ארכיון תגית: אבטחה

208 הסיסמאות הנפוצות בישראל לפי נתונים שנאספו על ידי פורצים טורקיים, כנראה

מכיוון שרוב הסיסמאות נאספו, ככל הנראה, מהומלס ומפיצה האט, יש לא מעט סיסמאות שקשורות לשני האתרים האלה. סימני שאלה היו פעם, כנראה, סיסמאות בעברית.

לא ברור אם הסיסמה "0" היא באמת סיסמה או פשוט מידע שהושחת במעבר.

מה שכן ברור זה שזו לא הסיסמה התשיעית הכי נפוצה בישראל, בגלל שרק אתר סוג ז' כמו הומלס יכול להרשות לגולשים שלו לבחור סיסמה כזו. במחשבה שניה, בהחלט יתכן שזו הסיסמה התשיעית הכי נפוצה בישראל.

המידע מבוסס על סט של כ-110,000 סיסמאות, ואפשר להוריד אותו כאן: files.ranh.co.il/passwords.csv. אי אפשר לראות את הקובץ הזה במלואו באקסל 2003 מכיוון שיש בו יותר מדי שורות.

רק ליתר ביטחון, מיינתי את הסיסמאות מחדש כדי שאף אחד לא יחשוב שאפשר לשייך סיסמאות לשמות משתמש לפי הסדר ברשימה, חס וחלילה.

יש די הרבה ג'אנק במאגר הזה – אני מקווה שהוא היה שם מלכתחילה ולא אני יצרתי אותו. מי שרוצים יכולים לבקש את המאגר המקורי בתגובות או באימייל.

הסיסמה שלי בהומלס היתה "FNV21J0i". בהצלחה.

הרשימה המלאה אחרי הקישור

וורדפרס ואבטחה

בעקבות פרסומים רבים בימים האחרונים על התקפה חמורה מהרגיל שמנצלת פרצה בגרסאות ישנות של וורדרפס, פרסמתי פוסט בנושא בבלוג הרשמי של וורדפרס בעברית, עם תזכורת בולטת לשדרוג כל התקנה של וורדפרס לגרסה העדכנית ביותר.

בהמשך לאותו הפוסט, אלו כמה הבהרות משלי בנוגע לאבטחה של וורדפרס ואבטחה בכלל.

1. כל מוצר תוכנה, בכל גרסה ובכל סדר גודל, כולל תקלות שתוקפים יכולים לנצל כדי להשתלט עליו, ולעיתים אף להשתלט דרכו על המערכת בה הוא פועל. וורדפרס, כמו כל מוצר תוכנה אחר, כוללת תקלות מסוג זה, שתוקפים יכולים לנצל כדי להשתלט על הבלוג שלכם, או להשתלט לגמרי על השרת עליו הוא פועל.

כשהמפתחים של מוצר תוכנה מזהים תקלה כזו, נעשים כל המאמצים האפשריים לתקן אותה, ולשחרר גרסה עדכנית שכוללת את התיקון ומאפשרת למשתמשים להתגונן מפני התקפות שמנצלות את התקלה. לדוגמה, במקרה של וורדפרס, ארבעת הגרסאות האחרונות (עם מספרי גרסה תלת ספרתיים: 2.8.4, 2.8.3 וכו') כללו תיקונים לתקלות שהיוו פרצות אבטחה. כמעט כל גרסה של וורדפרס ששוחררה בעבר כללה גם כן תיקונים לפרצות אבטחה.

ככלל, בכל רגע נתון, הגרסה הבטוחה היחידה של וורדפרס היא הגרסה העדכנית ביותר. במילים אחרות, כדי לפשט את העניינים ולחסוך בזמן, אם אתם משתמשים בכל גרסה אחרת מלבד הגרסה האחרונה של וורדפרס, הבלוג שלכם פרוץ, ואתם התוקפים שפרצו אותו.

עם זאת, אין פירוש הדבר שהגרסה העדכנית ביותר של וורדפרס היא בהכרח בטוחה. כמו כל תוכנה אחרת, גם בגרסה העדכנית ביותר של וורדפרס תתגלנה בסופו של דבר תקלות שמהוות פרצות אבטחה, ואלו תתוקנה בגרסה הבאה.

כלומר, כמעט כל גרסה של וורדפרס ששוחררה אי פעם כללה, מלבד התיקונים, גם תקלות חדשות. במילים אחרות, הגרסה הבטוחה ביותר של וורדפרס היא למעשה הגרסה הבאה. אבל גרסה זו לא שוחררה עדיין, וברגע שתשוחרר כבר לא תהיה הגרסה הבטוחה ביותר.

אין מוצר תוכנה בטוח לגמרי, ואין תוכנה שמוגנת לגמרי מפני התקפות. אבל כדי לשמור על הבלוג שלכם בטוח, עליכם לכל הפחות להתגונן מפני כל המתקפות המוכרות. הדרך היחידה לעשות זאת היא להשתמש בגרסה העדכנית ביותר של וורדפרס. לכן, הגרסה האחרונה בכל רגע נתון היא לא רק הגרסה הבטוחה ביותר של וורדפרס, היא הגרסה הבטוחה היחידה של וורדפרס.

2. המקור המוסמך היחיד למידע רשמי על וורדפרס הוא האתר שבכתובת wordpress.org. המקור המוסמך היחיד למידע רשמי על וורדפרס בעברית הוא האתר שבכתובת he.wordpress.org. בשם הפשטות ולמען החסכון בזמן, אם הורדתם את וורדפרס מכל מקור אחר, הבלוג שלכם פרוץ. אם הסתמכתם על המלצה או מילאתם הוראות שהגיעו מכל מקור אחר, הבלוג שלכם פרוץ.

אלו כתובות קצרות שאפשר לזכור בקלות ולהקליד ידנית בשורת הכתובות בלי שגיאות כתיב. בדרך זו אתם מגינים על עצמכם מפני גרסאות זדוניות של וורדפרס ומפני מתקפות משולבות שכוללות מתקפות פישינג – כמו וורדפרסז 2.6.4, שהופצה על ידי שתילת קישור זדוני בממשק הניהול תוך ניצול פרצה בגרסאות ישנות של וורדפרס.

המלצות דחופות להתקנה של גרסה עדכנית שכוללות הודעות של מתקפות חמורות, כמו ההמלצות לשדרוג של וורדפרס שנפוצו בימים האחרונים באימיילים, בבלוגים, בטוויטר בפייסבוק או בכל מקום אחר, הן חסרות אחריות ויש להתעלם מהן. לא בגלל שהן לא מבוססות או לא נכונות – קביעות כאלה יש לבחון באופן נקודתי – אלא בגלל ששדרוג והתקנה של עדכוני אבטחה היא לא פעולה שיש לבצע כתגובה לאיום, אלא כטיפול מונע, עוד לפני שהאיום קיים.

כהרחבה לנקודה זו, כל המלצה שלא לשדרג את וורדפרס לגרסה העדכנית ביותר, מכל סיבה שהיא, היא חסרת אחריות ויש להתעלם ממנה.

3. שדרוג התקנה של וורדפרס היא לא בהכרח משימה פשוטה – במקרים מסויימים תתכנה בעיות תאימות עם ערכת העיצוב או עם תוספים שפועלים בבלוג, עם ההתקנה של PHP או MySQL, עם תוכנות אחרות שפועלות על השרת, או עם גורמים אחרים.

כפועל יוצא מכך, ניהול בלוג עצמאי בוורדפרס היא לא בהכרח משימה פשוטה. עצמאות כרוכה תמיד במידה מסוימת של אחריות. אם אתם לא חושבים שתוכלו לעמוד בעדכונים שוטפים של התקנה של וורדפרס, העזרו באתרי בלוגים כמו WordPress.com או בלוגלי כדי להוציא מידיכם את האחריות על האבטחה של הבלוג שלכם, וכדי להתגונן מפני ספאם, גניבת זהות או גניבת רכוש, רצח אופי, סחיטה, ניצול, או כל נזק אחר שעלול להגרם כתוצאה מהשתלטות על הבלוג שלכם, על חבילת האחסון או השרת שלכם, או על המחשב האישי שלכם.

אם אתם אומרים שאתם לא סומכים על וורדפרס, אתם בעצם אומרים שאתם לא סומכים על עצמכם.

דונצ'ה ממליץ: לא להשתמש בחשבון admin בוורדפרס

אני לא משתמש בחשבון אדמין באף מחשב שאני עובד עליו, אז אני לא יודע למה עד עכשיו השתמשתי בחשבון אדמין בבלוג שלי. דונצ'ה, אחד המפתחים של וורדפרס, ממליץ ליצור חשבון חדש עם הרשאות מוגבלות שמספיקות לפעולות היום-יומיות כמו כתיבה ועריכה של פוסטים, ובחשבון האדמין רק במידת הצורך.