today 09.01.2018

Bezpieczeństwo witryny internetowej to w obecnych czasach jedno z najważniejszych wyzwań, o ile nie najważniejsze. Co zrobić aby nasza witryna była bezpieczna i odporna na ataki hakerów?

NIC, odpowiedz na to pytanie może być zaskakująca, ale taka jest prawda. Jeśli jakiś spec od systemów internetowych, lub grupa hakerów obierze sobie na cel jakąś stronę internetową to prędzej, czy później uda się dostać do zasobów serwera - zazwyczaj prędzej, niż później.

Ograniczenie ryzyka

Można jednak mimo wszystko zrobić coś, co zminimalizuje ryzyko włamania się na naszą stronę. Nie będę tutaj opisywał rodzaju włamań, bo każdy może sobie podglądnąć, jakiego rodzaju to są ataki i jak działają. Ale dla mnie i dla większości użytkowników nie ma to większego znaczenia. Jak się już ktoś włamał to trzeba posprzątać i dodatkowo się obronić.

Serwer

Pierwszym elementem bardzo istotnym jest dobór serwera. I tylko wspomnę, że jeśli decydujemy się na darmowy serwer to gwarancja bezpieczeństwa jest praktycznie zerowa.

Wiele firm oferuje swoje usługi i taka prawda, że na pierwszy rzut oka wyglądają tak samo. Jedyne czym możemy zaobserwować różnicę to cena. Jak zawsze powtarzam, że jakoś nie idzie w parze z ceną, tak wybór serwera jest tego zaprzeczeniem. Nie w 100% tak jest, ale w większości przypadków wybór droższego serwera będzie bardziej bezpieczny, niż tego z tańszą ceną.

Zazwyczaj mamy 2 tygodnie na przetestowanie serwera i jest to w pełni wystarczający czas, aby zapoznać się z wszelkimi mechanizmami bezpieczeństwa. Warto zapoznać się, czy serwer ma wbudowany firewall, czy usługodawca wykonuje kopię zapasową bazy danych i plików, jak często i szybko odpowiada na nasze zgłoszenia (zadawane o każdej porze dnia), czy ma najnowsze wersje oprogramowania, np. PHP 7, gdzie jego bazy są zlokalizowane.

Core strony

Core strony to nic innego jak silnik, na jakim budowana jest nasza strona internetowa. Jeśli mamy bardzo prostą stroną, o strukturze wyłącznie HTML to w zasadzie nie mamy się czego obawiać, i przez te pliki na serwerze (index.html) raczej nikt to strony się nie dobierze.

Jednak prawda jest zupełnie inna. No bo kto obecnie posiadający stronę internetową ma jeden do pięciu plików html? Raczej niewielu. W świecie stron internetowych dzielą i rzącą systemy CMS. A więc systemy do zarządzania treścią. Dlaczego są tak popularne?
Na pewno z co najmniej dwóch owodów. Pierwszy to, że są darmowe, a drugi, że nie trzeba znać języka programowania, żeby tają stronę założyć.

Jest jeszcze wiele innych powodów, dla których są one tak popularne i stanowią obecnie ok 75% wszsytkich stron internetowych. A więc jest to gigantyczna liczba stron.

Jak podałe 2 główne powody decydowania się na właśnie te systemy, tak samo mogę powiedzieć, że z dokładnie takich samych powodów są niebezpieczne. A więc darmowe i otwarte. A więc każdy może podglądnąć kod i napisać robota, który znajdzie lukę i się do strony dobierze. Nie jest to takie proste, ale jakoś za każdym razem się udaje.

Co w takim przypadku robić?
Po pierwsze mieć stale najświeższą wersję systemu, oraz wszystkich dodatków. Po drugie instalować komponenty od renomowanych dostawców. Czasami warto zapłacić za dodatek i być, pewny, że dostawca będzie dbał o niego i rozwijał go, również w kwestii bezpieczeństwa. Po trzecie to korzystać, ze sprawdzonych szablonów. Po czwarte to zakupić (za $) dodatki do ochrony strony - firewall, antywirusy, antyspamy, itp.

Ładne linki

Może się to wydawać nieco dziwne, że ładne linki mają wpływ na ograniczenie ryzyka włamania się na stronę, ależ owszem i to bardzo duże. Zanim jakiś haker dostanie się do naszej strony to nie mając ustawionych "ładnych linków" po adresie url może sprawdzić, co to za system, jaki używany jest dodatek. Mając takie informacje z łatwością napisze kod, który umożliwi mu włamanie się do nas na stronę. Ładne linki nieco ukrywają i zasłaniają jaki system CMS używamy i jakie dodatki.

Aktywacja pliku .htaccess

Plik .htaccess to bardzo, ale bardzo dobra tarcza naszej witryny. Nie będę tutaj przedstawiał co do niego wpisać, i co nam to daje, ale warto zajrzeć do wielu artykułów o ochronie strony dzięki htaccess. Jeśli mamy w pliku ustawione prawidłowe komendy i potencjalny haker nadejdzie to możemy go zablokować już na poziomie htaccess. Żadne polecenia, czy zapytania z bazy danych nie będą wykonywane.

Ochrona admina

Wszystkie CMS mają panel administracyjny. I w 99% wiemy jak dostać się do ekranu logowania. Zazwyczaj są to standardowe adresy i mało kto zadaje sobie trud zmiany ich. Ale to jeszcze nie jest taki problem. Problemem jest na pewno dane logowania. A więc ustawienie użytkownika jako admin, lub administrator - karygodne. A więc haker ma już jedną zagadkę mniej do rozszyfrowania. Hasło, nie będę tutaj pisał o popularnych "qwerty", czy od 1-9. Bo jak tak mamy ustawione to nie ma o czy pisać. Hasło i użytkownik muszą być strudze dla nas i zawierać (hasło) przynajmniej 9 znaków, w tym małe, duże litery, cyfry oraz znaki specjalne. Tak konstruowane hasło na pewno utrudni włamanie się do naszego zaplecza administracyjnego metodą brute force. Dodatkowo polecam zastosowanie w panelu administracyjnym dodatkowego hasła oraz pliku .htpasswd. A więc dodatkowe okno logowania zanim wyświetli się standardowe okno logowania sytemu CMS.

Kopia zapasowa

Jak wiele znaczy kopia zapasowa plików chyba się już każdy przekonał. Zazwyczaj dostawca naszego serwera wykonuje taką usługę za nas, ale warto się w tej kwestii bardziej zainteresować. To my również sami możemy taką kipie wykonywać. Na początku powinnyśmy mieć strategię kopi zapasowych. Nie może to być na zasadzie: "a dzisiaj sobie wykonam kopię zapasową". Musimy mieć plan! I trzymać się go bardzo dokładnie. Nie robimy kopi zapasowych ręcznie (plików i bazy danych) tylko jakimś automatem. Jest wiele dodatków do CMS'ów które do zrobią za nas, w takim czasie jaki my chcemy. Można to również zrobić za pomocą cron job (polecam).

Coś więcej?

Czy można zrobić coś więcej. Jasne, że można! Cały czas powstają nowe rozwiązania ochrony strony. My również możemy wymyślić coś, co będzie nowatorskie i ochroni nas przed hakerami. Na pewno płatne profesjonalne CMS'y są jakimś dodatkowym krokiem w stronę bezpieczeństwa. Nie mówiąc już o stronach własnego autorstwa.

Internet to jednak bardzo dynamicznie rozbudowana infrastruktura, która jak w każdej innej ma swoje zalety, ale i wady. W 100% nigdy nie będziemy bezpieczni, ale trzymając się wszystkich tych wyżej opisanych zasad, możemy być pewno, że zrobiliśmy wszystko, aby ograniczyć ryzyko, a jeśli to również zawiedzie i zostaniemy skutecznie zaatakowani to nasza kopia bezpieczeństwa powinna pozwolić nam na wstanie z kolan i dalsze kroczenie.