Biorąc pod uwagę ilość zagrożeń, jakie dotyczą stron internetowych, nie istnieje jedno skuteczne rozwiązanie, które byłoby w stanie zabezpieczyć witrynę. Podobnie jak w przypadku pozycjonowania, dbanie o bezpieczeństwo strony internetowej jest to proces ciągły, którego przerwanie niesie za sobą negatywne skutki.
Dawniej atak polegał głównie na zastępowaniu treści witryny reklamami lub wiązał się z bezpośrednim przekierowaniem do innej strony. Obecnie mamy do czynienia z bardziej wyszukanymi formami internetowej przemocy. Usunięcie plików witryny to jeden z najlepszych scenariuszy, jaki można sobie wyobrazić – jeżeli tylko mamy kopię.
Jakie zagrożenia mogą wystąpić i jak się przed nimi bronić?
Zapoznajmy się teraz z podstawowymi zagrożeniami i strategiami bezpieczeństwa. Co grozi Twojej stronie internetowej?
Nieautoryzowany dostęp do konta administratora
Jest to jeden z najczęstszych przypadków, dlatego też od niego zaczniemy. Jego główną przyczyną są wycieki danych z innych portali, oprogramowanie typu keylogger. Często też zdarza się próba wyłudzenia danych poprzez podszywanie się pod inną osobę. Jak wynika z badań przeprowadzonych przez Google, w ciągu tygodnia cyberprzestępcy byli w stanie pozyskać nawet do 250000 kont.
Czy istnieje sprawdzony sposób, aby bronić się przed tego typu atakami? Najskuteczniejszym rozwiązaniem jest używanie innego hasła dla każdego z portali, na którym się logujemy. Jak wynika z wyżej wspomnianego badania, poprzez wycieki danych do sieci w ciągu roku trafiło ponad 3 miliardy danych dostępowych do kont. Szansa, że nasze hasło również znajduje się na tej liście, jest wysoka, jednak gdy używamy różnych haseł na portalach, inne nasze konta pozostają bezpieczne.
Dwuetapowa weryfikacja a bezpieczeństwo strony internetowej
Jeżeli tylko jesteśmy w stanie poprawić bezpieczeństwo naszego konta, to powinniśmy to zrobić. W przypadku gdy utracimy hasła i zdobędzie je ktoś, kto nie powinien, może to być ostatnia linia obrony.
Przy próbie logowania na konto zabezpieczone przez mechanizm dwuetapowej weryfikacji nie tylko zablokujemy dostęp włamywaczowi, ale zostaniemy poinformowani o tym, że ktoś usiłował dostać się na nasze konto. Niezależnie czy korzystamy z aplikacji Google Authenticator, czy otrzymujemy kody przez wiadomość SMS – informacja o nowym kodzie do logowania może wydać się podejrzana, zwłaszcza gdy nie korzystamy obecnie z komputera.
Systematyczne aktualizacje CMS-ów i ich wtyczek
Dane do naszej witryny mogą ujrzeć światło dzienne nie tylko za sprawą nieuwagi. Równie częstym zjawiskiem, co kradzież danych, jest uzyskanie dostępu do strony przez przestarzałą wtyczkę, czy błąd w zabezpieczeniach oprogramowania. Nie bez powodu systemy CMS i ich dodatki otrzymują regularne aktualizacje, a w przypadku krytycznych błędów w zabezpieczeniach nawet i specjalne wydania mające na celu poprawić bezpieczeństwo strony internetowej.
Utrzymanie witryny przy możliwie najnowszej wersji pozwala nie tylko na korzystanie z nowych funkcji czy usprawnień. Wpływa to również na zachowanie wysokiego poziomu bezpieczeństwa.
Pochodzenie wtyczek lub innych modułów
Pochodzenie wtyczek lub innych modułów to bardzo istotna kwestia w kontekście zabezpieczania danych i dostępu do nich. Istnieje wysokie prawdopodobieństwo, że moduły z podejrzanego źródła będą zawierać tak zwane backdoor’y, czyli tylne wejście.
Co to oznacza w praktyce? Dosłownie tyle, że to my umożliwimy hakerom dostęp do zasobów naszej witryny. To my podamy im niemalże na tacy nasze dane do logowania. Co więcej, w przypadku gdy osoba taka uzyska dane dostępowe do bazy danych, uzyska również dostęp do haseł innych użytkowników, którzy zarejestrowali się w naszej witrynie.
Podstawowe i zarazem najskuteczniejsze rozwiązanie – pobierajmy moduły z oficjalnych stron, ze stron developerów, a gdy jakaś witryna wyda się podejrzana, zwróćmy na nią szczególną uwagę.
Kopie zapasowe podstawą przy prowadzeniu strony
Niezależnie czy prowadzimy małego bloga, czy jest to popularny portal, który góruje w wynikach wyszukiwania, powinniśmy regularnie wykonywać kopię bezpieczeństwa. Dodatkowo przy każdej aktualizacji wtyczki, nawet najprostszej, należy wykonać kopię modułu, który ulegnie aktualizacji oraz kopię bazy danych. W szczególności tych fragmentów bazy danych, które zostaną zmodyfikowane – jeżeli jesteśmy w stanie takie określić.
Aby podkreślić, jak ważne jest prowadzenie kopii, warto wspomnieć, że w przypadku braku własnej kopii bezpieczeństwa nasza strona może bezpowrotnie zniknąć z Internetu. Bardzo rzadko usługodawca hostingu oferuje automatyczne kopie zapasowe, gdy korzystamy z tańszych rozwiązań lub nie wykupiliśmy dodatkowych usług. Oczywiście większość usługodawców mimo to prowadzi takie kopie, ale jest to jedynie na ich wyłączny użytek – w przypadku awarii sprzętu.
Zazwyczaj są to kopie całych maszyn, na których znajduje się po kilkadziesiąt witryn. Nie ma więc mowy o udostępnieniu tych danych użytkownikom.
Komunikaty o błędach i zbyt duża ilość informacji, ataki XSS
Czasami zdarza się, że wystąpi nieprzewidziany wyjątek i powstanie błąd w wykonywaniu kodu strony internetowej. Wówczas powinniśmy jedynie poinformować użytkownika o błędzie, a wszelkie dane diagnostyczne zachować dla siebie.
Kolejnym błędem jest brak zabezpieczeń XSS w przypadku prowadzenia forów dyskusyjnych lub umożliwienia użytkownikom zamieszczania komentarzy. Atak ten polega na wprowadzeniu kodu JavaScript na naszą stronę internetową. Efekt to niepożądane działania, takie jak przekierowanie na inną witrynę czy wyświetlanie złośliwych reklam.
Podsumowanie
Jeśli nie chcemy, aby nasza strona internetowa uległa zewnętrznym atakom, musimy zadbać o bezpieczeństwo witryny. Używanie silnych, niepowtarzalnych w innych serwisach haseł, dokonywanie aktualizacji i korzystanie z oryginalnych modułów to tylko niektóre z dostępnych strategii bezpieczeństwa. Równie ważne jest tworzenie kopii zapasowych.
Wdrażając metody opisane w niniejszym artykule, minimalizujesz ryzyko niepożądanych ataków na Twoją witrynę. Jeśli jednak poszukujesz dodatkowych informacji i chcesz jeszcze bardziej zwiększyć ochronę swojej strony www, chętnie udzielimy Ci profesjonalnej porady. Powodzenia!
