אינטרנט ישראל
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
  • ראשי
  • אודות רן בר-זיק ואינטרנט ישראל
  • ערוץ טלגרם
  • מסטודון
  • התחברו אלי בטוויטר
  • התחברו אלי בלינקדאין
  • ספר ג'אווהסקריפט
ראשי » אבטחה

אבטחה

אני כותב המון על אבטחה ומשתדל שגם האתר הזה מאובטח. בדף הזה אני מפרט על מדיניות האבטחה שלי באתר הזה ואיך לדווח על פרצה וגם איך לבדוק את הפרצות.

אבטחת האתר

קוד: האתר בנוי על וורדפרס ותוספים. באתר הזה לא רץ קוד שכתבתי למעט התאמות CSS. התוספים הם תוספים פופולריים, עם יותר ממאה אלף הורדות כל אחד. התבנית היא פוג׳ו שגם היא מאוד פופולרית. אני משתמש גם באלמנטור פרו. מערכת הוורדפרס, התוספים והתבנית מעודכנים באופן אוטומטי ברגע שמגיע עדכון.
הוורדפרס הוקשח באופן הבא: סגירת ממשק הניהול, סגירת ה- wp-json וממשקים נוספים שנותנים מידע, הפעלת פיירוול, הפעלת הגנה ברוט פורס על ממשק הניהול.

שרת: השרת הוא שרת Lightsail באמאזון ועם image של bitnami. ללא הפתעות גדולות במיוחד ובלי custom shit. רק האתר הזה מתאחסן במכונה. 

אבטחת החשבונות: שימוש במנהל ססמאות לכל החשבונות הקשורים באתר ואימות דו שלבי באחסנת האתר ושם המתחם שלו וכמובן גם אמאזון.

מסד נתונים: גיבויים יומיים עם אמזון וגם עם תוסף גיבוי ששולח ישירות לדרופבוקס שלי.

שמירת נתונים: אני לא שומר נתונים של גולשים באפליקצית הוורדפרס. אפילו ה-IP שנשמרים באתר מעורבלים. אני שומר נתונים של אלו שעושים subsribe. מייל ושם.

מה מותר לעשות כשאתם בודקים את האתר

חוקרי אבטחה המעונינים לבדוק את אבטחת האתר באופן אפליקטיבי יכולים לבצע איזו בדיקה ידנית שבא להם. ולהריץ כל כלי שהוא על האפליקציה.
למה רק על האפליקציה? השרת נמצא באחסון אמזון ושימוש בהתקפות המבוססות על עומס עלולות להזיק לאתר. אם מישהו רוצה ממש לנסות התקפה שעלולה להזיק/להפריע/ליצור עומס על השרת, שיצור איתי קשר ואתן לו עותק של מסד הנתונים (ללא נתוני משתמשים) והקוד כדי שיריץ את זה על שרת לוקלי.
אני מצהיר בזאת שלא אגיש תלונה במשטרה על פעילות של חוקרי אבטחה בעלי כובע לבן שבוחנים את אבטחת האתר האפליקטיבית בתנאים האלו. אם מישהו רוצה מכתב הסמכה מסודר לפני הבדיקה, ניתן לפנות אלי ולקבל מכתב כזה.

איך יוצרים איתי קשר במידה ויש חשש לחולשה או פירצת אבטחה

ניתן ליצור איתי קשר במייל: [email protected] או בטלגרם: rbarzik כדי לדווח על כל בעיית אבטחה. נא לציין בבירור בתחילת הפניה שמדובר בענייני אבטחה. אין לי תוכנית באג באונטי אבל אני אשמח לפרסם ולהודות באופן אישי על כל פרסום חולשה – גם האיזוטרית ביותר (כביכול).

ללמוד ג'אווהסקריפט בעברית

ללמוד לתכנת ג'אווהסקריפט בעברית שגייס יותר משלוש מאות אלף שקל ולמעלה מ-2000 תומכים - בואו ללמוד עכשיו איך לתכנת.

רשימת הנושאים
  • מדריכים
    • ריאקט
    • טייפסקריפט
    • ECMAScript 6
    • ES20XX
    • Node.js
    • Express
    • רספברי פיי
    • Babel
    • docker
    • MongoDB
    • Git
    • לימוד MySQL
    • SASS
    • jQuery
    • CSS3
    • HTML 5
    • SVN
    • LESS
  • פיתוח אינטרנט
    • פתרונות ומאמרים על פיתוח אינטרנט
    • jQuery Scripts
    • jQuery למתקדמים
    • יסודות בתכנות
    • נגישות אינטרנט
  • חדשות אינטרנט
  • מידע כללי על אינטרנט
    • רשת האינטרנט
    • בניית אתרי אינטרנט
  • rss logo

    לכל המאמרים

    לכל המאמרים שפורסמו באינטרנט ישראל משנת 2008 ועד עכשיו.
  • rss logo

    RSS Feed

    משתמשים בקורא RSS? אם כן, עקבו אחרי אינטרנט ישראל באמצעות פיד ה-RSS!
    מה זה RSS?
  • Twitter logo

    עקבו אחרי בטוויטר

    בחשבון הטוויטר שלי אני מפרסם עדכונים מהירים על חדשות בתחום התכנות והיזמות, התרעות על מצבי חירום ורכילות בוערת על תחום הווב.
    מה זה טוויטר?
  • facebook like image

    ערוץ הטלגרם של אינטרנט ישראל

    בערוץ הטלגרם של אינטרנט ישראל אני מפרסם את הפוסטים של באתר וכן עדכונים טכנולוגיים נוספים.
    מה זה טלגרם?
  • github logo

    הפרויקטים שלי בגיטהאב

    הפרויקטים שאני כותב ושוחררו לציבור ברישיון קוד פתוח נמצאים ברובם בגיטהאב.
חיפוש

כל הזכויות שמורות לרן בר-זיק ולאינטרנט ישראל | מדיניות הפרטיות של אתר אינטרנט ישראל | אתר אינטרנט ישראל נגיש לפי תקן WCAG 2.0 AA | הצהרת הנגישות של האתר | אבטחת מידע ודיווח על בעיית אבטחת מידע

גלילה לראש העמוד