למרות ההתקדמות הרבה בשנים האחרונות בכל הקשור לאבטחה בשרתי אחסון, לא עובר כמעט חודש מבלי ששומעים על עוד חברת אחסון אתרים גדולה (לא בהכרח בישראל) שהשרתים שלה נפרצו או שנתגלתה בהם פרצת אבטחה חמורה.
מדוע אין דבר כזה אחסון אתרים בטוח ב- 100%?
על מנת להבין מדוע שרתי אחסון לא יכולים להיות אף פעם מאובטחים ב – 100%, יש כמה דברים שצריך לדעת
- מרבית השרתים כיום מתבססים על מספר מצומצם של תקנים כמו למשל מערכות הפעלה, שרתי אינטרנט או מסדי נתונים. העובדה שהתקנים האלו פופולאריים במיוחד לא נעלמת גם מעיניהם של ההאקרים שמכירים אותם היטב. למעשה, במקרים רבים הם מחפשים גרסאות תוכנה ישנות שאינן מעודכנות ויש בהן חורי אבטחה ידועים.
- רוב הסיכויים שאם בחרתם באחסון רגיל (אחסון שיתופי), האתר שלכם יושב בשרת אחד עם אתרים רבים נוספים שאין ביניהם מחיצות של ממש. המשמעות היא שפריצה לאתר אחד בלבד או לשרת הראשי, חושפת את כל האתרים לפריצה.
לעומת זאת, באחסון אתרים המבוסס על שרת VPS או שרת ייעודי, האתרים השונים מופרדים זה מזה באמצעות קירות וירטואליים, כך שפריצה לאתר אחד לא מקנה גישה קלה כל כך גם לאתרים אחרים. - אחסון אתרים של חנויות וירטואליות ואתרי מסחר אלקטרוני כולל בדרך כלל גם מפתח הצפנה להעברת פרטים רגישים כמו פרטי כרטיס אשראי. עם זאת, רוב מערכות ניהול התוכן מאפשרות ללקוח לשמור את הפרטים שלו על השרת לשימוש עתידי. זו אופציה נוחה ללא ספק, אבל חשוב לבדוק שהנתונים האלו גם כן מוצפנים.
מה אתם יכולים לעשות?
החדשות הטובות הן שבתור מנהלי אתר אינטרנט יש בהחלט כמה דברים שאתם יכולים לעשות על מנת לאבטח בצורה טובה יותר את האתר שלכם.
קודם כל, נסו לברר כמה שיותר מידע רלוונטי על החברה בה אתם מאחסנים את האתר : האם היא מאחסנת ישירות בשרתים של ספקיות האינטרנט הנחשבות לבטוחים יחסית, או שהיא שוכרת שרתים מחברה אחרת?
שרותי אחסון שמתבססים על תשתית של חברה אחרת הם בדרך כלל בטוחים פחות וגם זולים יותר .אם תתגלה פרצת אבטחה או דליפה של פרטים רגישים, יהיה הרבה יותר קשה למצוא את המקור של הבעיה.
שנית, הפרידו בין שם המשתמש הסיסמאות של התשתיות השונות שאתם מקבלים, ובכלל זאת פאנל הניהול שלכם (לשרת או מערכת ניהול התוכן), חיבור ה- FTP להעלאת קבצים לשרת (אם ישנו) ומסד הנתונים. בחלק גדול מהחברות הפרטים האלו זהים על מנת לעשות את החיים יותר קלים, אבל זה אומר שגם להאקרים קל יותר לממש את זממם…
בנוגע לשירותי תשלום אלקטרוניים, במקום לתת לגולשים שלכם לשמור את פרטי האשראי, שיקלו להשתמש בשירות מאובטח חיצוני כמו למשל PayPal המספק כיום את אותה הפונקציונאליות.
לסיום, וודאו שגרסאות התוכנה על השרת שבו אתם משתמשים הן המעודכנות ביותר. בדרך כלל אפשר לראות זאת בפאנל הניהול או לבקש זאת מהתמיכה הטכנית.
בהצלחה!
- יש לכם אתר וורדפרס? זה הזמן לנקות אותו כהלכה! - אפריל 10, 2022
- אחסון אתרים בישראל או אחסון בחו"ל – האם יש הבדל? - ינואר 19, 2022
- איחסון לינוקס או Windows? - ינואר 15, 2022