אבטחת האתר

קוד: האתר בנוי על וורדפרס ותוספים. באתר הזה לא רץ קוד שכתבתי. התוספים הם תוספים פופולריים, עם יותר ממאה אלף הורדות כל אחד. התבנית היא Ocean WP משולבת עם אלמנטור. שגם היא מאוד פופולרית. מערכת הוורדפרס, התוספים והתבנית מעודכנים באופן אוטומטי ברגע שמגיע עדכון.
הוורדפרס הוקשח באופן הבא: סגירת ה- wp-json וממשקים נוספים שנותנים מידע, הפעלת פיירוול, הפעלת הגנה ברוט פורס על ממשק הניהול

שרת: השרת הוא שרת שמשתמש באחסון שיתופי ב-siteground. שמעתי עליהם דברים טובים מבחינת האבטחה ואני מקפיד שגרסאות ה-PHP ושאר התוכנות יהיו מעודכנות. אני משתמש ב-SSL של Let’s Encrypt.

אבטחת החשבונות: שימוש במנהל ססמאות לכל החשבונות הקשורים באתר ואימות דו שלבי באחסנת האתר ושם המתחם שלו וגם חשבון המיילצ׳ימפ שמחזיק את כתובות המייל הרשומות באתר.

מסד נתונים: גיבויים יומיים.

שמירת נתונים: אני שומר את המיילים של המשתמשים באתר ופרטים שהמשתמשים הכניסו באופן וולנטורי: שם, שם משפחה ותמונה.

מה מותר לעשות כשאתם בודקים את האתר

חוקרי אבטחה המעונינים לבדוק את אבטחת האתר באופן אפליקטיבי יכולים לבצע איזו בדיקה ידנית שבא להם. ולהריץ כל כלי שהוא על האפליקציה.
למה רק על האפליקציה? השרת נמצא באחסון שיתופי ושימוש בהתקפות המבוססות על עומס עלולות להזיק לאתרים אחרים. אם מישהו רוצה ממש לנסות התקפה שעלולה להזיק/להפריע/ליצור עומס על השרת, שיצור איתי קשר ואתן לו עותק של מסד הנתונים והקוד כדי שיריץ את זה על שרת לוקלי.
אני מצהיר בזאת שלא אגיש תלונה במשטרה על פעילות של חוקרי אבטחה בעלי כובע לבן שבוחנים את אבטחת האתר האפליקטיבית בתנאים האלו. אם מישהו רוצה מכתב הסמכה מסודר לפני הבדיקה, ניתן לפנות אלי ולקבל מכתב כזה.

איך יוצרים איתי קשר במידה ויש חשש לחולשה או פירצת אבטחה

ניתן ליצור איתי קשר במייל: security@internet-israel.com או בטלגרם: rbarzik כדי לדווח על כל בעיית אבטחה. נא לציין בבירור בתחילת הפניה שמדובר בענייני אבטחה.