אבטחת האתר
קוד: האתר בנוי על וורדפרס ותוספים. באתר הזה לא רץ קוד שכתבתי. התוספים הם תוספים פופולריים, עם יותר ממאה אלף הורדות כל אחד. התבנית היא Ocean WP משולבת עם אלמנטור. שגם היא מאוד פופולרית. מערכת הוורדפרס, התוספים והתבנית מעודכנים באופן אוטומטי ברגע שמגיע עדכון.
הוורדפרס הוקשח באופן הבא: סגירת ה- wp-json וממשקים נוספים שנותנים מידע, הפעלת לוג פעילות, בדיקה תקופתית עם wp-scan שאין בעיות יוצאות דופן באתר, הוספת Headers רלוונטיים להקשחת האבטחה.
שרת: השרת הוא שרת שמאוחסן באמזון.
אבטחת החשבונות: שימוש במנהל ססמאות לכל החשבונות הקשורים באתר ואימות דו שלבי באחסנת האתר ושם המתחם שלו וגם חשבון המיילצ׳ימפ שמחזיק את כתובות המייל הרשומות באתר.
מסד נתונים: גיבוי פעם ביום.
שמירת נתונים: אני שומר את המיילים של המשתמשים באתר ופרטים שהמשתמשים הכניסו באופן וולנטורי: שם, שם משפחה ותמונה. ההזמנות שיש באתר נמחקות כל שלושה חודשים.
מה מותר לעשות כשאתם בודקים את האתר
חוקרי אבטחה המעונינים לבדוק את אבטחת האתר באופן אפליקטיבי יכולים לבצע איזו בדיקה ידנית שבא להם. ולהריץ כל כלי שהוא על האפליקציה.
למה רק על האפליקציה? השרת נמצא באחסון שיתופי ושימוש בהתקפות המבוססות על עומס עלולות להזיק לאתרים אחרים. אם מישהו רוצה ממש לנסות התקפה שעלולה להזיק/להפריע/ליצור עומס על השרת, שיצור איתי קשר ואתן לו עותק של מסד הנתונים (ללא פרטי הלקוחות) והקוד כדי שיריץ את זה על שרת לוקלי.
אני מצהיר בזאת שלא אגיש תלונה במשטרה על פעילות של חוקרי אבטחה בעלי כובע לבן שבוחנים את אבטחת האתר האפליקטיבית בתנאים האלו. אם מישהו רוצה מכתב הסמכה מסודר לפני הבדיקה, ניתן לפנות אלי ולקבל מכתב כזה.
איך יוצרים איתי קשר במידה ויש חשש לחולשה או פירצת אבטחה
ניתן ליצור איתי קשר במייל: [email protected] או בטלגרם: rbarzik כדי לדווח על כל בעיית אבטחה. נא לציין בבירור בתחילת הפניה שמדובר בענייני אבטחה.