אבטחה

האבטחה של האתר שלך והנתונים האישיים נמצאת תמיד בראש סדר העדיפויות שלנו. עמוד זה מתאר את הכלים שבאמצעותם אנחנו עוזרים לך להגן על האתר והנתונים האישיים שלך, כמו גם על צעדים נוספים שמומלץ לך לנקוט לטובת ההגנה על התוכן שלך.  

במדריך הזה

1. איך אנחנו מגנים על האתר ועל הנתונים שלך
   1. הצפנה, כברירת מחדל
   2. חומות אש
   3. מעקב אחר פעילות חשודה
   4. בדיקת האבטחה
   5. גיבוי ושחזור נתונים
   6. צוות האבטחה שלנו
2. איך אפשר להגן על האתר ועל הנתונים שלך
   1. שמירה על סודיות הסודות שלך
   2. בחירה בסיסמה חזקה
   3. התנתקות מהחשבון שלך
   4. שליטה על הגישה לאתר
   5. אימות דו-שלבי
3. בחירת סיסמה חזקה
   1. סיסמאות מסורתיות כבר לא בטוחות
   2. בחירת שיטה מודרנית
   3. השיטה הטובה ביותר: מנהל סיסמאות
      1. איך להשתמש במנהל סיסמאות
   4. שיטה טובה: משפטי סיסמאות
      1. איך ליצור משפט סיסמה
   5. טיפים נוספים לשתי שיטות הסיסמאות

איך אנחנו מגנים על האתר ועל הנתונים שלך

הצפנה, כברירת מחדל

הצפנה מורכבת היא חיונית כדי לעזור לשמור על הפרטיות והאבטחה שלך. אנחנו מצפינים (באמצעות SSL) את כל האתרים של WordPress.com, כולל דומיינים מותאמים אישית שמאוחסנים ב-WordPress.com. אנחנו מאמינים שהצפנה מורכבת היא מרכיב כל כך חשוב, לכן אנחנו לא מאפשרים להשבית אותה ולהעמיד את האבטחה של האתר שלך ב-WordPress.com בסיכון. אנחנו גם מבצעים ניתוב מחדש 301 לכל בקשות ה-HTTP הלא בטוחות כדי לאבטח את גרסת ה-HTTPS. אפשר ללמוד עוד על HTTPS ו-SSL עבור האתר שלך.

אנחנו מתקינים אישור SSL לאתר שלך באופן אוטומטי. לעיתים נדירות מאוד, הגדרה ייחודית של אתר מונעת מאישור ה-SSL לעבוד כראוי. אם יש בעיה עם אישור ה-SSL שלך, יש ליצור איתנו קשר.

חומות אש

אנחנו מפעילים חומות אש ויש לנו תהליכים שמתריעים בפנינו על ניסיונות לא מורשים לגשת לחשבונות WordPress.com.

מעקב אחר פעילות חשודה

אנחנו בוחנים ללא הרף את התעבורה ומנטרים פעילות חשודה. יש לנו גם אמצעי אבטחה שעוזרים להגן נגד התקפות מניעת שירות מבוזרות (DDoS).

בדיקת האבטחה

אנחנו בודקים באופן קבוע את האבטחה של השירותים שלנו ובוחנים נקודות תורפה פוטנציאליות. אנחנו גם מפעילים תוכנית איתור באגים דרך HackerOne כדי לתגמל אנשים שמוצאים באגים ועוזרים לנו לשפר את האבטחה של השירותים שלנו.

גיבוי ושחזור נתונים

המערכות שלנו מגבות את הנתונים באתר שלך ב-WordPress.com על בסיס קבוע, כך שבמקרה של אירוע שגורם לאיבוד נתונים (כמו הפסקת חשמל או אסון טבע, לדוגמה), אנחנו יכולים לשחזר אותם.

צוות האבטחה שלנו

יש לנו צוות אבטחה ייעודי שמחויב להגנה על הנתונים שלך. הצוות עובד באופן ישיר עם צוותי המוצר שלנו כדי לטפל בסכנות אבטחה פוטנציאליות ולקיים את המחויבות העמוקה שלנו לשמירה על אבטחת הנתונים שלך.

אין דרך להעברת נתונים באינטרנט או שיטה לאחסון אלקטרוני שהן בטוחות לחלוטין. אנחנו לא יכולים להבטיח אבטחה מוחלטת של האתר או החשבון שלך, אבל אף אחד לא יכול.  עם זאת, אנחנו יכולים להבטיח לך ששמירה על אבטחה מקסימלית של האתר ושל הנתונים האישיים שלך חשובה לנו ביותר.

איך אפשר להגן על האתר ועל הנתונים שלך

יש כמה דברים שבאפשרותך לבצע כדי לעזור לשמור על הנתונים שלך (כדאי להמשיך לקרוא!).

שמירה על סודיות הסודות שלך

החוליה החלשה באבטחה של כל פעילות ברשת היא הסיסמה שלך. הסיסמה היא המפתח לבלוג שלך, לאימייל, לחשבונות ברשת החברתית או לכל שירות אחר באינטרנט. אם הסיסמה שלך קלה לניחוש, הזהות שלך באינטרנט פגיעה.

כל מה שנדרש זה שמישהו ינחש את הסיסמה שלך והוא יוכל למחוק כל פוסט שאי פעם פרסמת. הוא יוכל להשחית את האתר שלך. הוא יוכל לקרוא את המיילים שלך או לחטוף את הכתובת שלך ולהתחזות לך. הוא יוכל להרוס את כל מה שיצרת לאורך זמן.

בחירה בסיסמה חזקה

כל סיסמה שמשמשת אותך צריכה להיות קלה לזיכרון וקשה לניחוש. רצף אקראי של מספרים ותווים הופכים סיסמה לקשה לניחוש, אבל גם לקשה לזכור. עם זאת, כנראה שתאריך הלידה שלך או השם של חיית המחמד הראשונה שלך ייחרטו בזיכרונך לעד, אבל אלו גם סיסמאות רעות מאוד מאחר שהן קלות למדי לניחוש.

ב-WordPress.com, אפשר הלשתמש בסיסמה ארוכה מאוד עם כל שילוב של אותיות, מספרים ותווים מיוחדים, כך שהאבטחה של הסיסמה שלך (וכתוצאה מכך, של הבלוג שלך) באמת תלויה בך. אספנו מספר טיפים ליצירה של סיסמאות חזקות.

התנתקות מהחשבון שלך

אפשר להגן על החשבון שלך על ידי התנתקות בסיום העבודה. ההתנקות חשובה במיוחד בזמן עבודה על מחשב משותף או ציבורי. ללא התנתקות, ייתכן שמישהו יוכל לגשת לחשבון שלך פשוט על ידי צפייה בהיסטוריית הדפדפן וחזרה ללוח הבקרה של WordPress.com.

אפשר להגן על החשבון שלך על ידי התנתקות בסיום העבודה.

להתנתקות מהחשבון שלך ב-WordPress.com, עליך ללחוץ על ה-Gravatar שלך בפינה השמאלית העליונה (הימנית העליונה בממשק באנגלית). לאחר מכן, מתחת ל-gravatar שלך, יש ללחוץ על לצאת מהמערכת.

שליטה על הגישה לאתר

WordPress.com מספקת פלטפורמה עשירה לריבוי משתמשים. בעוד שלכל אתר יש רק בעלים אחד, יכולים להיות לאתר מספר משתמשים, לפי רצונך – אפשרות אידיאלית לבלוגים קבוצתיים עם מספר מחברים, לאתרים בסגנון מגזין עם תהליך עבודה שכולל עריכה, או לכל אתר גדול אחר שבו רוצים לשתף חלק מעומס הניהול.

עם זאת, שיתוף העומס הוא גם שיתוף של תחומי האחריות. לכן ב-WordPress.com אפשר להגדיר תפקידים שונים לכל משתמש שמתווסף לאתר שלך. התפקידים קובעים את רמת הגישה של המשתמשים.

• משתף: התפקיד המוגבל ביותר, מאפשר רק לכתוב פוסטים כטיוטה, אבל לא לפרסם אותם.
• מחבר: יכול לפרסם פוסטים ולהעלות תמונות, אבל לא יכול לגעת בפוסטים של משתמשים אחרים.
• עורכים: יכולים לערוך או לפרסם פוסטים של משתמשים אחרים וגם לאשר תגובות ולנהל קטגוריות ותגיות.
• מנהלי מערכת: יש להם שליטה מלאה על האתר, הם אפילו יכולים למחוק אותו.

בזמן הוספת משתמשים, כדאי לנסות למצוא את התפקיד שמתאר בצורה הטובה ביותר את המשימות של המשתמש באתר שלך. אם מגדירים חשבון למשתמש שמתכנן לכתוב רק מספר פוסטים, כדאי להגדיר את התפקיד שלו כ'משתף'. את התפקידים מחבר ועורך מומלץ לשמור למשתמשים אמינים בעלי מחויבות ארוכת טווח לאתר שלך.

לבסוף, כדאי להיות בררניים בכל הנוגע לתפקיד מנהל המערכת. מינוי של משתמש אחר כמנהל המערכת באתר שלך שווה ערך לשכפול מפתחות נוספים לאתר שלך ומסירתם למישהו אחר. מעבר לכך שהוא יוכל להשתמש באתר שלך כראות עיניו,  צרור מפתחות נוסף שמסתובב מגביר משמעותית את הסיכון לחטיפת האתר שלך.

למעשה, אנחנו ממליצים להימנע מלמנות מישהו לתפקיד מנהל המערכת. כמעט בכל המקרים, תפקיד העורך יהיה בחירה טובה יותר.

אפשר לקרוא עוד על נושא זה בעמודי התמיכה עבור הוספת משתמשים ותפקידי משתמשים.

אימות דו-שלבי

באמצעות אימות דו-שלבי אפשר להשתמש בכל מכשיר נייד של iOS, ‏Android, ‏Blackberry או כל מכשיר אחר שתומך בהודעות טקסט כמפתח ייחודי לבלוג שלך. לאחר ההרשמה לשירות, יהיה עליך להזין קוד חד פעמי שנוצר במיוחד בעת ההתחברות לבלוג. המשמעות היא שאפילו אם מישהו משיג את הסיסמה שלך, הוא לא יוכל להתחבר בלי שהמכשיר הנייד שלך גם יהיה ברשותו.

אפשר ללמוד עוד על שירות זה בעמוד התמיכה אימות דו-שלבי.

בחירת סיסמה חזקה

נקודת התורפה של כל מערכת אבטחה בחשבונות המקוונים שלך היא בדרך כלל הסיסמה שהגדרת. ב-WordPress.com, אנחנו עושים ככל יכולתנו כדי להבטיח שהתוכן שלך מאובטח ושאף אחד מלבדך לא יכול לגשת אליו.

אבל אם מישהו אחר יכול לנחש או לשחזר את הסיסמה שלך, הוא יכול לעקוף כמעט כל אמצעי בטיחות שיש לנו מאחר ש-WordPress.com תחשוב שהגישה מתבצעת על ידיך. כך, הוא יוכל לבצע כל שינוי שרק ירצה בבלוג או בחשבון שלך ב-WordPress.com כולל מחיקת התוכן שלך.

כדי למנוע את התרחיש הזה, מדריך זה יעזור לך ליצור סיסמאות חזקות שיהיה קשה לנחש או לפרוץ. מומלץ לקרוא את הטיפים הבאים ולבדוק בקפידה את הסיסמה שלך. אם לדעתך הסיסמה של לא מאובטחת מספיק, אנחנו ממליצים בחום לשנות אותה.

סיסמאות מסורתיות כבר לא בטוחות

הטכניקות לפריצת סיסמאות התקדמו במהרה ובאופן משמעותי בעשורים האחרונים, אבל הדרך שבה אנחנו יוצרים את הסיסמאות שלנו לא הדביקה את הקצב. כתוצאה מכך, העצה הנפוצה ביותר ששומעים היום לגבי יצירת סיסמה חדשה היא מאוד מיושנת ולא מעשית.

סיסמה שנוצרת בעזרת עצה זו, כמו למשל jal43#Koo%a, קלה מאוד לפיצוח של מחשב וקשה מאוד לזיכרון ולהקלדה של בן אדם.

סוגי מתקפות הסיסמה האחרונות והיעילות ביותר יכולות לנסות עד  350 מיליארד ניחושים בשנייה, ואין ספק שהמספר הזה יגדל באופן משמעותי בשנים הקרובות.

כיום, יצירת סיסמה חזקה דורשת טכניקות מודרניות, ונציג שתיים מתוכן בסעיף הבא.

בחירת שיטה מודרנית

יש שיטות רבות ליצירת סיסמה חזקה, אבל מנהלי סיסמאות ומשפטי סיסמאות (passphrases) הן הטובות ביותר. יש לבחור את השיטה שמתאימה שלך ולאחר מכן לקרוא את הסעיף הנוגע לה במאמר זה כדי ללמוד איך להתחיל.

השיטה הטובה ביותר: מנהל סיסמאות

מנהל סיסמאות הוא יישום תוכנה במחשב או במכשיר הנייד שלך שיוצר סיסמאות חזקות מאוד ומאחסן אותן בבסיס נתונים מאובטח. בשיטה זו משתמשים במשפט סיסמה (passphrase) אחד כדי לגשת לבסיס הנתונים ולאחר מכן מנהל הסיסמאות יזין באופן אוטומטי עבורך את שם המשתמש והסיסמה שלך בטופס ההתחברות של אתר האינטרנט. אם עליך לזכור סיסמה אחת בלבד, אפשר להגדיר את מידת האקראיות והקושי לניחוש בהתאם לרצונך.

לא צריך יותר לדאוג לגבי בחירת סיסמה טובה, לזכור אותה או להקליד אותה שוב. זוהי השיטה הקלה והבטוחה ביותר שקיימת כיום, ואנחנו ממליצים בחום להשתמש בה.

איך להשתמש במנהל סיסמאות

יש הרבה יישומים שונים לניהול סיסמאות שאפשר לבחור מתוכם, לכן יש לבחור את היישום שמתאים לך ולאחר מכן להתקין אותו במחשב שלך. אלו השלבים הכלליים, אבל מומלץ לבדוק את התיעוד של היישום הספציפי שלך לקבלת פרטים נוספים.

1. יש לבחור מנהל סיסמאות. אלו כמה מהפופולרים ביותר:
   • 1Password (קוד סגור, מסחרי)
   • LastPass (קוד סגור, חינם/מסחרי)
   • Dashlane (קוד סגור, חינם/מסחרי)
   • KeePass (קוד פתוח, חינם)
   • RoboForm (קוד פתוח, מסחרי).
   • אפשר למצוא עוד אפשרויות בשימוש במנוע החיפוש המועדף עליך.
2. יש להתקין אותו במחשב שלך.
3. יש להתקין את כל ההרחבות או התוספים הנלווים לדפדפן שלך.
4. יש ליצור סיסמה ראשית חזקה כדי לפתוח את בסיס הנתונים של הסיסמאות. מומלץ לעיין בסעיף איך ליצור משפט סיסמה במסמך זה כדי לקבץ עצה איך לבצע זאת.
5. (אופציונלי) מומלץ לכתוב על נייר את הסיסמה הראשית ולאחסן אותו במקום בטוח, כמו למשל כספת. חשוב שיהיה לך גיבוי למקרה שתהיה לך בעיה לזכור את הסיסמה הראשית.
6. (אופציונלי) באפשרותך לשתף את בסיס הנתונים של הסיסמה שלך במספר מכשירים עם הכלים המובנים ביישום, או באמצעות שירות כמו SpiderOak. בשימוש בשירות חיצוני, יש לוודא שיש לך סיסמה חזקה עבורו ולהפעיל את האימות הדו-שלבי בחשבון (אם ניתן).

עכשיו, לאחר שהגדרת את מנהל הסיסמאות שלך, אפשר להתחיל ליצור סיסמאות חזקות באמצעותו. יש למצוא את כלי יצירת הסיסמאות שמובנה במנהל הסיסמאות שלך כדי ליצור 30-50 תווים אקראיים, עם שילוב של אותיות גדולות וקטנות, מספרים וסמלים.

סיסמה טובה תיראה כך: N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@. 

הסיסמה הזו עשויה להיראות מאיימת, אבל לא צריך בכלל לזכור אותה או להקליד אותה. מנהל הסיסמאות שלך יטפל בזה באופן אוטומטי.

שיטה טובה: משפטי סיסמאות

משפט סיסמה דומה לסיסמה, אלא שהוא מבוסס על אוסף אקראי של מילים ולא רק מילה אחת. לדוגמה, copy indicate trap bright.

מאחר שאורך הסיסמה הוא אחד הגורמים העיקריים לקביעת חוזק הסיסמה, משפטי סיסמה הרבה יותר מאובטחים מסיסמאות מסורתיות. עם זאת, הם גם הרבה יותר קלים לזיכרון ולהקלדה.

משפטי סיסמה אינם חזקים כמו הסיסמאות שנוצרות על ידי מנהל סיסמאות, אבל הם עדיין אפשרות טובה אם אינך רוצה להשתמש במנהל סיסמאות. הם גם הדרך הטובה ביותר ליצור סיסמה ראשית עבור מנהל סיסמאות או עבור החשבון שלך במערכת ההפעלה מאחר שמנהל הסיסמאות לא יכול למלא אותן אוטומטית.

איך ליצור משפט סיסמה

הכללים ליצירה של משפט סיסמה דומים ליצירה של סיסמה מסורתית, אבל הם לא צריכים להיות מסובכים באותה מידה מאחר שאורך הביטוי ייתן מספיק אבטחה כדי לפצות על הפשטות.

1. יש לבחור ארבע מילים אקראיות. אפשר להשתמש  במחולל הסיסמאות xkcd בהתאם לרצונך, אבל עדיף  להמציא ביטוי סיסמה משלך.
2. אפשר להוסיף רווחים בין המילים, בהתאם לרצונך.

בשלב זה, אמור להיות לך ביטוי סיסמה שנראה כך: copy indicate trap bright

אפשר לעצור בשלב זה אם זה רצונך. לחלופין, אפשר לחזק את ביטוי הסיסמה על ידי ביצוע השלבים הבאים:

1. להפוך חלק מהאותיות לאותיות גדולות.
2. להוסיף כמה מספרים וסמלים.

לאחר ביצוע שלבים אלו, ביטוי הסיסמה ייראה כך: Copy indicate 48 Trap (#) bright

ממה להימנע:

• לא למקם את המילים בתבנית צפויה או ליצור משפט אמיתי. אלו יקלו מאוד על ניחוש הסיסמה.
• לא להשתמש במילות שירים, בציטוטים או בכל דבר אחר שפורסם. לפורצים יש בסיסי נתונים ענקיים של עבודות שפורסמו כדי ליצור מהן אפשרויות לסיסמאות.
• לא להשתמש במידע אישי. גם בשילוב עם אותיות ומספרים, מישהו שמכיר אותך או שיכול לחקור עליך באינטרנט, יוכל בקלות לנחש סיסמה עם מידע שכזה.

טיפים נוספים לשתי שיטות הסיסמאות

מעבר לחשבון שלך ב-WordPress.com, יש דברים נוספים שכדאי לזכור בזמן יצירת סיסמאות שיעזרו לך לשמור על המידע שלך מאובטח.

• לא להשתמש באותה סיסמה פעמיים. הרבה אתרי אינטרנט פופולריים לא מצליחים לאבטח את הסיסמה שלך כראוי במערכות שלהם, האקרים פורצים כדרך קבע אליהם ויש להם גישה למאות מיליוני חשבונות. אם בחרת להשתמש באותן סיסמאות במספר אתרים, אותו אדם שפרץ לאתר אחד יוכל להתחבר לחשבון שלך באתרים אחרים. לכל הפחות, יש לוודא שיש לך סיסמאות ייחודיות לכל האתרים שמאחסנים נתונים פיננסיים או נתונים רגישים אחרים, או לאתרים שאפשר להשתמש בהם כדי לפגוע במוניטין שלך.
• יש לוודא שגם הסיסמה שלך לאימייל חזקה. בהרבה שירותים באינטרנט כמו WordPress.com, כתובת האימייל שלך משמשת כמזהה שלך. אם משתמש עם כוונות זדוניות מצליח לגשת לאימייל שלך, הוא יוכל בקלות לאפס את הסיסמאות שלך ולהתחבר לחשבון.
• לא לשתף את הסיסמאות. גם אם יש לך ביטחון מלא באדם מסוים, ייתכן שפורץ יעלה על המסר שלך או יצוטט לו, או אולי יפרוץ למחשב של אותו אדם. אם יש לך חשד שמישהו אחר יודע מה הסיסמה שלך, עליך לשנות אותה באופן מיידי.
• לא לשלוח את הסיסמה שלך למישהו אחר באימייל. הודעות אימייל מוצפנות לעיתים נדירות בלבד, כך שפורצים יכולים לקרוא אותן בקלות יחסית. הצוות WordPress.com לעולם לא ישאל אותך לגבי הסיסמה שלך. אם אין לך ברירה אלא לשתף את הסיסמה, יש להשתמש באמצעי מאובטח להעברת המסר, כמו למשל pwpush.com ולהגדיר שהקישור ייעלם לאחר הצפייה הראשונה.
• לא לשמור את הסיסמאות שלך בדפדפן. בדרך כלל, דפדפנים לא מאחסנים את הסיסמאות באופן מאובטח, לכן מומלץ להשתמש במנהל סיסמאות במקום זאת. מומלץ לעיין בסעיף על מנהלי סיסמאות לעיל לקבלת מידע נוסף.
• לא לשמור סיסמאות או להשתמש באפשרויות 'זכור אותי' במחשב ציבורי. כאשר בוחרים לבצע אחת מהפעולות הללו, האדם הבא שישתמש במחשב יוכל לגשת לחשבון שלך. בנוסף, יש לוודא התנתקות או סגירה של הדפדפן בסיום העבודה.
• לא לכתוב סיסמאות על נייר. אם הסיסמה כתובה איפשהו ומישהו יוכל למצוא אותה, היא לא מאובטחת. מומלץ לאחסן סיסמאות במנהל סיסמאות במקום זאת, כדי שהן יהיו מוצפנות. מומלץ לעיין בסעיף על מנהלי סיסמאות לעיל לקבלת מידע נוסף. החריגה לכלל זה היא אחסון סיסמאות שאינן ניתנות לשחזור (כמו הסיסמה הראשית למנהל הסיסמאות או לחשבון של מערכת ההפעלה שלך) באופן מאובטח. דרך מומלצת לשמירת הסיסמה באופן מאובטח היא לשמור אותה בכספת.
• לא לשנות את הסיסמאות שלך, אלא אם כן יש לך חשד שהן נפרצו. כל עוד יש לך סיסמה חזקה מהסוגים שהומלצו במאמר זה, שינוי הסיסמה באופן תדיר לא יעזור לצמצום סיכון הפריצה. מאחר ששינוי הסיסמה יכול להיות מטריד, לעיתים קרוב אנשים מתפתים לאמץ שיטות עבודה רעות כדי להפוך את התהליך לקל יותר וכך להגביר את האפשרות שהם ייפגעו בהתקפות. עם זאת, אם יש לך חשד שמישהו הצליח לגשת לחשבון שלך, תמיד מומלץ לשנות את הסיסמה כאמצעי הגנה.