פרצו לך לאתר

מכירים את התמונות האלו?

אני מתאר לעצמי שלא הייתם רוצים לראות את אחת מהתמונות הללו כאשר אתם נכנסים לאתר שלכם, נכון?

(למי שפיספס הפואנטה, מדובר בשתי דוגמאות למה שמופיע בדפדפן כאשר מנסים להיכנס לאתר שפרצו אליו).

אז מה זו בעצם פריצה לאתר, ואיך ניתן למנוע אותה?

ישנם מספר סוגי פריצות לאתרים, ואני אסקור את העיקריות שבהן.

השחתת פני האתר

זוהי פריצה “קוסמטית”. הפורץ מצליח לשנות את העמוד הראשי של האתר, וכל עמוד אחר עם השמות הנפוצים INDEX, DEFAULT, MAIN.
לרוב, מה שנראה בעקבות פריצה כזו זה את אחת הדוגמאות הנ”ל, ובעצם, עמוד שמכיל טקסט, בדרך כלל בסגנון “This Site Was Hacked By….” עם תמונה של דגל הלאום של הפורץ, או תמונה מאיזה עימות מדמם.

הנזק של פריצה כזו הוא בעיקר תדמיתי, ולמרבה הפלא לא דרושה מומחיות רבה כדי לבצע אותה. הפורצים מעתיקים קודים מוכנים שמצאו ברשת ומריצים אותם בלי להבין מה הם עושים בפועל.

הזרקת SQL

בסוג הזה, שחמור יותר מהסוג הקודם, הפורץ משתמש בנקודות התורפה של קוד המקור של האתר כדי לחדור למסדי הנתונים שלו, לשנות בו נתונים, לגנוב ממנו נתונים, ולעיתים אף למחוק את תוכנו לחלוטין.

זוהי פריצה בעייתית ביותר, כיוון לפעמים לא ניתן לשחזר את התוכן שהיה במסד הנתונים לפני הפריצה. עם זאת, חשוב לציין שאתרים שאינם משתמשים במסדי נתונים, יהיו לרוב חסינים מפני סוג זה של פריצה.

גניבת פרטים

 כאן הפורץ גונב מבעל הגישה המורשה את פרטי הגישה לממשקי הניהול של האתר או חשבון האיחסון, בדרך כלל ע”י גניבת קבצי COOKIES או תוכנות רוגלה שהושתלו במחשבו.

אז איך ניתן להתגונן מפני פריצה לאתר?

לצערי, רוב הסיכויים שלא ניתן למנוע בצורה מוחלטת את האפשרות לפרוץ לאתר האינטרנט. מה שכן ניתן לעשות זה להקטין את הסיכוי, לפריצה והשחתת האתר.

כדי למנוע פריצה של גניבת פרטים, מומלץ בהחלט לשמור את פרטי הגישה לממשקי הניהול של האתר במקום בטוח ולא לחלוק אותם עם אנשים אחרים. בנוסף, מומלץ מאוד להתקין תוכנת ANTISPYWARE במחשב, שתזהה ניסיונות פריצה למחשב.

פריצות משני הסוגים הראשונים הן לטיפול בונה האתר.

בונה האתר (או מתכנת האתר) צריך לדאוג שלא ניתן יהיה לשתול קודים בטפסים השונים המפוזרים ברחבי האתר.

בעזרת מספר שורות קוד, אפשר למנוע את האפשרות להכנסת סוגים שונים של תווים באותם טפסים. דוגמא לתווים שמומלץ מאוד למנוע היא התווים <>. תווים אלה מופיעים בתגי HTML, ורוב הסיכויים שאין צורך ממשי (למעט הרצון להרע) להזין אותם בטפסי האתר.

ולדוגמא, ניתן לראות איך, אחרי הזנת הקלט
בטופס יצירת הקשר שבאתר זה, מקבלים הודעה שלא הוזן קלט נכון.

בהצלחה, ומי יתן שלא תחוו את התסכול בלראות הודעות על פריצה באתר שלכם.

בטוח שיעניין אתכם גם...

דברו איתי על הפרויקט הבא שלכם

לא בטוחים מה מתאים לעסק שלכם? למה שלא תשאירו לי הודעה? אשמח לעזור לכם בכל אחד מהתהליכים שלכם.

💬 צריכים עזרה?
אהלן 👋
איך נוכל לעזור לך היום?
Messenger Phone SMS WhatsApp
דילוג לתוכן