Jak zabezpieczyć swoją stronę www przed atakiem ?

Od niedawna źródłem ataków hakerskich są nie tylko duże serwisy i bogate korporacje, ale także małe strony internetowe czy blogi.

Celem tych ataków jest kradzież danych, co może nieść za sobą poważne konsekwencje prawne.

Jak zabezpieczyć swoją stronę www? O czym należy pamiętać ?

Serwery Hostingowe

Żaden serwer hostingowy nie jest w 100 % bezpieczny. To ważna informacja dla osób, które twierdzą, że ich dostawca zadbał o wszystkie aspekty bezpieczeństwa danych.
Wszystkie działania zabezpieczające mają na celu jedynie zminimalizować ryzyko włamania na stronę.

Kilka prostych zasad bezpieczeństwa na stronie:

  1. Nie trzymaj haseł i kopii zapasowych na tym samym serwerze co strona www

Jeśli nasz serwer zostanie zaatakowany lub przestanie działać stracimy nie tylko stronę, ale także dane naszych klientów i hasła. Nie będzie możliwości także przywrócenia strony do stanu prawidłowego.

Dobrym sposobem jest trzymanie kopii zapasowej serwisu w 2 miejscach. Jeśli nasza strona jest statyczna i nie zawiera częstych modyfikacji treści wystarczy jedna kopia na 1-2 miesiące. Dobrym miejscem z pewnością są chmury Dropbox czy OneDrive, które mają możliwość automatycznego przyjmowania kopii zapasowej naszej strony wg. wcześniej ustalonego harmonogramu. Drugim dobrym miejscem jest dysk zewnętrzny – nie połączony z siecią.

2. Nie używaj prostych haseł i zmień adres logowania

Hakerzy szukają zaniedbań ze strony właścicieli stron. Na przykład, adresem logowania do stron na WordPressie jest:

www.twojadomena.pl/wp-admin

Złośliwe oprogramowanie o tym wie, dlatego w pierwszej kolejności szuka stron z takim adresem logowania i próbuje dostać się dalej. Polecam zmienić adres na inny, mniej oczywisty, by już na pierwszym froncie roboty przeszukujące sieć, straciły zainteresowanie naszym serwisem.

Najgorszym błędem dla Administratora strony jest hasło, które zawiera dane witryny takie jak:

  • nazwa domeny
  • opis domeny
  • słowa kluczowe strony
  • nazwę admin lub inną nazwę administratora

Takie praktyki to proszenie się o atak dla bardziej zaawansowanych technicznie przestępców.

3. Zabezpieczenia antyspamowe

Nasze strony, sklepy i blogi są atakowane również przez tzw. roboty spamujące, które również chcą wykraść dane nasze i naszych klientów.

Furtką dla takich ataków są często formularze tekstowe zawarte na stronach takie jak:

  • Formularz kontaktowy
  • Formularz logowania
  • Formularz Rejestracji
  • Formularz Komentowania lub Opinii na temat produktu

Naprawdę skutecznym sposobem na zabezpieczenie tych elementów jest filtr reCaptcha od Google. Zwykłe potwierdzenie informacji, że nie jest się robotem lub wpisanie tekstu z obrazka pomaga zabezpieczyć się przed większością ataków.

Polecam również wtyczke WordFence, która na bierząco informuje nas o próbach logowania do naszej strony.

4. Jeden Admin dla strony

Jeśli naszą stroną zarządza kilka osób, bezpiecznie jest gdy administrator jest tylko jeden. Uchroni to nas przed szkodliwym działaniem ze strony innych redaktorów strony i próbą instalacji niezabezpieczonych elementów.

5. Nie instaluj niesprawdzonych wtyczek

WordPress daje wiele możliwości. Jako oprogramowanie typu OpenSource umożliwia instalację własnych elementów na naszej stronę. Jeśli chcemy zainstalować jakąś wtyczkę i dodać funkcjonalność do naszej witryny, kierujmy się zdrowym rozsądkiem. Wiele dodatków jest niezweryfikowanych i zawiera luki, które mogą być w łatwy sposób wykorzystane przez hakerów.

Czasami warto wydać 50 $ na wtyczkę sprawdzoną niż korzystać z darmowej, niepewnej.

6. Certyfikat SSL – co to takiego?

Cytując serwis ssl.centrum.pl:


“Certyfikaty SSL są narzędziem zapewniającym ochronę witryn internetowych, a także gwarantem zachowania poufności danych przesyłanych drogą elektroniczną. Pełne bezpieczeństwo jest efektem zastosowania szyfrowania komunikacji pomiędzy komputerami. Certyfikaty SSL rejestrowane są na określoną nazwę domeny, zawierają informacje o właścicielu domeny, jego adresie itp. Dane te są zabezpieczone kryptograficznie i nie można ich samodzielnie zmienić”.

Krótko mówiąc, ceryfikat daje nam podobne zabezpieczenia jakie stosują banki podczas transakcji internetowych. Certyfikat jest konieczny w przypadku posiadania sklepu internetowego. Daje on bezpieczeństwo Twoim klientom, a dodatkowo jest bardzo pozytywnie odbierany przez wyszukiwarki internetowe.

Znasz jakieś inne zabezpieczenia? Podziel się ze mną swoim doświadczeniem.

Elementoo

Chcesz mieć pewność, że Twoja strona lub sklep są bezpieczne ?

Napisz do mnie. Oferuje możliwość zabezpieczania istniejących stron internetowych.