היתרון והחסרון, בעיקר החסרון, בלהשתמש בתבנית קנויה

נשאלתי על ידי מקדם אתרים, "הי, לא כדאי להתקין קובץ robots.txt שיחסום גישה של רובוטים לעמודים מסויימים?". עניתי: אין בעיה שרובוטים יכנסו לכל עמוד שהוא באתר. למה בעצם לא? אם אנחנו לא רוצים ספאם, נוסיף מנגנון הגנה מספאם. אם אנחנו לא רוצים שוורדפרס ייצר דפים מסוימים שפוגעים בקידום, נתן פקודה והעמודים לא ייוצרו. התפקיד שלנו הוא למנוע עמודים לא הכרחיים באתר, לא למנוע מרובוטים גישה לעמודים קיימים. רובוטים, שיכנסו לכל חור באתר מבחינתי. לך תדע אם בעוד יומיים טופס יצירת קשר, לדוגמה, שחשבת לחסום כדי לא לקבל ספאם, לא יהיה תנאי הכרחי לקידום טוב.

כן, אבל כל מקום שאתה משאיר לרובוטים לחוות, הוא פרצה פוטנציאלית נוספת?

מה פתאום. רובוטים לא פורצים לאתר. רובוטים מחפשים מידע שבאמצעותו האקרים יכולים לפרוץ. אם שומרים על אבטחת האתר, אלף האקרים לא יוכלו לגלות פרצות. רובוטים עושים לרוב עבודה מועילה לבעלי האתרים, לא מזיקה. אם אתה רוצה למנוע מעצמך נזק, האם תמנע מעצמך את התועלת גם תוך כדי?

אבל התבנית שבה משתמשים, אין לה אבטחה מי יודע מה?  או יותר נכון, זה לא שאין אבטחה, זה רק שהכל דיפולטיבי, מה שבא עם התבנית.

אם אתה לא סומך על האבטחה, אתה לא סומך על מי שבנה לך את התבנית ולא סומך על הפלאגינים שהתקנת. ואז נשאלת השאלה – למה שמת יהבך על דברים כאלה?

לא צריך מערכות אבטחה. רק צריך לעשות את הצעדים ההכרחיים והבסיסיים ביותר לאבטחה. חייל שיוצא למלחמה, לא תקיף אותו במיליון שומרי ראש. אולי כן, אבל זה בנוסף לאימונים מפרכים שעשית לו. אתה לא שולח למלחמה חייל שלא מסוגל להגן על עצמו. אתה לא בונה אתר שיש בו במודע פרצות אבטחה. וכמה שכבות הגנה שתשים לו, זה לא יהפוך אותו לפחות פרוץ. לכן, קודם כל צריך לעשות צעדי אבטחה בסיסיים.

אגב אבטחה, מדובר במוצר. גם בוני התבנית וגם היצרנים של הפלאגינים שהתבנית משתמשת בהם כמו ויז'ואל קומפוזר ושל רבולושן סליידר (בשני הפלאגינים האלה יש המון פרצות אבטחה לפי הדיווחים), מקדישים את כל כולם למען המוניטין שלהם, ואם יצא להם מוניטין של לא בטוחים, הם יפסידו המון כסף. לכן לנו רק נותן לסמוך עליהם. קנינו את המוצר שלהם כי אנחנו סומכים עליהם.

השאלה: קניתם את המוצר או שקניתם את העיצוב? קניתם את העיצוב. אבל בזול קניתם גם מוצר, אגב אורחא. אם אתם רוצים אתר שיהיה מאובטח בפיקוח שלכם ב-100% צריך להשקיע גם בבניה שלו. אבל זה יקר, ואין לכם תקציב. ובגלל שאין תקציב, אנחנו מבחינתנו עשינו את המקסימום שצריך, ולגבי השאר אנחנו בוטחים בבונה התבנית ובפלאגינים. ונמשיך כך.

אם כך , המינימום שצריך בשלב זה הוא לעדכן את הפלאגינים ככל שניתן, ולא להשתמש בפלאיגנים מעבר למה שהתבנית מספקת או לפחות להשתמש רק במה שקיבל את חותם הכשרות של אדם מוסמך. התבנית מתעדכנת מפעם לפעם, יש לעדכן אותה, לבנות על תבנית בת כדי שהקסטומים לא ייפגעו. צפוי להיות עדכון בכל גרסה מז'ורית של וורדפרס. וגרסה מז'ורית של וורדפרס יש בערך בכל חצי שנה. אגב, גם בעצם זה שבונים על וורדפרס ולא על מערכת אחרת, מביעים אמון באבטחה של המערכת הזו. ככל שנביע אמון בפחות אנשים, וברמת אמינות גבוהה שלהם, כך יירדו דאגות מליבנו.

תבנית קנויה היא עוד דלת למקדש שלכם, שאתם נותנים את המפתח שלה לאנשים שאתם לא בהכרח מכירים, ומשלמים להם בכדי שיקיימו את חלקם בעסקה וישמרו עליה. אבטחה אמיתית היא לשכור את "חברת האבטחה" הכי מקצועית. לא הייתם רוצים לתת לפרחה לשמור לכם על הילדים.

טיפים ומאמרים security, seo, אבטחה

בחזרה למאמרים