אבטחה

אוק 29 2008

התראות אבטחה בתוצאות החיפוש של גוגל

מאת נושאים כללי,קידום אתרים

כאיש קידום אתרים או כבעל אתר יתכן ונתקלת באזהרה שגוגל מיקמו ליד תוצאות החיפוש, ולרוע המזל ליד האתר שלך.

malware

מדובר כמובן באזהרה האומרת ש"אתר זה יכול להזיק למחשבך" אבל גוגל לא מסתפקים באזהרה בלבד אלא גם דואגים שהקלקה על תוצאת החיפוש תפנה את הגולש לא לאתר המקורי אלא לדף אזהרה שייתן פירוט מסוים לגבי התוכן הבעייתי באתר. אבל מדוע? יתכן ובעל האתר לא מנסה להזיק לך, יתכן אפילו ואתה בעל האתר אז כיצד גוגל טעו והכניסו אזהרה כזאת שכמובן מבריחה כל גולש מזדמן?

ההסבר כנראה פשוט, מישהו חדר לאתר שלך. זו יכולה להיות פריצה לאתר כולו או רק הזרקת קוד, דרך פריים וכדומה, זה יכול להתרחש אפילו אם השקעת מאמצים לאבטח את האתר ודאגת לעדכוני גרסה של כל התוכנות. אבל כנראה שיש משהו בעייתי באתר שלך ועליך לתקן אותו. פירוט על כך תוכל לקבל בשלב ראשון בהקלקה על התוצאה בגוגל אבל שם הפירוט יהיה חלקי בלבד ללא ציון פרטי המפגע ומיקומו.

אזהרה של גוגל על וירוסים או טרויאנים באתר

אזהרה תשלח מייד עם מציאת הבעיה לתיבת הדואר שלך בפורטל הגוגל וובמסטר טולס (להלן WMT) ושם גם תוכל למצוא מידע רב יותר לגבי הסיבה לאזהרה ומה שחשוב יותר, הדפים שהודבקו וצריכים שיפוץ. לא תמיד גוגל יספקו את כל הדפים הפגועים כיון שלעיתים מדובר בהדבקה רוחבית באתר כך שרק דוגמית של האתרים הבעיתיים תנתן.

מה לעשות אם מתברר שהאתר שלך הודבק?

  1. השלב הראשון הוא להוריד אותו או לפחות להחזיר הודעת 503
  2. אם אתה לא יכול לעשות זאת, לפחות כדאי להוריד את הדפים הבעייתיים מתוצאות החיפוש. הכי פשוט לעשות זאת דרך פורטל WMT של גוגל (URL removal tool).
  3. נסה להבין מה רצה ההאקר, האם הוא מחפש אחר מידע רגיש על השרת או מטרתו היא הדבקת מחשבים אחרים.
  4. נסה לאתר כל קובץ שעבר שינוי, תוכל לראות זאת אולי בקובץ ה log של השרת, אולי יהיה נבון להעזר בספק האחסון.
  5. בדוק האם אתרים אחרים שלך נפרצו.
  6. אם באפשרותך לעשות זאת גבה את הנתונים על השרת והתקן מחדש את מערכת ההפעלה – זו הדרך הטובה ביותר לוודא שלא נשארו סימנים לפריצה.
  7. בדוק את הגיבוי האחרון שלך, וודא כי הוא נקי לחלוטין והתקן אותו.
  8. התקן את עדכוני התוכנה האחרונים לתוכנות שברשותך.
  9. שנה סיסמה.
  10. החזר את השרת לפעולה או בטל את הורדת הדפים ב WMT.
  11. בפורטל WMT-Webmaster Tools קיימת אפשרות לבקשה לבדיקה חוזרת לאחר הדבקה. זו לא הבקשה לבדיקה חוזרת לאחר ענישה שנובעת מהתנהגות בלתי הולמת (שלוקחת זמן רב) אלא בקשה יחודית לאחר הדבקה (והיא לוקחת מספר שעות בודדות כשגוגל למעשה מתחייבים שהיא לא תקח הרבה מעבר ליום אחד). שים לב לבקש malware review ולא reconsideration request.
    בקשת בדיקה חוזרת מגוגל לאחר גילוי הדבקה
  12. בדוק אם ביכולתך לשפר את מצב אבטחת האתר בין אם הוא יושב על APACHE או כל פלטפורמה אחרת.

חשוב לדעת שגוגל משקיעים מאמץ על מנת לוודא שהם לא מענישים לחינם אתרים שנפגעו מצד שלישי כך שסביר מאוד שאם תפעל לפי ההוראות במהירות, דירוג האתר שלך לא יפגע כלל.

בהצלחה.

3 תגובות

אוק 26 2008

וורדפרס גרסה 2.6.3, מה הלאה?

מאת נושאים כללי,שיטות אחרות

וורדפרס מציעים שדרוג לגרסה 2.6.3 הפותרת בעיית אבטחה קלילה בספריית משיכת העדכונים לפידים בלוח הבקרה, ורן יניב הרטשטיין כבר משחרר, בזריזות אופיינית, את הגרסה העברית המתאימה (הפעם מדובר בשינוי של 2 קבצים בלבד).

וורדפרס 2.7

הפעם מדובר בשדרוג שאינו משמעותי אך מה מחכה לנו בצנרת עם גרסה 2.7 שאמורה להשתחרר ב10 לנובמבר?

Read Write Web מדווחים על פיתוח של וורדפרס שנמצא בשימוש אצל קבוצת בדיקה שאמור לתת אפשרות לענות על תגובות לפוסטים דרך המייל. לבקשת בעל הבלוג ניתן לקבל הודעת מייל על כל תגובה בבלוג, החידוש יהיה האפשרות להגיב לתגובה במייל חוזר. האם הפיתוח יצליח להכנס כבר לשחרור הבא?

בוורדפרס 2.7 תפריט פאנל הניהול אמור לרדת מראש העמוד ולהפוך להיות תפריט צד מעוצב עם איקונים חינניים שטרם עוצבו, מפתחי וורדפרס מוציאים מכרז ומבקשים להזדרז ולשלוח להם אייקונים שיתחרו על האפשרות להיות משובצים בפאנל הניהול החדש של וורדפרס, הזמן המוקצב לצורך זה: פחות משבועיים.

צילום מסך של פאנל הניהול החדש בוורדפרס 2.7

בפאנל הניהול החדש יקבל המשתמש שליטה גדולה יותר על המתרחש, כך הוא יוכל להוסיף ולהעלים מודולים כמו הלינקים הנכנסים או העדכונים שכיום נמצאים בברירת מחדל שאינה ברת שינוי. מצב התפריט הצידי ישמר כך שפעולות שהמשתמש נוהג לבצע בתדירות יהפכו להיות נגישות יותר (תתי תפריטים שהמשתמש ישאיר במצב פריסה, ישארו כך לצורך גישה מהירה יותר).

בגרסה החדשה גם תהיה אפשרות לפרסום מהיר של פוסטים תוך חיסכון בזמן בהעלאת העורך הכבד, בפרסום המהיר יהיה מקום רק לכותרת וגוף הפוסט כמו גם אפשרות להוסיף תגיות וכפתור להטמעת מדיה. בגרסה 2.8 תתאפשר התאמה אישית של האופציות שיוצעו בפאנל הפרסום המהיר. כל זאת ועוד בגרסת וורדפרס האמורה להשתחרר כבר ב10 בנובמבר.

כה יפה לראות איך המוני מתנדבים משקיעים ממרצם לטובת הציבור ללא כל תמורה.

2 תגובות

אוק 23 2008

הגננת גוגל, יחסי ציבור או עוד שלב בהשתלטות?

מאת נושאים כללי

אם עד היום הגולש הממוצע היה הלקוח של גוגל בו בזמן שבעלי האתרים ניסו להתחרות על ליבה, מתברר כי גוגל מזדקנת והופכת להיות אמהית יותר. גוגל מתחילה לספק שירות לבעלי אתרים, שירות שלכאורה אינו הכרחי ואינו קשור ישירות לפעילות קידום האתרים של האתר.

המדובר על שירות התראות שגוגל מתחילה להפעיל המיועד להתריע על בעיות גרסה באתר. גוגל החליטו לעזור לבעלי האתרים וליידע אותם על תוכנות שאתר שלהם הדורשות עדכון, בעיקר מסיבות אבטחה. קוד מיושן יהיה חשוף הרבה יותר להזרקות ולחדירות על ידי פורצים והאקרים הפועלים ממניעים שונים ומשונים, מי יזכיר לך לשדרג את התוכנה שלך לגרסה חדשה שסותמת את פרצות האבטחה שהתגלו על מנת שהדבר לא יקרה?!

התשובה הלא מפתיעה היא: גוגל.

חשבת שתוכל להשתמש בגרסת הוורדפרס מלפני שנתיים?

תחשוב שוב. גוגל לשרותך:

גוגל מודיעים על בעיות גרסה

אם פתחת חשבון בגוגל וובמסטר טולס (Google Webmaster Tools – WMT) תזכה לקבל הודעה הממליצה לך לשדרג את התוכנה ולמנוע את סיכוני האבטחה. גוגל יכולים לזהות את גרסת התוכנה בשיטות רבות אך במקרה של וורדפרס (WordPress) כמו גם פלטפורמות CMS אחרות, הדבר בדרך כלל קל מאוד מכיון שהגרסה מצויינת בקוד הHTML תחת התג generator.

כרגע גוגל מתחילים לנסות ולספק התראות רק לבעלי וורדפרס מגרסה 2.1.1 הידועה כבעייתית אך אם הניסוי יצליח השירות יתרחב גם לפלטפורמות CMS אחרות ולבעיות שונות.

מה המטרה של גוגל בשירות זה מעבר לדחף הבלתי נשלט שלה לעזור לעולם?

שירות זה מהווה כנראה המשך לשירות דומה שדווח על התראת פריצה לאתר, שם הוסבר כי הפורצים נוטים לעיתים להזריק תכנים לתוך דפי האינטרנט, מה שמזיק למנוע  החיפוש כיון שהוא יוצר הפניות שגויות והערכות ציוני PR שאינן תואמות את המציאות. אך האם זו הסיבה היחידה? האם אין מדובר בעוד שלב בשכלול התקשורת הישירה בין בעלי האתרים לחברת גוגל כשהמטרה הסופית תהיה להפוך את גוגל מהמאחסנת הבלתי רשמית של התוכן העולמי לזו הרשמית?

ימים יגידו.

כך או כך לפנינו עוד סיבה להצטרף לWMT ולהנות מהשירותים הרבים שהפורטל מעניק.

3 תגובות

אוק 10 2008

ג'ימייל עוזרת לך למנוע טעויות…

מאת נושאים כללי

מאוחר בלילה, אתה כבר לא מרוכז, אולי אפילו קצת שתוי. מגיע הביתה והולך לכתוב מייל ל…

חכה, אולי מחר בבוקר תתחרט על המייל זה?

גוגל לשרותך!

לפני שליחת המייל ג'ימייל של גוגל תבדוק את עירנותך, נראה אותך עונה קודם על השאלות האלו:

המייל ישלח רק לאחר שתראה שאתה מרוכז ואחראי למעשיך…

כיצד הדבר מתבצע?

בחשבון הג'ימייל מקליקים על סמל המעבדה, שם מגיעים לאופציית ה Mail Goggles ומסמנים אותה:

googles

לאחר מכן מקבלים אפשרות להגדיר את זמני השטיון הצפוי ואף את חומרתו, ניתן להגדיר את קושי המבחנים שיצטרך המשתמש לעבור על מנת לשלוח את המייל:

Goggles

וכבר יש מתנסים הטוענים כי השאלות אינן מספיק קשות…

לא, זה לא האחד באפריל, זה כלי מוזר נוסף לג'ימייל שמוצע על ידי גון פרלו דרך הגוגל לאבס.

2 תגובות

« הקודם - הבא »

FireStats icon ‏מריץ FireStats‏