Defaults.Exposed › תיקונים › CDN / WAF ואירוח

כיצד לתקן CDN / WAF ואירוח

שני קריאות של האינסטלציה מאחורי האתר שלך: האם אתה יושב מאחורי מגן מגן (CDN עם Web Application Firewall, כמו Cloudflare) שמסנן תקפות ובולע קפיצות תנועה, ומפת מי מריץ בפועל את ה-DNS, האתר והאימייל שלך. שניהם אינפורמטיביים בניקוד שלנו — הם לא מזיזים את הציון שלך — אבל הם מתארים עד כמה שרת המקור שלך חשוף לתקפה ולהפסקה, וכמה שזורים הספקים שלך. מגן לפנים וקבוצת ספקים מחולקת נבונה הוא כיצד עסקים חסינים נראים.

השורה התחתונה לעסק שלכם: אתר ללא מגן לפניו מקבל כל תקפה וכל קפיצת תנועה ישירות על שרת המקור — כך ששיטפון בוטים, גל ביום-השקה, או תקפה אוטומטית בודדת יכולים להוריד אותך אופליין לשעות, והתאוששות עליך. שים CDN/WAF לפנים (שכבה חינמית זמינה) מסנן את הרוב המכריע של תקפות אוטומטיות, בולע גלים, ומאיץ את האתר ברחבי העולם — בדרך כלל עבודת צהריים לאיש ה-IT שלך, ללא עלות רישיון. בנפרד, אם ה-DNS, האתר והאימייל שלך חיים אצל ספק אחד, הפסקה בודדת או פרצה שם לוקחת את כל נוכחותך המקוונת בבת אחת; ידיעת מפת הספקים שלך הוא הדבר הראשון שאתה צריך באירוע. אף אחת מהבדיקות לא משנה את הציון שלך — אבל שתיהן מתארות חשיפה אמיתית להפסקה, מכירות אבודות, והתאוששות איטית ומכאיבה.

מה זה יכול לעלות לכם

• פרץ תנועת בוטים או DDoS קטן פוגע בשרת הלא-מוגן שלך בבוקר של קידום גדול — האתר זוחל או נופל, לקוחות מקבלים שגיאות בקופה, ואתה מאבד מכירות היום בזמן שהמארח שלך מתקוטט. CDN/WAF לפנים היה בולע זאת.
• ה-DNS, האתר והאימייל שלך כולם רצים דרך ספק אחד; לאותו ספק יש הפסקה ואתר, מערכת הזמנות, *וגם* אימייל שלך מחשיכים בבת אחת — אפילו לא יכולת לשלוח 'אנחנו מודעים לבעיה' כי תיבת הדואר מושבתת גם.
• תקפה אוטומטית בודקת את האתר שלך כל הלילה — סקריפטים של הזרקת SQL וניחוש כניסה שפוגעים במקור שלך ישירות כי אין שכבת firewall לסנן אותם — ואתה מגלה זאת רק כשמשהו נשבר. WAF חוסם את הרוב המכריע של הרעש האוטומטי הזה לפני שהוא מגיע לקוד שלך.
• אירוע פוגע ואף אחד לא יכול לענות על השאלה הבסיסית 'מי אנחנו בכלל מתקשרים?' — האם האתר על אותו מארח כמו האימייל? מי מריץ את ה-DNS? שעות נגמלות רק על מיפוי האינסטלציה בזמן שהאתר מושבת.
• צוות ה-IT של לקוח פוטנציאלי סורק אותך לפני החתימה ורואה שרת מקור חשוף ללא CDN/WAF ו-header של גרסת שרת שמפרסם בדיוק איזה תוכנה (ואיזה גרסה) אתה מריץ — אות קטן 'אנשים אלה לא הגנו על הבסיסיות' ברגע הגרוע ביותר.

מדוע זה חשוב. שתי הבדיקות כאן אינפורמטיביות במתודולוגיה שלנו — הן רשומות עם אפס נקודות ולעולם לא משנות את הציון שלך — כיוון שהן מתארות את התשתית שלך ולא בודקות בקרת אבטחת עובר/נכשל. אנחנו מציפים אותן כיוון שהן ממפות חשיפה עסקית אמיתית. אתר ללא CDN/WAF מקבל כל תקפה וקפיצת תנועה על המקור ישירות, ללא סינון וללא ספיגת גל; הוספת אחד (שכבת חינם של Cloudflare היא הדרך הנפוצה) היא אחת משדרוגי החוסן הגבוהי-מינוף ונמוכי-עלות שעסק קטן יכול לעשות. ומפת ספקים ברורה — ידיעה האם ה-DNS, האינטרנט והאימייל שלך מחולקים או ערומים על ספק אחד — הוא הדבר הראשון שאתה צריך כשמשהו הולך לא כשורה וההבדל בין אירוע מוכל לקריסה כוללת.

מה זה, בשפה פשוטה

כל אתר רץ על שרת איפשהו. השאלה שדף זה עונה עליה היא: מה עומד בין האינטרנט הפתוח לאותו שרת — ומי בפועל מריץ את חלקי נוכחותך המקוונת?

ישנם שני חלקים:

1. CDN / WAF — המגן לפנים. CDN (Content Delivery Network) הוא רשת גלובלית שיושבת לפני האתר שלך, מגישה תוכן מהר למבקרים בכל מקום, ובולעת קפיצות תנועה. WAF (Web Application Firewall) הוא מסנן שבוחן בקשות נכנסות וחוסם את הזדוניות לפני שהן מגיעות לשרת שלך. השירותים הפופולריים (Cloudflare, AWS CloudFront, Fastly, Akamai, Sucuri ואחרים) מאגדים אותם יחד. אנחנו מסתכלים על התגובות של האתר שלך ומדווחים האם אנחנו יכולים לראות מגן לפנים — ואנחנו מציינים גם איזה שרת אינטרנט אתה מריץ.

2. מפת אירוח/ספק — מי מריץ את האינסטלציה שלך. אנחנו קוראים את הרשומות הציבוריות שאומרות מי מנהל את ה-DNS שלך (הספרייה שהופכת את הדומיין שלך לכתובת), ומי מנהל את האימייל שלך. מכך אנחנו יכולים לאמר האם ה-DNS, האתר והאימייל שלך מחולקים על פני ספקים (חסין) או ערומים על אחד (נוח, אבל נקודת כשל בודדת).

הדבר החשוב ביותר לדעת מראש: בניקוד שלנו, שניהם אינפורמטיביים. הם לא משפיעים על הציון שלך. אנחנו מציפים אותם כיוון שהם מתארים עד כמה העסק שלך חשוף להפסקה ותקפה — שזוהי שאלה שונה, ומאוד מעשית, מהציון.

מה זה יכול לעלות לך

אלה אינם סיכונים מופשטים — הם הדרכים היומיומיות שבהן הגדרה לא-מוגנת ושזורה הופכת בעיה קטנה ליום רע.

• מושבת אופליין ביום שחשוב ביותר. האתר שלך יושב על שרת המקור עם שום דבר לפניו. בבוקר השקה או קידום, התנועה קופצת — או שיטפון בוטים צנוע פוגע — והשרת לא מסוגל להתמודד. דפים פוסחים, הקופה שגויה, ואתה מאבד הכנסות היום בזמן שהמארח שלך מכבה שרפות. CDN בולע גלים ו-WAF מסנן את הזבל; יחד הם ההבדל בין “יום עמוס” ל”מושבת כל הבוקר”.

• הכל מחשיך בבת אחת. ה-DNS, האתר והאימייל שלך כולם רצים דרך ספק בודד. לאותו ספק יש הפסקה (זה קורה לכולם בסופו של דבר) ואתר, מערכת הזמנות, ואימייל שלך נעלמים בו-זמנית. אינך יכול לעבד הזמנות, ואפילו לא יכול לאמל לקוחות כדי לאמר שאתה מודע — כי תיבת הדואר גם מושבתת. פיצול ספקים אומר שכשל אחד מוכל, לא כולל.

• הקוד שלך מקבל כל תקפה ישירות. ללא WAF, כל בדיקה אוטומטית — ניסיונות הזרקה, ניחוש-כניסה, סורקי ניצול ידועים — פוגעים בקוד האפליקציה שלך ללא סינון. אתה מהמר שהתוכנה שלך מושלמת ומעודכנת לחלוטין, לנצח. WAF חוסם את הרוב המכריע של הרעש האוטומטי הזה לפני שהוא מגיע אליך, הופך “תקפת רקע קבועה” ל”רובה מסונן”.

• אירוע איטי ופאניקאי כיוון שאף אחד לא מחזיק את המפה. משהו נשבר ושעה ראשונה מבוזבזת על “רגע, מי מריץ את ה-DNS שלנו? האם האימייל על אותו מארח? מי אנחנו מתקשרים?” כשמפת הספקים שלך לא ברורה, כל אירוע מתחיל מאפס. ידיעת המפה מראש הופכת בלבול לשיחת טלפון.

• רושם ראשון רע על קונה זהיר. צוות ה-IT של לקוח פוטנציאלי סורק אותך לפני החתימה ורואה מקור חשוף ללא CDN/WAF — ו-header שרת שמפרסם בגלוי את התוכנה המדויקת והגרסה שלך. זהו אות קטן, אבל הוא מציב אותך בעמודת “לא הגנו על הבסיסיות” בדיוק ברגע הלא נכון.

מה זה בעצם

CDN / WAF — שכבת ההגנה

כשמבקר (או תוקף) מבקש את האתר שלך, הבקשה יכולה ללכת ישירות לשרת המקור שלך, או יכולה ללכת קודם דרך CDN/WAF. אם יש מגן לפנים, אותו מגן יכול:

• לסנן בקשות זדוניות (חלק ה-WAF): חסימת ניסיונות הזרקה, תקפות בוטים ודפוסי ניצול ידועים לפני שהם מגיעים לקוד שלך.
• לבלוע תנועה (חלק ה-CDN): להגיש תוכן מאוחסן מהשרתים הקרובים לכל מבקר ולבלוע גלים, כך שקפיצה — לגיטימית או עוינת — לא מוחצת את המקור שלך.
• להאיץ את האתר: תוכן שמוגש משרת קצה קרוב נטען מהר יותר למבקרים ברחבי העולם.

אנחנו מזהים מגן ע”י הסתכלות על טביעות האצבע שאותם שירותים משאירים ב-headers התגובה של האתר שלך — לדוגמה header cf-ray (Cloudflare), x-amz-cf-id (Amazon CloudFront), x-served-by (Fastly), x-akamai-transformed (Akamai), או x-sucuri-id (Sucuri). אנחנו גם קוראים את ה-header Server לזיהוי שרת האינטרנט הבסיסי שלך (nginx, Apache, IIS, LiteSpeed, Caddy וכן הלאה), ומסמנים כל header X-Powered-By שחושף יותר מדי.

מה נראה “טוב”: CDN/WAF שמזוהה לפני המקור שלך, ו-header Server שלא מפרסם מספר גרסה ספציפי.

מפת אירוח/ספק — תלויות התשתית שלך

הדומיין שלך מצביע בשקט למספר שירותים שונים:

• DNS — הספרייה שהופכת את yourbusiness.com לכתובת שרת בפועל. אנחנו קוראים את רשומות שרת השמות (NS) שלך ומזהים ספקים נפוצים (Cloudflare, AWS Route 53, Azure DNS, GoDaddy, Namecheap, DigitalOcean, Hetzner, Linode, ורשמים אזוריים ביניהם).
• אימייל — היכן הדואר שלך מטופל. אנחנו קוראים את רשומות MX שלך ומזהים ספקים נפוצים (Google Workspace, Microsoft 365, Proofpoint, Mimecast, Barracuda, Zoho ואחרים).

מכך אנחנו יכולים לראות האם אחריויות אלה מחולקות על פני ספקים (כשל באחד לא מוריד את האחרים) או ערומות על ספק בודד (נוח, אבל הפסקה אחת או פרצה לוקחת הכל).

מה נראה “טוב”: לפחות DNS שמוחזק ע”י ספק ייעודי ואמין ולא מאוגד לאותו חשבון כמו הכל השאר — כך שספרייה הדומיין שלך לא חולקת גורל עם האירוח ותיבת הדואר שלך.

כיצד לתקן (חינמי, ~צהריים אחד)

מסור זאת לאיש ה-IT שלך או מפתח האינטרנט — התיקון חינמי. הצבת CDN/WAF לפני האתר שלך לא עולה כלום בשכבות החינמיות הנפוצות, ודיכוי גרסת השרת שלך היא הגדרה בשורה אחת. אין רישיון לקנות. (אפשרויות בתשלום כאן הן רק ניטור, מעקב תיק וביקורות — לא התיקון עצמו.) ההחלטה היחידה של הבעלים היא: כן, שים מגן לפני האתר.

כיוון ששתי הבדיקות אינפורמטיביות, אף אחת מזה לא מנוקד — אבל CDN/WAF הוא אחד משדרוגי החוסן הגבוהי-ערך שעסק קטן יכול לעשות, אז כדאי לעשות אותו.

1. שים CDN/WAF לפני האתר שלך

הדרך הנפוצה והחינמית ביותר היא Cloudflare:

1. צור חשבון Cloudflare חינמי והוסף את הדומיין שלך.
2. Cloudflare קורא את רשומות ה-DNS הקיימות שלך; בדוק שהן יובאו נכון.
3. שנה את שרתי השמות של הדומיין שלך (אצל הרשם שלך) לשניים ש-Cloudflare נותן לך. זהו המתג שמנתב תנועה דרך Cloudflare.
4. הגדר מצב SSL/TLS ל-Full (strict) כך שהצפנה נשארת end-to-end בין מבקר → Cloudflare → המקור שלך. (הימנע מ-”Flexible”, שמשאיר הרגל האחרון לא מוצפן.)
5. ה-CDN וה-WAF בסיסי עכשיו פעילים. אתה יכול לכוונן כללי WAF מאוחר יותר, אבל ברירות המחדל כבר מסננות הרבה.

דרכים אחרות, תלוי בסטאק שלך:

• AWS CloudFront — צור distribution שמצביע למקור שלך; שלב עם AWS WAF לסינון. הכי טוב אם אתה כבר על AWS.
• Sucuri WAF — מבוסס-DNS, לא דורש שינויים על השרת שלך; טוב אם לא יכול לגעת במקור.
• Fastly / Akamai — CDN/WAFs ברמת ארגוני, בדרך כלל לאתרים גדולים יותר או עם תנועה גבוהה יותר.

לאחר מעבר, בדוק את האתר, אשר שHTTPS עובד בכל מקום, וצפה בו ליום. אל תאחסן אגרסיבית דפים שחייבים להישאר אישיים או חיים (אזורים מחוברים, סלים, קופות).

2. הפסק לפרסם גרסת השרת שלך

בין אם מוסיף CDN ולא, דכא את הגרסה שהשרת שלך מכריז — זוהי מידע חינמי שאתה מוסר לתוקפים.

Nginx:

server_tokens off;

Apache (בתצורה הראשית):

ServerTokens Prod
ServerSignature Off

הסר header X-Powered-By שחושף יותר מדי (כמו מPHP או מסגרת אפליקציה) ברמת השרת או CDN — ב-Cloudflare אתה יכול להסיר אותו עם כלל response-header transform.

3. בדיקת שפיות של מפת הספקים שלך (אופציונלי, ~10 דקות)

הסתכל היכן ה-DNS, האתר והאימייל שלך חיים בפועל:

• אם כל שלושתם יושבים בחשבון ספק אחד, שקול לפחות להעביר DNS לספק ייעודי (DNS של Cloudflare חינמי ומהיר). אותו פיצול בודד אומר שספרייה הדומיין שלך שורדת הפסקת אירוח.
• כתוב את המפה למטה — ספק DNS, מארח אינטרנט, ספק אימייל, רשם, ואיש קשר כניסה/תמיכה לכל אחד. דף אחד זה הוא הדבר השימושי ביותר שיש בפניך במהלך אירוע.

הערות פלטפורמה

• Google Workspace / Microsoft 365: אלה הם ספקי האימייל שלך, לא האתר שלך. שים CDN/WAF לפני האתר לא נוגע לאימייל, ולהפך — הם החלטות נפרדות. (יש אימייל על Google/Microsoft ואתר מאחורי Cloudflare הוא הגדרה מחולקת-בכוונה מצוינת.)
• בוני אתרים מנוהלים (Wix, Squarespace, Shopify): אלה כוללים CDN משלהם ורמת הגנת WAF כחלק מהפלטפורמה, כך שייתכן שאתה כבר מוגן גם אם בדיקת ה-header שלנו לא שמה שם לספק. בדרך כלל לא יכול להוסיף Cloudflare משלך לפנים; זה בסדר — הפלטפורמה מטפלת בזה.
• WordPress על האירוח שלך: מועמד אידיאלי לשכבת Cloudflare חינמית לפנים. שלב עם firewall של פלאגין אבטחה לכללי רמת-אפליקציה.

טעויות נפוצות

• הרצת מקור חשוף “כי האתר קטן.” אתרים קטנים לוקים באותן תקפות אוטומטיות ושיטפוני בוטים כמו גדולים — הבוטים לא בודקים את ההכנסה שלך תחילה. שכבת CDN/WAF החינמית קיימת בדיוק לאתרים קטנים; לא שימוש בה הוא השארת ניצחון קל על השולחן.
• שימוש ב-Cloudflare “Flexible” SSL. הוא מציג מנעול אבל משאיר את החיבור בין Cloudflare למקור שלך לא מוצפן. תמיד השתמש ב-Full (strict) כך שהוא מוצפן end to end.
• אחסון הדברים הלא נכונים. אחסון אגרסיבי של דפים מחוברים, סלים, או קופות יכול להציג ללקוח אחד את התוכן של אחר או מחירים ישנים. אחסן תוכן סטטי; השאר דפים אישיים ועסקאות ללא אחסון.
• ערימת הכל על ספק אחד מבלי לממש זאת. הנוחות בסדר אם זוהי החלטה מודעת — אבל עסקים רבים גלו שDNS, אינטרנט ואימייל חולקים חשבון אחד רק במהלך ההפסקה שמורידה את שלושתם. הפוך אותה להחלטה, לא תגלית.
• השאיר את גרסת השרת מוצגת. זהו צעד הגנה חינמי בשורה אחת שקל לשכוח. כבה אותו.

הערה על ציון

כדי להיות ברור לחלוטין: אף אחת מהבדיקות האלה לא משפיעה על הציון שלך. הן רשומות במתודולוגיה שלנו כאינפורמטיביות, עם אפס נקודות, ואנחנו לעולם לא מעניש על מקור לא-מוגן או הגדרת ספק-בודד. אנחנו מדווחים עליהן כיוון שהן מתארות חשיפה אמיתית להפסקה, תקפה, והתאוששות איטית מאירוע — וכיוון שהוספת CDN/WAF חינמי היא אחת משדרוגי הערך הטוב ביותר שעסק קטן יכול לעשות. אם לא תעשה כלום כאן, הציון שלך ללא שינוי. אם תשים מגן לפני האתר שלך ותפצל את ה-DNS, הפכת את העסק לחסין משמעותית יותר בחינם. זוהי הדרך הנכונה לקרוא דף זה: לא מספר להגן, אלא שדרוג חוסן ששווה לקחת.

שאלות נפוצות