Czy Twoja witryna jest bezpieczna? Oto jak zadbać o 5 rzeczy, które obniżają jej wiarygodność

Czy Twoja witryna jest bezpieczna? Oto jak zadbać o 5 rzeczy, które obniżają jej wiarygodność

Na stronie cyberstat.kaspersky.com/pl/ można w czasie rzeczywistym podglądać niewiarygodną liczbę cyberataków na świecie i w Polsce. W momencie czytania tego artykułu ktoś najpewniej wyłudza w sieci informacje przez niebezpieczną stronę internetową. Każdego dnia jesteśmy narażeni (w zależności od ich rodzaju) na dziesiątki tysięcy zagrożeń. Duża część z nich to właśnie efekt niezabezpieczonych witryn, które mogą zniszczyć reputację domeny, obniżyć dobrą pozycję w Google czy też całkowicie uniemożliwić korzystanie z niej. Jak sprawdzić, czy Twój e-sklep, strona www czy blog jest bezpieczny i nie narazi Cię na straty?

Choć technologie związane z ochroną przed cyberatakami są z każdym dniem coraz lepsze, to nikt do dziś nie znalazł recepty na 100-procentową odporność (i najpewniej nie znajdzie). Można jednak uczynić kilka prostych kroków, by zwiększyć stan bezpieczeństwa Twojej strony internetowej lub też zwiększyć swoją świadomość, by zlecić takie działania ekspertom.

1. Certyfikat SSL – Twoja obowiązkowa wirtualna tarcza

Certyfikat SSL jest dokładnie tym, czym dla starożytnego wojownika tarcza, a dla współczesnego żołnierza kamizelka kuloodporna – to obowiązkowy i podstawowy element wirtualnej ochrony. W dużym uproszczeniu, pozwala on na szyfrowanie przesyłanych informacji między stroną internetową a użytkownikiem. Dzięki temu niepowołana osoba nie wejdzie w posiadanie poufnych danych (np. danych osobowych, informacji o płatności etc.).

Jak sprawdzić, czy witryna posiada certyfikat SSL? Wystarczy spojrzeć na pasek adresu w przeglądarce i znaleźć zieloną kłódkę, która powinna poprzedzać adres strony zaczynający się od „HTTPS”. Ten pięcioliterowy skrót oznacza bezpieczną komunikację pomiędzy stroną internetową a użytkownikiem. I do tego celu wykorzystuje właśnie certyfikat SSL.

Ale SSL to nie tylko bezpieczeństwo i czasem trudne techniczne rzeczy. To także siła reputacji. Od kilku lat strony z certyfikatem są w oczach Google traktowane łaskawiej. Co prawda to tylko niewielki procent wszystkich czynników, które wpływają na pozycjonowanie, ale niewątpliwie jego rola będzie rosła. Warto również pamiętać, że najnowsze wersje przeglądarek wyświetlają użytkownikom ostrzeżenie, jeśli strona jest niezabezpieczona i np. żąda przesłania informacji w formularzu kontaktowym lub stronie do logowania i rejestracji nowych użytkowników.

W Nazwa.pl możesz liczyć na instalację darmowego certyfikatu „Let’s encrypt” lub nazwaSSL w pakiecie „Bezpieczna domena”. Obie w zupełności wystarczą dla małych stron internetowych i blogów. Jeśli potrzebujesz gwarancji większej ochrony, wybierz płatne opcje – ich ceny wahają się od 50 do 500 zł rocznie.

2. Aktualizuj regularnie wszystkie komponenty

Wg danych firmy W3Techs, co 3 strona w sieci oparta jest o WordPressa – system do zarządzania treścią. Jego ogromna popularność spowodowała, że witryny wykorzystujące ten darmowy CMS równie często padają ofiarami cyberprzestępców. Nawet jeśli używasz innego systemu w swojej witrynie lub sklepie internetowym (np. Shopify, PrestaShop czy Joomla), to żelazna zasada pozostaje niezmienna – koniecznie zadbaj o regularne aktualizacje wszystkich komponentów, wtyczek oraz motywów. Bo to właśnie stare, nieaktualizowane strony mają luki, które stwarzają bardzo poważne zagrożenia.

Jak się zabrać do aktualizacji, aby niczego nie zepsuć? W przypadku uaktualnień samego systemu do zarządzania treścią (np. WordPressa) nie powinno być większych problemów. Warto jednak być nieco bardziej uważnym przy aktualizacji wtyczek i motywów. Oto kilka dobrych praktyk, które uchronią Cię przed bólem głowy:

• wykonuj kopię zapasową strony – nawet najprostsza strona powinna ją mieć, bo dzięki temu szybko i sprawnie przywrócisz jej poprzedni stan w razie awarii po aktualizacji. W ten sposób zyskasz czas, by na spokojnie znaleźć przyczyny usterki i wykonać poprawnie kolejną aktualizację;
• nieco bardziej rozbudowane strony www powinny posiadać wersję testową serwisu (tzw. staging). Służy ona tylko do sprawdzania nowych rzeczy i eksperymentowania. Cały proces aktualizacji możesz wykonać właśnie tam i najpierw przekonać się, czy nie wystąpiły żadne problemy, a następnie dokonać identycznych zmian na właściwej wersji strony internetowej;
• zwracaj uwagę na wersję aktualizacji – duże zmiany najczęściej poprzedzone są nową cyfrą (np. 2.9.3 -> 3.0.0) i to one mogą nieść największe ryzyko niezgodności i ew. problemów. Jeśli tak się stanie, przywróć natychmiast poprzednią wersję strony. Dostawcy hostingu przechowują najczęściej 2-3 kopie z ostatnich 24-72h godzin. Takie koło ratunkowe sprawia, że można bezpiecznie wrócić do ostatniej, poprawnej wersji witryny;

3. Używaj trudnych haseł

Trudne hasła są trudne w zapamiętaniu i dlatego najczęściej idziemy na łatwiznę i stosujemy prosty ciąg znaków. Ale lepiej mieć dobrą pamięć (lub bezpieczne sposoby przechowywania haseł), niż narazić się na utratę wrażliwych danych. Dziś włamać się na stronę internetową można nawet za pomocą twojego firmowego lub domowego routera Wi-Fi. Nie trzeba być jednak ekspertem od bezpieczeństwa IT, żeby wykonać kilka prostych kroków:

• wszystkie dostępy (do Wi-Fi, strony internetowej, komputera, etc.) zabezpieczaj silnymi, skomplikowanymi hasłami. Możesz w tym celu posłużyć się wiarygodnymi generatorami haseł, jak np.: NORTON IDENTITY SAFE PASSWORD GENERATOR lub LastPass
• ogranicz przydzielone uprawnienia poszczególnym pracownikom Twojego zespołu lub firmy. Nawet zupełnie przypadkowo nieuważni użytkownicy mogą przyczynić się do powstania błędu, dzięki któremu ktoś niepożądany uzyska dostęp do witryny. Unikaj nadawania użytkownikom popularnych nazw do logowania, jak np. admin, user, login, etc.;
• Nie podawaj i w żaden sposób nie udostępniaj danych do logowania osobom do tego nieuprawnionym. Jeśli jesteś do tego w jakiś sposób zmuszony, nadawaj bezpieczne uprawnienia, ale nie udostępniaj swoich własnych danych.

4. Stosuj wtyczki lub komponenty do ochrony witryny

Jeśli twoja strona oparta jest o WordPressa, to najlepiej skorzystaj z darmowych lub płatnych wtyczek, które chronią twoją witrynę. Nawet jeśli nie istnieje 100-procentowa gwarancja, to z takimi komponentami jesteś w stanie uchronić się przed zdecydowaną większością ataków. Do najpopularniejszych i najlepszych wtyczek do ochrony WordPressa należą:

• Sucuri Security – dostępna w dwóch wersjach: darmowej i rozszerzonej, czyli płatnej. Jeśli potrzebujemy zaporę (tzw. ochronę firewall) musimy niestety wydać 10 dolarów miesięcznie. Ale nawet w wersji darmowej to bardzo dobre i wyjątkowo skuteczne narzędzie. O każdym zagrożeniu jesteśmy natychmiast powiadamiani e-mailowo, (gdy np. ktoś nieuprawniony próbuje się zalogować), a skaner złośliwego oprogramowania sprawdza, czy ktoś nie zmodyfikował zawartości naszej strony;
• All in One WP Security and Firewall – nazwa mówi sama za siebie. Masz w jednym miejscu wszystko, czego potrzebujesz do ochrony swojej strony internetowej. I na słowach się nie kończy. W praktyce to kombajn, który oferuje kompleksową ochronę WordPressa z potężnym zakresem funkcjonalności. A do tego jest intuicyjna, bo gotowych i skonfigurowanych propozycji jest kilka i można je uruchomić jednym kliknięciem, ustawiając odpowiednio wysoki poziom ochrony. Zawiera także filtry antyspamowe i ochronę przed kopiowaniem, co w praktyce eliminuje łatwe powielanie treści objętych prawem autorskim;
• iThemes Security Pro – ta wtyczka usuwa wszystkie główne luki w witrynie. iThemes Security Pro generuje również silne i skomplikowane hasła, a po zbyt wielu nieudanych próbach logowania blokuje użytkownika. Co więcej, zapewnia także autoryzację dwukierunkową, wysyłając hasło na telefon komórkowy użytkownika (podobne rozwiązanie stosuje Google, kiedy logujemy się pierwszy raz z nowego miejsca i urządzenia).

5. Zainwestuj w bezpieczny i sprawdzony hosting

To powinien być numer jeden na tej liście, bo w głównej mierze od dobrego i bezpiecznego hostingu zależy reputacja twojej strony internetowej. Oprócz przestrzeni dyskowej, warto porównać i sprawdzić następujące parametry:

• dostępność strony (tzw. uptime) – to gwarancja nieprzerwanego działania i dostępu do danego hostingu. Ten parametr pokazuje, jak często u dostawcy hostingu zdarzają się awarie, które mogą zakłócić działanie Twojej strony. Minimum powinno oscylować w granicach  99,95% lub wyżej.
• transfer – czyli ilość wysyłanych danych z serwera użytkownikom naszej strony. Za każdym razem, kiedy ktoś odwiedza twoją stronę, serwer musi zdecydować, jakie treści i jak szybko mu je pokazać. Im większy ruch na Twojej stronie, tym więcej transferu potrzebujesz. Najlepiej, jeśli ten transfer jest nieograniczony i oferuje odpowiednio dużą ilość pamięci RAM oraz rdzeni procesora (to one głównie odpowiadają za czas ładowania się strony).
• obsługa niezbędnych technologii – w tym miejscu warto sprawdzić, czy hosting używa aktualnej wersji PHP oraz bazy danych MySQL. Stare wersje mogą być narażone na zagrożenia. Te pojęcia mogą być dla Ciebie nowe lub niezrozumiałe, ale warto na dzień dzisiejszy przyjąć, że większość dostawców usług hostingowych powinno posiadać wersję PHP 7.1 lub wyższe.
• pakiety bezpieczeństwa – w Nazwa.pl możesz liczyć na darmowy pakiet bezpieczeństwa w promocji. Dostajesz od nas paczkę wirtualnej ochrony, dzięki której unikniesz problemów z cyberprzestępstwami i zapewnisz wiarygodność Twojej stronie WWW. W pakiecie bezpiecznych rozwiązań znajdują się: protokół DNSSEC, certyfikat SSL oraz DNS Anycast.

Podsumowanie

Aby uniknąć 90% zagrożeń związanych z bezpieczeństwem strony internetowej, absolutnie wystarczy stosować z żelazną konsekwencją tych 5 prostych kroków. Ataki w sieci wykorzystują przede wszystkim naszą niewiedzę i brak proaktywnych działań. W dzisiejszych czasach na rynku jest bardzo szeroka paleta intuicyjnych rozwiązań, za pomocą których można w sposób zautomatyzowany osiągnąć wysoki poziom bezpieczeństwa (regularne aktualizacje i wtyczki do ochrony WordPressa). I to bez specjalistycznej wiedzy i umiejętności. Możemy je zainstalować i skonfigurować samodzielnie, bez konieczności pomocy ze strony ekspertów. Dużo zależy też od nas samych – jakie hasła dobieramy, komu je przekazujemy i jakie uprawnienia nadajemy naszym współpracownikom.