Portal bezpiecznego e-biznesu
Portal bezpiecznego e-biznesu
Jak zadbać o bezpieczeństwo własnej strony internetowej?
Strona WWW powinna działać niezawodnie i zapewniać oczekiwane przez internautów rozwiązania. Kluczowe jest także gwarantowanie im bezpieczeństwa. Nie może być tak, że użytkownik odwiedzi serwis, a ta wizyta zakończy się dla niego zainfekowaniem komputera czy smartfona. Inne możliwe problemy to kradzież danych, do której dojdzie np. przy finalizacji zamówienia i dokonaniu płatności. Jak dbać o ochronę strony WWW?
Nie istnieje metoda, która daje 100% pewności, że witryna nie zostanie zhakowana. Natomiast można zrobić wiele, aby ograniczyć to ryzyko. Zarówno darmowe systemy zarządzania treścią CMS, jak i płatne rozwiązania przygotowywane w ramach indywidualnego projektu mogą zawierać błędy, które stanowić będą przyczynę włamania. Co zrobić, aby do tego nie dopuścić? Jak uniknąć ataku na stronę? Istnieje wiele rozwiązań, które będą w tym pomocne.
Wszystkie popularne systemy CMS są systematycznie aktualizowane. Nie powinno się korzystać z przestarzałej wersji oprogramowania. Aktualizacja oznacza, że nie tylko wdrażane są nowe rozwiązania, ale również eliminowane błędy, które znaleziono w poprzedniej wersji. To samo dotyczy wtyczek i pluginów. Jeśli skrypt od lat nie jest modyfikowany, to nie warto go wybierać. Rośnie wtedy ryzyko włamania do serwisu. Niestety, ale problem użytkowania takich wersji systemu, które nie są bieżące dotyczy wielu prowadzących serwisy.
Według w3techs.com, ponad 68% internautów korzysta z najnowszej wersji WordPressa – najpopularniejszego systemu CMS na świecie. Blisko 25% ma starszą, oznaczoną numerem 5, a 6% – 4. Są i tacy, którzy mają zainstalowany WP w wariancie 3, o którym w sieci zaczęło się mówić… w 2010 roku. Instalowanie przestarzałych wersji oprogramowania znacznie podwyższa ryzyko ataku hakerskiego na stronę.
Należy monitorować aktualność pluginów, motywów i samego systemu. W przypadku wspomnianego WordPressa, informacje o aktualizacjach wtyczek są widoczne po wejściu na podstronę z listą zainstalowanych pluginów. Natomiast wiadomości o dostępnych aktualizacjach WP pojawiają się na stronie głównej panelu administracyjnego.
W przypadku niektórych witryn Google Chrome wyświetla komunikat, że dana strona jest niezabezpieczona. To oznacza, że nie korzysta z certyfikatu SSL, czyli szyfrowanego połączenia. Na czym to polega? Adresy stron, które mają wdrożone to rozwiązanie, zaczynają się od https:// zamiast //. Instalacja SSL oznacza, że dane przesyłane między stroną WWW a urządzeniem internauty są szyfrowane. Nie mogą być zmienione ani przejęte przez niepowołane osoby. W praktyce oznacza to, że jeśli internauta wypełnia na stronie jakiś formularz i wysyła te dane, to nie trafią one do oszustów.
Korzystanie z SSL to już standard. Badania pokazują, że używa go ponad 80% witryn na świecie. W większości przypadków nie wymaga to ponoszenia kosztów – certyfikat można zainstalować za darmo. Najpopularniejszym bezpłatnym produktem jest Let's Encrypt, który użytkuje około 300 mln stron na świecie. Zdecydowana większość hostingów umożliwia łatwe włączenie go. Natomiast są również płatne certyfikaty SSL, ale to opcja, po którą sięgają głównie duże sklepy, instytucje, witryny rządowe.
Hosting to usługa, w ramach której firma udostępnia zasoby serwera klientom. Dzięki temu mogą oni prowadzić swoje strony WWW. Pomiędzy ofertami hostingowymi zauważalne są duże różnice. Warto dokładnie zapoznać się z kilkoma propozycjami i na tej podstawie podjąć decyzję. Na co zwrócić uwagę?
Dobrze, jeśli firma umożliwia korzystanie z bezpiecznego protokołu przesyłania plików SFTP. Powinna gwarantować bezpłatne włączenie certyfikatu SSL dla domeny. Istotne są także kwestie związane z kopiami zapasowymi. Każdemu serwerowi może się przydarzyć awaria. Poza tym właściciel witryny może mieć problemy ze stroną i potrzebować starszych wersji plików. W takich przypadkach niezbędne okazują się kopie zapasowe. Im częściej wykonuje je firma, tym lepiej. Ważne, aby były jak najdłużej przechowywane na różnych serwerach i umożliwiały powrót do wersji z poprzednich dni. Optymalnie, jeśli kopia z danego dnia jest zapisana na serwerze przez około miesiąc.
Cennym rozwiązaniem jest również Imunify360. To ochrona serwera, która składa się z kilku poziomów zabezpieczeń. Jest zautomatyzowanym oprogramowaniem typu antymalware i działa rewelacyjnie.
Warto, aby hosting zapewniał dwuskładnikowe uwierzytelnianie. Dzięki temu do logowania nie wystarczą tylko login i hasło, ale też może być wymagany np. specjalny token wygenerowany przez aplikację w telefonie. To znacznie zmniejsza ryzyko logowania przez nieuprawnioną do tego osobę.
Przy wyborze hostingu istotna jest także ochrona przed atakami DDoS. Ich celem jest doprowadzenie do sytuacji, w której strona będzie działać z opóźnieniem lub będzie niedostępna.
Inne ważne udogodnienia to SPF, DKIM, DMARC, które ograniczają ryzyko m.in. podszywania się przez internetowych przestępców pod nadawców wiadomości e-mail wysyłanych z naszej domeny. Gdyby to się powiodło, mogłoby dojść do wprowadzenia odbiorcy w błąd.
Kwestia używania prostych haseł jest poruszana w sieci od lat i niewiele się pod tym względem zmieniło. Według analizy Cybernews najpopularniejsze w 2023 roku są następujące hasła:
Lata temu ta lista niewiele się różniła. Jeśli korzystamy z takich haseł, to sami znaczenie zwiększamy ryzyko włamania na stronę. Do rozszyfrowania takiego zabezpieczenia nie są nawet potrzebne zaawansowane narzędzia. Hasła powinny być długie, zawierać małe i wielkie litery, cyfry, znaki specjalne. Najlepiej korzystać z dwuskładnikowego uwierzytelniania, które zdecydowanie utrudnia włamanie na stronę WWW.
Raz na jakiś czas warto zlecić specjalistom weryfikację witryny. Czy znaleźli w niej poważne błędy, które zwiększają ryzyko włamania? Poza tym należy samodzielnie systematycznie sprawdzać stan strony. Nie musi to wymagać wiele czasu, a jednak może zwiększyć bezpieczeństwo witryny. Po pierwsze trzeba aktualizować oprogramowania. Kolejna kwestia to poprawność tworzenia kopii zapasowych. Warto mieć taki backup również zapisany na swoim urządzeniu i przede wszystkim należy upewniać się, że działa poprawnie. Jeśli archiwum z danymi jest uszkodzone, to i tak z niego nie skorzystamy.
Dobrym krokiem jest regularne zmienianie hasła do panelu administracyjnego. Specjaliści od kwestii związanych z bezpieczeństwem zalecają, aby takie modyfikacje przeprowadzać co około 3 miesiące. Jeśli jesteśmy w stanie robić to częściej, to również warto.
Jeśli zlecamy realizację strony WWW, powinniśmy dopytać wykonawcę o ochronę serwisu. Kwestie związane z bezpieczeństwem witryny opartej na systemie WordPress są częściowo opisane tutaj: https://smartbees.pl/uslugi/tworzenie-stron-wordpress. Najlepiej powierzyć takie zadanie firmie, która przywiązuje dużą uwagę do zabezpieczania serwisów.
Komentarze
Bezpieczne regulaminy sklepów i serwisów internetowych