בבואנו לבנות אתר עלינו לחשוב היטב על האמצעים שאנחנו נוקטים לאבטחתו. אין צורך להכביר במילים על הצורך באבטחה טובה של האתר. אבטחה לקויה יכולה לגרום לנזק רב, החל משינוי תוכן האתר שעלול לגרום להורדת הדירוגים שלו בגוגל, דרך החדרת קוד זדוני שמבצע פעילות מסוימת ללא ידיעתינו וללא ידיעת המשתמש (שאף הוא פוגע בקידום אתרים) ועד למחיקת כל הקבצים של האתר והשתלטות מוחלטת על השרת.
במאמר זה נסקור מספרים דברים שעלינו לדאוג להם על מנת למנוע שימוש לא מורשה באתר שלנו ולספק לו אבטחה טובה. יש להדגיש שזו היא רשימה חלקית המכילה את עיקרי הדברים בלבד ומומלץ ביותר להרחיב את היריעה במקומות נוספים לפני שמרימים אתר לאוויר.
סינון קלט:
קלט הוא כל דבר שמגיע לאתר שלנו מהמשתמשים. בין אם מדובר על פרטים אישיים שמולאו בטופס, הודעה שמשתמש הוסיף לפורום, תגובה לפוסט בבלוג שלנו ועוד. המשותף לכל הדברים הללו הוא שאין לנו שליטה עליהם. אין לנו שליטה על הפרטים שהמשתמש מכניס בתור "שם פרטי" או "שם משפחה", אין לנו שליטה על התוכן של התגובה שלו לפוסט שלנו, ואין לנו שליטה על תוכן המודעה שהוא שם בלוח מודעות למשל. לכן, חשוב מאוד לבצע סינון של הקלט כדי למנוע שימוש לא מורשה באתר שלנו.
משתמש יכול להשיג גישה לשימוש באתר שלא בדרך שאנחנו רוצים לתת לו בשתי דרכים עיקריות:
XSS:
קיצור של cross-site-scripting. הכוונה היא להחדרת קוד שפועל בצד הלקוח דרך שדות הקלט.
למשל, אם אנחנו נרשום בשדה "שם פרטי" במקום שמינו את השורה הבאה:
אז בכל דף שהשם שלנו אמור להופיע בו, כל גולש שיגיע לדף זה יועבר אוטומטית לכתובת המופיעה בקוד.
הזרקת SQL:
הזרקת SQL מתרחשת כאשר איננו מבצעים סינון של הקלט כהלכה. העדר סינון תווי בקרה במקרה זה יכול לאפשר מניפולציות לתוקף על מסד הנתונים של האתר שלנו. ביניהן: מחיקת רשומות, עריכת רשומות והוספת רשומות.
לכן, חשוב לעבור שדה שדה, דף דף ולוודא שבכל המקומות בהם אנחנו מקבלים איזשהו קלט מהמשתמש אנחנו מבצעים סינון כהלכה.
הזרקת SQL – כמה זה פשוט ומסוכן לאתרים
הרשאות:
על מנת לדאוג לאבטחה נאותה עלינו להיות זהירים במתן הרשאות למשתמשים אחרים. אל תתנו הרשאות מיותרות למשתמשים שאינם צריכים אותן. למשל, אל תתנו למנהל התוכן של האתר שלכם הרשאות לעריכה ישירה של מסד הנתונים. היו זהירים במתן הרשאות גישה בFTP וודאו שכל הקבצים על השרת שאינכם צריכים לשנותם על בסיס קבוע אינם ניתנים לשינוי בידי צד שלישי (הגדרות CHMOD).
סביבת השרת ומערכת ההפעלה:
כידוע, אף מערכת הפעלה איננה מאובטחת לחלוטין ואף שרת אינו חף מבאגים.
הסירו תהליכים מיותרים שרצים ברקע של מערכת ההפעלה והשרת שלכם משום שיכולות להיות בהן פרצות אבטחה שאינכם מודעים להן. בנוסף, התקינו אנטי וירוס איכותי על השרת ודאגו לעדכנו באופן קבוע.
כאמור, כאן סקרנו את עיקרי הדברים. אבטחה יעילה ומקיפה של האתר דורשת התאמה פרטנית לצרכים שלכם ויש לשלב את אסטרטגיית האבטחה מוקדם ככל האפשר בתהליך הכולל של תכנון האתר וקידומו.
