Jak chronić strony internetowe przed włamaniami?

Zawsze tworząc stronę powinniśmy mieć mieć na uwadze jej bezpieczeństwo, ponieważ w dzisiejszych czasach bardzo często dochodzi do włamań w sieci. Dlatego omówimy sobie sytuacje zagrożeń, abyśmy mieli świadomość, jaki mamy wpływ na bezpieczeństwo w sieci oraz kto i co nam grozi.

Z zasady - do każdego systemu można się włamać, a każda strona może zostać unieruchomiona. Pozostaje tylko kwestia - w jaki sposób zostanie przeprowadzone włamanie i czy nieumyślnie ułatwiamy to zadanie atakującym, zostawiając im otwarte “drzwi”.

 

Włamania bezpośrednio na serwer

Do włamań dochodzi zwykle przy wykorzystaniu luki w oprogramowaniu, które zostało zainstalowane na serwerze. Tutaj sami wiele nie zdziałamy. Serwer powinien być dobrze zabezpieczony, warto włączyć firewall oraz zapewniać bieżące aktualizacje. 

Na tego typu włamania najbardziej podatne są serwery dedykowane i VPS, którymi sami zarządzamy. Hostingodawcy - w przypadku hostingu - zwykle dbają o te elementy i nie musimy się wtedy martwić o bezpieczeństwo witryny. 

Jeżeli jednak zdecydujemy się na posiadanie własnego serwera dedykowanego lub własnego VPS, to konieczne jest zatrudnienie dobrego DevOpsa do poprawnej konfiguracji naszej maszyny. Sami raczej tego nie zrobimy :)

 

Włamania poprzez system CMS (np. przez niezabezpieczoną wtyczkę lub plugin) 

Znane systemy CMS lub ogólnodostępne biblioteki mogą posiadać błędy w kodzie lub luki bezpieczeństwa. Takie elementy są często narażone na działania botów przeszukujących witryny pod kątem obecności wadliwych plików. Boty automatycznie wykorzystują takie luki w celu wgrania złośliwego oprogramowania. Do tego typu włamań dochodzi zazwyczaj poprzez dodatki i wtyczki - producenci systemów CMS dbają o bezpieczeństwo, ale pluginy często nie są aktualizowane lub wykonawcy o nich po prostu zapominają i nie wspierają. Instalując taki niewspierany plugin narażamy się na potencjalne zagrożenie. 

 

Włamania zautomatyzowane (boty) 

Najpopularniejszą formą włamań jest włamanie zautomatyzowane. Program komputerowy przeszukuje internet w poszukiwaniu witryn posiadających dziurawe pliki. Jeśli taki plik zostanie znaleziony, to robot automatycznie infekuje witrynę. Najczęściej jest to wykorzystywane do rozsyłania spamu, w gorszych przypadkach do uzyskania dostępu do bazy danych czy danych kart płatniczych użytkowników. 

 

Włamania celowane 

Czyli wynajęci przez konkurencję hakerzy lub osoby, które chcą nam zaszkodzić. W przypadku, gdy haker dostaje zlecenie na naszą stronę, to zwykle udaje mu się znaleźć lukę w zabezpieczeniach - jest to tylko kwestia czasu potrzebnego na przejście zabezpieczeń. Pamiętajmy jednak, że są to przypadki marginalne. 

Z większym prawdopodobieństwem padniemy ofiarą adepta sztuki hakerskiej, który wrzuci na naszą stronę złośliwe oprogramowanie dla zabawy. Tego typu włamania zwykle mają miejsce na nieaktualizowanych witrynach. Przypominają one włamania zautomatyzowane (boty), zwykle nie są wykorzystywane do celów zarobkowych czy też do wysyłania spamu.  

 mika-baumeister-J5yoGZLdpSI-unsplash

Jak zminimalizować ryzyko włamania?

  1. Korzystaj z mało popularnych systemów CMS, najlepiej systemów dedykowanych - to eliminuje większość zagrożeń ze strony botów i utrudnia pracę hakerom. Jeżeli mamy taką stronę i nie jesteśmy na niczyim celowniku, to raczej nic nam nie grozi. Z drugiej jednak strony, jest to często niezgodne z innymi założeniami biznesowymi - np. z obniżeniem kosztów poprzez wykorzystanie gotowych systemów CMS, takich jak Wordpress. Coś za coś :)

  2. Jeżeli już korzystasz z gotowego oprogramowania - niezależnie, czy jest to cały system CMS, czy też wykonawca dedykowanego oprogramowania użył gotowych bibliotek - należy pamiętać o cyklicznej aktualizacji. Każda aktualizacja może zawierać poprawki bezpieczeństwa - które z pewnym opóźnieniem - ale eliminują podatność witryny na atak. 

  3. Korzystaj tylko ze sprawdzonych dostawców oprogramowania. Jeśli instalujesz plugin - sprawdź, czy jest on często aktualizowany oraz zweryfikuj opinie na temat developera. Jeśli plugin nie był aktualizowany od pół roku lub dłużej, to powinien być to sygnał, że może być on zagrożeniem. 

  4. Dbaj o hasła. Używaj haseł generowanych losowo, na przykład przez usługę LastPass; używaj innych haseł do każdej witryny. Nie przesyłaj haseł mailem. A gdy musisz przekazać dostęp deweloperowi, wyślij login mailem, a hasło na przykład SMSem.
  5. Monitoruj widoczność swoich stron internetowych - na przykład za pomocą darmowego narzędzia UpTower. Takie narzędzia sprawdzają co minutę, czy Twoje strony działają prawidłowo i natychmiastowo informują w przypadku awarii - dając Ci czas na szybką reakcję i zdiagnozowanie przyczyny awarii.

 

Newsletter

Zero spamu - tylko wartościowe treści!:

.
Udostępnij: