Jak zabezpieczyć stronę internetową?

Szyfrowanie połączenia za pomocą protokołu HTTPS to dziś standard nie tylko dla sklepów internetowych, ale każdej strony, która zbiera jakiekolwiek dane od użytkowników.

HTTPS (Hypertext Transfer Protocol Secure) jest rozszerzeniem „tradycyjnego” protokołu przesyłu danych – HTTP – o protokół SSL/TLS, który szyfruje połączenie między przeglądarką a serwerem w taki sposób, aby nikt pomiędzy nie mógł przechwycić danych.

Większości stron w zupełności wystarczy darmowy certyfikat SSL/TLS; wystawia go np. organizacja non-profit Let's Encrypt. W przypadku serwisów przechowujących dane osobowe klientów, dane płatności czy informacje medyczne, trzeba już zdecydować się na certyfikat płatny od któregoś z komercyjnych dostawców. Z prostego powodu: możesz wtedy uzyskać wyższy poziom (OV lub EV) weryfikacji tożsamości właściciela strony.

Kolejna porada jest prosta i często przypomina o niej też sam system – należy możliwie często i szybko aktualizować system CMS. System sam się tego domaga, przypominając, że nowe wersje mają załatać ewentualne dziury w systemie i zwiększyć bezpieczeństwo content management systemu. Podobnie ma się kwestia wtyczek – one także się rozwijają i wymagają regularnych aktualizacji, by działać na odpowiednim poziomie.

Update nie zabiera wiele czasu, a pozwala utrzymać najwyższą jakość komponentów. Twórcy rozwijają swoje rozszerzenia nie tylko pod kątem funkcjonalności, ale także zabezpieczeń strony www, by były one jak najlepiej dostosowane do nowoczesnych wymagań. Zazwyczaj zaktualizowanie wszystkich wtyczek i całego systemu to maksymalnie kilkanaście minut, w zależności od przepustowości łącza.

Jednocześnie trzeba zwracać uwagę na to, jakie wtyczki i z jakich źródeł pobierasz. W tym przypadku należy wyznawać zasadę „mniej znaczy lepiej”. Łatwiej wtedy kontrolować ich wersje czy też znaleźć najsłabsze ogniwo. Im więcej wtyczek czy dodatkowych modułów, tym bardziej Twoja strona narażona jest na ataki zewnętrzne. Szczególnie gdy korzystasz też z rozszerzeń z nie do końca sprawdzonych i zaufanych źródeł – wówczas ryzyko ataku hakerskiego na stronę www znacząco wzrasta.

W cenie hostingu powinny zawierać się zabezpieczenia na poziomie serwera – przy wyborze dostawcy zwróć na to uwagę. Czego powinieneś oczekiwać?

• Regularnych kopii zapasowych – hosting powinien oferować automatyczne, cykliczne backupy;
• regularnych aktualizacji oprogramowania serwera – system operacyjny, serwer WWW, bazy danych – wszystko powinno być na bieżąco aktualizowane przez administratorów;
• izolacji logicznej kont użytkowników w przypadku hostingu współdzielonego;
• wbudowanego firewalla (WAF), narzędzia do zarządzania certyfikatami SSL, stałego monitoringu i, oczywiście, wsparcia technicznego.

Przezorny zawsze ubezpieczony i nie inaczej jest w przypadku stron internetowych oraz wszelkiego rodzaju zabezpieczeń strony www. Dlatego warto robić regularne kopie zapasowe strony, co daje bufor bezpieczeństwa i możliwość szybkiego przywrócenia danych w momencie ataku hakerskiego.

Dlaczego to ważne? To zabezpieczenie przed awariami czy też zainfekowaniem serwera. Backup daje możliwość przywrócenia strony, którą budowało się miesiącami, w ciągu kilku godzin. Zawsze lepiej mieć taką alternatywę, by w sytuacji kryzysowej móc szybko odzyskać dane.

A jak często robić backup? W przypadku sklepów internetowych backup może być konieczny nawet co kilka godzin, w zależności od liczby transakcji. Na stronach firmowych czy blogach, które są update’owane tylko co jakiś czas, kopia zapasowa przyda się po każdej aktualizacji treści, ew. można ją ustawić w regularnych odstępach czasu (np. raz w tygodniu).

Dobrą praktyką jest stosowanie zasady 3-2-1:

• 3 kopie danych – w każdym momencie masz minimum trzy różne kopie zapasowe;
• 2 różne nośniki – przechowujesz je na różnych urządzeniach (np. serwer, zewnętrzny dysk, chmura);
• 1 kopia off-site – jedną kopię zawsze przechowujesz poza serwerem głównym, np. na fizycznym nośniku poza biurem.

Co ważne, tworzenie backupów wcale nie jest trudne i nie wymaga specjalistycznej wiedzy na temat kodowania czy programowania. Istnieją gotowe rozszerzenia, które pozwalają wykonać kopię zapasową, czy też nawet tworzą ją automatycznie. Wystarczy ustawić odpowiednią częstotliwość tworzenia kopii i wtyczka zajmie się resztą. Jeśli mimo to masz obawy, że Twoje działania wpłyną na płynność działania strony internetowej, to zawsze możesz poprosić o to profesjonalistów, którzy wiedzą, jak zabezpieczyć stronę internetową.

Nie można zapominać o samym dostępie do systemu administracyjnego i Twoim haśle. Ważne jest, aby nie było powielane z innymi i wykorzystywało możliwie wiele znaków specjalnych. Jeśli hasło i login są łatwe do złamania (legendarne admin/admin), to żadne inne kroki nie będą w stanie uchronić witryny.

O czym radzimy pamiętać? Po pierwsze – długość hasła jest nawet ważniejsza od tego, ile ma znaków specjalnych. Dłuższe hasło jest po prostu trudniej złamać metodą brute force. Druga kwestia to popularny mit, że hasła należy regularnie zmieniać. Według aktualnych zaleceń NIST, jeśli nie ma podejrzenia wycieku, lepiej tego nie robić – bo z czasem zaczniesz tworzyć coraz słabsze, bardziej powtarzalne kombinacje.

Warto też korzystać z menedżerów haseł – narzędzi, które przechowują dane logowania w zaszyfrowanej formie i automatycznie wypełniają je na stronach internetowych.

I oczywiście, pomyśl o uwierzytelnianiu dwuskładnikowym (2FA). Dodatkowa warstwa logowania w zasadzie uniemożliwi hakerom włamanie się na czyjeś konto bez dostępu do innego urządzenia użytkownika. Polecamy zapoznać się z aktualnymi rekomendacjami OWASP dot. uwierzytelniania – znajdziesz je tutaj.

Domyślny adres logowania do panelu administracyjnego strony jest często jednym z pierwszych celów ataków hakerskich. W przypadku WordPressa jest to najczęściej /wp-admin lub /wp-login.php, co daje przestępcom punkt zaczepienia do ataków brute force lub skanowania luk w systemie. Jeśli haker zna adres panelu logowania, może zautomatyzować próby dostępu, co zwiększy ryzyko włamania.

Zmiana adresu logowania na mniej oczywisty – np. mojastrona.pl/moj-panel zamiast standardowego – też może zadziałać jako dodatkowa warstwa ochrony.

Jedną z najlepszych rzeczy, jaką możesz zrobić dla bezpieczeństwa swojej strony, jest wdrożenie WAF (z ang. Web Application Firewall), czyli zapory aplikacji internetowej.

Monitoruje ona każde żądanie, które trafia do serwera, i odrzuca te, które wyglądają na podejrzane lub niezgodne z ustalonymi regułami bezpieczeństwa. Dobrze skonfigurowana zapora jest w stanie zablokować znaczną część ataków, zwłaszcza prób wstrzyknięcia zewnętrznych skryptów JS lub SQL.

Podstawową ochronę WAF oferuje w ramach swoich pakietów wielu dostawców hostingu, możesz też samemu wykupić usługi Cloudfare, Sucuri czy wtyczkę do WordPressa – Wordfence.

To kolejny krok, który nie wymaga dużych nakładów pracy, a dzięki regularności daje ogląd na to, jak prezentuje się stan strony internetowej i przede wszystkim naszego komputera. Jednostka centralna czy laptop to też jest zagrożenie – strona może zostać zainfekowana z poziomu naszego komputera, jeśli tylko dostało się na niego złośliwe oprogramowanie.

Dlatego warto regularnie skanować poszczególne partycje z wykorzystaniem zaktualizowanych antywirusów, by znać stan swojego systemu. Obecnie masz do wyboru wiele darmowych programów antywirusowych, które doskonale spełniają swoją funkcję. Całościowy skan to zazwyczaj kilka godzin, więc zdecydowanie warto raz na jakiś czas upewnić się, czy komputer pod kątem oprogramowania funkcjonuje na odpowiednim poziomie.