האמת על פריצות וורדפרס
רוב האנשים חושבים שהאקרים הם גאונים טכנולוגיים שפורצים קודים מורכבים. המציאות? 90% מהפריצות קורות בגלל סיסמאות חלשות או משתמשים שמשתמשים באותה סיסמה בכל מקום.
כמתכנתים, אנחנו חייבים להיות הגדר האחרונה בין הלקוחות שלנו לבין האקרים. הבעיה היא שלקוחות לא מבינים סייבר ולא איכפת להם – עד שזה מאוחר מדי.
למה זה באמת קורה?
הלקוח הממוצע רואה סיסמה בתור מטרד. הוא רוצה סיסמה שהוא יזכור בקלות. לכן הוא בוחר את שם הכלב שלו או התאריך לידה. מה שהוא לא מבין זה שהאקרים היום עובדים עם רובוטים שמנסים מיליוני סיסמאות בדקה. "123456" נמצא במקום הראשון ברשימה.
פתרונות מעשיים ללא סיבוכים
- כפיית סיסמאות חזקות במקום להסביר ללקוח למה סיסמה חלשה זה רע, פשוט תגידו למערכת שלא לקבל סיסמאות של פחות מ-12 תווים. המערכת תכריח אותו ליצור משהו חזק יותר.
- אימות דו-שלבי – זה לא מסובך כמו שנשמע זה פשוט: אחרי שהמשתמש מכניס סיסמה, המערכת שולחת לו SMS עם קוד של 6 ספרות. רק עם הקוד הזה הוא יכול להיכנס. גם אם מישהו יגנוב לו את הסיסמה, הוא לא יכול להיכנס בלי הטלפון.
- הגבלת IP ובקרה על כניסות אם הלקוח עובד רק מהבית או מהמשרד, אפשר להגביל את הכניסות רק לכתובות IP ספציפיות. זה אומר שגם אם מישהו יגנוב סיסמה, הוא לא יוכל להיכנס מכתובת אחרת.
- ניטור ניסיונות כניסה אפשר להגדיר התרעות על ניסיונות כניסה כושלים חוזרים. 5 ניסיונות כושלים מאותה כתובת IP? החסימו אותה לשעה.
- שינוי כתובת ההתחברות במקום /wp-admin/, תשנו את הכתובת למשהו ייחודי. זה פשוט אבל יעיל – האקרים מחפשים את הכתובת הרגילה.
- לא לשמור סיסמאות בדפדפן זה הטעות הגדולה שלקוחות עושים. הם שומרים את הסיסמה בדפדפן "לנוחות". הבעיה שאם מישהו ישתמש במחשב שלהם, או אם הדפדפן ייפרץ – כל הסיסמאות חשופות. תסבירו ללקוחות להשתמש במנהל סיסמאות נפרד כמו LastPass או Bitwarden.
השורה התחתונה
אבטחה זה לא רק טכנולוגיה, זה גישה. הלקוחות שלנו סומכים עלינו להגן עליהם מפני איומים שהם אפילו לא מבינים שקיימים. הפתרונות שציינתי למעלה לא דורשים להיות מומחי אבטחה – רק מתכנתים אחראיים.
בפעם הבאה שאתם בונים אתר, תשאלו את עצמכם: "מה יקרה אם האתר הזה ייפרץ?" התשובה צריכה להוביל אתכם לפעולה. כי לקוח מרוצה זה לקוח שהאתר שלו בטוח.
לשאלות נוספות ומידע מפורט יותר, נשמח ליעץ לכם
