יצא לי בעבר לבדוק לשם סקרנות – אתרים של כל מיני ידוענים מקומיים. הבדיקה היתה די פשוטה, בדיקת גירסת וורדפרס ותוספים. אם הייתי מוצא כי גירסת הוורדפרס ו/או התוספים היו ישנים, הייתי שולח הודעה או אימייל לבעל האתר ומסביר בפשטות מה הוא צריך לעשות כדי לעדכן. אני הפסקתי עם הנוהג ברגע שאידיוט או שתיים החליטו לשסות בי עורכי דין – כי הרי עדיף להפחיד מישהו שרצה לעזור מאשר ללחוץ כמה קליקים לעדכון אתר…
יש כיום לא מעט ידוענים עם אתרים שניבנו עבורם ע"י כל מיני חברות בוני אתרים. הרבה משתמשים בוורדפרס, אחרים משתמשים במערכות CMS (כלומר: Content Management System) כמו דרופל ואחרות, בהתאם לעסק – בין אם זה קידום עצמי (וורדפרס מעולה לכך) או ביזנס (דרופל ואחרים גם טובים לכך).
הבעיה בדרך כלל היא שלא תמיד קיים הסכם בין בעל האתר לבין החברה שבנתה אותו. מה לעשות, לא כולם מוכנים לשלם סכום חודשי כלשהו לשם "תחזוקה" (אלא אם האתר מתארח על התשתית של החברה שבונה את האתרים), אך מצד שני – רוב הידוענים ועסקים שעבורם נבנו האתרים – אינם מבינים ממש ב"בפנוכו" של האתר.
עדכונים לאתרים הם דבר חשוב מאוד, גם אם התכנים באתר אינם משתנים, אינם מכילים תכנים סודיים או כל מידע פרטי או קנייני. הסיבה לכך קשורה במשאבים שעליהם האתר מאוחסן: השרת, כתובת ה-IP, דיסק, רשת, מעבד וכו'.
כדי להבין את הדברים, צריך לזכור כי יש לא מעט גורמים עבריינים שמחפשים להשתמש במשאבים האלו לצרכיהם. במקרים רבים משאבים אלו משומשים לדוגמא להקמת אתר מתחזה לבנק, פייפאל ואתרי מסחר פופולריים אחרים, כחלק ממתקפת פישינג. האתר של בעל האתר נשאר כמו שהוא, והעבריין פשוט מנצל את המקום הפנוי בדיסק וחורי אבטחה באתר – כדי להקים את האתר המתחזה. משם הדרך להפצת מיילים עם קישור לאתר המזויף שיושב על משאבי בעל האתר הרגיל – קצרה.
שימוש נוסף במשאבים אלו הוא "מקור תקיפה" – עבריין ש"השתלט" על משאבי אתר פרוץ, במקרים רבים יתקין כל מיני כלים וינסה לסרוק, לתקוף וכו' אתרים שונים כחלק מעבודה "לבד" או כחלק מרשת אתרים ומחשבים פרוצים כדי לתקוף מטרה מסויימת (DDoS וכו'). במקרים של התקפה בודדת, דווקא בעל האתר הלגטימי יכול להיות בצרות, הואיל והמשאבים שהפורץ משתמש ובכלל זה כתובת ה-IP – רשומים על שמו של בעל האתר ששוכר את המשאבים, ולך תסביר למשטרה או לגופים אחרים שלא אתה ניסית לפרוץ לאתר מאן דהוא.
לכן, חשוב לטפל בעניין זה בדחיפות, אם יש לך אתר ואינך מבין מאומה בקוד או בטכנולוגיה או בלינוקס או בתחזוקת האתר. אפשר לסגור עם חברת בוני האתרים חוזה שרות, אפשר לסגור עם אחרים שמוכרים שרות כזה, ובמקרה של וורדפרס ניתן גם לבצע את רוב העבודה באופן אוטומטי עם Jetpack (ההוראות כאן).
אתה מציע שירות עדכונים חודשי ?
שלילי
אז זהו שלא. גרסאת תוכנה 11 לא בטוח שיותר בטוחה מגירסא 10 וספציפית לוורדפרס אם אתה מאלו שמשתמש בתוספים על ימין ועל שמאל ממילא הסיכוי שיש לך פירצת אבטחה באחד מהם בכל זמן נתון עולה באופן מעריכי עבור כל תוסף. למשל לjetpack בעצמו היתה פירצת אבטחה במשך שנים שתוקנה רק לפני מספר שבועות.לאבטחה של וורדפרס הרבה יותר חשוב לאבטח את סביבת השרת שלו מאשר את התוכנה עצמה. רוב הבעיות מתחילות בכך שניתן לכתוב לספריות של וורדפרס ושניתן להריץ סקריפטים באופן ישיר מהן. סגור את הבעיות האלו ופתרת 99% מהמתקפות הפשוטות שהן רוב המתקפות שפוגעות באתרים. יש סיבות של נוחות שימוש למה אנשים לא עושים את זה.וכמובן שמישהו שיש לו גיבוי טוב יתכן שיותר זול לו פשוט לשחזר את האתר אם הוא נפגע ואז לטפל בשידרוגים מאשר להתקין כל יום גרסא חדשה של תוספים ולהתפלל שאף אחד מהם לא יהרוס את האתר.אוי, בעצם יצא לי להגיד בצורה ארוכה שרוב הדברים בחיים הם לא שחור ולבן והרבה פעמים פתרונות שנשמעים פשוטים הם לא ממש כאלו כאשר מנסים ממש מנסים לישם אותם
אני מסכים איתך, ובגלל זה המלצתי למצוא מישהו או חברה שמבינים בתחום ולחתום איתם על הסכם חודשי (או רבעוני) שהם יעדכנו ויאבטחו את האתר.
את ההצעה לעדכונים אוטומטיים דרך Jetpack הכנסתי כ"מפלט אחרון" לאלו בעלי האתרים שלא מוכנים להוציא שקל, אז לפחות שיהיה להם את העדכונים שאינם שוברים תאימות
למרבה הצער זה לא באמת יעיל ברוב המקרים.
קבל דוגמה, חברת מאד מוכרת, ישראלית, שהשם שלה מתחרז עם g.n.s עושה את מה שאתה אומר.
קניתי את השירות.
מה שקיבלתי היה קובץ htaccess מוקשח עם אלפי(!) כתובות שחורות וכל טעינה של המערכת שעברה דרכו, היתה סרט.
במקביל קיבלתי תוסף שמעדכן תוספים, שתוקע את החיים של האתר.
ועוד תוסף שמאבטח את האתר ותוקע את כולם בתורו.
מהירות האתר ירדה [לטעינה ראשונית] בכמעט 70%.. סיוט
וזה עוד לפני שביררתי ומסתבר שרשימת כתובות האיפי השחורה שלהם לא מתעדכנת ומצאתי את עצמי חוסם לקוחות בחו"ל..
ברוב המקרים מדובר בחובבנים או אנשים שלא ממש מבינים מה הם עושים. וזו עוד חברה גדולה.
לקחה על זה אלפי שח בשנה.
הרעיון טוב, אבל צריך ממש לברר מה איש המקצוע עושה.
מסכים איתך ב-100%