המצב המדיני ומעמדה של ישראל בעולם, איך לומר בזהירות "לא מדהים". לאחרונה שמו קבוצות אקרים ומדינות עויינות למטרה את הפגיעה באתרים ישראלים רבים בעיקר מוסדות ממשלתים וציבורים, אך גם מעסקים ופרטיים לא נחסך חוסר העונים והתיסכול שבחווית הפריצה.
אז מה עוד ניתן לעשות בכדי להימנע מפריצה?

לפניכם מספר נקודות אשר יסייעו לכם לאבטח בצורה טובה יותר את האתר. הן ברמת שרת אירוח, קוד האתר, מערכת הניהול, והשיחזור.
נושא אבטחת השרת וקביעת הגדרות לאבטחת קבצי הוא נושא שקשה לכסות גם במספר מאמרים. קימים בשוק מגוון רחב של שירותי וחברות אירוח אשר משתמשים בקונפיגורציות רבות, על כן לא אוכל לספק רשימה מלאה של האפשרויות. אך אציין מספר אלמנטים מרכזיים שחשוב להתיחס אליהם, כחלק מאבטחת האתר מפני פריצות.
שרתים שיתופיים זולים בצורה משמעותית משרתים יעודיים, כך שבעלי אתרים רבים בוחרים האופן אירוח זה. לרוב אם אינך מעבד ושומר נתונים ברמת סודיות גבוהה, שרת שיתופי יכול להוות פתרון אידיאלי (Price for Value). חשוב להכיר במגבלות ובסיכון הגבוה יותר שיש לסוג אירוח זה. בשרת וירטואלי או יעודי יש את היכולת לאבטח בצורה טובה יותר, כמו כן רמת הסיכון יורדת מכיוון שאין אתרים אחרים שיכולים לסכן אותך על גבי אותו שרת. חשוב לזכור שלשרת יעודי יש עלות שגבוה בצורה משמעותית מאירוח אתר על גבי שרת שיתופי. יש לתחזק אותו ודאוג לכלל התוכנות ההתקנות הרשיונות וכו.
מרבית הנקודות שציינתי למטה, נכונות גם ובעיקר לשרתים שיתופיים.

1. יש להמנע משימוש ב ,register_globals  ההגדרה צריכה להיות - OFF. ספק אירוח אשר מתעקש ש - register_globals יוגדר כפעיל, צריך להדאיג אותך בעיקר כשמדובר בשרת שיתופי. ברוב המקרים ניתן לפתור בצורה חלקית את הבעיה, על ידי הוספת קובץ מקומי של php.ini. יש לזכור ששאר האתרים על גבי אותו שרת שיתופי פגיעים יותר למתקפה ובכך גם מסכנים אותך בחדירה מתוך השרת.
2. יש לעשות שימוש רק ב - PHP5, שרת אשר עושה שימוש ב - PHP4 מהווה סיכון אבטחתי גבוה יותר.
3. יש להגדיר את הפילטרים  mod_security ו  mod_rewrite, בכדי לחסום התקפות PHP.
4. יש להימנע משימוש ב - PHP safe_mode
5. יש לעשות שימוש ב- .htaccess במקום htaccess.tx
6. יש להגביל את הגישה למסדי הנתונים. סעיף זה איננו מתייחס לשרתים שיתופיים בהם אתם תלויים בספק האירוח באשר לאבטחת הגישה למסדי הנתונים. אך כל מי שמנהל את השרתים של עצמו (שרת יעודי) חייב להקפיד על אופן ההתקנה וההגדרות ל- MySQL .
7. יש להתקין אך ורק קוד מערכת מהאתר הרשמי של ג'ומלה. חשוב להיזהר מגרסאות או חבילות התקנה שעלולת לכלול פיסות קוד אשר יהוו סיכון באבטחת האתר.
8. עידכון גירסת ג'ומלה - לעידכוני המערכת האחרונים נכנסו פתרונו חשובים עבור חורי אבטחה שקיימים בגרסאות הקודמות. במידה ואתם משתמשים בגרסה קודמת מ 1.5.25 או 1.6.2, מומלץ בחום לבצע עידכון לגרסת הג'ומלה שלך.
9. הקפידו שכלל ההקמה, הפיתוח ובדיקות יעשו על גבי שרת דמו (שרת פיתוח). כך שתוכלו לאתר בעיות לפני העליה לאויר.
10. בסיום ההגדרות מומלץ לשנות את ההרשאות ל-755 עבור התיקיות ו-644 עבור הקבצים.
11. הכלל החשוב ביותר הוא לא להגיע למצב שבו לא ניתן לשחזר את האתר או שינוים אחרונים שנעשו. יש לשמור גיבויים לפני ואחרי שינויים בקוד או שינוי משמעותי בכמות התוכן. את הגיבוי יש לשמור במקום מאובטח מחוץ לשרת. במקרים רבים כגון: פירצה לאתר, תקלה שנגרמה כתוצאה משידרוג, תקלה בחומרה או כל צורך אחר שמתעורר ומחייב מעבר לשרת אחר.
12. יש לוודא שקובץ ה-ROBOT אשר מורה למנועי החיפוש איזה עמודים לא לסרוק, הכן מונע מגוגל וחבריו לסרוק ולעדכן במסדי הנתונים שלהם עמודים אשר יכולים להוות סיכון.
13. מומלץ לשנות את כתובת ה- URL לפאנל הניהול, אשר מגיעה כברירת מחדל בג'ומלה (www.yourDomain.ltd/administrator), בנוסף מומלץ להסתיר את מחולל "תגיות המטה" אשר מסגיר את מערכת הניהול JOOMLA בקלות. ולאפשר לאקרים להתמקד בחורי אבטחה.
14. במקרים מסויימים בהם מתגלה כי קיים חשש למתפקת אקרים מאיזור גאוגרפי מסויים בעולם, אשר קהל היעד לא נכלל בתוכו. או במידת הצורך ניתן לעדכן תווכי כתובות IP המשויכות לאיזורים שונים (מדינות) ולמנוע מהם גישה לאתר. אקרים מתוחכמים יכולים כמובן לעקוף את העניין על ידי כניסה משרתי פרוקסי, אך הסיכוי קטן יותר להופיע על הראדר שלהם.
15. הגבלת הגישה לפאנל הניהול, על ידי מתן הרשאות לכתובת IP  קבועה.
16. מחיקת כל התבנית, הפלאגאינים והרכיבים שאינם בשימוש.

הערה: חשוב להבהיר שאקרים הצליחו לחדור ואף להסב נזק לאתרים ממשלתים אשר כל אחד היה מאמין שמאובטחים דיים, כגון: הפנטגטון, מוסד, שב"ק, בנקים ושלא נדע אפילו גישה למתקנים המהווים סכנה לציבור. אני כמובן שלא יכול להתחייב בשום דרך שהיא, שהאתר שלכם לא יפרץ גם לאחר שתטמיעו את כל הטיפים לאבטחת האתר כפי שציינתי למעלה. אך הם בטח יסייעו לכם במניעת פרצות, שהרי הן קוראות לגנב.

אבטחת מידע היא תחום רחב אשר יש לבחון אותו נקודתית לכל אתר, על פי רמת הסיכון וכמות האבטחה הדרושה. חשוב לקחת את נושא האבטחה ברצינות ולהוועץ עם מומחה.