• 053-9263856
  • mikel0174@gmail.com
Facebook-f Twitter Instagram Youtube Linkedin Whatsapp
מחירים
המלצות
יצירת קשר
חיפוש

אתר זה מקודם בגוגל בלי קישורים

המלצות

תוספי אבטחה לוורדפרס

מהם תוספי אבטחה לוורדפרס ובכלל והאם הם עושים את העבודה?

תוספים הם מונח שבא מעולם בניית האתרים במיוחד למערכות cms wordpress

תוספים הם : 

תוכנות שתפקידן הוא להוסיף אפשרויות ניתן לקרוא לתוספות גם אפשרויות פונקציונליות לסוגים שונים של מטלות  למשל:

  • תוסף צור קשר – יעזור להוספת צור קשר מעוצב או עם תכונות אחרות שאין במערכת ברירת המחדל.
  • תוסף עריכה – מוסיף לעריכה כלים שיעזרו לשפר את נראות העריכה כגון סמיילים וקוסמטיקה לטקסט ואו לתמונות.
  • תוסף אופטימיזציה קידום – תפקידו לעזור למקדם האתר או לבונה האתרים להכניס כותרות או דברים אחרים שהוא מאמין שיעזרו לקדם את האתר כמו למשל קבצים טכניים קובץ robots ועוד..

נ.ב

תוספי seo אינם מקדמים בעצמם את האתר וברוב המקרים אף פוגעים בקידום (דעה אישית מניסיונו של כותב המאמר) 
 

תוסף נגישות – תוסף זה עוזר להכניס כלים לטובת הנגשת האתר לאוכלוסיות מוגבלות  , התוסף עצמו אינו מנגיש את האתר לסטנדרטים שאולי חובה במקרים מסויימים להנגיש ויש להיוועץ במומחה הנגשה בלתי תלוי בחברה שמייצרת את התוסף.

תוספי אבטחה –

אמורים להגן על האתר מפני בעיות אבטחה , חלקם אף מצהירים שהם מנקים את האתר ופותרים בעיות אבטחה .

עכשיו כשמובן מה זה תוספים נחזור לנושא של תוספי אבטחה לוורדפרס.

תוספי אבטחה שנמצאים בספריית וורדפרס  להורדה ואו קניית גרסאות בתשלום.

גרסאות חינמיות עושות מס’ מצומצם של פעולות הגנה וניקוי , הגרסאות בתשלום גם מאפשרות תמיכה טכנית מורחבת במוצר במידה ויש קשיים תפעוליים  השימוש בתוסף.

ניתן לבחור ע”פ פרמטרים של כדאיות : 

  • תאימות לגרסת הוורדפרס 

  • זמן ותדירות עדכוני באגים ובעיות אבטחה.

  • המלצות

  • מס’ מורידים\משתמשים\רוכשים.

אפילו צילומי מסך ולפעמים גם סרטונים של התוסף בזמן שהוא עובד.

תוספי אבטחה שלא נמצאים בספריית התוספים המומלצים של וורדפרס 

הם לא שם כי ב99% יש סיבה טובה לזה שהם לא שם .

הסיבות הן : באגים , עבירות , אמינות  ואפילו ניצול לרעה של תמימות משתמשים.

ithemes אבטחה 

תוסף אבטחה לוורדפרס שלא שווה יותר מידי  , לא יעיל.

מעל 900000 התקנות פעילות 

לא ברורה מידת התאמתו לגרסאות וורדפרס אחרונות

עודכן לפני כחודש

All in one seo pack

התוסף הותיק והמקורי מכין אחרים

לא מומלץ

מעל 2 מיליון התקנות פעילות

הורד מעל 50000000 מיליון פעמים אבל כאחוז משתמשים פעיל ניתן להבין שהוא לא לגמרי בלשון המעטה עושה את העבודה.

מתעדכן בערך כל חודש

תואם לגרסת הוורדפרס האחרונה.

ג’טפק מאת וורדפרס.קום

לא יעיל , לא מומלץ , מתנגש עם תוספים אחרים

מעל 5 מיליון משתמשים פעילים.

עודכן לפני כשלושה שבועות

תואם לגרסת הוורדפרס האחרונה.

וורדפנס – תוסף מעולה

מעל 3 מיליון התקנות פעילות

עידכון אחרון מלפני שלושה שבועות

תואם לוורדפרס גירסא אחרונה לתאריך המאמר.

sucury security 

תוסף טוב יחסית

מעל חצי מיליון משתמשים פעילים

עודכן לפני כחודש

תואם לגרסת הוורדפרס האחרונה 

תוסף הכל כלול all in one

מהן בדיקות אבטחה לאתרים ברמת השרת? (תוכנה וחומרה)

בדיקות אבטחה ללא ידע ואו ניסיון ורצוי גם הסמכה מגופים רשמיים שונים עלולות לגרום נזק גם לאתר וגם לשרת .

בדיקות אבטחה ברמת כניסה

האם משאבים רגישים חשופים או לא מוגנים לרמת בקשות get?

האם רגישים לpost?

האם השרת מעודכן בתוכנות מעודכנות כולל גורמים צד ג’ אמינים ?

(אמינים = מעודכנים בשינויים מחייבים ע”פ תקני אבטחה) 

האם תוכנות המותקנות על השרת בקוד פתוח והאם נבדקו ברמת אבטחת מידע?

האם החומרה מבתי ייצור אמינים ? חשוב לבדוק היסטוריית אירועי אבטחה של המפעל \ היצרן.

האם המשתמש\המפעיל של חברת האיחסון מוגן?

האם התקשורת פנימה והחוצה ממפעיל האיחסון מוגנת?

האם בעל עסק האיחסון מוגן בכל הרבדים ? (social engineering) 

האם הציוד הנלווה לרשת , ראוטרים , סוויצ’ים , FW ועוד ברמת תוכנה וחומרה עברו בדיקת אבטחת מידע?

בדיקות אבטחה לאתרים (תוכנה) 

האם קיימת בעיית קוד? שגיאות, איטיות , אינדוקס

האם השרת מאובטח?

האם האתר מכיל אמצעי אבטחה ברמה אפליקטיבית? מוגן? 

באתר וורדפרס

האם התבנית מעודכנת וכל כמה זמן.

האם התוספים תקינים , בטוחים , מתעדכנים ובאיזו תדירות

האם ספריית הroot \ public html מוגנת?

האם המשתמשים ואו המנהלים עוברים בקרה כלשהי ?

מה תהליך אימות כניסה לאתר והאם מתבצע תקין?

האם הקוד חושף חולשות?

איך מערכות האתר מגיבות לבדיקות אבטחה ?

בדיקת עומסים \ שאילתות

האם המדיה באתר בטוחה על רבדיה

האם וורדפרס מעודכנת?

בדיקות רלוונטיות לפגיעה בקידום דרך בדיקות אבטחה.

 

מהי בדיקת חדירות? 

בדיקת חדירות או בתרגום PENETRATION TESTING  הינה תקיפה ידועה ומתוכננת מראש עם בקרה מלאה של האקר או pentester  במטרה לבחון ולאפיין חומרה ודחיפות של חולשות אבטחת מידע , מה ניתן להפיק מאותן חולשות ומה מידת חוזקן או שרידותן של מערכות תקשורת ואו אחרות לעומסים או נזקים  של התקפות סייבר.

מהו תהליך הבדיקה?

זיהוי מדוייק ומקיף של המטרה הנבדקת .

מהו המידע שניתן להשיג בהתקפות סייבר ?

באילו שיטות\אמצעים ניתן להשתמש כדי לבצע את המשימה מהצד של הרעים על ידי הטובים. (הטובים הם ההאקרים האתיים) 

מטרתן של בדיקות חדירות משנות ומשפיעות על סוגי הבדיקות.

בדיקות קופסא לבנה 

לבודק המערכת או להאקר ובמקרה הנדון להאקר האתי יש את כל המידע מראש על המערכת \ המטרה אותה הוא יבדוק.

בדיקות קופסא שחורה

המטרה מוגדרת ואין מידע מוקדם או מידע בכלל על המערכת ואו המטרה שתיבדק.

בדיקות אלו יספקו מידע על אפשרויות החדירה למערכת לרוב הבדיקות הלא מורשות האם המטרה ניתנת לחדירה לא מורשית או לעיתים אחרי פריצה למה היא קרתה ואיך ניתן למנוע את הבאה.

בתחום הסייבר כיום ובעבר המציאות היא שכל מערכת ניתן לפרוץ ואו לפגוע וזה עניין של זמן ולא אם ניתן .

 

זיהוי פגיעויות או חולשות אבטחה.

בדיקות אלו בשונה מקופסא לבנה ואו שחורה מבצעות רק סריקה פאסיבית והן נקראות 

vulnerabillity assessment

בסיום הסריקה או בדיקת האבטחה הפאסיבית מזמין הבדיקה יקבל דו”ח מפורט על חולשות המערכת ואף פתרונות להקשחת האבטחה .

אמצעי הנגד שיוצעו אמורות לסגור את כל חולשות האבטחה שהתגלו בבדיקות ולפי הצורך גם תבוצענה בדיקות אבטחה נוספות לוידוא שהמערכת מוגנת וחסינה מפני התקפות עד כמה שאפשר במגבלות הטכנולוגיה.

האם בדיקות חדירות יעילות?

כמובן שכן והן אף חובה.

הבדיקות מספקות בדיקת התכנות של סוגי התקפות שונות .

התקפות חזקות שקשה לנבא מראש ע”פ סטטיסטיקה.

ניתן לתזמן את ההתקפות בסדר מסויים שייקבע ע”י בודק האבטחה . (ההאקר) 

זיהוי החולשות מתאפשר גם אם מערכות מובנות לא מגלות את החולשות בכלים אוטומטיים הקיימים כפתרונות מקצועיים בשוק.

הערכת הנזק שעלול להיגרם כגון דלף מידע.

בדיקת מערכות ההגנה והאם יעילות ומספקות.

ביצוע POC proof of concept לטובת המערך העוסק באבטחת המערכת ואו האירגון.

שכבות הגנת המערכת בבדיקות אבטחה 

שכבת ההגנה הראשונה כוללת חומרה כגון IDS או FW ואם עוברים את שניהם או אחד מהם ניתן להמשיך הלאה.

את השכבה הראשונה ניתן לעבור בכמה שיטות ואחת מהן שניתן לפרט עליה היא שיטת אקספלויט exploit . 

אקספלויט – פרצת אבטחה הקיימת במערכת ומאפשרת גישה דרך אמצעי ההגנה הקיימים כאילו לא היו.

פרצות אבטחה מסויימות מאפשרות כניסה ואו גישה עם הרשאות מוגבלות אך עם מושגת הרשאה גם אם מוגבלת ניתן להגדיל את מידת ההרשאות ותהליך זה נקרא : 

אסקלציה .

מהי אסקלציה?

privilege escalation

דרך שימוש בקוד  ההאקר מקבל או משדרג את ההרשאות שלו לגישה מיוזר למנהל מערכת וכך הוא מקבל שליטה לכל משאבי המערכת.

DLP מערכת למניעת דלף

מערכת למניעת דלף מידע או במילים פשוטות דליפת מידע

בשוק קיימות מס’ מערכות שהינן תוכנות המנטרות ואף מונעות מראש אפשרות של  דליפת מידע או זליגת מידע מן הארגון או מאנשי הארגון החוצה למי שאינו בהכרח מורשה להיחשף למידע שלפעמים רגיש.

  • מערכת דלף מידע בעצם מנטרת דאטה\נתונים ואירוע כזה מוגדר כאירוע סייבר או אירוע אבטחת מידע  שמתאר מצב בו המידע הרגיש של החברה יוצא החוצה לעיניים לא מורשות כגון: 
  • לקוחות החברה.
  • מידע פיננסי מקיף כולל אמצעי תשלום.
  • כרטיסי אשראי ואף זהות אמצעי אבטחה של האירגון בהקשר כמובן לאבטחת מידע.
  • נתונים מהסוג הרגיש שיוצאים החוצה ונחשפים יכולים להימכר ע”י עבריינים או האקרים או מאכרים בהמון המון כסף.

זיהוי מניעת הדלפות \ זליגת מידע מעמדות הקצה ואו מסופים.

למשל מחשבים המותקנים בעמדות קצה ולא ננקטו צעדי אבטחת מידע להגנה מפני מעבר קבצים למדיה חיצונית , לדוג’ דיסק און קי .

העברה דרך דואר אלקטרוני ותוכנות מסרים .

זיהוי הנתונים שמודלפים

ניתן לומר שהכללים או rules שיוגדרו דומים להלבנת קבצים אבל בתהליך הפוך \ דומה .

הגנה על הארכיון במאגר

הגנה נגד צילומי מסך , קליק ימני , העתקה , פקס ועוד.

סוגי הדלפות או זליגת מידע

זיהוי ברשת – 

בדיקת פורטים ונקודות יציאה ואנליזת תעבורה לאיתור נתונים רגישים העוברים על חוקי מדיניות שהוגדרו בארגון .

מהן עבירות סייבר?

מיהו חוקר עבירות ופשעי מחשב?

לפני שמדברים מיהו חוקר עבירות מחשב או חוקר פשעי מחשב צריך להכיר מהם פשעי מחשב.

הנושאים הם : 

  • סיכוני רשת וגלישה בטוחה.
  • גלישה בטוחה היא גלישה עם פיקוח של מבוגר , מס’ חברות היום מאפשרות סינון תכנים לא הולמים ואו התנהגות חריגה בגלישה בזמן אמת.
  • תוכנות צד ג’ אלו נותנות בעצם חסימה ואו התראות על פעילות לא הולמת ואו פוגענית ובכך הופכת את הגלישה למפוקחת יותר ובטוחה.
  • חקירות מחשב פורנזיות.

פורנזיקה – 

שיחזור ואבטחת מידע במרחבי הסייבר.

סייבר במערכות מחשב וסמארטפון.

מהן הפגיעות בשפה פשוטה?

  • צילום והפצה של תמונות אישיות למטרות פוגעניות
  • עבירות מרמה והונאה באמצעות סייבר
  • עידוד צריכה של חומרים אסורים ע”פ החוק.
  • מסחר \ סחר באלכוהול וסמים ברשת.
  • הימורים
  • לשון הרע – ראה הגדרת חוק הפצת לשון הרע.
  • פגיעה בפרטיות
  • גניבת זהויות
  • שיימינג (ביוש מהמילה בושה)
  • בריונות רשת (נקרא גם סייבר בולינג) 
  • התעללות 
  • שנאה
  • נאצה וחרם
  • פדופיליה
  • מתחזים בעבירות מין
  • פורנוגרפיה
  • סחיטה ואיומים ברשת
  • הפצת וירוסים ותוכנות זדוניות
  • פריצה למחשב או לסמארטפון שיכולה להביא גם לפגיעות בגוף ובנפש.

מונחים במניעת דלף מידע : 

  • מניעת דליפת מידע – ILP
  • איתור ומניעת דליפות מידע – ILDP 
  • הגנה ושליטה או בקרה על  מידע – IPC
  • ניטור התוכן וסינונו – CMF 

 אמצעים סטנדרטיים לטיפול

firewall – חומת אש 

 IDS\IPS  – מע’ גילוי חדירות

אנטי וירוסים

אמצעים מתקדמים לטיפול

איתור הנתיבים ודרכי הגישה אל המידע הרגיש של הארגון וניטור הגישה לDB וממנו 

תיעוד מקיף של כל התעבורה.

מערכות ייעודיות למניעת דלף מידע

מערכות בדיקה עצמית המנטרות מילות מפתח , הרשאות , טביעות אצבע\חתימות דיגיטליות ושיטות סטטיסטיות לאנומליות.

שירותי מומחה אבטחת מידע וסייבר

מי ראוי להיקרא מומחה אבטחה לאתר או מומחה אבטחת מידע ואו סייבר?

כמה מושגי יסוד לפני הכל , להלן פירוט: 

גיבורי דורנו הם ההאקרים, הפצחנים. איש לא ראה אותם. רואים רק את תוצאות מעלליהם הזדוניים הנועדים לשבש את חיינו בכמה הקלקות תווים במקלדת המחשב.

ציטוט מאת מר בני ציפר  – סופר , משורר , עיתונאי ישראלי ועורך בעיתון הארץ את מדור תרבות וספרות  

 

האקר – בעברית נקראים ההאקרים פצחנים

פצחן הוא אדם המחובר מאוד לטכנולוגיה והמיוחד בשימושים שניתן ליישם דרכה.

האקר אמיתי חייב להיות מומחה מחשבים בתחומים ספציפיים או רחבים כגון הבנה במערכות הפעלה  , תקשורת נתונים  , הצפנה וקידוד  , טכנולוגיות מגוונות גם צבאיות ואו ממשלתיות .

יש כמה סוגי האקרים – 

old school hackers – סוג די נדיר של אנשים הנהנים מפתרון בעיות והתגברות על מגבלות של מערכות מכל סוג.

סוג נפוץ של האקרים הוא בתחום רשתות התקשורת

מה יכולים לעשות האקרים\פצחנים?

היכולת לקבל שליטה מרחוק דרך רשת התקשורת על נכס המחובר לרשת האינטרנט העולמית ואו רשת סגורה פרטית.

שליפת מידע ממערכות שלא אמורות להיות חלשות או ניתנות לפריצה .

גרימת נזק למטרות שונות החל מנקמה ועד לרווח כלכלי.

כלי הנשק של האקרים מגוונים החל מוירוסים , תולעי מחשב וסוסים טרוייאנים , בפועל הכל נעשה דרך מקלדת וחיבור לרשת  המחשבים.

האקרים כובע לבן – 

ניצול ושימוש יכולות למטרת הגנה , בדיקת היציבות של מערכות שונות מהתקפות שונות , הם נקראים גם האקרים אתיים כי רובם עובד בממסד כהאקרים מוסריים שאינם תוקפים או מפתחים כלי תקיפה.

האקרים כובע שחור  – 

ניצול ושימוש היכולות והידע כדי לחדור ולהפיל ואו לגרום לפרצות ואף לדליפת מידע \ דלף מידע במערכות ומאגרי נתונים שאינם אמורים לאפשר חשיפת מידע או דליפתו בדרך כלשהי מלבד למורשים לגישה למידע.

האקר כובע שחור כשימצא פרצה ואפילו במקרה קורב לוודאי יעשה בה שימוש לרעה או ינצל אותה לטובת רווחים ללא מוסר ועם עבירה ברורה וחמורה על החוק.

האקר כובע שחור הוא מעין שכיר חרב טכנולוגי שפועל לרוב מסיבות של רווח כלכלי אבל יש גם כובעים שחורים שפועלים מתוך אידיאולוגיות שונות כגון אידיאולוגיה אנטי ממסדית.

כובע אפור –

האקר מסוג זה אינו מעוניין לגרום שום נזק לקורבן אבל ברוב המקרים גם לא מעוניין לסייע לו .

האפור הוא סוג של עירוב גישות של כובע שחור ולבן ואין פה עקביות או חוקיות וכל המטרה הינה ללמוד את הטכנולוגיות והנאה או סיפוק מן האתגר של חקר הטכנולוגיה.

דלת אחורית BACKDOOR מה זה ?

 

מהי דלת אחורית או באנגלית BACKDOOR? 

מונח הלקוח מעולם המחשבים ומענף של אבטחת מידע וסייבר

ההגדרה לפי ויקיפדיה  

פרצת אבטחה המאפשרת כניסה או גישה למידע שרק מורשים יכולים לקבל וללא צורך בהזדהות .

במילים פשוטות : 

BACKDOOR  היא תוכנה הנמצאת בתוך הקורבן והיא תפעל כשהתוקף ירצה .

הזדהות – 

הכנסת פרטי כניסה למידע למשל שם משתמש וסיסמא או מייל ואו סמס  לאימות כפול.

הסיבות לbackdoor

פרצה מסוג דלת אחורית יכולה לנבוע ללא כוונה זדונית למשל בעיית קוד כגון שגיאת מתכנת או שגיאה בקוד המקור או עקב תהליך שמשתבש בזמן ריצה.

פרצת אבטחה מהסוג הנ”ל מאפשרת גם החדרת סוס טרויאני שיכול לגרום נזק ואו לבצע כל דבר בנתונים.

דלת אחורית אקטיבית

מייצרת חיבור ממחשב המארח (הדלת קיימת\מותקנת בו) ומאפשרת למחשב שני אחר של התוקף העברת נתונים לכל מקום ומכל מקום.

דלת אחורית פאסיבית

מאפשרת פתיחת פורט במחשב המארח שבו מותקנת הדלת האחורית ואז אם אין הגנה על הפורט (פילטר) הנתונים יכולים לעבור חופשי אפילו אם יש במערכת חומת אש או הגנות אחרות שאמורות למנוע מעבר מידע\נתונים ללא בקרה רצויה.

מהי ההשלכות של בקדור כתוצאה מבאג?

פירצת בקדור שנובעת כתוצאה מבאג או שיבוש אחר גם אם שאינו נגרם בכוונה זדונית או אחרת מעצם מאפשרות לקבל הרשאות של מנהלי מערכת ומנהלי מערכת יכולים לעשות באתר או בבסיס הנתונים כמו גם בשרת כולו הכל.

למשל : 

ניתן להריץ קוד שלא ניתן להריץ אלא בהרשאות ניהול גבוהות של מנהל המערכת דרך שימוש בbuffer overflow  או לעקוף את שכבת האבטחה המוגדרת ואו הדיפולטיבית במערכת שבה רצה התוכנה.

כלים ליישום דלת אחורית

Chkrootkit 

Rkhunter

penetration testing בדיקת חדירות

סורקי אבטחה 

סוסים טרויאנים

תוייג