סוף שבוע עמוס בפריצות לאתרי וורדפרס עבר עלינו. תוכלו לנחש כמה אתרי וורדפרס נפרצו? התשובה בסוף המאמר.
אני נהנה לתחזק אתרים קיימים. מודה. כל אתר והסיפור שלו. מכל סיפור כזה אני לומד משהו חדש. אז כשלקוחות פונים אלי לטובת עבודות תחזוקה למיניהן, אני לרוב בודק מה גרסת מערכת הוורדפרס שהאתר שלהם מריץ. אם אני רואה שהוורדפרס ו/או התוספים אינם מעודכנים לגרסתם האחרונה – אני מציע להם לשדרג.
אבל… ב-90 אחוזים מהמקרים, המשך השיחה ילך ככה:
לקוח: כמה זה יעלה לי?
אני: אני מעריך את העבודה ב-X זמן ולכן יעלה Y ש"ח.
לקוח: אבל האתר שלי עובד טוב, למה אני צריך לשדרג? חבל לי לשלם על זה, עזוב.
בשלב הזה אני מגייס את כל היכולות הוורבליות שלי בשביל להסביר ללקוחות כמה חשוב שהאתר והתוספים שלהם יהיו מעודכנים לגרסה האחרונה. אני מסביר להם שהסיבה העיקרית היא אבטחה, היות ובכל עדכון גרסה מעדכנים גם חורי אבטחה דרכם יכולים האקרים לפגוע באתרים שלהם, כמו העדכון החשוב של גרסה 4.7.2 שיצא לאחרונה.
אני כמובן גם משקף ללקוחות שתמיד יש את האפשרות שהאתר "יפול" בגלל השדרוג כתוצאה מחוסר תאימות מול תוסף לא מעודכן או הוצאת פונקציות מסוימות מהקוד של וורדפרס ושימוש בפונקציות חדשות. לכן אני גם תמיד מקפיד לוודא עם הלקוחות שיש להם גיבוי קיים ואני עומד על כך שלא אעבוד על אתר ללא עדכון קיים, עדכני וזמין. ואם מדובר באתר קטן יחסית, אני אפילו דואג לגבות בעצמי ולהוריד את העדכון אלי לכל צרה שלא תבוא…
לצערי, לרוב הלקוחות מעדיפים לחסוך את השקלים המעטים הללו ולוותר על עדכון האתר, אלא אם כן מדובר בפרוייקט גדול וככה על הדרך עדכון המערכת נכנס בעלות זניחה.
אבל אני לא מאשים את הלקוחות. הם לא תמיד מבינים את המשמעות של פריצה לאתר. ולהוציא כסף מהכיס זה אף פעם לא כיף, במיוחד כשהתועלת לא ממש נראית לעין. אבל כשפריצה כזו מתרחשת ואין גיבוי – זו קטסטרופה ללקוחות. אם חברת האחסון לא ביצעה גיבויים באופן קבוע או שהגיבוי שלהם אינו עדכני מספיק, ייתכן והלקוח יפסיד מאי זמינות האתר שלו או מאיבוד מידע כדוגמת מכירות אחרונות בחנות המקוונת שלו.
ואז… מגיע סוף שבוע אחד, כמו זה האחרון, בו נפרצו מעל לעשרת אלפים (10,000!) אתרי וורדפרס, תוך ניצול פרצות האבטחה שנסגרו בגרסה 4.7.2, באתרים שעדיין לא שודרגו לגרסה זו. כך דווח היום על ידי HQ Grandie Prairie. לצערי, כנראה שרק ידיעות כאלו יסבירו ללקוחות את הצורך האמיתי בעדכון המערכת.
אז אל תזלזלו בעדכון גרסת וורדפרס ו/או תוספי המערכת. רק מזכיר לכם שלפני שאתם רצים לשדרג, יש לוודא שקיים גיבוי עדכני ונגיש למקרה של תקלה, גם של קבצי האתר וגם של בסיס המידע שלו.
בעלי אתרים – מתי לאחרונה וידאתם שהאתר שלכם מעודכן? מציע לכם לבדוק או לשאול את מי שמתחזק לכם את האתר.
מפתחי אתרים – מה עוד אתם עושים בשביל לאבטח את האתר שלכם? שתפו בתגובות.
עדכון 20/02/2017: לפי האתר Info Security, הושחתו/נפרצו כבר מעל מליון אתרים.
