דף הבית אודות שירותים פרוייקטים צוות בלוג יצירת קשר

איך הצלנו חנות קפה מקריסה: מפריצת סייבר וכשל טכני בחזרה לגוגל מרצ'נט

בעלי חנויות אינטרנט רבים מכירים את הרגע המצמרר הזה: קמפיין נמצא בשיאו, התנועה זורמת, ופתאום הכל קורס.
הלקוחות מתלוננים שהם לא מצליחים לבחור וריאציות של מוצרים, האתר מתמלא בשגיאות, ובמקביל נוחתת המכה הסופית: התראה קריטית מגוגל על חסימת החשבון בגוגל מרצ'נט סנטר בשל "פעילות חשודה".

זהו סיפור הצלה אמיתי ומורכב של חנות קפה דיגיטלית שנפגעה ממתקפת סייבר אכזרית, סבלה מכשלים חמורים בסנכרון הסקריפטים מול זיכרון המטמון, ונזרקה לחלוטין ממערך הפרסום של גוגל. במאמר זה נחשוף צעד אחר צעד איך חקרנו, תיקנו והחזרנו את העסק למסלול הרווחיות.


בניית-חנויות-קפה-אונליין


האבחון - מה גילינו מתחת למכסה המנוע?

כשהצוות שלנו נכנס לאירוע, מצאנו אתר במצב של "החייאה". כאשר צללנו אל תוך המערכת, נחשפה בפנינו תמונה מדאיגה של שרשרת כשלים שהזינו זה את זה. הנה הממצאים המרכזיים שגילינו:

  • דלתות אחרויות בשרת: מצאנו עשרות קבצים זדוניים שהושתלו בתוך תיקיות המערכת הנסתרות. קבצים אלו אפשרו לתוקפים גישה קבועה לשרת ללא צורך בסיסמה, תוך עקיפת חומות האש הסטנדרטיות של תוספי האבטחה.

  • מתקפת ספאם ומניפולציית קישורים: אחת הסיבות המרכזיות לחסימה המיידית בגוגל מרצ'נט הייתה מנגנון סמוי שיצר אלפי עמודי זבל וקישורים פיקטיביים בתוך האתר. הבוטים של גוגל סרקו את העמודים הללו, זיהו אותם כ"פעילות חשודה ומטעה", והטילו סנקציה מיידית על כל מערך הפרסום של המותג.

  • זליגת מידע רגיש: מפתחות הגישה הסודיים של חברות המשלוחים, שרתי הסליקה ומערכות המרקט-טק היו שמורים בטבלאות בסיס הנתונים בצורה גלויה ולא מוצפנת, מה שחשף את המידע העסקי הרגיש ביותר בכל רגע נתון.

  • מלכודת זיכרון המטמון: מעבר לפן האבטחתי, זיהינו באג ארכיטקטוני קשה שנגרם כתוצאה מאופטימיזציה שגויה של קבצים. תוסף המטמון כיווץ ושינה את סדר הטעינה של הסקריפטים. כתוצאה מכך, תוסף הווריאציות של הקפה (בחירת משקל, סוג טחינה) ניסה לרוץ בדפדפן עוד לפני שליבת האתר הספיקה להצהיר על משתני המערכת הבסיסיים שלה.

שלבי הטיפול - כך פעלנו

לאחר שמיפינו את כל הכשלים, עברנו לביצוע תוכנית עבודה מדורגת במטרה לנקות את המערכת, לייצב את השרת ולהכשיר את החנות לחזרה לפעילות מסחרית מלאה:

  • טיהור והחלפת ליבה: במקום לנסות ולתקן קבצים נגועים, ביצענו התקנה דורסת ומלאה של כל קבצי הליבה של מערכת הניהול ושל התוספים ישירות מהמאגרים הרשמיים והנקיים. כדי לנתק באופן מיידי תוקפים עם סשנים פעילים, ביצענו רוטציה כפויה לכל מפתחות האבטחה ושינינו לחלוטין את סיסמאות בסיס הנתונים.

  • הקשחת אבטחה וניהול סודות: כדי למנוע פריצות חוזרות, שלפנו את כל המפתחות הרגישים והגישות של חברות הסליקה והמשלוחים מתוך בסיס הנתונים, והעברנו אותם לניהול בשכבת קונפיגורציה מאובטחת ומבודדת ברמת השרת. במקביל, חסמנו חוקי גישה לקבצי מערכת ויישמנו חסימה הרמטית להרצת קוד זדוני מתוך תיקיות המדיה והתוכן של האתר.

  • ניקוי אינדקס הספאם: כדי לנקות את אלפי עמודי הספאם שההאקרים יצרו, לא חיכינו שגוגל ימחק אותם מעצמו. הגדרנו חוקי ניתוב ברמת השרת שהחזירו קוד סטטוס 410. קוד זה מודיע לבוטים של גוגל שהתוכן הוסר לצמיתות, מה שגרם לניקוי אגרסיבי ומהיר של אינדקס החיפוש בתוך זמן קצר.

  • פתרון קונפליקט הסקריפטים: כדי לפתור את בעיית הווריאציות, הגדרנו החרגות מותאמות אישית בתוך תוסף האופטימיזציה עבור משתני המפתח המרכזיים של האתר. פעולה זו מנעה ממערכת הקאש לשנות את סדר טעינת הסקריפטים והבטיחה איתחול תקין של רכיב הווריאציות בכל עמוד מוצר, ללא תלות בכיווץ הקבצים.

  • הכשרה לגוגל מרצ'נט: כדי להסיר את החסימה, הבאנו את האתר למצב של שקיפות מלאה מול הבוטים של גוגל: ניקינו את קוד הפילטרים בקטלוג המוצרים, הטמענו הצפנה דינמית בפיד הנתונים כדי למנוע שגיאות של קישורים שבורים, הוספנו תיבת סימון חובה לאישור תקנון האתר בעמוד התשלום, וביצענו סנכרון משפטי מלא של עמודי המדיניות (משלוחים, ביטולים ופרטיות).

השורה התחתונה ומדדי ההצלחה בשטח

המאמץ הטכנולוגי המורכב שהשקענו בארכיטקטורת האתר הניב תוצאות חותכות:

  1. שחרור מלא מהחסימה: חשבון גוגל מרצ'נט סנטר הוחזר לפעילות תפעולית מלאה. הבוטים של גוגל אישרו את האתר באופן ידני לאחר שזיהו פיד נתונים תקני, שקיפות משפטית ואפס עמודי זבל.

  2. חווית משתמש חלקה: פתרון כשל טעינת הסקריפטים הוריד את זמן התגובה של טעינת וריאציות הקפה מ-3 שניות ל-180 מילישניות בלבד. הלקוחות יכולים לבחור משקל וסוג טחינה ללא שום השהייה, מה שבלם מיידית את נטישת עגלות הקניות.

  3. ביצועי שרת משופרים: ניקוי שאילתות בסיס הנתונים הכבדות, הסרת הזרקות הקוד ומניעת קונפליקט הדחיסה בשרת, יצרו שיפור של 46% בזמן התגובה הראשוני של השרת.

האתר שלכם חווה ירידה במכירות או בעיות טכניות שאתם לא מצליחים לפתור? אל תחכו לקריסה. השאירו הודעה ונבצע בדיקת תקינות מקיפה לנכס הדיגיטלי שלכם.


מאמרים שיכולים לעניין:

ניתוח אתרים להצלחה דיגיטלית
טעויות תחזוקה נפוצות שפוגעות בביצועים
ניהול אתר בקלות

בואו נדבר

מוכנים להפוך את הרעיון שלכם למציאות?

mail.scaracode@gmail.com
972-555629090+
ליצור קשר