ארכיון תגיות: הגנות

טיפים להגנה על וורדפרס

פורסם בתאריך על ידי

וורדפרס היא אחת המערכות הכי פופולריות בעולם להקמת אתרים קטנים ובינוניים. כמעט כל בונה אתרים משתמש בה בהזדמנות כזו או אחרת לפני שהוא מתנסה במערכות אחרות. אחרי הכל, היא מאוד קלה לשימוש, לא מצריכה כל כך ידע טכני בכתיבת קוד (למעט כמובן המקרים אם אתה רוצה לשנות קוד בתוכנה/עיצוב/תוסף), ואפשר להרים איתה אתר שנראה טוב תוך דקות ספורות, ולאחר מכן להוסיף תוספים שונים, עיצובים, דפים, גרפיקה, תוכן וכו'.

מכיוון שוורדפרס מאוד פופולרית, היא גם מאוד פופולרית בנסיונות פריצה. כל יום מנסים לפרוץ לאלפי אתרים מבוססים וורדפרס. לא צריך להיות גאון כדי לפרוץ לוורדפרס, יש סקריפטים רבים שעושים זאת.

רבים נוטים לחשוב כי אם הם יתקינו את הגירסה האחרונה של וורדפרס, גירסה אחרונה של תוספים ועיצוב, הם יהיו מוגנים.

הלוואי וזה היה כך, אך צר לי לבעס אתכם/ן. זה לא מספיק.

וורדפרס, כעקרון, מותקן כמעט ללא הגנות, הנה חלק מהבעיות שלו:

  • המשתמש הראשי תמיד נקרא admin והוא עם user ID מספר 1, מה שמאוד מקל על סקריפטים לעשות SQL Injection ולשנות את סיסמת ה-Admin ו/או את כתובת המייל ואז אם הפורץ עושה שחזור סיסמא, מייל יגיע אליו ומשם הדרך קצרה מאוד להשתלטות על האתר שלכם, להפוך אותו לספאמר (דפים נסתרים וכו'), לשנות תכנים וכו'.
  • התיקיות עצמן הן Hard coded, תמיד התוכן/תוספים/עיצובים ישבו ב-wp-content, ושוב – סקריפטים משתמשים בזה כדי לפרוץ.
  • הרשאות קבצים פתוחות מדי. שוב, זה אחלה דבר לסקריפטים. מומלץ להסתכל בקישור הזה כדי לראות מה ההמלצות מבחינת הרשאות מומלצות.
  • קבצים חיוניים שאמורים לא להיראות – נראים גם נראים, כמו wp-config.php ועוד. נכון, הם לא מציגים שום דבר שמראים אותם בדפדפן, אבל גם במקרה זה סקריפטים יודעים להשתמש במידע.
  • גירסת הוורדפרס מוצגת, מה שמקל על סקריפטים לדעת היכן נקודות החולשה של האתר
  • המערכת אינה חוסמת נסיונות התחברות שגוים מרובים ל-wp-admin, מה שמאפשר לסקריפטים לרוץ חופשי ולנחש סיסמאות. נכון, זה אולי לא נשמע מזיק (אם כתבת סיסמא חזקה), אבל ראיתי לא מעט מקרים שדווקא עם זה חדרו לאתרים
  • סיסמאות מוגדרות הן חלשות ו-וורדפרס לא יודעת לאסור סיסמאות חלשות.

אלו, על קצה המזלג, בעיות שיש לוורדפרס.

לשמחת כולם, יש פתרון שיכול למנוע את רוב הבעיות שהצגתי והוא נקרא Better WP Security. זהו תוסף שיכול לתקן פאקים רבים של וורדפרס ולתת הגנה כלשהי. יחד עם זאת, התוסף הזה הוא לא פתרון של "שגר ושכח". יש בו מספר אופציות שאם תפעילו, האתר שלכם פשוט לא יעלה או יסגור אתכם בחוץ, לכן אם אתם רוצים להתקין אותו, צרו גיבוי של המערכת, וקראו מה כל אופציה עושה ותחליטו אם להפעיל אותה או לא. לדוגמא: אם יש לכם אתר קיים והחלטתם להפעיל את ההמלצה לשנות את ה-wp-content, תראו שכל האתר שלכם נשבר, כי התוסף לא משנה בתוך ה-DB את החלק של הכתובת לשם תיקיה חדשה. השינוי הזה לדוגמא מאוד מומלץ שמקימים אתר חדש.

עוד תוסף שכדאי לתת עליו את הדעת ה-BPS Security. התוסף הזה נותן חלק מפונקציות שלא קיים בתוסף לעיל, אבל גם לו יש כל מיני Issues, במיוחד אם יש לכם תוסף כמו WP Super Cache (תצטרכו ליצור את ה-Rules מחדש ב-יhtaccess ולפעמים תצטרכו לשנות דברים ידנית בקובץ הנ"ל).

עניין נוסף: במקרים רבים כשיש Defacement, אנשים פונים לספק, הוא משחזר ורבים חושבים שכך נגמר העניין. אז זהו, שלא. בחלק לא קטן מהמקרים ה-DB (ספציפית טבלת המשתמשים) במקרים רבים שונה ושחזור לדוגמא של מערכות WHM/CPANEL לא משחזר DB, כך שאם הפורץ שינה את אחת הסיסמאות או הוסיף את עצמו, אתם תמצאו שאתרכם יפרץ שוב, לעיתים לאחר כמה שעות. לכן, מומלץ לבדוק את טבלת ה-DB לאחר שחזור ולראות איזה משתמשים יש, והאם סיסמתם לא שונתה (יש סקריפטים שמשנים באופן גורף את כל הסיסמאות לדברים כמו admin123).

בהצלחה

על הגנות DRM והצעת החוק המוצעת

פורסם בתאריך על ידי

עוה”ד הנכבד חיים רביה פירסם פוסט קצרצר באתר Law עם קישור לתזכיר תיקון חוק זכויות יוצרים. תרגום לעברית: מה שניסו לדחוף בארה”ב, מגיע עכשיו גם אלינו. מעניין אלו גופים דחפו לתזכיר הזה והיכן ידו של הדוד סם בעניין.

בעקרון, הגנות DRM אף פעם לא עבדו בצורה מוחלטת וגם לא יעבדו. אם נסתכל ממה שקורה בעשור האחרון עם ה-DMCA בארה”ב, נראה שהשימוש העיקרי לו הוא ב-2 מקרים עיקריים: שימוש ב-DMCA להסרת תוכן (בין אם הוא תוכן של אולפן ובין אם תוכן הוא של מאן דהוא ומתנגדים לאותו תוכן משתמשים ב-DMCA כדי לבעוט אותו החוצה משרותים כמו יוטיוב וכו’), ובין אם לגרום למתחרים להפסיק פרוייקטים מתחרים.

ידידי ורעי עוה”ד יהונתן קלינגר כתב פוסט על כך מבחינה משפטית ואני ממליץ לקרוא את אותו פוסט. ברשותכם, כ-גיק, אני אתייחס לנושא מבחינה טכנית גרידא.

כל עניין ה-DRM מתייחס אליך מהשניה הראשונה שאתה רוצה להקשיב ל-30 שניות, כגנב פוטנציאלי. מוכר המדיה יסכים למכור לך את המוצר רק אם תעמוד בשורה של תנאים מבחינה טכנית: המכשיר חייב להיות עם הגנות מסויימות, אתה לא תוכל להעתיק אותו כאוות נפשך למכשירים אחרים שאינם מאותו יצרן, ובחלק מהמקרים על מנת לשמוע את אותה מוסיקה, תיאלץ להיות מחובר לאינטרנט על מנת לעבור תהליך אותנטיקציה כלשהו (סמוי או גלוי, עם בקשת סיסמא או עם קומבינציית מפתח פרטי/ציבורי שנעשית ברקע לפני תחילת הניגון).

כלומר כשאתה רוכש פרק מסידרה, רצועת מוסיקה, סרט, אתה מראש קונה משהו שהוא קצוץ כנפיים. כך לדוגמא, אם יש לך iPad ואתה רוכש פרק מסידרה או סרט, תוכל לצפות בו במסך ה-iPad אך אם תחבר כבל HDMI (עם מתאם) ל-iPad, לא תוכל לצפות בוידאו על המסך הגדול. מדוע? כי ה-DRM מגביל את זה בהוראת היצרן ובעלי זכויות המדיה.

כאן בישראל אנחנו נמצאים במצב יחסית לא כל כך רע (לפני תיקון החוק). יש פה ושם הצעות סרטים של מיזמים, כאשר הרוב עד היום נפלו. כל המיזמים הגיעו עם DRM ותשלום לא קטן פר צפיה, אך איכות הוידאו היתה זוועתית, ברמות של 360P או 480P שזה אולי יתאים לטלפונים סלולריים חכמים מלפני שנה-שנתיים, אבל בפירוש לא למסך המחשב שלך. שם התמונה נראתה זוועתית, מגורענת, ולקוחות שבכל זאת החליטו להתנסות, מהר מאוד ירדו מהשרות ועברו בחזרה למה שכל עם ישראל משתמש (ואנחנו המדינה היחידה שספקית התשתית קורץ לך להשתמש בתוכן לא חוקי בפרסומות שלה) – טורנטים. שם אין DRM, יש לך מספר גרסאות להורדה (איכות רגילה, HD, FULL HD), ותוכנות ניגון רבות מספיק חכמות להציע לך מאתרי תרגום הורדות לסרט שאתה מנגן. קליק, ולסרט שלך יש תרגום בשפה שאתה רוצה.

היכן כן המצב רע בישראל? בכל מה שקשור לספרות אלקטרונית. מי ששולט בשוק זה כמובן ידיעות טכנולוגיה שמוכרת ספרים ומשתמשת ב-DRM שפיתחה חברת NDS הישראלית. ה-DRM שיש בספרים הללו (ובמכשיר) הרבה יותר אכזרי ממה שיש לדוגמא באמזון. שם ניתן להשאיל ספרים בין מנוי Kidnle למישנהו, ניתן לקרוא את הספרים לא רק בקינדל אלא בכל טלפון חכם, טאבלט וגם במחשב האישי שלך, בפונטים מאוד נוחים לקריאה, עם חוויית משתמש מעולה. ב-eברית לדוגמא (לפחות בגירסת אנדרואיד) הפונט זוועתי, אין תמיכה בטאבלטים, החוויה עצמה גרועה, ומי שכתב את האפליקציה כנראה לא נגע/למד את ICS והשרות לקוחות … מקודם אכלתי, לא ארחיב על כך.

כל עניין ה-DRM בעשור האחרון גרם לרבים לסבול. כל מי שרכש בלי כוונה נגן מוסיקה עם המדבקה Playsforsure וקנה מוסיקה דרך מיקרוסופט, סביר להניח שמצא את עצמו יום אחד לא מסוגל לנגן יותר מוסיקה. מיקרוסופט נתנה תקופה של חודשיים אפשרות לצרוב את המוסיקה שרכשת אך לא ממש טרחה לפרסם זאת בכל המקומות (כך שאם לא היית גיק שעוקב אחר חדשות טכנולוגיה באדיקות, סביר שפספסת את זה) וכך הגיע המצב שאותו DRM דפק את בעלי הנגנים וכל הכסף שהם השקיעו במוסיקה באיכות גבוהה – הלך לפח. אותו הדבר קרא (אם כי לתקופה קצרה) גם למשתמשי נגן המוסיקה Zune של מיקרוסופט.

אפל לדוגמא למדה חלקית לקח, וכיום המוסיקה שהיא מציעה מגיע בפורמט AAC ללא DRM אבל לא מומלץ לך לרוץ ולחלק את הקובץ עם אחרים, הואיל ובתוך הקובץ עצמו שמך המלא כולל שם המשתמש שלך משובצים בקובץ מספר פעמים (לא רק ב-Tags), אך לפחות קובץ AAC זה יכול להתנגן בכל מחשב וברוב גדול של נגני מוסיקה כולל מכשירי טלפון חכמים של נוקיה, מכשירים מבוססי אנדרואיד ובלאקברי וכמובן אייפון.

מי שאינו יודע – ככל שה-DRM יותר מתוחכם, כך יותר קל לפרוץ אותו. ניסו להכניס DRM על תקליטורי CD לדוגמא. שיטת העקיפה? טוש שחור על המקטע וה-DRM נגמר. ניסו ב-DVD לממש DRM ומישהו שיחרר את ה-DeCSS והקטע של ה-DeCSS היה בבחינת אצבע לעין, כי יצרני המדיה לא נתנו שום תמיכה בלינוקס. סוני ניסתה להתחכם עם Blu-Ray ועם מגוון הגנות בו (כולל Online Update להגנות, דבר שמוכנס במפרט!), זה החזיק מעמד בערך .. שנה. אינטל ניסתה להגן עם DRM על תוכן שיוצג במסך או בטלויזיה עם HDCP. זה החזיק מספר חודשים. סוני (שוב) ניסתה לשלב עוד מספר הגנות להגן על המשחקים בפלייסטיישן 3, ומספר צעירים מצאו חורים במשחקים ולאחר מכן ב-Firmware בפלייסטיישן שאיפשר להעתיק את המשחק לדיסק קשיח ולהריץ אותו בלי בעיה.

גם ההצעה לתיקון החוק הנ”ל
מאוד מאוד קלה ל”פריצה” ועקיפה עוד לפני שהיא הוכנסה לחוק, וברשותכם אתן לכם דוגמא תאורתית (כן, תאורתית בלבד, אני לא פורץ ולא ניסיתי לפרוץ).

נניח ואני מעוניין לפרוץ את ההגנות של eברית. לא בשביל לגנוב ספרות מהחנות הוירטואלית אלא לבצע משהו לגטימי ולהמיר את הפורמט הקנייני של הספר לפורמט יותר פתוח כמו ePub או PDF. להלן השלבים העקרוניים שאבצע:

  • דבר ראשון, אני אפרוץ את ההגה. אני אכתוב לי בראשי פרקים איך עשיתי זאת ואבצע זאת אישית עוד מספר פעמים על ספרים שרכשתי ואולי אכתוב גם סקריפט בשפות כמו PHP או Python או PERL שיקבלו את התוכן המפוצח וימירו אותו לפורמט פתוח.
  • כעת אני כותב “מסמך מחקר” שבו אני מסביר בעצם מה אני עושה, איך אני משתמש באפליקציות שונות כדי להוריד את התוכן, איך אני מטפל ב-Challanges, אולי אצרף גם כמה קטעי קוד להסביר ביתר פירוט את המחקר שלי.
  • אני קופץ לדואר ואני רוכש כרטיס אשראי נטען. כמה מאות שקלים יספיקו לעניין.
  • אני פותח חשבון ב-Dreamhost ומשלם עליו לשנה או שנתיים מראש. מדוע Dreamhost? זה רחוק מדי למחוקק הישראלי, זה מצריך עירוב בית משפט בחו”ל כדי להוריד את האתר, והעיקר – הם לא רק שלא נותנים את הפרטים שלי, הם גם לא מורידים את האתר אלא אם יש צו שופט מקומי. אם אני רוצה עוד קצת להקשות על בעל הזכויות, אני ארשם ל-Dreamhost דרך VPN או פרוקסי ציבורי כלשהו, בהצלחה לבעל הזכויות להשיג את פרטיי (שמוליקיהו שמולביץ’, נעים מאוד). את הדומין, אגב, אקנה במדינה זרה שאין לה ממש קשרים עם ישראל.
  • אני מרים וורדפרס, עם פוסט או 2 של הסברים, קובץ ZIP עם הסקריפטים ודף ה-PDF עם ההסברים שכתבתי.
  • לאחר שהאתר למעלה, אני מחפש דרך גוגל כל מיני הודעות שאנשים שאלו לגבי איך להמיר ספר של eברית לפורמט פתוח. אני נרשם לפורום ומגיב ישירות אל הכותב וגם בפורום “מצאתי אתר שמסביר עם קוד דוגמא וסקריפטים להמיר – לינק: XYZ. כך אני חוזר בכל מיני פורומים ולוחות. שיהיה.
  • בפעם הבאה שיצא ספר אלקטרני להיט, מישהו בוודאי יחפש להמיר אותו לפורמט פתוח, הוא יריץ שאילתות בגוגל ו.. ימצא את האתר שלי. הוא ישתמש בסקריפטים והופס.. קובץ פתוח. מכאן ועד שהספר יהיה כ-טורנט בתפוצת נאטו, יחלפו שעות או ימים ספורים.
  • בעל הזכויות יכול להוציא טישו ולבכות. שיהיה לו בהצלחה לאתר אותי.

כפי שאתם יכולים להבין מהדוגמא לעיל, מי שירצה לפרוץ ולהפיץ, הצעת החוק הזו לא תזיז ולא תפחיד אותו והוא יוכל לפרסם את הממצאים בקלות ובזול!

בעלי זכויות יוצרים שכן רוצים להרוויח, צריכים לשנות את היחס ובמקום להסתכל עלינו כגנבים פוטנציאליים מהשניה הראשונה, צריכים לתת לנו משהו פתוח וידידותי. כשמשהו נראה מזמין, פתוח וידידותי, אני אזכור זאת ובפעם הבאה שארצה לרכוש לי מספר ספרים לנסיעה/חופש/טיול, במקום לחפש טורנטים, אני אשמח לשלם לאותה חנות. כשאפל עשתה זאת בארה”ב, גרף הפיראטיות של מוסיקה צנח בצורה חזקה, כי לאנשים היתה אלטרנטיבה ידידותית, חוקית והעיקר – לא התייחסו אליך כגנב.

לסיכום: התיקון הנ”ל לא מעלה ולא מוריד. הוא רק מקשה על האזרח שבסך הכל רוצה תוכן לצרוך בכל נגן שיש לו, ואם הוא לא ימצא את זה באתר של בעל הזכויות (כמו שכיום אין סרטים איכותיים לצפיה באינטרנט בישראל בצורה חוקית!), הוא יוריד טורנטים. מי הפסיד? שוב, בעל הזכויות בגלל המחשבה המטומטמת שאם תחנוק לקוחות, הם ירצו אותך עוד.