ניקוי ותחזוקה של האתר

כדי לשמור על האתר נקי ולמנוע פריצות בעתיד, יש צורך בדברים הבאים:

  • גישה של אדמין מעטפת או מסוף לשרתים של האתר: אינטרנט, מסד נתונים, קבצים
  • ידע בפקודות של מעטפת או מסוף
  • היכרות עם קוד (כגון PHP או JavaScript)
  • אחסון ליצירת גיבויים של האתר, כולל הקבצים, מסד הנתונים והתמונות

הפעולות הבאות

בשלב זה נעסוק בכמה פעולות:

  • איפה אפשר למצוא מקורות מידע נוספים אם לדעתכם האקר התכוון לקבל מידע אישי של משתמשים (למשל, באמצעות דפי פישינג).
  • אפשר להשתמש באפשרות הסרת כתובות URL ב-Search Console כדי לזרז את ההסרה של כתובות URL חדשות לגמרי, לא רצויות וגלויה למשתמשים, שנוצרו על ידי האקר ואתם לא רוצים שיופיעו בתוצאות החיפוש ב-Google.
  • האפשרות לבקש מ-Google לסרוק מחדש את כתובות ה-URL ב-Search Console כדי לזרז את העיבוד של Google של דפים נקיים – כלומר דפים חדשים או דפים שעודכנו לאחרונה – שאתם רוצים שיופיעו בתוצאות החיפוש ב-Google.
  • התקנה של הגרסה העדכנית והמאובטחת ביותר של התוכנה.
  • הסרה של אפליקציות או יישומי פלאגין מיותרים או שלא בשימוש, שעלולים להפוך את האתר שלכם לפגיע יותר בעתיד.
  • שחזור תוכן טוב וסילוק התוכן של ההאקר.
  • תיקון נקודת החולשה הגורמית שהאקרים ניצלו.
  • שינוי כל הסיסמאות.
  • תכנון לשמירה על אבטחת האתר.

1. איתור משאבי תמיכה

אם מידע סודי של משתמשים נחשף מהאתר שלכם (לדוגמה, בגלל התקפת פישינג), כדאי לכם לבדוק את האחריות העסקית, הרגולטורית או המשפטית שלכם לפני שתתחילו לנקות את האתר או למחוק קבצים. במקרים של פישינג, באתר antiphishing.org יש מקורות מידע שימושיים, כמו המסמך מה עושים אם האתר נפרץ על ידי פישרים.

2. שקול לזרז את ההסרה של כתובות אתר שנוצרו על ידי ההאקר

אם האקר יצר כתובות URL חדשות לגמרי שגלויות למשתמשים, תוכלו להסיר את הדפים האלה מתוצאות החיפוש ב-Google מהר יותר באמצעות התכונה הסרת כתובות URL ב-Search Console. השלב הזה הוא אופציונלי. אם תמחקו את הדפים ותגדירו לשרת להחזיר קוד סטטוס 404, הדפים ייעלמו מאינדקס Google באופן טבעי עם הזמן.

  • סביר להניח שההחלטה להשתמש בהסרת כתובות URL תלויה במספר הדפים החדשים הלא רצויים שנוצרו (יכול להיות שיהיה קשה לכלול יותר מדי דפים בבקשה להסרת כתובות URL), וגם בנזק הפוטנציאלי שהדפים האלה עלולים לגרום למשתמשים. כדי שהדפים שנשלחו באמצעות בקשה להסרת כתובת URL לא יופיעו לעולם בתוצאות החיפוש, חשוב לוודא שהדפים מוגדרים גם להחזיר קוד שגיאה 404 (הקובץ לא נמצא) עבור כתובות ה-URL הלא רצויות והוסרו.
  • אין להשתמש בכלי הזה כדי לבקש הסרה של דפים שהיו טובים בעבר ונפגמו רק על-ידי ההאקר. כדאי שהדפים האלה יופיעו בתוצאות החיפוש אחרי שתנקו אותם. הסרת כתובות URL מיועדת רק לדפים שאתם לא רוצים שיופיעו בתוצאות אף פעם.

3. שקול לזרז את עיבוד הדפים הנקיים על ידי Google

אם יש לכם דפים חדשים או דפים מעודכנים ללא בעיות, תוכלו לבקש מ-Google לסרוק מחדש את כתובות ה-URL ב-Search Console כדי לשלוח את הדפים האלה לאינדקס של Google. זהו שלב אופציונלי. אם תדלגו על השלב הזה, סביר להניח שהדפים החדשים או השנויים ייסרקו ויעובדו עם הזמן.

4. התחל לנקות את השרתים שלך

עכשיו הגיע הזמן להתחיל לנקות את האתר על סמך ההערות שציינתם במהלך הערכת הנזק וזיהוי נקודת החולשה. הנתיב שתבחרו בשלב הזה תלוי בסוג הגיבוי שזמין לכם:

  • גיבוי נקי ועדכני
  • גיבוי נקי אך לא עדכני
  • אין גיבוי זמין

קודם כול, צריך לוודא שהגיבוי נוצר לפני שהאתר נפרץ.

גיבוי נקי ועדכני

  1. שחזר את הגיבוי שלך.
  2. התקן שדרוגים, עדכונים או תיקונים זמינים עבור התוכנות. זה כולל תוכנה למערכת ההפעלה, אם אתם שולטים בשרת, וכל האפליקציות, כמו מערכת ניהול התוכן, פלטפורמת המסחר האלקטרוני, הפלאגינים או התבניות.
  3. כדאי להסיר מהשרת תוכנות שהאתר כבר לא משתמש בהן (כמו ווידג'טים, יישומי פלאגין או אפליקציות) .
  4. תקן את הפגיעות.
  5. חשוב לוודא שכל הבעיות שנמצאו במהלך הערכת הנזק טופלו.
  6. יש לשנות את הסיסמאות פעם נוספת בכל החשבונות הקשורים לאתר (למשל, פרטי התחברות לצורך גישה ל-FTP, גישה למסד נתונים, חשבונות של מנהלי מערכת וחשבונות ניהול תוכן). במערכות מבוססות Unix:
passwd admin1

גיבוי נקי אך לא עדכני

  1. יוצרים קובץ אימג' של הדיסק של האתר הנוכחי, גם אם הוא עדיין נגוע. עותק זה מיועד למטרת בטיחות בלבד. מסמנים את העותק הנגוע כנגוע כדי להבדיל אותו מהעותקים האחרים. במערכת מבוססת Unix, יצירת תמונת דיסק יכולה להיות:
dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz
  1. יוצרים עותק של מערכת הקבצים לגיבוי של השרת, כולל תמונות וקובצי מדיה. אם יש לך מסד נתונים, גבה גם את מסד הנתונים.
tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql
  1. שחזר את הגיבוי הנקי אך הלא מעודכן בשרת.
  2. כדאי לבדוק אם אפשר להסיר מהשרת תוכנות (למשל, ווידג'טים, פלאגינים או אפליקציות) שהאתר כבר לא משתמש בהן.
  3. שדרוג כל התוכנות, כולל מערכת ההפעלה אם אתם שולטים בשרת, וכל אפליקציות התוכנה, כמו מערכת ניהול התוכן, פלטפורמת המסחר האלקטרוני, הפלאגינים והתבניות. חשוב לבדוק ולהתקין את עדכוני האבטחה ותיקוני האבטחה הזמינים.
  4. תקן את הפגיעות.
  5. מבצעים diff לאתר באופן ידני או אוטומטי בין הגיבוי הנקי לבין העותק הנוכחי הנגוע.
diff -qr www/ backups/full-backup-20120124/
  1. מעלים את התוכן החדש והנקי שרוצים לשמור מהעותק הנגוע לשרת המשודרג.
rsync -avz /backups/full-backup-20120124/www/clean-file.jpg /www/
  1. בודקים שכל כתובת ה-URL שצוינה בקטע הערכת הנזק תוקנה.
  2. משנים את הסיסמאות שוב בכל החשבונות שקשורים לאתר (לדוגמה, התחברות לגישה ל-FTP, גישה למסד נתונים, אדמינים של מערכות חשבונות ניהול תוכן). במערכות מבוססות Unix:
$passwd admin1

אין גיבוי זמין

ליצור שני גיבויים של האתר, על אף שהוא עדיין נגוע. גיבוי נוסף יעזור לשחזר תוכן שנמחק בטעות, או יאפשר לכם לחזור ולנסות שוב אם משהו משתבש. כדאי להוסיף לכל גיבוי תווית 'נגוע', למקרה שיהיה בו צורך בעתיד.

אחד הגיבויים שלך ישמש כתמונת דיסק או כ"גירסה משובטת" של האתר. הפורמט הזה מאפשר לשחזר תוכן בקלות רבה יותר. אפשר להשאיר את קובץ האימג' של הדיסק לשימוש במקרה חירום. במערכת מבוססת Unix, משתמשים בקוד הבא כדי ליצור תמונת דיסק:

dd if=/dev/sda bs=1024 conv=noerror,sync | gzip -c -9 \
> /mirror/full-backup-20120125-infected.gz

הגיבוי השני יהיה עותק של מערכת הקבצים מהשרת, כולל תמונות וקבצי מדיה. אם יש לכם מסד נתונים, מגבים גם את מסד הנתונים.

tar -pczf full-backup-20120125-infected.tar.gz www/
mysqldump -u root -p --all-databases | gzip -9 \
> fulldb_backup-20120125-infected.sql

אם אין לכם קובץ אימג' של דיסק, עליכם ליצור שני גיבויים של מסד הנתונים ושני גיבויים של מערכת הקבצים.

כדי לנקות את תוכן האתר בעותק החדש של מערכת הקבצים של הגיבוי (לא בשרת עצמו), מבצעים את הפעולות הבאות:

  1. אם בבדיקה הקודמת גילינו שההרשאות של הקבצים חלשות מדי, כדאי לתקן אותן. חשוב לבצע את הפעולה הזו בעותק הגיבוי, ולא בשרת עצמו.
  2. גם בעותק הגיבוי, מנקים את כל הקבצים התואמים לכתובות ה-URL שהתגלו כנגובלות בקטע הערכת הנזק. אלה יכולים להיות קובצי תצורה של שרת, JavaScript,‏ HTML או PHP.
  3. יש להקפיד גם להסיר (להציג תגובה 404) לקבצים חדשים שנוצרו על ידי ההאקר, וייתכן ששלחתם אותם באמצעות הכלי להסרת כתובות URL ב-Search Console וייתכן שלא.
  4. תקן את הפגיעות אם היא קיימת בקוד או בסיסמאות שפוצחו. ספריות אימות קלט או ביקורות אבטחה עשויות להועיל.
  5. אם באתר שלכם יש מסד נתונים, עליכם להתחיל לנקות את הרשומות שהאקרים שינו בגיבוי. לפני שתחשבו שסיימתם, בדקו שוב רשומות נוספות כדי לוודא שמסד הנתונים נראה נקי.
  6. משנים את הסיסמאות שוב בכל החשבונות שקשורים לאתר (לדוגמה, התחברות לגישה ל-FTP, גישה למסד נתונים, אדמינים של מערכות חשבונות ניהול תוכן). במערכות מבוססות Unix, משתמשים בקוד הבא:
$passwd admin1

בשלב הזה, עותק הגיבוי של האתר הנגוע אמור להכיל רק נתונים נקיים. השאר עותק נקי זה בצד ועבור לפעולה #5.

5. הסרת תוכנות מיותרות

כדאי לשקול אם אפשר להסיר מהשרת תוכנות כמו ווידג'טים, יישומי פלאגין או אפליקציות שהאתר לא משתמש בהם יותר. כך אפשר לשפר את האבטחה ולפשט את התחזוקה העתידית.

6. נקה את כל השרתים

  1. בצע התקנה נקייה, לא רק שדרוג. בשדרוגים אפשר להשאיר קבצים מגרסה קודמת. אם קובץ נגוע נשאר בשרת, יש סיכוי גבוה יותר שהאתר ייפרץ שוב.
    • ההתקנה החדשה צריכה לכלול את מערכת ההפעלה, אם אתם שולטים בשרת, ואת כל יישומי התוכנה, כמו מערכת ניהול התוכן, פלטפורמת המסחר האלקטרוני, הפלאגינים והתבניות. חשוב לבדוק אם יש עדכוני אבטחה ותיקונים זמינים.
  2. מעבירים תוכן תקין מהעותק הנקי של מערכת הקבצים לגיבוי לשרתים החדשים שהותקנו. מעלים ומשחזרים רק את הקבצים או מסד הנתונים שידועים כנקיים. חשוב לשמור על הרשאות הקבצים המתאימות ולא לשכתב את קובצי המערכת שהותקנו לאחרונה.
  3. מבצעים שינוי אחרון של הסיסמאות בכל החשבונות שקשורים לאתר (למשל, חשבונות התחברות לגישה ל-FTP, לגישה למסד נתונים, לאדמינים ולמערכת ניהול התוכן). במערכות מבוססות Unix, משתמשים בקוד הבא:
passwd admin1

7. צור תוכנית תחזוקה לטווח הארוך

מומלץ מאוד לבצע את הפעולות הבאות:

  • בצע גיבויים אוטומטיים סדירים של האתר.
  • עמוד על המשמר ועדכן את התוכנות באופן שוטף.
  • לפני שמתקינים אפליקציות, פלאגינים ותוכנות אחרות של צד שלישי, חשוב להבין את שיטות האבטחה שלהן. פרצת אבטחה באפליקציית תוכנה אחת יכולה להשפיע על הבטיחות של כל האתר.
  • כפה יצירה של סיסמאות חזקות.
  • חשוב להקפיד שכל המכשירים שמשמשים לכניסה למחשב יהיו מאובטחים (מערכת ההפעלה והדפדפן המעודכנים).

8. בצע בדיקה חוזרת כדי לוודא שהניקוי הושלם

חשוב לוודא שאתם יכולים לענות "כן" על השאלות הבאות:

  • האם ביצעתי את הפעולות המתאימות אם האקרים הצליחו להשיג את המידע האישי של המשתמשים?
  • האם באתר שלי פועלות גרסאות התוכנה המאובטחות ביותר?
  • האם הסרתי את כל האפליקציות או יישומי הפלאגין שאינם נחוצים או שלא נעשה בהם שימוש, שעלולים לגרום לחולשה נוספת באתר בעתיד?
  • האם שחזרתי את התוכן שלי והסרתי את התוכן של ההאקר?
  • האם פתרתי את סיבת השורש לפגיעות, שאפשרה את הפריצה לאתר שלי?
  • האם יש לי תוכנית לשמירה על אבטחת האתר שלי?

עכשיו אפשר להחזיר את האתר לאינטרנט.