Včasih so ljudje in podjetja spletna mesta popolnoma zapuščali, preprosto upajoč, da nihče ne bo vdrl v vsebino ali nameščal zlonamerne programske opreme.
Ti dnevi so že dolgo za nami, saj število in pogostost napadov pomeni, da obstaja nenehna grožnja - in bolj kot je spletno mesto uspešnejše, večja je nevarnost.
Torej, na katere načine lahko zaščitite svoje spletno mesto (prek ponudnika spletnega gostovanja) in kako lahko zmanjšate možnost, da je spletno mesto vdrto in podlo spremenjeno?
Preden pa pridemo do tega, moramo razumeti najosnovnejšo raven varnosti, ki je odgovorna za številna vdrana spletna mesta - tudi tista, ki jih gostijo na varnih strežnikih.
- Tu smo izbrali najboljše storitve spletnega gostovanja
- To so najboljša podjetja za brezplačno spletno gostovanje
- In to so trenutno najboljši graditelji spletnih strani
Prva obrambna črta
Čeprav nekatera podjetja vztrajajo pri gostovanju lastnih spletnih mest, je večina poslovnih domen na varnih strežnikih, ki so za to sklenjeni pogodbi.
Ko izberete gostovanje, določite, kateri operacijski sistem se izvaja v tem sistemu (Windows Server, Linux ali Unix) in ki narekuje potrebne varnostne protokole.
Oseba ali osebe, ki so odgovorne za upravljanje spletnega mesta, imajo skrbniške pravice za spreminjanje struktur datotek na njem in nihče drug.
To lahko gre že od samega začetka, če preveč ljudi pozna podrobnosti skrbniškega računa in se geslo ne spreminja redno. Potreben je le keylogger, ki ga je treba namestiti na enega od strojev, s katerimi se izvaja skrbnik, in geslo se razkrije točno tistim ljudem, za katere bi si najmanj želeli.
Ampak če sem iskren, koliko ljudi dela v pisarni, kjer se gesla redno spominjajo z zapiski? Nekaj rok je šlo tja gor, nedvomno.
Zaščita teh gesel je prva obrambna linija in brez tega je vse, kar počnete, enostavno razveljaviti.
Torej, o varnosti spletnih strani se je treba naučiti dve začetni lekciji, in sicer:
- Tako dobro je kot omrežje, kjer je bilo spletno mesto zgrajeno
- Varnost redko izboljšujemo tako, da si zapišemo gesla in jih postavimo na zelo vidno mesto
Revizija varnosti
Izvajanje varnostne presoje na spletnem mestu je razmeroma preprosta naloga, ki jo lahko opravi IT-osebje z uporabo različnih programskih orodij. Lahko pa tudi naročite tretjo osebo, da opravi pregled za vas, in zagotovite seznam morebitnih pomanjkljivosti, ki jih je treba odkriti.
Če kupujete storitev spletnega gostovanja, lahko ponudnik v paket vključi tudi varnostno orodje, da se prepričate, da ste že od samega začetka razmeroma varni - vendar običajno ne redno.
Poleg tega številni ponudniki ponujajo tudi paket zaščite spletnih mest, kjer obljubljajo hiter odziv na grožnje in ublažitev napadov na zavrnitev storitve. Če imate le majhen osebni spletni dnevnik, so to dobra naložba.
Cena teh storitev ni velika, če pomislite, kako drago je imeti spletno mesto v katerem koli časovnem obdobju, zlasti za tiste, ki ponujajo e-poslovanje.
Ne glede na vaš pristop je pomembno, da se varnostni pregledi izvajajo redno, da se prepoznajo morebitne nove grožnje, ko se pojavijo, in jih nemudoma odpravite.
Skupni pomisleki
Najpogostejše oblike napadov, s katerimi se srečujejo spletna mesta, so te:
- Distribuirana zavrnitev storitve (DDoS) - Številni oddaljeni računalniki, ponavadi okuženi s trojanskim virusom, delujejo soglasno in zahtevajo spletne strani do te mere, da strežniki ne morejo obdelati količine zahtev.
- Okužba z zlonamerno programsko opremo - Nekako se na spletno mesto postavijo datoteke, ki vsebujejo neko podlo kodo, z namenom, da jo naložijo vsakomur, ki jo obišče.
- Vbrizgavanje SQL - Zlonamerna koda, vstavljena v obliko ali vnos, ki jo nato izvede baza podatkov SQL na strežniku. Ta koda lahko omogoči dostop do podatkov o strankah ali odpre napravo za zunanji dostop.
- Surova sila - Pogosto napaka v operacijskem sistemu dovoli ponovni napad, da povzroči ponastavitev, ki na kratko odpre vrata za sekundarni napad. Glede na zapletenost sodobnih operacijskih sistemov redno najdemo nove ranljivosti.
- Medsebojno skriptiranje - Metoda vdora, pri kateri je mogoče brskalnik preusmeriti na drugo spletno mesto ali nadomestiti vsebino na žrtvi, ne da bi se obiskovalec zavedal.
- Hack "nič dan" - To so novi napadi, ki jih je težko ustaviti in pri katerih se uporablja šibkost, ki ni javna. Čas med odkritjem in popravi ranljivosti je ključnega pomena in morda bo treba nekatere funkcije strežnika začasno onemogočiti, dokler ne najdete popravka.
Pomanjkljivosti po zasnovi
Številna spletna mesta sicer delujejo z naslednjimi funkcijami, vendar so iz številnih razlogov vir številnih varnostnih težav:
- Obrazci - Vse, kar obdeluje vnos na strežniku, je potencialna vstopna točka za zlonamerno kodo in ga je mogoče tudi izkoristiti za pridobivanje uporabniških podatkov.
- Forumi - Postavitev skriptov in preusmerjanje uporabnikov na spletna mesta, ki izdajajo zlonamerno programsko opremo, je le nekaj možnih težav pri uporabniško ustvarjenih forumih.
- Prijava v družabna omrežja - Uporaba računa Facebook ali Googla za prijavo na spletno mesto je hitra in enostavna, lahko pa je tudi način, kako te račune vdrejo.
- Elektronsko poslovanje - Zločin sledi denarju, hekerji pa bodo porabili veliko več truda, da bi vdrli v spletno mesto za e-poslovanje.
- Neregulirana vsebina - Če navajate novice in članke z drugih spletnih mest, ste odvisni od njihovih varnostnih ukrepov, kakršni koli že so.
Očitno bi z odstranitvijo vseh teh funkcij s spletnega mesta postalo veliko manj vabljivo mesto za obiskovalce. Treba je presoditi, katere elemente ste pripravljeni uporabiti in kako nameravate ublažiti morebitne varnostne težave, povezane z njimi.
Ustrezna zaščita
Obstaja samo en način, da zagotovite, da vaše spletno mesto nikoli ne bo vdrto, in sicer ne. Konec koncev je varnost spletnega mesta omilitvena vaja, pri kateri naredite dovolj, da se vam manj splača poskusiti vdreti v vaše spletno mesto, poleg tega pa poskrbite tudi za hitrejše okrevanje po vsakem incidentu.
Natančna stopnja varnostnih naporov je izbira, s katero se morajo boriti vsa podjetja, toda za tiste, ki se ukvarjajo s spletno prodajo, mora biti obveznost 100-odstotna, da zagotovijo osebne in finančne podatke tistih, ki trgujejo z vami.
Številnim podjetjem in organizacijam so ukradli vse podatke o strankah in jih nato uporabili za prevare s krajo identitete, kar je imelo drage posledice.
Ne glede na stopnjo zaščite in nadzora, ki jo izberete, mora biti ustrezna svojemu namenu. Nazadnje pomislite, da ima boljša varnost, kot jo potrebujete, minimalne stroške, če pa imate manj, bi to lahko imelo velike pravne in poslovne posledice.