]

מה זה אומר האתר נפרץ?
אם יש לי אתר, איך אני יודעת שזה קורה?
מה הנזק שעלול להיגרם לי\ללקוחות?

הנזק שעלול להיגרם זה פגיעה בתדמית, ואם אין לך גיבוי מסודר לאתר אז את גם עלולה לאבד את כל האתר.

ואם האתר נפרץ ברוב המקרים הפורץ יבצע נזק באתר וישנה את עמוד הבית, אולי גם ייצור עשרות אלפי עמודי זבל ואת תדעי. יש מקרים חריגים שבהם האתר נפרץ והפורץ לא עושה שינויים אבל זה יחסית חריג.

 

[אלעזר 1]

הנזק שעלול להיגרם זה פגיעה בתדמית, ואם אין לך גיבוי מסודר לאתר אז את גם עלולה לאבד את כל האתר.

במקרים מסוימים תוקפים יכולים לנצל את רשימת המיילים של הלקוחות למטרות שונות
שליטה באתר מאפשרת להם גם ליצור קמפיין שמבקש את פרטי האשראי בתוך האתר הקיים

 

[YYDevelop]

במקרים מסוימים תוקפים יכולים לנצל את רשימת המיילים של הלקוחות למטרות שונות
שליטה באתר מאפשרת להם גם ליצור קמפיין שמבקש את פרטי האשראי בתוך האתר הקיים

זה מאוד, מאוד חריג שמשהו כזה קורה, וזה הגיוני רק באתר שביקש פרטי אשראי לפני.

ב-90%+ מהמקרים הפריצה מתבצעת באופן אוטומטי ואין כאן פורץ שמתרגת אותך באופן אישי. בטח שלא באתרים קטנים כמו שלנו שמקבלים אלפי/עשרות אלפי כניסות. ובטח שלא באתרים שמקבלים כניסות בודדות.

 

[פרוגמטי]

אבל מחקו לי את הקישור.

פרצו לך למאמר...

 

[אלעזר 1]

ב-90%+ מהמקרים הפריצה מתבצעת באופן אוטומטי ואין כאן פורץ שמתרגת אותך באופן אישי. בטח שלא באתרים קטנים כמו שלנו שמקבלים אלפי/עשרות אלפי כניסות. ובטח שלא באתרים שמקבלים כניסות בודדות.

דווקא היה לי בעבר באתר שתחזקתי מקרה שבו הותקף אתר עם היקף כניסות קטן בפריצה ממוקדת

האתר ההוא לא היה בנוי בוורדפרס וכתובות ה-API היו חשופות בקוד גם למשתמשים לא רשומים
התוקף הריץ מאות פעולות בדקה והפיל את החיבור למסד הנתונים
במקרה ההוא התוקף חזר לתקוף שנית כעבור מספר ימים,
זיהיתי את התנועה החריגה וביצעתי בזמן אמת שינוי קטן בקוד שחוסם גישה לשאילתות מסד נתונים למשתמשים לא מחוברים - מה שמנע את הפלת החיבור למסד הנתונים בשנית

אגב, זיהוי אתר שמותקן בו וורדפרס נעשה בצורה פשוטה מאוד באמצעות כלים שסורקים במהירות אלפי אתרים
לאחר שאתר מזוהה כ-'אתר וורדפרס' התקיפה עוברת לשלב ב' באמצעות 'סל כלים' של ניסיונות לפריצת סיסמת מנהל, איתור פרצות אבטחה בתוספים ותבניות שלא עודכנו ועוד...
גם ה-rest API של וורדפרס חושף נקודות קצה ומידע חשוב - כגון שם המשתמש של המנהל (למקרה שבו הוא הוחלף...) ועוד

 

[אתרית]

לשווק קורס חדש שלי בנושא של אבטחת אתרים

נו, ומי שבכל אופן מעניין אותו?

 

[YYDevelop]

נו, ומי שבכל אופן מעניין אותו?

נראה כאילו סגרו גם את הפורום הרמטית אז גם אי אפשר לשלוח הודעה פרטית.
אתה יכול לחפש בגוגל בית הספר לוורדפרס ולראות פרטים נוספים.

 

[הכלבויניק]

המטרה של ההודעה כאן הייתה לשווק קורס חדש שלי בנושא של אבטחת אתרים ושם היה אפשר לראות מה אפשר לעשות בסילבוס אבל מחקו לי את הקישור.

אתה יותר ממוזמן לתרום ולהשתתף בדיון שמתפתח פה בזכותך!

ואם כבר מדברים על פריצה לאתרים...
ע"פ כללי האתר, תוכן שיווקי ועסקי אסור לפרסום ללא אישור.

אגב, למנויי פרימיום יש ארגז כלים עצום לפרסום עסקי בעלות אפסית, כגון חתימה, הודעות פרטיות, מודעות בלוח העסקי בחינם, קישור בפרופיל ועוד.
(והיום יש קופון מיוחד לכבוד תחילת השנה. למי שקיבל).

בהצלחה!