מלחמת חרבות ברזל פוגשת אותנו בכל תחום בחיינו, אנחנו עדים לשינוי דרמטי באופי המלחמות באופן כללי ברחבי העולם. הלחימה מזמן לא מתבצעת רק באמצעות פעולה קרקעית או פעולה אווירית, היא מגיעה לשדה קרב חדש, המרחב הדיגיטלי בו כל אחד מאיתנו משתמש. להבדיל מהקרב הפיזי, המלחמה בשדה הקרב הדיגיטלי היא על הנתונים, המידע והזהות האישית שלנו. לאחרונה פנה אליי טל, הוא היה נסער, בהיסטריה של ממש. האתר שלו נפרץ, כל פינה בו התמלאה בתוכן פרו-פלסטיני ואם זה לא מספיק האקר עשה גם ניצול ציני והוסיף חטא על פשע בכך שהציג פרסומות. בעבור טל, זה לא היה רק האתר שלו, זו הייתה הנוכחות, המוניטין והתדמית של העסק שלו. בשניות הראשונות הוא הרגיש חסר אונים.
אבל אחרי שהתחלנו לעבוד יחד, הדברים השתנו. שלב אחרי שלב, פירקתי את הפריצה, חיזקתי את ההגנה על האתר והחזרתי לידינו את השליטה. טל, שפנה אליי בפאניקה הפך ללקוח רגוע, עם אתר מאובטח ועם תובנות חדשות על איך להתנהל בצורה מוגנת יותר ביום יום כנגד איומי סייבר.
בתור מומחה אבטחת מידע וסייבר, אני מחזיק ב-5 תעודות בינלאומיות.
אבל איך הכל התחיל?
נתחיל בנתון שאתרי וורדפרס הם בין היעדים הנפוצים להתקפות סייבר. יותר מ-40% מהאתרים בעולם פועלים בפלטפורמת וורדפרס, מה שהופך אותה ליעד קל ומועדף על האקרים שמחפשים ומנצלים חולשות אבטחה כדי לפרוץ לאותם אתרים ולחבל בהם בצורה זדונית.
כשהתחלתי לבדוק איך הפרצה קרתה מהר מאוד הבחנתי בשם הגנרי של מנהל האתר שהצוות בחר, admin, האקר השתמש בהתקפה מסוג Brute force לניחוש סיסמאות עד שימצא את הסיסמא הנכונה, כמובן שזה לא לקח יותר מידי זמן כי הסיסמא הייתה חלשה והודלפה כבר במספר אתרים שונים.
אם כל זה לא הספיק אז האקר גם דאג להשתיל Backdoor שיאפשר לו להמשיך לשלוט מרחוק במידה ויאפסו את פרטי הגישה לאתר. לסיום סיומת, כדי לנצל את הפריצה עד הסוף מה שנקרא האקר התקין תוסף Snippet שאפשר לו להגדיר קודי PHP, הוא דאג להחדיר קוד שיפעיל פרסומות קופצות בלי הפסקה לכל מי שנכנס לאתר.
ברגע שאספתי את כל הנתונים והבנתי את רמת הפריצה, דבר ראשון יצרתי משתמש חדש והסרתי את הadmin הגנרי הקיים. הסרתי את הקודים שהושתלו באמצעות Snippet ודאגתי להסיר את הBackdoor. רק לאחר בידוד הסביבה וניתוק דרכי הגישה של האקר המשכתי לבצע סריקה מלאה לאתר באמצעות Wordfence ו- wpcerber. בנוסף ווידאותי שבסיס הנתונים נקי ולא הושתלו לתוכו ערכים מזיקים. הקשחתי את הרשאות הגישה עם הגדרת סיסמא חזקה כחוק דיפולטיבי, אימות דו-שלבי בכדי לוודא שבכל פעם שמישהו מנסה להתחבר הוא יהיה חייב בקוד אימות בנוסף.
בזכות כל הפעולות האלו, בתוך שעתיים האתר חזר לפעילות מלאה ותקינה, טל שבהתחלה היה היסטרי הפך לרגוע. בתום העבודה הוצאתי לו דו"ח מסודר של הפעולות שביצעתי והצעות שיפור להגנה חזקה יותר לטווח הרחוק.
איך מחזקים את האבטחה ומונעים פריצות עתידיות?
1. המלצתי על הגדרת WAF עם חוקים חכמים שיזהו ויחסמו נסיונות תקיפה שעלולות להזיק לאתר בעתיד וברגע שפעולה מסוימת קורת מספר פעמים תתבצע חסימה אוטומטית לאותה כתובת IP.
2. הגבלתי את מספר ניסיונות התחברות האפשריים ל-5 בחצי דקה, במידה והמערכת מזהה ניסיון כזה היא מבצעת חסימה אוטומטית של כתובת ה-IP.
3. הפעלתי איסוף לוגים של כל הפעולות שמבצעות באתר ושל משתמשי האתר ושליחה אוטומטית במייל אחת ליום לטובת מעקב בריא ותקין.
4. עדכון קבוע של האתר – הגדרתי עדכונים אוטומטיים למערכת האתר, לתוספים ולתבנית כדי לצמצם את הסיכון לחולשות חדשות.
5. תבצעו גיבוי יומי ואם אפשר גם לשרת חיצוני בנוסף לשרת אחסון של האתר.
לסיכום, פריצה לאתר שלכם יכולה להוביל לאובדן לקוחות, ירידה במוניטין ואפילו לתביעה משפטית. אני מזמין אתכם לדבר איתי ולקבל ייעוץ לגמרי בחינם בנוגע לעסק שלכם.
בשיחה נסקור את הנכסים הדיגיטליים שלכם, הסכנות הטמונות בכל אחד מהם, הצעות להקשחה ובניית תוכנית הגנה מותאמת אישית.