Facebook

תבניות זה רע? הנה למה

לעיתים קרובות אנחנו מקבלים בקשות להצעת מחיר, לאתרים שמבוססים על "תבניות": מכלול שלם של מודולים, שמאפשר בניה יחסית קלה של אתר, גם בלי ידע בתכנות.

אנחנו לא עובדים על בסיס תבניות שכאלה, ולכן אנחנו שומעים לעיתים קרובות אמירות כמו "לוקחים 2,500 ש"ח על אתר מתבנית, למה אתם לא מוכנים לעשות גם לנו כזה?"

מלבד גמישות ועיצוב ייחודי, אחת הסיבות העיקריות לכך שאנחנו לא עובדים עם תבניות היא שאנחנו חוששים מבעיות אבטחה באתרים מבוססי תבנית.

קבענו את זה על סמך הניסיון שלנו והידיעות השונות שמתפרסמות על אודות רגישות של אתרים לפריצות. ממש עכשיו קיבלנו גם חיזוק סטטיסטי ל"הרגשה" הזו שלנו.

החיזוק הזה מגיע מחברת האבטחה Sucuri, שהיא אחד מהשמות הגדולים בתחום. בין השאר, סוקורי מייצרת מערכת אבטחה לוורדפרס, שאותה אנחנו מטמיעים לעיתים באתרים שאנחנו בונים.

רק כדי להבין על מה מדובר: הבעיה היא פריצה לאתרים דרך מערכת הניהול של האתר, כאשר חלק גדול מהפריצות מתרחש דרך אחד או יותר מרכיבים שנקראים תוספים או "פלגינים".

בעלי אתרים שנבנו מתבניות לא מודעים לכך שמותקנים אצלם פלגינים אלה או אחרים ואם יש פרצה, הם לא יודעים שעליהם לתקן אותה.

הבעיה מחרידה במימדיה:

במארס 2016 דיווחה גוגל שמעל 50,000,000 גולשים קיבלו התראה על כך שהאתר אותו הם מצאו בחיפוש ינסה לגנוב את המידע שלהם או להתקין זדונה על המחשב שלהם (זדונה – malware).

רק לשם השוואה, במארס 2015 המספר הזה היה 17 מליון "בלבד".

כרגע, גוגל מכניסה כ- 20,000 אתרים בשבוע (!) לרשימות השחורות שלה בשבוע בגלל זדונות, ועוד כ- 50,000 אתרים בשבוע בגלל פישינג (נסיון לגניבת פרטים או זהות).

פלגינים לא מעודכנים – מקור לבעיה

קיימים היום יותר מ- 40,000 פלגינים לוורדפרס, שחלקם הגדול נמצא בשימוש ספורדי.

אבל, כפי שמראה סוקורי, רבע – 25% – מהפריצות לאתרים מתרחשות דרך שלושה פלגינים בלבד, ואלה נמצאים פחות או יותר בכל תבנית שנמכרת היום.

הפריצות נעשות דרך פרצה שאותה מוצאים ההאקרים. את הפרצה סוגרים לעיתים מפתחי הפלגינים, אבל זה קורה אחרי שהסוסים ברחו מהאורווה בחלק מהמקרים. בחלק אחר הפרצה נשארת באתר, כיון שבעלי האתרים לא טורחים לעדכן את המערכת ואת הפלגינים עצמם.

אבל הבעיה לא נגמרת כאן

בעת הפריצה, רוב הפורצים מתקינים מנגנון של back door – "דלת אחורית" – שמאפשר להם לפרוץ לאתר גם אחרי שהפרצה המוכרת נסגרת.

המנגנונים האלה מתוחכמים, מוסווים היטב ונכתבים לעיתים קרובות על ידי הפורץ עצמו, כך שקשה לסורקי אתרים אוטומטיים לעלות עליהם.

בצורה כזו אתר יכול להישאר פרוץ לכל דבר ועניין, כשהפרצה נשארת רדומה. ההאקר יכול לחכות לכך שמנהלי האתר ישחזרו אותו ואז לפרוץ אליו שוב, ולהתקין תוכנת פישינג או כל נוזקה אחרת.

שורה תחתונה

אין פתרון קסם. מה שכן, אנחנו יכולים להמליץ ולבקש שוב ושוב מהלקוחות שלנו לעדכן את הפלגינים ואת המערכת שלהם כדי למזער את התכנות הפריצה.

כניסה חודשית למערכת הניהול של האתר, עדכון – זו לחיצת כפתור – של הרכיבים השונים וגיבוי אוטומטי הוא כל מה שמתבקש.