Zapewne nawet nie bierzesz pod uwagę tego, aby ktoś w ogóle się fatygował, by zhakować Twoją stronę. Niestety takie przypadki się zdarzają. Większość ataków na strony nie jest motywowana zdobyciem dostępu do Twoich danych czy też czystą złośliwością. W wielu przypadkach tak naprawdę hakerzy starają się tymczasowo użyć Twojego serwera, aby wykorzystać go jako narzędzie do rozsyłania spamu lub przechowywania nielegalnych treści.
Ostatnio coraz częstszą praktyką stało się atakowanie cudzych serwerów, aby wykorzystać je jako botnety, lub koparki do kopania kryptowalut.
Bezpieczna strona internetowa to niewątpliwie ważna sprawa. Włamania na serwery odbywają się często za pomocą zautomatyzowanych skryptów, które są napisane w taki sposób, aby ciągle przeszukiwać Internet. Szukają przy tym słabych punktów, z których mogą skorzystać, aby osiągnąć swoje cele.
Niestety wiele firm odwlekało zadbanie o bezpieczeństwo swoich stron internetowych. Było to dla nich zbyt czasochłonnym problemem, którego dodatkowo nie traktowano na poważnie, dopóki ktoś osobiście się z nim nie zderzył. Samo zadbanie o bezpieczeństwo wiązało się także z kosztami finansowymi, których wielu chciało uniknąć.
Jednak Google nie zwracał uwagi na takie wymówki. Od lipca tego roku strony, które nie są chronione przez Secure-Socket Layer/Transport Layer Security (SSL/TLS), są oznaczane jako niebezpieczne!
Dopóki zatem nie zadbamy o bezpieczeństwo stron, nie możemy za bardzo liczyć na duży ruch. Właśnie dlatego przedstawiam w tym wpisie 3 porady, które pomogą Ci zabezpieczyć swoją stronę.
1. Wyposaż się w certyfikat SSL
Wspomniane na wstępie wymaganie od Google wiąże się z tym, że każda strona powinna być wyposażona w certyfikat SSL. Jednym z dobrych sposobów jest skorzystanie z darmowego certyfikatu SSL o nazwie Let’s Encrypt. Let’s Encrypt to darmowy, zautomatyzowany certyfikat dostępny dla każdego. Świetnie przyda się w przypadku pomniejszych stron, które nie przetwarzają wielu danych. Oczywiście, jeżeli działasz w e-commerce, to bezpieczny sklep internetowy będzie wymagał bardziej rozbudowanej i droższej wersji certyfikatu.
2. Dbaj o aktualne oprogramowanie
Ta porada może wydawać się aż zbyt oczywista, jednak korzystanie z aktualnego oprogramowania jest kluczowe dla bezpieczeństwa. Sprawa ma się tak nie tylko w przypadku programów antywirusowych, ale i również wersji serwera, czy systemu CMS. Hakerzy na pewno nie przegapią okazji do wykorzystania każdej możliwej luki – każda taka sytuacja może prowadzić do niebezpiecznego połączenia.
Jeżeli korzystasz z serwera od dostawcy, raczej nie musisz martwić się o bezpieczeństwo hostingu. O to zwykle dba sama firma.
Jednak, jeżeli korzystasz na swojej stronie z innych programów, jak na przykład z WordPress, powinieneś stale mieć na uwadze to, aby jego wersja była stale na czasie. Wiele z tych systemów automatycznie wysyła wiadomości o aktualizacjach i najnowszych wersjach.
Warto zaznaczyć tutaj też kwestię tzw. programów zależnych (dependencies). Niektóre programy potrzebują innych programów, aby mogły odpowiednio działać. Przykładowo dany program może mieć funkcję wysyłania wiadomości. Aby wiadomości były kodowane, programista wykorzystuje zewnętrzną bibliotekę, które dokonuje szyfrowania. Aby docelowy program działał, potrzebna jest także zewnętrzna biblioteka.
Z tego względu można przegapić aktualizację właśnie tych programów zależnych, co może prowadzić do niebezpiecznych połączeń. Takie narzędzia jak Gemnasium pozwalają ustawić automatyczne notyfikacje, gdy w jednym z komponentów oprogramowania zostanie wykryty słaby punkt.
3. Chroń się przed atakami XSS
Ataki typu cross-site scripting (XSS) wstrzykują złośliwy kod JavaScript na Twoją stronę, który w efekcie funkcjonuje w przeglądarkach internetowych odwiedzających Twoją witrynę. Może on zmieniać zawartość stron albo kraść informacje, które następnie przekazuje atakującemu.
Dla przykładu, jeżeli komentarze na stronie można wrzucać bez poprzedniej akceptacji przez moderatora lub nie przechodzą one przez żaden filtr, stwarza to lukę w systemie. Haker może stworzyć komentarz, który będzie zawierał skrypt tagi oraz kod JavaScript – w efekcie mogą one działać w przeglądarce każdego innego użytkownika i kraść ich cookies logowania. Daje to w efekcie hakerowi możliwość przejęcia kontroli nad kontem każdego użytkownika, który widział dany komentarz. Zadbaj zatem, aby nie miał możliwości „przemycenia” takiej niespodzianki.
Dobrym rozwiązaniem może być tak zwane Content Security Policy (CSP). CSP może dać informacje przeglądarce, jak oraz do jakiego stopnia ma ograniczać działanie JavaScript na stronie. Można dzięki temu zapobiec działaniu wszelkich skryptów, które nie są hostowane na Twojej domenie.
Mozzila posiada świetny przewodnik na ten temat wraz z przykładami konfiguracji. Jeśli skorzystasz z opisanych tam wskazówek, hakerowi będzie znacznie trudniej przeprowadzić atak za pomocą skryptu, nawet jeżeli uda mu się dostać na Twoją stronę.
Podsumowanie
Nie odkładaj przeprowadzenia tak ważnych zadań. Bezpieczna strona internetowa to niewątpliwie sprawa najwyższej wagi. Bądź zatem pewien, że Twojej witrynie nic jej nie zagrozi.