אני כותב המון על אבטחה ומשתדל שגם האתר הזה מאובטח. בדף הזה אני מפרט על מדיניות האבטחה שלי באתר הזה ואיך לדווח על פרצה וגם איך לבדוק את הפרצות.

אבטחת האתר

קוד: האתר בנוי על וורדפרס ותוספים. באתר הזה לא רץ קוד שכתבתי למעט התאמות CSS. התוספים הם תוספים פופולריים, עם יותר ממאה אלף הורדות כל אחד. התבנית היא responsive שגם היא מאוד פופולרית. מערכת הוורדפרס, התוספים והתבנית מעודכנים באופן אוטומטי ברגע שמגיע עדכון.
הוורדפרס הוקשח באופן הבא: סגירת ממשק הניהול, סגירת ה- wp-json וממשקים נוספים שנותנים מידע, הפעלת פיירוול, הפעלת הגנה ברוט פורס על ממשק הניהול

שרת: השרת הוא שרת שמשתמש באחסון שיתופי ב-siteground. שמעתי עליהם דברים טובים מבחינת האבטחה ואני מקפיד שגרסאות ה-PHP ושאר התוכנות יהיו מעודכנות. אני משתמש ב-SSL של Let’s Encrypt.

אבטחת החשבונות: שימוש במנהל ססמאות לכל החשבונות הקשורים באתר ואימות דו שלבי באחסנת האתר ושם המתחם שלו וגם חשבון המיילצ׳ימפ שמחזיק את כתובות המייל הרשומות באתר.

מסד נתונים: גיבויים יומיים.

שמירת נתונים: אני לא שומר נתונים של גולשים באפליקצית הוורדפרס. אפילו ה-IP שנשמרים באתר מעורבלים.

מה מותר לעשות כשאתם בודקים את האתר

חוקרי אבטחה המעונינים לבדוק את אבטחת האתר באופן אפליקטיבי יכולים לבצע איזו בדיקה ידנית שבא להם. ולהריץ כל כלי שהוא על האפליקציה.
למה רק על האפליקציה? השרת נמצא באחסון שיתופי ושימוש בהתקפות המבוססות על עומס עלולות להזיק לאתרים אחרים. אם מישהו רוצה ממש לנסות התקפה שעלולה להזיק/להפריע/ליצור עומס על השרת, שיצור איתי קשר ואתן לו עותק של מסד הנתונים והקוד כדי שיריץ את זה על שרת לוקלי.
אני מצהיר בזאת שלא אגיש תלונה במשטרה על פעילות של חוקרי אבטחה בעלי כובע לבן שבוחנים את אבטחת האתר האפליקטיבית בתנאים האלו. אם מישהו רוצה מכתב הסמכה מסודר לפני הבדיקה, ניתן לפנות אלי ולקבל מכתב כזה.

איך יוצרים איתי קשר במידה ויש חשש לחולשה או פירצת אבטחה

ניתן ליצור איתי קשר במייל: security@internet-israel.com או בטלגרם: rbarzik כדי לדווח על כל בעיית אבטחה. נא לציין בבירור בתחילת הפניה שמדובר בענייני אבטחה.