בניתם אתר, עיצבתם אותו, כתבתם עבורו תוכן מבריק ואפילו השקעתם בקידום אתרים יעיל שהעיף אתכם אל צמרת תוצאות החיפוש בגוגל – אבל האתר שלכם לא הכי מאובטח בעולם. אז מה? זה לא שהגולשים שלכם צריכים להשאיר פרטי כרטיס אשראי, וגם אם כן, מה כבר יקרה?
אז זהו. שאם מישהו יפרוץ לאתר שלכם, כל העבודה הקשה שהשקעתם תרד בן לילה לטמיון ותיאלצו להשקיע הרבה מאוד זמן וכסף כדי לתקן את המצב.
למעשה, לא צריך שמישהו יצליח לפרוץ לאתר שלכם; די בכך שהוא ינסה שוב, ושוב, ושוב. בסופו של דבר ניסיונות הפריצה הללו, גם אם הם כושלים פעם אחר פעם, יהוו גורם שמאט את מהירות טעינת האתר ולפיכך יפגע בדירוגו בתוצאות החיפוש; או פשוט יפריעו לגוגל לסרוק את האתר באופן יעיל כך שעמודים מלאים בתוכן משובח יידמו לגוגל כקישורים שבורים.
אלה הן רק דוגמאות להשפעה ההרסנית שיכולה להיות לאתר שאינו מאובטח די הצורך על תהליך קידום האתר בגוגל. לא חסרים גורמים שיהיה להם אינטרס לפגוע בכם בצורה כזו: מתחרים אגרסיביים שלא בוחלים בשיטות מפוקפקות לקדם את עצמם על חשבונכם, לקוחות מאוכזבים שמבקשים נקמה ואפילו "סתם" האקרים שלא מחבבים במיוחד אתרים בעברית.
פריצות לאתר בהיבט קידום אתרים
על פי מחקר שנערך לאחרונה, כ-68% מן האתרים שסבלו מפריצה נפרצו מסיבות של קידום אתרים בגוגל: ההאקרים נוהגים להוסיף קישורים לאתרים שונים ומשונים, להוסיף עמודים חדשים לאתר ואפילו ליצור עותק שיציג בפני גוגל אתר שונה לחלוטין מזה שרואים גולשים אנושיים.
הבעיה בפריצות כאלה כפולה: מצד אחד הגולשים עלולים לאבד אמון באתר ולברוח; מצד שני, האתר עלול להיכנס ל"רשימה השחורה" של גוגל, לספוג סנקציות קשות ואף להיעלם לחלוטין מתוצאות החיפוש. חושבים שזה לא יקרה לכם? אתם לא לבד: בעלי אתרים שמתעלמים מן הסיכון עלולים לשאת בתוצאות קשות, אבל עובדה שעל פי אותו מחקר רק מחצית מהם מתייחסים לנושא האבטחה נגד פריצות זדוניות כאלה.
המחקר גם מגלה כי רק עשירית מבעלי האתרים שנפרצו מקבלים על כך התראה מגוגל. המשמעות המידית היא שלא כדאי לסמוך על מנוע החיפוש הפופולרי בעולם שיתריע על פריצת אבטחה באתר שלכם – אבל מכאן נגזרת משמעות מדאיגה אפילו יותר: 90%(!!!) מן האתרים שנפגעו מפרצת אבטחה על ידי האקרים מסיבות של קידום אתרים ממשיכים להתקיים מבלי שבעליהם יודעים בכלל שהם נפרצו, כשדירוגם בגוגל ניזוק קשות בגלל השינויים שערכו הגורמים הזדוניים באתר שלהם, ובסבירות גבוהה הם משמשים כפלטפורמה לקידום אתרים שאינם קשורים אליהם כלל.
שימוש בתוספים: רק בשיקול דעת
משתמשי וורדפרס ופלטפורמות דומות לבניית אתרים נוהגים לעשות שימוש בשלל תוספים ללא הקדשת מחשבה נוספת, אולם יש מי שעלולים לנצל זאת לרעה. גורמים מסוימים יכולים לרכוש תוסף כזה מן היוצר מבלי ליידע אותו על כוונותיהם, ולשנות אותו באופן ששימוש בו, למשל, יוסיף קישורים סמויים לאתרים מפוקפקים בשליטתו של הבעלים החדש של התוסף.
לכן אל תמהרו לבטוח בכל תוסף שנראה לכם אטרקטיבי, אלא לכל הפחות חפשו בגוגל האם יש לו היסטוריה ידועה של פריצה או שימוש לרעה. כל מה שצריך לעשות הוא לחפש בגוגל את שם התוסף בצירוף המילה "hacked" – ולבחון את התוצאות.
במקביל, מומלץ גם לשקול דווקא שימוש בתוספי אבטחה כמו WordFence או Sucuri Security ואחרים, כלומר כאלה שתפקידם העיקרי הוא לנטר ולחסום פרצות אבטחה וניסיונות פריצה..
על מי מוטלת האחריות לאבטח את הרשת?
לפני מספר שנים, כאשר מנועי החיפוש היו עדיין בחיתוליהם ושיעור גבוה של תוצאות החיפוש הוביל לאתרים שכללו וירוסים זדוניים, הוצע לבכירי מנוע החיפוש יאהו לסנן את תוצאות החיפוש כך שאתרים כאלה לא יוצגו לגולשים. בכירי יאהו דחו את ההצעה, בטענה שתפקידו של מנוע חיפוש הוא לא להיות אנטי-וירוס, והאחריות על ההגנה מפני הווירוסים אמורה להיות מוטלת על כתפי המשתמשים עצמם.
מספר חודשים אחר כך נודע כי תוצאות החיפוש של גוגל מסננות אתרים עם וירוסים כך שלא יוצגו לגולשים. זמן קצר אחר כך, גם יאהו החל לסנן את תוצאות החיפוש. האם בכך עברה האחריות על האבטחה אל מנועי החיפוש, או אולי אל בעלי האתרים שמעוניינים להופיע בתוצאות החיפוש ולפיכך מגנים טוב יותר על האתרים שבבעלותם?
האמת היא שאבטחה ברשת משפיעה על כולנו, ולכן לכולנו יש חלק באחריות משותפת. בפרט, אם אתם בעלי אתר שמשקיעים בקידום אתרים ולא מעוניינים לקחת את סיכון, מומלץ כי תשלבו את נושא האבטחה בתכנון האסטרטגי שלכם.