Bezpieczeństwo witryny WWW to temat na który większość webmasterów nie zwraca uwagi, aż do momentu, aż strona padnie wynikiem ataku. Wtedy już tylko możemy zająć się naprawą…

Niebezpieczeństwa z którymi wiąże się atak hakerski:

  • podmiana strony, przekierowanie na spamerskie treści
  • instalacja wirusa na serwerze, w ten sposób nasza strona będzie atakowała inne strony/serwery, zgodnie z pomysłami atakującego – grozi to nawet odpowiedzialnością karną
  • dzięki temu Google może uznać stronę za niebezpieczną i przy próbie wejścia na zainfekowaną witrynę wyświetli ostrzeżenie o próbie przejścia na zainfekowana witrynę. Skutkuje to spadkiem wiarygodności e-biznesu oraz spadkiem odwiedzin, co bezpośrednio przekłada się na zmniejszenie ilości klientów
  • wysyłanie spamerskich e-maili z serwera, IP – prowadzące dodanie domeny do czarnych list spamerskich
  • permanentne skasowanie strony, w przypadku braku kopii zapasowych (backupów) całkowita utrata treści

Jak się chronić ?

Każda strona jest potencjalnie narażona na atak. Jednak możemy wykonać kilka podstawowych czynności, które znacznie zmniejszy ryzyko potencjalnego ataku.

  1. Aktualność oprogramowania
  2. Rozszerzenia zabezpieczeń dla systemów CMS
  3. Silne Hasła
  4. Logowanie przez protokół SFTP
  5. Logowanie przez protokół SSL
  6. Do logowania używaj bezpiecznych lokacji
  7. Pliki konfiguracyjne witryny
  8. Nie zapisuj haseł w przeglądarce

Aktualność oprogramowania

Niepodważalną kwestią jest dbanie o to, aby oprogramowanie i skrypty na serwerze FTP były w najnowszych wersjach. Krytycznym momentem jest 0day (dzień, w którym luka w zabezpieczeniach wykorzystywana przez hakerów, nie jest jeszcze znana developerom, aplikacji/skryptu, którzy go napisali) – Jeśli korzystasz z systemu CMS – zadbaj, aby sam silnik oraz wszystkie wtyczki i moduły były zaktualizowane do najnowszych wydań. Rozszerzenia, które nie są używane należy zwyczajnie odinstalować.

Rozszerzenia zabezpieczeń dla systemów CMS

Jeśli używamy systemu zarządzania treścią warto zaopatrzyć się w wtyczki, które zwiększą poziom zabezpieczeń na serwerze: Firewall, skaner zmian w plikach, zabezpieczenia logowania do zaplecza.

Rublon to system chroniący konta w aplikacjach webowych. Istnieją rozszerzenia wspierające, WordPress, Magento, PrestaShop, jak również również biblioteki Java i PHP pozwalające na integracje z każdym systemem.

Silne Hasła

Bardzo ważnym aspektem bezpieczeństwa są hasła. Silne hasło powinno być trudne do odgadnięcia i unikalne. Specjalnie wspominam o tym, aby było niepowtarzalne, aby atakujący, który przechwycił nasze hasło do jednej usługi, nie mógł uzyskać kontroli nad innymi.

W pierwszej kolejności należy zadbać o hasła dostępu do usług:

  • panelu administracyjnego witryny
  • serwera FTP
  • panelu administracyjnego usług hostingowych i domeny
  • adresu e-mali, gdzie przesyłane są informacje na temat „resetowania hasła

Na koniec najpopularniejsze hasła 2014 wg splashdata.com:

  • 123456
  • password
  • 12345
  • 12345678
  • qwerty
  • 1234567890
  • 1234
  • baseball
  • dragon
  • football

Logowanie przez protokół SFTP

Klient FTP powinien łączyć się z serwerem przez protokół szyfrowany SFTP lub FTP, aby Twoje hasło nie zostało podsłuchane. (Opcja dostępna w najpopularniejszych (Filezilla i TotalCommander). Nie zapisuj haseł w programie. Niektóre szkodniki potrafią wysłać bazę haseł do atakującego.

Logowanie przez protokół SSL

Jeśli logujesz się do panelu administracyjnego witryny, aby Twoje hasło nie zostało podsłuchane używaj protokołu HTTPS, zamiast HTTP.

Do logowania używaj bezpiecznych lokacji

Nie loguj się do do swoich zasobów w publicznych sieciach, które są słabo zabezpieczone lub nie posiadają zabezpieczeń wcale.

Pliki konfiguracyjne witryny

Pliki z konfiguracją na serwerze są to najważniejsze pliki Twojej strony z hasłami do zapleczy, do baz danych itp. Nie trzeba przypominać, że musi być zabezpieczony wszelkimi możliwymi sposobami. Plik konfiguracyjny powinien mieć prawa dostępu ustawione na 400 lub 440. Reszta plików na 640 lub 644, a foldery 750 lub 755.

Nie zapisuj haseł w przeglądarce

Hasła zapisywane w przeglądarce internetowej są łatwe do skopiowania i wysłane do osób trzecich. Zamiast tego użyj softu do przechowywania haseł, np. darmowego KeePass.

Co zrobić, jeśli strona została zaatakowana ?

Zmień wszystkie hasła dostępu do zapleczy, baz danych, panelu administracyjnego. Stwórz prostą podstronę w HTML z tekstem „Strona czasowo niedostępna” i przekieruj na nią cały ruch z domeny w pliku .htaccess.

Przeskanuj stronę skanerem pod kątem złośliwego kodu np. https://sitecheck.sucuri.net.

Teraz najtrudniejsza część: usunięcie złośliwego kodu z plików na serwerze. Każdy zainfekowany kod musi zastąpić „świeżymi i czystymi” wersjami. Oprócz wasnej analizy pomóc nam może dostawca usług hostingowych, który pomoże wskazać złośliwe pliki.

Krzysztof Czukiewski

Właściciel CP System. Pasjonat technologii internetowych. Od 2009 zgłębia tajemnice Wordpressa i optymalizacji SEO. Aktywnie pomaga właścicielom stron www w poprawie ich widoczności w wyszukiwarkach internetowych Google i Bing wykorzystując całą wiedzę i zdobyte przez lata doświadczenie.

Dodaj komentarz

Zamknij menu