Ten tekst przeczytasz w 7 minut

Bezpieczeństwo strony internetowej – jak zadbać?

bezpieczeństwo strony internetowej

Bezpieczeństwo w sieci – hasło, które obija się nam o uszy w kolejnych kampaniach informacyjnych, w notyfikacjach z naszych banków, czy też przy okazji lektury artykułu o kolejnym wycieku danych. Hasło, które – jak mawiali nasi rodzice – jednym uchem wpada, a drugim wypada… a my nic z tym całym “bezpieczeństwem” nie robimy. Czas to zmienić i nie płakać… jak Polak po szkodzie! Jak zadbać o bezpieczeństwo strony internetowej?

Bezpieczeństwo strony internetowej – włam, włamowi nierówny

Czy na moją stronę można się włamać? Czy moja strona jest warta włamania? Prawda jest taka, że w sieci nie ma miejsca, w które nie warto by było się włamać. Każda domena i każda strona to miejsce, które można wykorzystać – umieścić linki do różnego rodzaju specyfików na potencję, przekierować na swoją – szemraną – domenę lub po cichu wykorzystywać nasz serwer do mailingu i serwować niewinnym internautom treści przeznaczone zdecydowanie dla dorosłych odbiorców. Ilość sposobów na wykorzystanie przejętej strony jest ograniczona jedynie kreatywnością włamywaczy. 

Przejęcie strony ma różne konsekwencje, do których zaliczyć można między innymi problemy z poprawnym działaniem serwisu i wypadnięciem z indeksu Google na skutek usunięcia optymalizacji. Włamanie zwiększa również ryzyko wycięcia witryny z SERP-ów w wyniku kary za niedozwolone treści dokonywanie ataków. Poza tym, z każdym kolejnym włamaniem strona w oczach odbiorców traci na wiarygodności, a ci z większą rezerwą podchodzą do korzystania z oferowanych produktów i usług. Brak zaufania wynika przede wszystkim ze strachu o własne dane – to właśnie informacje dotyczące użytkowników są atrakcyjnym łupem dla hakerów. W niektórych przypadkach przejęcie strony wiąże się też ze sporymi kosztami, do których należy zaliczyć chociażby dochód, który można by osiągnąć w czasie, w którym strona była nieczynna. Koszty czyszczenia serwera i przywracania serwisu również mogą znacząco wpłynąć na budżet firmy. Do tego dochodzą też prawne konsekwencje.

Kto jest najbardziej zagrożony?

Każdy serwis i każda osoba korzystająca z internetu może stać się ofiarą jednego z wielu rodzajów cyberataków. Włamania zdarzają się dużym i dobrze zabezpieczonym firmom:

  • Adobe w 2013 straciło dane – nazwę użytkownika i hasło, imiona i nazwiska, dane kart kredytowych i debetowych – z 153 milionów kont,
  • LinkedIn w 2012 oraz w 2016 utraciło adresy mailowe i hasła użytkowników,
  • Garmin w 2020 utracił dostęp do dużej części swoich systemów i zmuszony był wyłączyć dostęp do wszystkich usług. Aby uzyskać dostęp klucza deszyfrującego dane, firma zdecydowała się zapłacić okup. 

Skala tych włamań jest znacznie większa niż to, co zazwyczaj doświadczają właściciele małych serwisów. Nie oznacza to jednak, że należy ignorować kwestie bezpieczeństwa i nie podejmować odpowiednich kroków w imię zasady “lepiej zapobiegać niż leczyć”.

Wśród systemów, które narażone są na ataki hakerskie, zazwyczaj wymienia się popularne CMS-y – WordPressa i Joomlę. Na częstotliwość włamań ma tu wpływ m.in. powszechność instalacji tych rozwiązań oraz… dość frywolne podejście do aktualizacji oprogramowania i notyfikacji związanych z bezpieczeństwem. W przypadku WordPressa źródłem ataków są też wtyczki, umożliwiające dodawanie nowych funkcjonalności do witryny. Część z wtyczek jest wytworem firm zewnętrznych. Wrażliwość Joomli objawia się podczas konfiguracji systemu, która ma tendencje do generowania błędów i, podobnie jak przy WP, przy instalowaniu zewnętrznych rozszerzeń. 

Jak zadbać o bezpieczeństwo strony internetowej?

Poniżej znajduje się 6 podstawowych elementów, które pozwalają na zwiększenie bezpieczeństwa strony internetowej i ograniczenie niefrasobliwych zachowań, mogących spowodować powstanie ryzyka.

  1. Hasło123, zgaduj ty!

Profesjonalne narzędzia i najbardziej skomplikowane programy zabezpieczające potrafią przegrać z brakiem zdrowego rozsądku i brakiem świadomości zagrożeń. Nie pragnę w ten sposób sugerować, że nie należy stosować nowoczesnych rozwiązań – wbrew przeciwnie! Proponuję jedynie, abyśmy poświęcili chwilę na refleksję na temat naszych haseł. To właśnie one najczęściej trafiają łupem internetowych złodziei i powodują spustoszenie na naszych wirtualnych włościach. Do najbardziej popularnych grzeszków związanych z hasłami zaliczyć można:

  • ich prostotę – czyli hasła typu qwerty, 12345, abc123 lub hasła powiązane z nazwą serwisu, w którym mamy konto. Tego typu zabezpieczenia łamie się szybko – raz, że są dość intuicyjne, a dwa – są jednymi z tych, które najczęściej można znaleźć na listach danych wykradzionych z różnych serwisów,
  • ich uniwersalność – jedno hasło do wszystkiego? Tego typu proste rozwiązania sprawdzają się… na krótką chwilę. Wyciek danych z jednego serwisu może spowodować utratę kont także w innych przestrzeniach.

Do tego niechlubnego grona warto również zaliczyć brzydki zwyczaj zapisywania wszystkich haseł w jednym miejscu – czy to w kajeciku, czy też w zwykłym pliku tekstowym umieszczonym w jednym z folderów na dysku. O ile tradycyjny kajecik może być atrakcyjnym łupem dla mniej zwinnego informatycznie złodzieja, o tyle plik może zainteresować każdego, kto umie wykorzystywać ufność użytkowników sieci publicznych (np. wifi w restauracji) – a stąd droga do przejęcia wszystkich naszych internetowych wcieleń jest już krótka.

Jak zatem zadbać o bezpieczeństwo swoich haseł? Jednym z rozwiązań, które sprawdzają się zarówno na gruncie prywatnym, jak i w przedsiębiorstwach, są aplikacje pozwalające na przechowywanie haseł w bezpieczny sposób, np. LastPass, 1Password, czy też ich darmowe odpowiedniki – KeePass i BitWarden. Tego typu rozwiązania działają podobnie jak krytykowany wyżej kajecik – pozwalają przechowywać hasła w jednym miejscu, są jednak znacznie bardziej bezpieczne. Programy te pozwalają na generowanie niezwykle skomplikowanych passwordów, które następnie są szyfrowane na różne sposoby i w tej formie przechowywane. Użytkownik potrzebuje tylko jednego hasła, które pozwala mu na dostęp do aplikacji. Programy tego typu działają nie tylko na komputerach, ale również na urządzeniach mobilnych. 

Skutecznym sposobem na ograniczenie możliwości przejęcia konta jest też wielostopniowa weryfikacja. Wprowadzenie tego rozwiązania, wymaga weryfikacji logującego się na kilka sposobów np. przy użyciu aplikacji zainstalowanej na telefonie. Konieczność potwierdzenia chęci uzyskania dostępu do konta, pozwala na dodatkową kontrolę i wyłapanie nieautoryzowanych prób logowania.

Od czasu do czasu hasła należy również zmieniać, a już zwłaszcza w przypadku rotacji wśród pracowników firmy. Po zmianie osób odpowiedzialnych za różne obszary działalności internetowej, dobrze jest odświeżyć dostępy i zadbać o to, by tylko wyznaczeni pracownicy mieli dostęp do zahasłowanych miejsc.

  1. Aktualizacje

Aktualizowanie systemów to kolejny element z zestawu podstawowych działań, które pozwalają na zmniejszenie ryzyka związanego z niechcianą aktywnością na stronie internetowej. Dotyczy to wszystkich elementów z nią związanych – CMS-a, oprogramowania na serwerze, czy też wtyczek i rozszerzeń. Zadaniem aktualizacji – oprócz rozwijania aplikacji i dodawania jej nowych funkcjonalności – jest również likwidowanie bugów i potencjalnych zagrożeń, istniejących we wcześniejszym kodzie. Brak aktualizacji programów działających w obrębie witryny znacznie ułatwia przejęcie jej zewnętrznym użytkownikom. 

O tym, jak często wdrażane są poprawki w zakresie bezpieczeństwa, można się przekonać analizując informacje przekazywane z kolejnymi aktualizacjami oprogramowania. Większość aktualizacji idzie w parze z wpisem blogowym lub notatką, zawierającej szczegóły każdego kolejnego patcha.

Informacje dotyczące WordPressa znaleźć można na stronie https://wordpress.org/news/

Joomla informuje o kolejnych aktualizacjach tutaj – https://www.joomla.org/announcements/release-news.html

Dodatkowo, informacje dotyczące konieczności aktualizacji Twojego CMS-a zazwyczaj pojawiają się na stronie głównej panelu administracyjnego. Uwaga – aktualizowanie starszych wersji CMS-a (np. takich, które nie były updatowe od kilku miesięcy) może skończyć się problemami w obrębie podstawowych funkcjonalności strony. Przed startem aktualizacji, warto zadbać o przygotowanie kopii zapasowych plików witryny. Archaiczne wersje CMS-a dobrze aktualizować z pomocą specjalistów – np. software house’u który był odpowiedzialny za pierwotny wygląd strony. O konieczności aktualizowania systemu na którym stoi strona, należy pamiętać już w trakcie projektowania strony i uwzględnić pomoc przy updatowaniu w umowie.

  1. Wtyczki i rozszerzenia

Omawiając aktualizacje popularnych CMS-ów, warto pochylić się również nad elementami, które pozwalają rozszerzyć możliwości wspomnianych programów, czyli wtyczki, rozszerzenia i add-on’y. Każdy z tych programów oferuje nową funkcję dla naszego CMS-a, niestety – nie zawsze tylko te, na których nam zależy. Jak zatem rozpoznawać wtyczki, które będą bezpiecznie? Na co zwrócić uwagę?

Przed zainstalowaniem dodatku do naszego CMS-a warto przyjrzeć się jej popularności i opiniom, sprawdzić wiarygodność firmy, która ją wydała i upewnić się, jak często są i czego dotyczą aktualizacje. 

Błędem jest pozostawianie wtyczek bez aktualizacji – to właśnie dzięki nim usuwane są bugi i luki w zabezpieczeniach, które mogą posłużyć do przejęcia Twojej internetowej własności. 

  1. SSL

Implementacja SSL-a to nie tylko widzimisię pozycjonera czy Twojego speca od reklam, ale jeden ze sposobów na poprawienie bezpieczeństwa danych płynących przez Twoją witrynę. SSL, a w zasadzie TSL jest gwarancją poufności transmisji danych i uwierzytelnienia serwera. Opiera się na szyfrowaniu asymetrycznym z kluczem publicznym, którego znajomość nie umożliwia odszyfrowania danych. W tym celu niezbędne jest posiadanie klucza prywatnego, który nie jest udostępniany zewnętrznie. Długość kluczy w aktualnych wersjach TSL wynosi minimum 128 bitów.

  1. Zadbaj o backup

Przezorność może skutkować kolejnym punktem na liście miesięcznych kosztów utrzymania witryny, jednak w momentach kryzysowych staje się bezcenna. Bezpieczeństwo strony internetowej, to nie obszar, na którym powinieneś w pierwszej kolejności oszczędzać. W tym przypadku przezorność objawia się poprzez dbanie o backup. Kopie zapasowe przechowywane w bezpiecznym miejscu pozwalają na zmniejszenie ryzyka związanego z utratą danych. Zabezpieczenie baz danych i umieszczenie ich w innej przestrzeni niż oryginały plików, umożliwią ciągłość działania firmy, nawet w przypadku awarii czy strat spowodowanych włamaniem. 

Kopie zapasowe z pewnością przechowywać będzie także hosting, na którym stoi strona, co bardzo przydaje się w przypadku problemów technicznych ze stroną – przywrócenie stanu sprzed dwóch-trzech dni to zazwyczaj kwestia jednego telefonu. Niestety, pozostawienie bezpieczeństwa swoich witryn internetowych w rękach zewnętrznych nie zawsze zdaje egzamin, o czym mogli się przekonać już klienci jednej z polskich firm hostingowych w 2016 roku.

  1. Edukuj siebie i współpracowników

Bezpieczeństwo strony internetowej zależy od wielu czynników. Impakt niektórych z nich można ograniczyć dzięki edukacji wszystkich osób, które pracują w ich obrębie. Czasem wystarczy odświeżenie podstaw związanych z bezpieczeństwem w sieci – zasady tworzenia haseł, konieczność korzystania z bezpiecznych połączeń internetowych i wylogowywania się po zakończonej pracy, czy też podejrzliwość w stosunku do niecodziennie wyglądających maili.

Strona internetowa to wrażliwe miejsce, którego wrażliwość pojawia się najczęściej na skutek naszej niewiedzy. Dbałość o bezpieczeństwo witryny oraz wszystkich zasobów niezbędnych naszej firmie, nie wymaga specjalistycznej wiedzy czy też umiejętności technicznych – w wielu wypadkach wystarczy wdrożenie dobrych praktyk.

Bądź pierwszym który napisze komentarz.

Powiązane artykuły

pomysł na sklep internetowy
Pomysł na sklep internetowy: co sprzedawać?
Izabela Pirańska

Słyszałeś, że e-commerce to przyszłość biznesu i chciałbyś również rozpocząć działalność w tej niszy. Wiesz jednak, że konkurencja w tej […]

E-commerce definicja
Redakcja

E-commerce definicja i rodzaje, czyli handlowanie w internecie Początek dwudziestego pierwszego wieku nierozerwalnie kojarzy się rozwojem i popularyzacją sieci internetowej. […]

Wskaźniki marketingowe – mierz lub umieraj!
Maciej Popiołek

Wydaje Ci się, że przygotowałeś inteligentną, angażującą i skuteczną kampanię marketingową? Sądzisz, że Twój landing page pozwoli Ci pozyskać wartościowe […]

Google Moja Firma, wyniki lokalne i jak to połączyć?
Jakub Szperkowski

W dzisiejszym wpisie chciałbym poruszyć kwestię tworzenia profilu Google Moja Firma, czyli tworzenia lokacji naszej firmy w mapach Google. Jest […]

Kampanie internetowe – na co postawić?
Maciej Popiołek

Marketing internetowy to narzędzie, dzięki któremu można poszerzyć grono potencjalnych klientów z wykorzystaniem nowoczesnych kanałów komunikacji. Jeśli chcesz zaistnieć w […]

Promocja lokalnej firmy na Facebooku – 4 kroki!
Jakub Michalak

Facebook to potężne narzędzie. W Verseo udowadniamy że platforma Marka Zuckerberga nie służy tylko do generowania lajków czy udostępnień ale […]