אבטחת מידע באתרים

מהן השיטות לאבטחת מידע באתרי אינטרנט?

אבטחת מידע באתרים ברשת האינטרנט הפכה להיות אחת הסוגיות הרגישות ביותר בשנים האחרונות. אם בהתחלה חשבנו שרק אנחנו כישראלים חשופים לזליגת מידע שמקורן ב"סייבר טרור" ממדינות ערב כמו מספר כרטיסי אשראי, הרי שהפריצה של תקן האבטחה OpenSSL הוכיחה פעם נוספת שמדובר בבעיה כלל עולמית, והיום כבר לא נדיר למצוא התראה מהאתר האהוב עליכם שמדווח שעקב פריצה לשרתים, עליכם להחליף את שם המשתמש והססמה (רק אחרי שבדקתם שההודעה הזו בעצמה היא לא מזויפת).
הדברים נעשים יותר מסובכים כאשר אנחנו כבעלי אתרים רוצים לאבטח את האתר שלנו מפני סיכונים שכאלו, אך לרובינו את הידע הטכני או הזמן כדי לטפל בכל פרצות האבטחה האפשרויות, ולכן האחריות לרוב נופלת על חברת האחסון או החברה שמספקת לנו את מערכת ניהול התוכן (לעתים קרובות, כמו למשל במקרה של חנויות וירטואליות, מדובר באותן החברה).

למרות זאת, יש כמה צעדים פשוטים יחסית שאנחנו יכולים לעשות על מנת לאבטח את האתר שלנו בצורה טובה יותר:

הגנה על ספריות ברמת השרת

במידה ויש לנו ספריה המיועד למנהלי מערכת בלבד (Admin), חשוב להגן עליה לא רק ברמת מערכת הניהול, אלא גם ברמת השרת. במילים אחרות, מי שינסה לגשת אל הספרייה ייתקל בתיבת דו שיח של הדפדפן. אם לאחר מספר פעמים מסוים לא יקיש את השם משתמש והססמה הנכונים, תתקבל הודעת שגיאה מהשרת עצמו (לרוב 403). אם אנחנו המשתמשים היחידים במחשב ויש לנו חומת אש ואנטי וירוס, נוכל להורות לדפדפן לזכור את שם המשתמש והססמה כך ששכבת ההגנה הכפולה הזו לא תטריד אותנו יותר מדי.
באופן דומה, אם יש לנו ספריה אליה אנחנו מעלים לדוגמה תמונות, יש לוודא כי ההרשאות אינן מאפשרות להריץ (execute) סקריפטים מספריה זו. כך הסיכוי שהאקר יצליח לשתול סוס טרויאני באתר ולהפעיל אותו בהצלחה יפחת.

תעודת SSL ושמירת פרטי האשראי על השרת

אם יש לנו אפשרות למכירת מוצרים באתר ואנחנו מעוניינים לספק גם אפשרות לתשלום ישירות בכרטיס אשראי (לא רק דרך PayPal), עלינו להצטייד בתעודת SSL מתאימה. השוני בין התעודות מתבטא בחוזק ההצפנה וגובה האחריות אותה חברת האבטחה תספק לנו במקרה של פריצה בה ייגרם ללקוחות נזק.
יש צורך להדגיש שתקן SSL מטפל אך ורק בהעברת פרטי האשראי מהדפדפן של המשתמש לשרת שלנו ופרטי האשראי עצמם אינם נשמרים אצל אף אחד מן הצדדים. ישנם אמנם אתרים אשר מאפשרים למשתמש לשמור את פרטי כרטיס האשראי שלו, אך מדובר בסיכון גדול מאוד מכיוון שכפי שכבר הסברנו, אין אתר מאובטח לחלוטין ובמקרה זה שום גוף, כולל החברה שמאחסנת את האתר, לא תוכל לקחת עליה את האחריות.
לעומת זאת, מרבית הפתרונות סטייל PayPal (גם המקבילים הישראלים כמו למשל טוקניזציה) שמפנים את הגולשים לשירות סליקה חיצוני, מספקים אפשרות לשמירה מאובטחת של פרטי האשראי לפי תקן PCI של חברות האשראי עצמן, כך שהאפשרות עדיין קיימת.

שימוש בכלים של גוגל

כלי מנהלי האתרים של גוגל מספקים כמה כלים שימושים להגנה על האתר. בין היתר אפשר לזהות תוכנות זדוניות שכבר הותקנו עליו ובמקרים קיצונים גוגל אף מונע מהגולשים להיכנס אליו במטרה להגן עליהם מפני הדבקה בווירוס שיכול לדלג אל המחשב שלהם. לכן, אם עדיין לא אימתתם את האתר שלכם, זה הזמן לעשות זאת.

עדכון אוטומטי של המערכת והחלפת סיסמאות

אם אתם משתמשים במערכת קוד פתוח כמו לדוגמה וורדפרס או ג'ומלה, שימו לב שהן המערכת עצמה והן ההרחבות שלה מעודכנות לגרסאות האחרונות ביותר. בדרך כלל מספיק לספק ססמת FTP פעם אחת, והמערכת תעשה את שאר הפעולות לבד. בנוסף לזאת, את הססמה למערכת הניהול עצמה ולחשבון ה - FTP רצוי להחליף לכל הפחות פעם בחודשיים.

לסיום, מילה אחת או שתיים על מסדי נתונים

למרות שגם מסדי נתונים מוגנים בשם משתמש וססמה, האקרים רבים משתמשים בניצול פרצות אבטחה בטפסים ועמודים הקולטים מידע מן המשתמשים על מנת לקבל גישה למידע רגיש שלא אמורה להיות להם גישה אליו (כמו לדוגמה ססמאות של משתמשים אחרים באתר).
אם בניתם את האתר שלכם באופן עצמאי בעזרת חברה לבניית אתרים ולא התבססתם על מערכת ניהול תוכן מוכרת, עליכם לדרוש כי המערכת שמסופקת לכם תהיה מוגנת בפני SQL Injections ברמה בסיסית (דרישה שכל מתכנת מנוסה אמור להיות מסוגל לעמוד בה). כמו כן, את הססמאות עצמן אפשר להצפין באופן חד כיווני, כך שלא יהיה ניתן לשלוף את המקורית בקלות גם אם מסד הנתונים עצמו נפרץ (החיסרון של הצפנה חד כיוונית הוא שלא ניתן לשחזר את הססמה במלואה, אלא רק לאפס אותה).