Ten tekst przeczytasz w 7 minut

Brak komentarzy

Bezpieczeństwo strony internetowej – jak zadbać?

Bezpieczeństwo strony internetowej – jak zadbać? - zdjęcie nr 1

bezpieczeństwo strony internetowej
Bezpieczeństwo strony internetowej – jak zadbać? - zdjęcie nr 3

Spis treści

Czytasz teraz:

Bezpieczeństwo strony internetowej – jak zadbać?

Zamknij

Bezpieczeństwo w sieci – hasło, które obija się nam o uszy w kolejnych kampaniach informacyjnych, w notyfikacjach z naszych banków, czy też przy okazji lektury artykułu o kolejnym wycieku danych. Hasło, które – jak mawiali nasi rodzice – jednym uchem wpada, a drugim wypada… a my nic z tym całym “bezpieczeństwem” nie robimy. Czas to zmienić i nie płakać… jak Polak po szkodzie! Jak zadbać o bezpieczeństwo strony internetowej?

Bezpieczeństwo strony internetowej – włam włamowi nierówny

Czy na moją stronę można się włamać? Czy moja strona jest warta włamania? Prawda jest taka, że w sieci nie ma miejsca, w które nie warto by było się włamać. Każda domena i każda strona to miejsce, które można wykorzystać – umieścić linki do różnego rodzaju specyfików na potencję, przekierować na swoją – szemraną – domenę lub po cichu wykorzystywać nasz serwer do mailingu i serwować niewinnym internautom treści przeznaczone zdecydowanie dla dorosłych odbiorców. Ilość sposobów na wykorzystanie przejętej strony jest ograniczona jedynie kreatywnością włamywaczy. 

Przejęcie strony ma różne konsekwencje, do których zaliczyć można między innymi problemy z poprawnym działaniem serwisu i wypadnięciem z indeksu Google na skutek usunięcia optymalizacji. Włamanie zwiększa również ryzyko wycięcia witryny z SERP-ów w wyniku kary za niedozwolone treści dokonywanie ataków. Nawet najlepsze pozycjonowanie może poważnie ucierpieć przez taki atak. Poza tym, z każdym kolejnym włamaniem strona w oczach odbiorców traci na wiarygodności, a ci z większą rezerwą podchodzą do korzystania z oferowanych produktów i usług. Brak zaufania wynika przede wszystkim ze strachu o własne dane – to właśnie informacje dotyczące użytkowników są atrakcyjnym łupem dla hakerów. W niektórych przypadkach przejęcie strony wiąże się też ze sporymi kosztami, do których należy zaliczyć chociażby dochód, który można by osiągnąć w czasie, w którym strona była nieczynna. Koszty czyszczenia serwera i przywracania serwisu również mogą znacząco wpłynąć na budżet firmy. Do tego dochodzą też prawne konsekwencje.

Kto jest najbardziej zagrożony?

Każdy serwis i każda osoba korzystająca z internetu może stać się ofiarą jednego z wielu rodzajów cyberataków. Włamania zdarzają się dużym i dobrze zabezpieczonym firmom:

(Dalszą część artykułu znajdziesz pod formularzem)

Wypełnij formularz i odbierz wycenę

Zapoznamy się z Twoim biznesem i przygotujemy indywidualną ofertę cenową na optymalny dla Ciebie mix marketingowy. Zupełnie za darmo.

Twoje dane są bezpieczne. Więcej o ochronie danych osobowych

Administratorem Twoich danych osobowych jest Verseo spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu, przy ul. Węglowej 1/3.

O Verseo

Siedziba Spółki znajduje się w Poznaniu. Spółka jest wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, Wydział VIII Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000910174, NIP: 7773257986. Możesz skontaktować się z nami listownie na podany wyżej adres lub e-mailem na adres: ochronadanych@verseo.pl

Masz prawo do:

  1. dostępu do swoich danych,
  2. sprostowania swoich danych,
  3. żądania usunięcia danych,
  4. ograniczenia przetwarzania,
  5. wniesienia sprzeciwu co do przetwarzania danych osobowych,
  6. przenoszenia danych osobowych,
  7. cofnięcia zgody.

Jeśli uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi masz prawo wnieść skargę do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych.

Twoje dane przetwarzamy w celu:

  1. obsługi Twojego zapytania, na podstawie art. 6 ust. 1 lit. b ogólnego rozporządzenia o ochronie danych osobowych (RODO);
  2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych w związku z udzieloną przez Ciebie zgodą, na podstawie art. 6 ust. 1 lit. a RODO;
  3. zabezpieczenia lub dochodzenia ewentualnych roszczeń w związku z naszym uzasadnionym interesem, na podstawie art. 6 ust. 1 lit. f. RODO.

Podanie przez Ciebie danych jest dobrowolne. Przy czym, bez ich podania nie będziesz mógł wysłać wiadomości do nas, a my nie będziemy mogli Tobie udzielić odpowiedzieć.

Twoje dane możemy przekazywać zaufanym odbiorcom:

  1. dostawcom narzędzi do: analityki ruchu na stronie, wysyłki informacji marketingowych.
  2. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych.

Twoje dane będziemy przetwarzać przez czas:

  1. niezbędny do zrealizowania określonego celu, w którym zostały zebrane, a po jego upływie przez okres niezbędny do zabezpieczenia lub dochodzenia ewentualnych roszczeń
  2. w przypadku przetwarzanie danych na podstawie zgody do czasu jej odwołania. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody.

Nie przetwarzamy danych osobowych w sposób, który wiązałby się z podejmowaniem wyłącznie zautomatyzowanych decyzji co do Twojej osoby. Więcej informacji dotyczących przetwarzania danych osobowych zawarliśmy w Polityce prywatności.

  • Adobe w 2013 straciło dane – nazwę użytkownika i hasło, imiona i nazwiska, dane kart kredytowych i debetowych – z 153 milionów kont,
  • LinkedIn w 2012 oraz w 2016 utraciło adresy mailowe i hasła użytkowników,
  • Garmin w 2020 utracił dostęp do dużej części swoich systemów i zmuszony był wyłączyć dostęp do wszystkich usług. Aby uzyskać dostęp klucza deszyfrującego dane, firma zdecydowała się zapłacić okup. 

Skala tych włamań jest znacznie większa niż to, co zazwyczaj doświadczają właściciele małych serwisów. Nie oznacza to jednak, że należy ignorować kwestie bezpieczeństwa i nie podejmować odpowiednich kroków w imię zasady “lepiej zapobiegać niż leczyć”.

Wśród systemów, które narażone są na ataki hakerskie, zazwyczaj wymienia się popularne CMS-y – WordPressa i Joomlę. Na częstotliwość włamań ma tu wpływ m.in. powszechność instalacji tych rozwiązań oraz… dość frywolne podejście do aktualizacji oprogramowania i notyfikacji związanych z bezpieczeństwem. W przypadku WordPressa źródłem ataków są też wtyczki, umożliwiające dodawanie nowych funkcjonalności do witryny. Część z wtyczek jest wytworem firm zewnętrznych. Wrażliwość Joomli objawia się podczas konfiguracji systemu, która ma tendencje do generowania błędów i, podobnie jak przy WP, przy instalowaniu zewnętrznych rozszerzeń. 

Jak zadbać o bezpieczeństwo strony internetowej?

Poniżej znajduje się 6 podstawowych elementów, które pozwalają na zwiększenie bezpieczeństwa strony internetowej i ograniczenie niefrasobliwych zachowań, mogących spowodować powstanie ryzyka.

  1. Hasło123, zgaduj ty!

Profesjonalne narzędzia i najbardziej skomplikowane programy zabezpieczające potrafią przegrać z brakiem zdrowego rozsądku i brakiem świadomości zagrożeń. Nie pragnę w ten sposób sugerować, że nie należy stosować nowoczesnych rozwiązań – wbrew przeciwnie! Proponuję jedynie, abyśmy poświęcili chwilę na refleksję na temat naszych haseł. To właśnie one najczęściej trafiają łupem internetowych złodziei i powodują spustoszenie na naszych wirtualnych włościach. Do najbardziej popularnych grzeszków związanych z hasłami zaliczyć można:

  • ich prostotę – czyli hasła typu qwerty, 12345, abc123 lub hasła powiązane z nazwą serwisu, w którym mamy konto. Tego typu zabezpieczenia łamie się szybko – raz, że są dość intuicyjne, a dwa – są jednymi z tych, które najczęściej można znaleźć na listach danych wykradzionych z różnych serwisów,
  • ich uniwersalność – jedno hasło do wszystkiego? Tego typu proste rozwiązania sprawdzają się… na krótką chwilę. Wyciek danych z jednego serwisu może spowodować utratę kont także w innych przestrzeniach.

Do tego niechlubnego grona warto również zaliczyć brzydki zwyczaj zapisywania wszystkich haseł w jednym miejscu – czy to w kajeciku, czy też w zwykłym pliku tekstowym umieszczonym w jednym z folderów na dysku. O ile tradycyjny kajecik może być atrakcyjnym łupem dla mniej zwinnego informatycznie złodzieja, o tyle plik może zainteresować każdego, kto umie wykorzystywać ufność użytkowników sieci publicznych (np. wifi w restauracji) – a stąd droga do przejęcia wszystkich naszych internetowych wcieleń jest już krótka.

Jak zatem zadbać o bezpieczeństwo swoich haseł? Jednym z rozwiązań, które sprawdzają się zarówno na gruncie prywatnym, jak i w przedsiębiorstwach, są aplikacje pozwalające na przechowywanie haseł w bezpieczny sposób, np. LastPass, 1Password, czy też ich darmowe odpowiedniki – KeePass i BitWarden. Tego typu rozwiązania działają podobnie jak krytykowany wyżej kajecik – pozwalają przechowywać hasła w jednym miejscu, są jednak znacznie bardziej bezpieczne. Programy te pozwalają na generowanie niezwykle skomplikowanych passwordów, które następnie są szyfrowane na różne sposoby i w tej formie przechowywane. Użytkownik potrzebuje tylko jednego hasła, które pozwala mu na dostęp do aplikacji. Programy tego typu działają nie tylko na komputerach, ale również na urządzeniach mobilnych. 

Skutecznym sposobem na ograniczenie możliwości przejęcia konta jest też wielostopniowa weryfikacja. Wprowadzenie tego rozwiązania, wymaga weryfikacji logującego się na kilka sposobów np. przy użyciu aplikacji zainstalowanej na telefonie. Konieczność potwierdzenia chęci uzyskania dostępu do konta, pozwala na dodatkową kontrolę i wyłapanie nieautoryzowanych prób logowania.

Od czasu do czasu hasła należy również zmieniać, a już zwłaszcza w przypadku rotacji wśród pracowników firmy. Po zmianie osób odpowiedzialnych za różne obszary działalności internetowej, dobrze jest odświeżyć dostępy i zadbać o to, by tylko wyznaczeni pracownicy mieli dostęp do zahasłowanych miejsc.

  1. Aktualizacje

Aktualizowanie systemów to kolejny element z zestawu podstawowych działań, które pozwalają na zmniejszenie ryzyka związanego z niechcianą aktywnością na stronie internetowej. Dotyczy to wszystkich elementów z nią związanych – CMS-a, oprogramowania na serwerze, czy też wtyczek i rozszerzeń. Zadaniem aktualizacji – oprócz rozwijania aplikacji i dodawania jej nowych funkcjonalności – jest również likwidowanie bugów i potencjalnych zagrożeń, istniejących we wcześniejszym kodzie. Brak aktualizacji programów działających w obrębie witryny znacznie ułatwia przejęcie jej zewnętrznym użytkownikom. 

O tym, jak często wdrażane są poprawki w zakresie bezpieczeństwa, można się przekonać analizując informacje przekazywane z kolejnymi aktualizacjami oprogramowania. Większość aktualizacji idzie w parze z wpisem blogowym lub notatką, zawierającej szczegóły każdego kolejnego patcha.

Informacje dotyczące WordPressa znaleźć można na stronie https://wordpress.org/news/
Bezpieczeństwo strony internetowej – jak zadbać? - zdjęcie nr 4

Joomla informuje o kolejnych aktualizacjach tutaj – https://www.joomla.org/announcements/release-news.html

Dodatkowo, informacje dotyczące konieczności aktualizacji Twojego CMS-a zazwyczaj pojawiają się na stronie głównej panelu administracyjnego. Uwaga – aktualizowanie starszych wersji CMS-a (np. takich, które nie były updatowe od kilku miesięcy) może skończyć się problemami w obrębie podstawowych funkcjonalności strony. Przed startem aktualizacji, warto zadbać o przygotowanie kopii zapasowych plików witryny. Archaiczne wersje CMS-a dobrze aktualizować z pomocą specjalistów – np. software house’u który był odpowiedzialny za pierwotny wygląd strony. O konieczności aktualizowania systemu na którym stoi strona, należy pamiętać już w trakcie projektowania strony i uwzględnić pomoc przy updatowaniu w umowie.

  1. Wtyczki i rozszerzenia

Omawiając aktualizacje popularnych CMS-ów, warto pochylić się również nad elementami, które pozwalają rozszerzyć możliwości wspomnianych programów, czyli wtyczki, rozszerzenia i add-on’y. Każdy z tych programów oferuje nową funkcję dla naszego CMS-a, niestety – nie zawsze tylko te, na których nam zależy. Jak zatem rozpoznawać wtyczki, które będą bezpiecznie? Na co zwrócić uwagę?

Przed zainstalowaniem dodatku do naszego CMS-a warto przyjrzeć się jej popularności i opiniom, sprawdzić wiarygodność firmy, która ją wydała i upewnić się, jak często są i czego dotyczą aktualizacje. 

Błędem jest pozostawianie wtyczek bez aktualizacji – to właśnie dzięki nim usuwane są bugi i luki w zabezpieczeniach, które mogą posłużyć do przejęcia Twojej internetowej własności. 

  1. SSL

Implementacja SSL-a to nie tylko widzimisię pozycjonera czy Twojego speca od reklam, ale jeden ze sposobów na poprawienie bezpieczeństwa danych płynących przez Twoją witrynę. SSL, a w zasadzie TSL jest gwarancją poufności transmisji danych i uwierzytelnienia serwera. Opiera się na szyfrowaniu asymetrycznym z kluczem publicznym, którego znajomość nie umożliwia odszyfrowania danych. W tym celu niezbędne jest posiadanie klucza prywatnego, który nie jest udostępniany zewnętrznie. Długość kluczy w aktualnych wersjach TSL wynosi minimum 128 bitów.

  1. Zadbaj o backup

Przezorność może skutkować kolejnym punktem na liście miesięcznych kosztów utrzymania witryny, jednak w momentach kryzysowych staje się bezcenna. Bezpieczeństwo strony internetowej, to nie obszar, na którym powinieneś w pierwszej kolejności oszczędzać. W tym przypadku przezorność objawia się poprzez dbanie o backup. Kopie zapasowe przechowywane w bezpiecznym miejscu pozwalają na zmniejszenie ryzyka związanego z utratą danych. Zabezpieczenie baz danych i umieszczenie ich w innej przestrzeni niż oryginały plików, umożliwią ciągłość działania firmy, nawet w przypadku awarii czy strat spowodowanych włamaniem. 

Kopie zapasowe z pewnością przechowywać będzie także hosting, na którym stoi strona, co bardzo przydaje się w przypadku problemów technicznych ze stroną – przywrócenie stanu sprzed dwóch-trzech dni to zazwyczaj kwestia jednego telefonu. Niestety, pozostawienie bezpieczeństwa swoich witryn internetowych w rękach zewnętrznych nie zawsze zdaje egzamin, o czym mogli się przekonać już klienci jednej z polskich firm hostingowych w 2016 roku.

  1. Edukuj siebie i współpracowników

Bezpieczeństwo strony internetowej zależy od wielu czynników. Impakt niektórych z nich można ograniczyć dzięki edukacji wszystkich osób, które pracują w ich obrębie. Czasem wystarczy odświeżenie podstaw związanych z bezpieczeństwem w sieci – zasady tworzenia haseł, konieczność korzystania z bezpiecznych połączeń internetowych i wylogowywania się po zakończonej pracy, czy też podejrzliwość w stosunku do niecodziennie wyglądających maili.

Strona internetowa to wrażliwe miejsce, którego wrażliwość pojawia się najczęściej na skutek naszej niewiedzy. Dbałość o bezpieczeństwo witryny oraz wszystkich zasobów niezbędnych naszej firmie, nie wymaga specjalistycznej wiedzy czy też umiejętności technicznych – w wielu wypadkach wystarczy wdrożenie dobrych praktyk.

Bądź pierwszym który napisze komentarz.

Wymagany, ale nie będzie opublikowany

Powiązane artykuły

reklama sklepu internetowego z ubraniami

Reklama sklepu z ubraniami – jak dotrzeć do klientów?

Izabela Pirańska
07 sierpnia 2020
1
podstawy marketingu w mediach społecznościowych

Podstawy marketingu w mediach społecznościowych

Adam Kubaszewski
08 marca 2021
SEO i SEM - co to?

Jaka jest różnica między SEO a SEM?

Maciej Popiołek
12 września 2022