Bývaly doby, kdy lidé a společnosti upíraly webové stránky s naprostým opuštěním, jednoduše doufají, že nikdo nebude hackovat obsah nebo instalovat malware na web.
Tyto dny jsou dávno za námi, protože počet a frekvence útoků znamená, že existuje neustálá hrozba - a čím úspěšnější je web, tím větší je nebezpečí.
Jaké jsou tedy způsoby, jak můžete chránit svůj web (prostřednictvím poskytovatele webhostingu) a jak můžete snížit možnost, že je web napaden a hanebně pozměněn?
Než se k tomu dostaneme, musíme pochopit nejzákladnější úroveň zabezpečení, která je zodpovědná za mnoho napadených webů - dokonce i těch, které jsou hostovány na zabezpečených serverech.
- Právě zde jsme vybrali nejlepší webhostingové služby
- Jedná se o nejlepší bezplatné webhostingové společnosti v okolí
- A to jsou v současné době nejlepší tvůrci webových stránek
První obranná linie
Ačkoli některé společnosti trvají na hostování svých vlastních webových stránek, většina obchodních domén je umístěna na zabezpečených serverech, které jsou pro tento účel smluvně sjednány.
Když vyberete hostování, můžete definovat, jaký operační systém je v tomto systému spuštěn (Windows Server, Linux nebo Unix) a který určuje požadované bezpečnostní protokoly.
Osoba nebo lidé odpovědní za správu webu mají oprávnění správce měnit struktury souborů na něm a nikdo jiný.
Od samého začátku se to může pokazit, pokud příliš mnoho lidí zná podrobnosti účtu správce a heslo se pravidelně nemění. A stačí nainstalovat keylogger na jeden ze strojů, které se používají k administraci, a heslo se odhalí přesně těm lidem, které byste nejméně chtěli mít.
Ale abych byl upřímný, kolik lidí pracuje v kanceláři, kde si hesla pravidelně pamatují pomocí post-it poznámek? Bezpochyby tam vyšlo několik rukou.
Zabezpečení těchto hesel je první obrannou linií a bez ní lze snadno vrátit cokoli jiného, co děláte.
O zabezpečení webových stránek se tedy musíme naučit dvě počáteční lekce, a to:
- Je to jen tak dobré jako síť, kde byl web vytvořen
- Zabezpečení je zřídka vylepšeno zapisováním hesel a jejich umístěním na dobře viditelném místě
Bezpečnostní audit
Provedení bezpečnostního auditu na webu je relativně jednoduché cvičení, které mohou pracovníci IT provést pomocí výběru softwarových nástrojů. Nebo můžete uzavřít smlouvu s třetí stranou, která pro vás provede skenování, a poskytnout seznam potenciálních slabostí, které vás podpoří.
Pokud kupujete webhostingovou službu, může poskytovatel také seskupit bezpečnostní nástroj, aby se ujistil, že jste od začátku přiměřeně zabezpečeni - ale obvykle ne průběžně.
Kromě toho mnoho poskytovatelů také nabízí balíček zabezpečení webových stránek, kde slibují rychlou reakci na hrozby a zmírnění útoků odmítnutí služby. Pokud nemáte jen malý osobní blog, jedná se o rozumnou investici.
Cena těchto služeb není příliš velká, když vezmete v úvahu, jak nákladný může být web offline po jakoukoli dobu, zejména pro ty, kteří nabízejí elektronický obchod.
Bez ohledu na to, jaký přístup použijete, je důležité, aby se bezpečnostní kontroly prováděly pravidelně, aby bylo možné identifikovat možné nové hrozby, jakmile se objeví, a okamžitě je řešit.
Společné obavy
Nejběžnější formy útoku, s nimiž se webové stránky setkávají, jsou tyto:
- Distribuované odmítnutí služby (DDoS) - Mnoho vzdálených počítačů, obvykle infikovaných trojským koněm, jedná opakovaně v souladu s náročnými webovými stránkami až do bodu, kdy servery nedokážou zvládnout množství požadavků.
- Malwarová infekce - Nějaké soubory, které obsahují nějaký hanebný kód, jsou umístěny na web s úmyslem nahrát ho každému, kdo ho navštíví.
- Vložení SQL - Škodlivý kód vložený ve formě nebo vstupu, který je poté spuštěn databází SQL na serveru. Tento kód může umožnit přístup k údajům o zákaznících nebo otevřít zařízení pro externí přístup.
- Hrubou silou - Chyba v OS často umožňuje, aby opakovaný útok způsobil reset, který krátce otevře port pro sekundární útok. Vzhledem ke složitosti moderních operačních systémů se pravidelně objevují nové chyby zabezpečení.
- Cross-site skriptování - Metoda hackování, kdy lze prohlížeč přesměrovat na jinou stránku nebo nahradit obsah na stránce oběti, aniž by o tom návštěvník věděl.
- Hack „nulového dne“ - Jedná se o nové a obtížně zastavitelné útoky, které využívají slabost, která není veřejně známa. Čas mezi objevenou chybou zabezpečení a opravou je zásadní a může vyžadovat dočasné deaktivování některých funkcí serveru, dokud nebude nalezena oprava.
Slabé stránky záměrně
I když mnoho webů pracuje s aktivními následujícími funkcemi, jsou zdrojem mnoha bezpečnostních problémů z mnoha důvodů:
- formuláře - Cokoliv, co zpracovává vstup na serveru, je potenciálním vstupním bodem škodlivého kódu a lze jej také zneužít k extrakci uživatelských dat.
- Fóra - Umístění skriptů a přesměrování uživatelů na webové stránky, které šíří malware, jsou jen některé z potenciálních problémů ve fórech vytvářených uživateli.
- Přihlášení na sociální média - Použití vašeho účtu Facebook nebo Google k přihlášení na web je rychlé a snadné, ale může to být také způsob, jak tyto účty napadnou.
- Elektronický obchod - Zločin sleduje peníze a hackeři vynaloží mnohem větší úsilí, aby hackli stránky elektronického obchodování.
- Neregulovaný obsah - Pokud zdrojujete zprávy a články z jiných webů, jste závislí na jejich bezpečnostních opatřeních, ať už jsou jakákoli.
Je zřejmé, že odstranění všech těchto funkcí z webu by pro návštěvníky znamenalo mnohem méně lákavé místo. Je třeba provést úsudek o tom, jaké prvky jste připraveni použít a jak hodláte zmírnit možné bezpečnostní problémy s nimi spojené.
Vhodná ochrana
Existuje pouze jeden způsob, jak zaručit, že váš web nebude nikdy hacknut, a to nebude mít žádný. Zabezpečení webu je v konečném důsledku zmírňujícím cvičením, při kterém uděláte dost pro to, aby se vám pokusilo hacknout váš web mnohem méně, a také zajistěte, aby bylo rychlejší zotavit se z jakéhokoli incidentu.
Přesná úroveň vynaloženého úsilí v oblasti zabezpečení je volbou, se kterou musí všechny společnosti zápasit, ale pro ty, kteří se podílejí na online prodeji, musí být závazek stoprocentní k zajištění osobních a finančních údajů těch, kteří s vámi obchodují.
Řada společností a organizací nechala odcizit všechna svá data o zákaznících a následně je použít pro podvody s krádeží identity, což mělo drahé důsledky.
Ať už si zvolíte jakoukoli úroveň ochrany a monitorování, musí odpovídat danému účelu. Nakonec zvažte, že mít lepší zabezpečení, než potřebujete, má minimální dopad na náklady, ale mít méně může mít obrovské právní a komerční důsledky.