WZMACNIAMY
W INTERNECIE
Bezpieczna strona internetowa to strona odporna na ataki złośliwego oprogramowania jak również na działania hakerskie.
Złośliwe oprogramowanie może:
Żeby się przed tym obronić, najpierw warto sobie uzmysłowić, co możemy kontrolować, a nad czym nie mamy pełnej kontroli jeśli chodzi o zapewnienie bezpieczeństwa naszej strony i naszych danych.
Nad tym obszarem nie mamy kontroli. Musimy się po prostu pogodzić z faktem, że internet nie jest naszą własnością.
Wirus znajdujący się na urządzeniu użytkownika z bezpośrednim dostępem do strony (np. do panelu administracyjnego cms-a lub do serwera ftp) może w łatwy sposób zainfekować stronę internetową. Innym zagrożeniem jest kradzież hasła przez złośliwe oprogramowanie.
Co tutaj możemy zrobić, aby zminimalizować ryzyko infekcji?
W przypadku bardzo wrażliwych danych trzeba koniecznie opracować politykę bezpieczeństwa dotyczącą korzystania ze strony. Jeżeli to możliwe to minimalizujemy ilość dostępów do strony, w najlepszym wypadku taki dostęp posiada fizycznie jedna osoba. Im więcej osób posiada bezpośredni dostęp do strony/serwera tym większe ryzyko infekcji spowodowanie nieostrożnością czy też zwykłą niewiedzą użytkowników.
Usługa hostingu może być połączona ze świadczeniem usług, które zwiększają bezpieczeństwo naszej strony. W grę wchodzą tutaj takie usługi jak skaner antywirusowy, bieżący monitoring podejrzanych działań, zapora sieciowa.
Warto tutaj wspomnieć o WAF - web application firewall. Jest to tak jakby filtr pomiędzy światem zewnętrznym a naszą stroną internetową. Ma za zadanie ochronić stronę internetową przed złośliwym ruchem (spam, boty, ataki DDoS ITP) i próbami ataku. Przy okazji ograniczenie złośliwego ruchu sprawia, że zasoby sprzętowe mogą być bardziej efektywnie wykorzystane na obsługę samej aplikacji.
Następny ciekawy temat to usługi CDN. Sama usługa CDN (Content Delivery Network) ma w sobie pierwotny cel dostarczania danych z komputerów będących najbliżej użytkownika (w ten sposób zwiększając szybkość ładowania się strony). Przy okazji dobrze służy to też bezpieczeństwu, ponieważ nr ip naszego serwera jest w pewien sposób ukryty utrudniając tym samym ataki. Dodatkowo wiele z tych usług oferuje również szereg rozwiązań zwiększających bezpieczeństwo (firewall)
W sieci dostępnych jest wiele serwisów, które "przepuszczając" ruch do naszej strony filtrują i blokują podejrzane działania. Jeżeli nasz hosting nie zapewnia takich funkcjonalności - warto się nimi zainteresować lub ... zmienić hosting.
Najbezpieczniejszym typem strony internetowej jest strona statyczna (nie generowana dynamicznie). Dzisiaj to już jednak rzadkość - w praktyce taka strona jest bardzo niewygodna jeśli chodzi o jej edycję i rozwój.
Wśród strony dynamicznie generowanych możemy wyróżnić strony oparte o autorskie systemy cms lub ogólnodostępne (WordPress, Joomla, Drupal itp). Ze względu na otwarty kod i jego dostępność bardziej narażone na ataki są strony oparte o znane platformy, aczkolwiek nie jest to regułą - słabo zbudowany autorski cms będzie równie mocno, jeśli nie bardziej ze względu na brak aktualizacji, podatny na zagrożenia.
Jak to wygląda w temacie WordPress-a, który jest obecnie najpopularniejszą platformą do budowy stron internetowych?
Złośliwe boty (programy) i hakerzy w pierwszej kolejności atakują strony słabo zabezpieczone. 90% skutecznych ataków na strony internetowe oparte o otwarty cms w 2018 roku dotyczyło stron opartych o oprogramowanie WordPress (https://sucuri.net/reports/2018-hacked-website-report/) Ta wartość odzwierciedla też popularność WordPressa który jest obecnie najpopularniejszym oprogramowaniem tego typu na świecie.
Samo oprogramowanie WordPress jest wbrew powszechnej opinii zbudowane całkiem dobrze jeśli chodzi o utrzymanie bezpieczeństwa. Natomiast zewzględu na to, że jest to oprogramowanie otwarte i współpracuje z wieloma dodatkami (pluginy, tematy) oraz ze względu na swoją powszechność - sytuacja wygląda tak jak wygląda czyli jest słabo.
Niezabezpieczony WordPress wcześniej lub później padnie ofiarą ataku, który w mniejszym lub większym stopniu zniszczy dane, często bezpowrotnie.
Na szczęście na polu samej strony internetowej opartej o WordPress-a możemy zrobić bardzo dużo, aby zwiększyć poziom jej bezpieczeństwa.
Działania zwiększające bezpieczeństwo strony internetowej opartej o WordPress możemy podzielić na cztery główne obszary:
Z raportu wpscan.org wynika, że 52% ataków jest dokonanych za pomocą pluginów, 11% za pomocą tematów, 37% ma związek z rdzennym oprogramowaniem WordPress.
Bazując na tym możemy określić szereg działań zwiększających bezpieczeństwo stron WordPress
Jeżeli wykorzystamy całą wiedzę na temat zapewnienia bezpieczeństwa stron internetowych zbudowanych w oparciu o WordPress to ryzyko infekcji takiej strony będzie minimalne. Wiele z tych tematów możemy "załatwić" za pomocą specjalnego oprogramowania (np. Sucuri, Wordfence, Bullet Proof Security).
Jeżeli chciałbyś, abyśmy zbudowali dla Ciebie szybką, bezpieczną stronę internetową - zapraszamy do kontaktu.