Boli časy, keď ľudia a spoločnosti upchávali weby s úplným opustením, len v nádeji, že nikto hackne obsah alebo nainštaluje malware na tento web.
Tieto dni sú už dávno za nami, pretože počet a frekvencia útokov znamená, že existuje neustále nebezpečenstvo - a čím úspešnejší je web, tým väčšie je nebezpečenstvo.
Aké sú spôsoby, ako môžete chrániť svoje webové stránky (prostredníctvom svojho poskytovateľa hostiteľských služieb) a ako môžete znížiť pravdepodobnosť napadnutia a neoprávnenej zmeny stránok?
Skôr než sa k tomu dostaneme, musíme porozumieť najzákladnejšej úrovni zabezpečenia, ktorá je zodpovedná za mnoho napadnutých stránok - dokonca aj tých, ktoré sú hostené na zabezpečených serveroch.
- Tu sme vybrali najlepšie webhostingové služby
- Toto sú najlepšie bezplatné webhostingové spoločnosti v okolí
- A to sú v súčasnosti tí najlepší tvorcovia webových stránok
Prvá obranná línia
Aj keď niektoré spoločnosti trvajú na hostovaní svojich vlastných webových stránok, väčšina obchodných domén sa nachádza na zabezpečených serveroch, ktoré sú na tento účel zmluvne dohodnuté.
Keď si vyberiete hostiteľský server, dostanete definíciu operačného systému, na ktorom je tento systém spustený (Windows Server, Linux alebo Unix) a ktorý určuje požadované bezpečnostné protokoly.
Osoba alebo ľudia zodpovední za správu stránky majú oprávnenie správcu meniť štruktúru súborov na nej, a nikto iný.
Od samého začiatku sa môže pokaziť, ak príliš veľa ľudí pozná podrobnosti účtu správcu a heslo sa pravidelne nemení. Inštalácia keyloggeru trvá iba na jednom zo strojov, ktoré sa používajú na správu. Heslo sa odhalí presne tým ľuďom, ktorých by ste najmenej chceli mať.
Ale úprimne povedané, koľko ľudí pracuje v kancelárii, kde si heslá pravidelne pamätajú pomocou poznámok? Nepochybne tam hore vyšlo niekoľko rúk.
Zabezpečenie týchto hesiel je prvou líniou obrany a bez toho je možné čokoľvek iné, čo urobíte, ľahko vrátiť späť.
Existujú dve úvodné lekcie, ktoré je potrebné sa naučiť o bezpečnosti webových stránok, a to:
- Je to len také dobré ako sieť, kde bol web zostavený
- Zabezpečenie sa zriedka zvyšuje tým, že sa heslá zapisujú a umiestňujú na dobre viditeľné miesto
Bezpečnostný audit
Vykonanie bezpečnostného auditu na mieste je pomerne jednoduché cvičenie, ktoré môžu pracovníci IT vykonať pomocou niekoľkých softvérových nástrojov. Prípadne môžete uzavrieť zmluvu s treťou stranou, ktorá pre vás vykoná skenovanie, a poskytnúť zoznam potenciálnych slabostí, ktoré vás podporia.
Ak si kupujete webhostingovú službu, poskytovateľ môže tiež zoskupiť bezpečnostný nástroj, aby sa ubezpečil, že ste od začiatku primerane zabezpečení - obvykle však nie priebežne.
Okrem toho mnoho poskytovateľov ponúka aj balík zabezpečenia webových stránok, kde sľubujú rýchlu reakciu na hrozby a zmiernenie útokov odmietnutia služby. Pokiaľ nemáte len malý osobný blog, jedná sa o rozumnú investíciu.
Cena týchto služieb nie je veľa, keď vezmete do úvahy, aké nákladné môžu byť stránky offline v akomkoľvek časovom období, najmä pre tých, ktorí ponúkajú elektronický obchod.
Bez ohľadu na to, aký prístup zvolíte, je dôležité, aby sa bezpečnostné kontroly vykonávali pravidelne, aby bolo možné identifikovať možné nové hrozby hneď po ich vzniku a okamžite ich riešiť.
Spoločné obavy
Najbežnejšie formy útoku, s ktorými sa webové stránky stretávajú, sú tieto:
- Distribuované odmietnutie služby (DDoS) - Mnoho vzdialených počítačov, zvyčajne infikovaných trójskym koňom, koná opakovane v zhode s náročnými webovými stránkami až do tej miery, že servery nedokážu zvládnuť množstvo požiadaviek.
- Malvérová infekcia - Nejako súbory, ktoré obsahujú nejaký hanebný kód, sú umiestnené na web s úmyslom nahrať ho každému, kto ho navštívi.
- SQL injection - Škodlivý kód vložený vo forme alebo vstupe, ktorý potom vykoná server SQL Database na serveri. Tento kód môže umožniť prístup k údajom zákazníka alebo otvoriť zariadenie pre externý prístup.
- Hrubou silou - Chyba v OS umožňuje opakovaným útokom spôsobiť reset, ktorý na krátku dobu otvorí port pre sekundárny útok. Vzhľadom na zložitosť moderných operačných systémov sa pravidelne vyskytujú nové chyby zabezpečenia.
- Cross-site scripting - Hackerská metóda, pri ktorej je možné prehliadač presmerovať na inú stránku alebo nahradiť obsah na stránke obete bez toho, aby o tom návštevník vedel.
- Hack „nulového dňa“ - Jedná sa o nové a ťažko zastaviteľné útoky, ktoré využívajú slabosť, ktorá nie je verejne známa. Čas medzi objavením a opravou zraniteľnosti je kritický a môže vyžadovať dočasné deaktivovanie niektorých funkcií servera, kým sa nenájde oprava.
Slabé stránky podľa návrhu
Aj keď mnoho webov pracuje s aktívnymi nasledujúcimi funkciami, sú zdrojom mnohých bezpečnostných problémov z mnohých dôvodov:
- Formuláre - Čokoľvek, čo spracováva vstup na serveri, je potenciálnym vstupným bodom pre škodlivý kód a je možné ho tiež zneužiť na extrakciu údajov používateľa.
- Fóra - Umiestňovanie skriptov a presmerovanie používateľov na webové stránky, ktoré šíria škodlivý softvér, sú len niekoľkými potenciálnymi problémami fór vytváraných používateľmi.
- Prihlásenie na sociálnych sieťach - Používanie vášho účtu Facebook alebo Google na prihlásenie na web je rýchle a ľahké, ale môže to byť tiež spôsob, ako dôjde k napadnutiu týchto účtov.
- Elektronický obchod - Za peniazmi nasleduje kriminalita a hackeri vynaložia oveľa viac úsilia na hacknutie stránok elektronického obchodu.
- Neregulovaný obsah - Ak získavate spravodajské články a články z iných webov, ste závislí od ich bezpečnostných opatrení, nech už sú akékoľvek.
Je zrejmé, že odstránenie všetkých týchto funkcií z webových stránok by z neho urobilo oveľa menej lákavé miesto pre návštevníkov. Je potrebné urobiť úsudok o tom, ktoré prvky ste pripravení použiť a ako zamýšľate zmierniť možné bezpečnostné problémy s nimi spojené.
Primeraná ochrana
Existuje iba jeden spôsob, ako zaručiť, že váš web nebude nikdy napadnutý, a to ho mať. Zabezpečenie webových stránok je v konečnom dôsledku zmierňovacím cvičením, pri ktorom urobíte dosť, aby sa vám pokus o napadnutie webu oveľa menej oplatil, a tiež zaistite, že sa z každého incidentu dostane rýchlejšie.
Presná úroveň vynaloženého bezpečnostného úsilia je voľbou, s ktorou musia zápasiť všetky spoločnosti. Pre tých, ktorí sa zaoberajú online predajom, musí byť stopercentný záväzok zabezpečiť osobné a finančné podrobnosti tých, ktorí s vami obchodujú.
Mnohým spoločnostiam a organizáciám odcudzili všetky údaje o zákazníkoch a následne ich použili na podvody s krádežou identity, čo malo drahé následky.
Nech si zvolíte akúkoľvek úroveň ochrany a monitorovania, musí to zodpovedať danému účelu. Nakoniec zvážte, že mať lepšie zabezpečenie, ako potrebujete, má minimálne dôsledky na náklady, ale mať menej by mohlo mať obrovské právne a obchodné dôsledky.