Bezpieczeństwo witryny WWW to temat na który większość webmasterów nie zwraca uwagi, aż do momentu, aż strona padnie wynikiem ataku. Wtedy już tylko możemy zająć się naprawą…
Niebezpieczeństwa, z którymi wiąże się atak hakerski:
- podmiana strony, przekierowanie na spamerskie treści
- instalacja wirusa na serwerze, w ten sposób nasza strona będzie atakowała inne strony/serwery, zgodnie z pomysłami atakującego – grozi to nawet odpowiedzialnością karną
- dzięki temu Google może uznać stronę za niebezpieczną i przy próbie wejścia na zainfekowaną witrynę wyświetli ostrzeżenie o próbie przejścia na zainfekowana witrynę. Skutkuje to spadkiem wiarygodności e-biznesu oraz spadkiem odwiedzin, co bezpośrednio przekłada się na zmniejszenie ilości klientów
- wysyłanie spamerskich e-maili z serwera, IP – prowadzące dodanie domeny do czarnych list spamerskich
- permanentne skasowanie strony, w przypadku braku kopii zapasowych (backupów) całkowita utrata treści
Jak się chronić?
Każda strona jest potencjalnie narażona na atak. Jednak możemy wykonać kilka podstawowych czynności, które znacznie zmniejszy ryzyko potencjalnego ataku.
Aktualność oprogramowania
Niepodważalną kwestią jest dbanie o to, aby oprogramowanie i skrypty na serwerze FTP były w najnowszych wersjach. Krytycznym momentem jest 0day (dzień, w którym luka w zabezpieczeniach wykorzystywana przez hakerów, nie jest jeszcze znana developerom, aplikacji/skryptu, którzy go napisali) – Jeśli korzystasz z systemu CMS – zadbaj, aby sam silnik oraz wszystkie wtyczki i moduły były zaktualizowane do najnowszych wydań. Rozszerzenia, które nie są używane należy zwyczajnie odinstalować.
Rozszerzenia zabezpieczeń dla systemów CMS
Jeśli używamy systemu zarządzania treścią warto zaopatrzyć się w wtyczki, które zwiększą poziom zabezpieczeń na serwerze: Firewall, skaner zmian w plikach, zabezpieczenia logowania do zaplecza.
Rublon to system chroniący konta w aplikacjach webowych. Istnieją rozszerzenia wspierające, WordPress, Magento, PrestaShop, jak również również biblioteki Java i PHP pozwalające na integracje z każdym systemem.
Silne Hasła
Bardzo ważnym aspektem bezpieczeństwa są hasła. Silne hasło powinno być trudne do odgadnięcia i unikalne. Specjalnie wspominam o tym, aby było niepowtarzalne, aby atakujący, który przechwycił nasze hasło do jednej usługi, nie mógł uzyskać kontroli nad innymi.
W pierwszej kolejności należy zadbać o hasła dostępu do usług:
- panelu administracyjnego witryny
- serwera FTP
- panelu administracyjnego usług hostingowych i domeny
- adresu e-mali, gdzie przesyłane są informacje na temat „resetowania hasła„
Na koniec najpopularniejsze hasła 2014 wg splashdata.com:
- 123456
- password
- 12345
- 12345678
- qwerty
- 1234567890
- 1234
- baseball
- dragon
Logowanie przez protokół SFTP
Klient FTP powinien łączyć się z serwerem przez protokół szyfrowany SFTP lub FTP, aby Twoje hasło nie zostało podsłuchane. (Opcja dostępna w najpopularniejszych (Filezilla i TotalCommander). Nie zapisuj haseł w programie. Niektóre szkodniki potrafią wysłać bazę haseł do atakującego.
Logowanie przez protokół SSL
Jeśli logujesz się do panelu administracyjnego witryny, aby Twoje hasło nie zostało podsłuchane używaj protokołu HTTPS, zamiast HTTP.
Do logowania używaj bezpiecznych lokacji
Nie loguj się do do swoich zasobów w publicznych sieciach, które są słabo zabezpieczone lub nie posiadają zabezpieczeń wcale.
Pliki konfiguracyjne witryny
Pliki z konfiguracją na serwerze są to najważniejsze pliki Twojej strony z hasłami do zapleczy, do baz danych itp. Nie trzeba przypominać, że musi być zabezpieczony wszelkimi możliwymi sposobami. Plik konfiguracyjny powinien mieć prawa dostępu ustawione na 400 lub 440. Reszta plików na 640 lub 644, a foldery 750 lub 755.
Nie zapisuj haseł w przeglądarce
Hasła zapisywane w przeglądarce internetowej są łatwe do skopiowania i wysłane do osób trzecich. Zamiast tego użyj softu do przechowywania haseł, np. darmowego KeePass.
Co zrobić, jeśli strona została zaatakowana?
Zmień wszystkie hasła dostępu do zapleczy, baz danych, panelu administracyjnego. Stwórz prostą podstronę w HTML z tekstem „Strona czasowo niedostępna” i przekieruj na nią cały ruch z domeny w pliku .htaccess.
Przeskanuj stronę skanerem pod kątem złośliwego kodu np. https://sitecheck.sucuri.net.
Teraz najtrudniejsza część: usunięcie złośliwego kodu z plików na serwerze. Każdy zainfekowany kod musi zastąpić „świeżymi i czystymi” wersjami. Oprócz wasnej analizy pomóc nam może dostawca usług hostingowych, który pomoże wskazać złośliwe pliki.