במאמר זה נסקר מספר היבטים הקשורים לאבטחת חשבון האחסון שלך על מרכיביו השונים ואבטחת אתר האינטרנט שלך בפרט. סוויטהום מפעילה מספר מערכות הגנה ברמות שונות, כגון פיירוולים, מערכות IPD/IDS, מערכת Anti-DDOS, אנטיוירוסים על שרתי דואר ו-Web, מערכות אנטיספאם לדואר, Application Firewalls ומערכות Brute Force Detection. עבודת האבטחה נעשית שכבות שכבות, בתיאום עם הלקוח תוך שמירת הקו הדק בין אתר מאובטח לתפעול נוח ויעיל.
אבטחת אתרי האינטרנט של הלקוחות שלנו ושמירה על המידע שלהם חסוי וגלוי רק להם, זהו ערך עליון מבחינתנו. שירותי אבטחת אתרים בחברה שלנו מבוססים על ניסיון רב של טכנאי החברה, שימוש בטכנולוגיה הכי חדישה, בתוכנות העדכניות והפופלאריות ביותר, ביצוע בקרה וניטור באופן שוטף והדרכת לקוחות החברה לשמירה על נהלי אבטחת מידע ואבטחת אתרים.
חשבונות אחסון לאתרים על שרתי Cloud-Linux בישראל
ממשק ניהול cPanel, הגנת WAF באמצעות mod_security / CSF
גרסאות Apache/PHP/MySQL מעודכנות
מודעות גבוהה לאבטחת מידע והגנה על מערכות אינטרנט
לחצ/י כאן לעמוד חבילות אחסון Linux/cPanel
להלן מבחר טיפים ועצות שימושיות שיבטיחו הגנה מירבית לאתר וחשבון האחסון שלכם:
בחירת סיסמא נכונה לשרותים השונים
חלק חשוב בשמירה על בטיחות חשבון אחסון האתרים או השרת וירטואלי הוא קביעה, החלפה ושמירה על סיסמא חזקה ועדכנית. אנו ממליצים תחילה לבחור סיסמא שניתן לזכור. שנית, הסיסמא צריכה להיות חזקה ככל שהמערכת שמקבלת אותה יכולה. רוב המערכות יקבלו סיסמא של לפחות 8 תווים. נסו לייצר סיסמא שמורכבת ממילה אחת ארוכה או שתי מילים, בשגיאת איות אשר לא ניתנת למציאה מתוך מילון, יחד עם תו מיוחד, אות אחת גדולה לפחות ומספר. אם תשקיעו בזה כמה דקות המח שלכם יתחיל לייצר שמות לפחות כמו מחשבי הצבא עם "עופרת יצוקה" ו-”עמוד ענן". הנה שתי דוגמאות טובות: amud4An$ ; Hofer#et . נהוג להחליף סיסמא כל 3 חודשים לפחות. צוות סוויטהום כמעט לעולם לא יבקש את הסיסמא שלכם. גם אם מישהו יבקש, הוא ינחה אתכם לגשת לטופס יצירת הקשר באתר ולסמן את אופציית ההצפנה (PGP) לפני המשלוח. דבר חשוב אחרון – אל תשתמשו באותה סיסמה, או בשיטת קביעת סיסמה עקבית למערכות שונות. בחרו סיסמא ייחודית שלא ניתן לנחש בעזרת סיסמא אחרת שלכם. לאחרונה דלפו רשימות של שמות משתמשים וסיסמאות מאתרים שונים והבעיה התעצמה עם אנשים בעלי סיסמא זהה לדואר אלקטרוני, חשבון אחסון, PayPal ועוד.
חיבור באמצעות פרוטוקול SSL לאתר אינטרנט
סוויטהום מציעה לכל לקוח גישה לאתר שלו באמצעות פרוטוקול SSL. ראשי התיבות של SSL הן Secure Socket Layer. בעל האתר או חברת האחסון רוכשות מחברה מוכרת תעודה, אותה מתקינים על שרתי האינטרנט השונים וכשניגשים לאתר או לדואר באמצעות שם שרת תחת דומיין מוגן התעבורה בין השרת ללקוח מוצפנת. לסוויטהום דומיין ייחודי לצורך נושא זה – secured.co.il אשר תחתיו אנו מספקים קישורי "מראה" לאתרי הלקוחות. לקוח על שרת cpanel יקבל לינק בצורת https://cpanelX.secured.co.il/~username ולקוח על שרת H-sphere יקבל קישור בצורה https://CUSTOMNAME.secured.co.il – כאשר CUSTOMNAME ניתן לקביעה ע"י הלקוח. כמו כן חלק משרתי ה-FTP ניתנים לחיבור באמצעות SSL וכן כל הפרוטוקולים של דואר אלקטרוני ניתנים לגישה ב-SSL. אנו ממליצים להגן על איזורי אדמיניסטרציה, כניסת לקוחות וכל מקום אחר שגולשים רגילים לא צריכים להסתובב בו ב-SSL, אפילו שיתופי. לקוחות עסקיים, אשר רכשו כתובת IP יעודית יכולים להתקין תעודות פרטיות, הניתנון לרישום אצל ספקי תעודות רבים בחשבון אחסון האתרים שלהם. ממשקי הניהול מאפשרים הכנת בקשת תעודה – CSR וסוויטהום תשמח להנפיק עבורכן מבחר תעודות במחירים מיוחדים ללקוחותיה.
אבטחת חלקי אדמיניסטרציה באתר באמצעות שם משתמש וסיסמה
סוויטהום מאפשרת להציב הגנה על תיקיות בתוך חשבון האחסון שלך, הן על שרתי לינוקס והן על שרתי ווינדוס. הרבה מערכות מספקות לוגין מרוכז לגולשים ולמנהלים. בפועל מתגלות עם הזמן פרצות אבטחה, חלקן מתבאות בעקיפת בדיקתsession או עקיפת מנגנוני האבטחה של האפליקציה בדרכים אחרות. במצב זה, הגנה נוספת ברמת Basic Authentication תמנע את ההתקפה מכיוון שהפורץ יצטרך בנוסף פרטי גישה או לפרוץ לשרת Apache. אם הוא יודע לפרוץ Apache מעודכן כנראה שהאתר שלך ממש מעניין האקר ברמה בינלאומית, הצלחת בגדול 🙂 ממשקי הניהול שלנו מגיעים עם שלל כלים להגדרת הגנה על תיקיות, כולל שרתי ה-Windows אשר עושים זאת בצורה יפה ונקיה ע"י תוסף ISAPI המדמה התנהגות של קבצי .htaccess על שרתי לינוקס/אפאצ'י.
אחסון בטוח ומוגן על שרתי Microsoft Windows
ממשק ניהול Plesk, שרתי MS-SQL/MySQL נפרדים
גישת SSL מוגנת לכל השרותים כולל דואר אלקטרוני
לחצ/י כאן לחבילות Windows במחירים חסרי תקדים!
מה עושים במקרה של פריצה לאתר?
עבודת הבדיקה לאחר פריצה לאתר נקראית בעגה מקצועית Forensic Investigation. הרבה מונחים וצורות התנהגות מובאות לסיטואציות וירטואליות מהעולם האמיתי. זיהום זירת פשע בעולם הוירטואלי יכול להווצר על ידי עריכת קובץ (ושינוי תאריך גישה אליו), מחיקת לוגים, שחזור מגיבוי וכו. מהרגע שנתגלתה הפירצה אנחנו רוצים להשיג מספר דברים: ראשון, לגלות מתי בדיוק פרצו. את זה בד"כ מגלים ע"י בדיקת תאריך שינוי הקבצים. רוב הפרצות שאנו נתקלים בהן הינן למטרת השחתת אתר, לרוב ממניעים פוליטיים, ניצול חשבון האחסון לתקיפת מערכות אחרות, משלוח דואר זבל וכמובן גניבת מידע. אחרי שגילינו מתי האתר נפרץ, ניגש לבדוק את הלוגים של שרת האינטרנט ושל שרת ה-FTP. אם אין לך גישה ללוגים של שרת ה-FTP בקש בדחיפות מהתמיכה לבדוק זאת עבורך. אם הפירצה לא קרתה כתוצאה מחיבור לשרת באמצועות FTP עם פרטי משתמש נכונים (וגנובים כנראה), הפירצה נעשתה ע"י ניצול פירצה באחד הסקריפטים שמאוחסנים על השרת. אם זה נכון, בלוג שרת השרת, אליו תמיד יש לך גישה תוכל לבדוק לאיזה עמוד ניגשו בדיוק בזמן שבו הקובץ שבדקת קודם שונה. מדובר על הצלבת נתונים פשוטה שלרוב מגלה את הסקריפט הסורר. במקרה שהחשבון נוצל לרעה והוציא דואר זבל, חשוב להסתכל על כותרות ההודעות היוצאות (mail headers). רוב ממשקי הניהול יוסיפו שורה הנקראית X-PHP-Mailer ובה יופיעו פרטים על הסקריפט שהוציא את הדואר. חשוב ביותר – במקרה שגיליתם דליפת מידע מהאתר – הודיעו לכל הנוגעים בדבר, חברי פורום, משתמשי קצה וחברות אשראי במקרה של גניבת פרטי כרטיסים. צריך לזכור שחלק מהגולשים משתמשים באותה סיסמא להרבה דברים (רע מאוד לכשעצמו) ובמקרה של דליפה הרבה חשבונות אחרים שלהם בסכנה.
איך מאבטחים טפסי רישום ויצירת קשר באתר?
אחת הבעיות הנפוצות כיום היא ניצול לרעה של טפסי יצירת קשר באתרים לצורך משלוח דואר זבל או השתלת תוכן פרסומי באתר (Content Spam). אחת ההמצאות למלחמה ברובוטים היא ה-Captcha, מנגנון המייצר מילה אחת או שתיים באופן אקראי וקצת קשה לקריאה ממבט ראשון. זה פתרון מעצבן אבל עובד, רובוטים לא יכולים לבצע קריאה כמו עין אנושית שמחפה על שגיאות, איות שגוי וכו. לגבי דואר זבל, אנא ודאו שלא ניתן לעקוף את שדות ה-To, CC, BCC ע"י משלוח פרמטרים ישירות לסקריפט. כתובת הדואר אליה המידע נשלח צריכה להיות רשומה בתוך הסקריפט עצמו ולא בתוך עמוד ה-HTML. מומלץ להגדיר גם SPF Record לדומיין על מנת להודיע לשרתי דואר בעולם ששרת ה-Web מורשה להוציא דואר בשם הדומיין בנוסף לשרת ה-MX.
כיצד שומרים על אתרי וורדפרס / ג'ומלה מפריצות והשתלטות עוינת?
למרות שלא ניתן ממש לכסות נושא כה רחב בשתי פסקאות ננסה לתת כמה עצות שיורידו בצורה משמעותית את הסיכוי למצוא תמונה של ארגון ערבי במקום האתר שלך. חלק גדול מאבטחת האתר נעשית ע"י בחירת ספק אינטרנט מתאים. יש לוודא שהספק מריץ ממקש ניהול טוב ועדכני, כמו cPanel, Plesk או H-sphere. כמן כן צריך לבדוק שגרסאות התוכנה, בעיקר PHP, MySQL, Apache מעודכנות לגרסאות אחרונות המסופקות ע"י מערכת ההפעלה או ממשק הניהול. באופן עקרוני אנו מעדיפים למקם אתרי PHP על שרתי לינוקס בגלל יכולת הפרדה ואבטחה טובה יותר. רצוי לבדוק עם הספק איזה מערכות אבטחה נוספות הוא מפעיל על השרתים ומחוץ להם (mod_security, application firewall, IPS/IDS Systems וחשוב מכל, איך מתבצעים הגיבויים ובמה כרוך שחזור אתר, באופן חלקי או מלא. השלב הבא ביצירת סביבה מוגנת הוא שמירה מתמדת על עדכון האפליקציה (וורדפרס, ג'ומלה, דרופל וכו.), כולל כל המרכיבים הנוספים כגון פלאגינים, תוספים, מודולים, תבניות, שפות וכל דבר אחר שהותקן באתר. יש לזכור שמדובר במערכות קוד פתוח וכולם יכולים לקרוא את הקוד ולאתגר את המתכנתים. רק שמירה מדוקדקת על עדכון האתר ימנע פריצה. ללא ביצוע עדכונים פירצה לאתר מבוסס קוד פתוח כמעט וודאית תוך 3 חודשים עד חצי שנה, חשוב לזכור את זה לפני שמתחילים לעבוד עם תוכנות קוד פתוח שפתוחות לאינטרנט. המחמירים ילכו ישנו שמות של קבצי קונפיגורציה נפוצים, כמו config.ing.php או configuration.php למשהו אחר, וכמו כן ישנו שמות של תיקיות אדמיניסטרציה, קידומות של טבלאות ויפעילו הגנת IP ו-basic authentication למערכות האדמין בנוסף למערכת האבטחה של האפליקציות עצמן.
איזה כלים סוויטהום מספקת לצורך אימות דואר אלקטרוני?
על שרתי cPanel של סוויטהום ניתן להגדיר רשומות SPF – Sender Policy Frameword והאימפלמנטציה של מיקרוסופט – Domain Key. על שרתי ה-Hsphere כרגע ניתן להפעיל SPF בלבד. העיקרון בשני המקרים דומה – אנחנו מודיעים לעולם, באמצעות רשומה בשרתי DNS הניתנת לבדיקה פשוטה מי מורשה להוציא דואר בשם הדומיין ומי לא. כך שרתים אחרים יכולים לבדוק אם מייל בשם me@example.com יצא משרת דואר של תיבות, שרת אפליקציה או שרת דואר כמותי – שנרשם על ידינו במיוחד. ניתן לייצר רשומת SPF בהתאמה אישית בהרבה אתרים ברשת, פשוט חפשו "SPF Wizard”. אם לאתר יש דואר על שרת חיצוני (exchange למשל) חשוב להגדירו ברשומת SPF.
כיצד מאבטחים/מגינים על מסד נתונים MySQL/MS-SQL?
מסדי נתונים בדרך כלל מחזיקים נתונים חשובים. כמה חשובים? תלוי בכם. העיקר שחברות התוכנה דאגו לייצר כלים שיכולים לעזור לא מעט, אם מפעילים אותם ומשלמים עבורם. כשמדברים לע אבטחת מסדי נתונים ההבדלים בין אחסון אתרים על שרתים שיתופיים לאחסון על שרתי VPS או שרתים יעודיים מתחיל להיות משמעותי. לוגים, טרנזקציות ואפשרות להעתיק קבצים "חמים" מתחילים לבוא לידי ביטוי. יחד עם זאת, ישנם מספר דברים שיכולים לעזור במהלך הדרך. ראשית, שוב צריך לבדוק את ספק אחסון האתרים. איזו סכמת אבטחה יש לשרת, האם השרת מעודכן כהלכה, איזה גיבויים יש ומה כרוך בשחזורים והאם הספק ערני באופן כללי לבעיות אבטחת מידע. ֿהדבר השני שמומלץ לעשות הוא יצירת מספר משתמשים, עם הרשאות מתאימות לצרכים השונים. לדוגמא, יוזר של אתר יסתפק בהרשאות פשוטות כמו קריאה וכתיבת מידע, לעומת אדמין שצריך גם לייצר או למחוק טבלאות שלמות.
אבטחת חלקי אתר לגישה מכתובת IP בלבד
אבטחת חלקי אתר לגישה מכתובת IP בלבד. לקוחות על שרתי לינוקס וגם לקוחות וונדוס בעלי שרתים וירטואליים יכולים להגביל גישה חלקים שונים של האתר לכתובות IP מורשות בלבד. בשרתי הלינוקס משתמשים בקבצי .htaccess בתוכם אפשר לשים חוקים פשוטים כמו: Deny from All; Allow from 127.0.0.1 וכו. ניתן לשלב בדיקת IP בנוסף למשתמש basic authentication. לדוגמא, ניתן להגן על תיקיית wp-admin של וורדפרס באמצעות IP וכך גם אם יפרצו לוורדפרס עצמו יהיה קשה יותר לגשת לקבצים תחת תיקיית הניהול. אם לא מעדכנים את האתר לעיתים תכופות זו לא טירחה גדולה להתחבר ב-FTP לפני כל עדכון ולעדכן את כתובת ה-IP בתוך קובץ ה-htaccess והאקרים אמיתיים יודעים לכתוב סקריפט קטן בperl/PHP שברגע שניגשים אליו הוא משנה את ה-IP קובץ 🙂
אחד היתרונות בשרת פרטי הינו אפשרות לשלוט בפיירוול על כל האספקטים והחוקים שלו. בקרו בעמוד שלנו בנושא אחסון בענן לפרטים נוספים.
אבטחת דואר אלקטרוני יוצא מהשרת באמצעות GPG/PGP
דואר אלקטרוני עדיין נמצא בשימוש נרחב מאוד ככלי להעברת מידע מהאתר אל בעליו. זה יכול להיות הזמנות הכוללות כרטיסי אשראי, מידע פרטי רגיש, מידע סוציו-אקונומי, רפואי וכו. הצפנת המידע חשובה מכמה בחינות. ראשית, אם המידע נשאר על מחשב כלשהו, כולל המחשב בעסק/בבית הוא חשוף לגניבות, אשר קורות מעת לעת. התארגנות נכונה תמנע שימוש במידע גנוב ותשמור על פרטיות לקוחותיך. עיקרון ה-PGP, ראשי תיבות של Pretty Good Privacy הוא שילוב של מפתח ציבורי, מפתח פרטי וסיסמא. אתר שמוגדר לשלוח דואר מוצפן מחזיק עליו רק את המפתח הציבורי. את המפתח הזה ניתן לפרסם בכל דרך רצויה, בלעדיו אף אחד לא יכול להצפין כלום. המפתח הפרטי – Private Key יחד עם סיסמא אותה מזינים בתוכנות שונות (כמו Outlook, Mozilla, Mail) וכו נחוצים לקריאת ההודעה. החסרון בשיטה הוא שאם המפתח הפרטי או הסיסמא אבדו הלך על כל החומר. חשוב לשמור העתקים לפחות בשני מקומות שונים בטוחים.
הגנה על תוכן באתר – Hotlinking
אחד הנושאים שהרגשנו צורך להכניס למאמר זה הוא Hot-Linking, סוג של גניבת תוכן והצגתו באתרים אחרים. זה יכול להיות תמונות, אייקונים, סרטוני פלאש, באנרים, קבצי סאונד ווידאו. מעבר להיבט של זכויות יוצרים ישנו היבט של גניבת תעבורה. ברגע שאתר אחר מבצע Hotlink לתמונה בחשבון האחסון שלך למעשה אתה משלם עבור זה. אמנם חבילות האחסון שלנו מגיעות כיום עם מכסות תעבורה נדיבות ביותר ולכן בעיית ה-Hotlinking קטנה מבחינת גניבת תעבורה אך יש לזה עדיין בעיות אחרות כמו זיהום סטטיסטיקות וכמובן, עניין הזכויות יוצרים.
מה זה mod_security ואיך הוא עלול להשפיע על תפקוד האתר שלי? (לינוקס)
mod_security הינו תוסף/מודול לשרתי Apache שמאפשר סאניטציה של כתובות אינטרנט (URI) כולל בדיקת תוכן בקשות GET/POST. כך לדוגמא, ניתן להגדיר חוקים מבוססי Regular Expressions לבדיקת זהות הבקשה ותוכנה, ברמת Agent, Referer, Originating IP ובדיקת Strings מעמיקה של כל הבקשה. בנוסף mod_security יודע לבדוק cookies ולהיות גשר לתוכנת אנטיוירוס, לצורך בדיקת קבצים שגולשים מעלים לדוגמא.
מנגנון cpHULK של ממשק הניהול cPanel
ממשק הניהול cPanel מגיע עם מנגנון הגנה נרחב מסוג Brute Force Detection הנקרא cpHulk. המנגנון בודק גישה לשרותים שונים כמו FTP, Mail, SSH, MySQL, סופר מספר נסיונות גישה כושלים ומגביל גישה לכתובות IP שמנסות לגשת בצורה לא חוקית למערכות השונות. בעלי שרתים וירטואליים ויעודיים עם התקנת cpanel/whm עצמאית נהנים משלל אפשרויות הגדרה למנגנון זה, המאפשר להם להשאיר פורטים חשובים פתוחים לעולם ללא דאגה שבוטים ינגחו בשרת ללא הפרעה על שיצליחו לפצח את הסיסמא.
אחסון אתרים מבוסס Linux / cPanel ב-SweetHome
הגנה על פרטיות הגולשים – מה תקפידו של בעל אתר?
עם אגירת מידע מגיעה גם אחריות גדולה. אנו רואים אתרים שבמהלך השנים אוגרים גיגות של מידע. זה יכול להיות פוסטים של פורומים, תמונות, סרטים, לוגים של שרתים וכל מידע אחר שיכול לקשר גולש לפעילות מסוימת (התפקדות למפלגה, השתייכות פוליטית וכו.) גולשים מצפים מבעלי האתרים לא לעשות שימוש פסול במידע שנאגר ולאבטח אותו בצורה הטובה ביותר. גולש בפורום מבין שבעל האתר צריך להתפרנס, לכן הוא מציג פרסומות בצד הפוסטים. אבל אם בעל האתר יתחיל לנתח את הפוסטים ויפנה את פרטי הגולש לחברות שיווק אגרסיביות בליווי מידע מנותח עח אופיו, כאן הוא כבר עובר את הגבול. אתרים צריכים להצהיר באופן גלוי, באמצעות "הצהרת פרטיות" על כל פעולה שיעשו בתוכן אותו יעלו הגולשים לאתר, בכל אופן.
חיבור לשרתים יעודיים באמצעות VPN ו-tunneling בין מרכזי תקשורת שונים
כחלק מהשרותים המשלימים ללקוחות שרתים יעודיים ומערכות אינטרנט בשרידות גבוהה אנו מציעים חיבור לשרתים באמצעות VPN – Virtual Private Network. הלקוח יכול להשתמש בפיירוולים שלנו לצורך הקמת Tunnel יעודי בין המשרד או העסק לבין השרת אצלינו, או להתחבר בצורה בטוחה לשרת באמצעות קליינט או SSL-VPN. אנו תומכים בכל הפרוטוקולים הנפוצים כגון AES/MD5/IPSEC.
תקן PCI-DSS לסליקה וטיפול בכרטיסי אשראי בארגון
תקן PCI-DSS נולד לפני מספר שנים על מנת לאחד ולתחזק מידע והנחיות לבתי עסק וארגונים הסולקים כרטיסי אשראי באמצעות האינטרנט. למרות המחשבה הרווחת, התקן לא מתייחס רק לפעטלת קבלת פרטי האשראי דרך אתרים אלא מסתכל על כל תהליכי האבטחה והטיפול במידע בארגון. זה מתחיל מהאתר, ממשיך בשמירה על מסדי נתונים, גיבוי ושמירת המידע במקום מרוחק ובטוח, יצירת מנגנוני ניטור ובקרה על "טיול" מידע בארגון, "החתמת" מידע על מנת לאתר מקורות זליגה בעתיד ועוד אספקטים רבים לכל התהליך.
סוויטהום הסמיכה כבר מספר ארגונים לתקן PCI / PCI-DSS ומנהל מספר מערכות לסליקת כרטיסי אשראי צור/צרי קשר לפגישת היכרות ויעוץ ראשוני ללא תשלום.
