W sieci nie brakuje kampanii informujących, jak chronić przed zagrożeniami swoje dane osobowe i prywatność konta pocztowego czy kont w social mediach. Są również nagłaśniane wskazówki, co robić, aby nie paść ofiara kradzieży oszczędności życia. Jednak mało kto mówi wprost, jak dbać o bezpieczeństwo witryny by nie utracić fundamentów dla swojego biznesu. W tym artykule wskażę, na jakie rzeczy warto zwrócić uwagę.
Spis treści
Podstawy bezpieczeństwa strony internetowej
Fundamentem ochrony strony internetowej jest poprawnie wdroży certyfikat SSL, czyli protokół sieciowy niezbędny do bezpiecznego przeglądania stron internetowych. Obok niego, równie istotną kwestią jest korzystanie z dodatkowych rozwiązań z wiarygodnych źródeł (np. wtyczki do WordPressa czy Magento) oraz systematyczne aktualizowanie systemu CMS wraz ze wszystkimi dodatkami. Każda aktualizacja nie tylko ulepsza dane rozwiązanie, ale także łata luki w zabezpieczeniach. Takie systematyczne aktualizacje koniecznie najlepiej, aby wykonywał deweloper, ponieważ ma wiedzę i doświadczenie pozwalające na właściwe przejście przez ten proces.
Natomiast czymś, o czym zapomina wielu właścicieli stron internetowych, jest tworzenie cyklicznych kopii zapasowych. Jest to bardzo duże zabezpieczenie i może się przydać wtedy, gdy np. strona padnie ofiarą cyberataku lub gdy zostanie na niej zainstalowane złośliwe oprogramowanie. Wówczas nie trzeba martwić się czyszczeniem istniejącej wersji, ponieważ wystarczy przywrócić poprzednią. O ile tylko kopia jest kompleksowa i nie padła także ofiarą ataku hakerskiego. Warto więc nie tylko tworzyć kopie zapasowe by uchronić się przed utratą danych, ale także przechowywać je z odpowiednim zabezpieczeniem.
Zabezpieczenie strony www na etapie logowania
Ten aspekt zabezpieczenia strony internetowej jest mocno związany z kwestią bezpieczeństwa w internecie, ponieważ opiera się m.in. na tworzeniu dedykowanych kont do logowania. Nawet silne hasło nie pomoże, gdy swoje dane do logowania będziesz udostępniać postronnym osobom. Właśnie po to, aby ograniczyć to, kto może uzyskać dostęp, warto także podjąć działania takie jak tworzenie kont dla poszczególnych pracowników, spersonalizowanie adresu do logowania, zabezpieczenie plików w katalogach na serwerze dodatkowym hasłem. I przez te opcje przejdziemy teraz po kolei.
Nie dawaj haseł, tylko twórz dedykowane konta użytkowników
Aby zwiększy bezpieczeństwo witryny twórz dedykowane konta na personalizowane dane i korzystaj z uwierzytelniania dwuskładnikowego. W tym celu możesz wykorzystać darmową aplikację np. Google Authenticator czy narzucić wysyłanie kodu na podany numer telefonu czy adres e-mail. To zdecydowanie zwiększa poziom bezpieczeństwa witryn internetowych niezależnie od tego, czy są sklepem czy blogiem osobistym.
Dlaczego o tym wspominam? Loginy takie jak „admin” czy zwierające nazwę strony są łatwe do odgadnięcia, a w połączeniu z prostym hasłem wystawiają się na łatwy cel dla hakerów.
Powyższy screen pochodzi z wtyczki WordPressa i informuje o naruszeniu bezpieczeństwa poprzez zmasowaną próbę logowań. Wtyczka musiała kilkakrotnie blokować dany adres IP, a problem zniknął po zmianie adresu do logowania.
Dedykowany adres do logowania i hasło na serwerze
W ostatnim czasie my i deweloperzy, z którymi współpracujemy, zauważyliśmy wzmożone ataki internetowe na strony oparte na WordPress. Pojawiały się tam, gdzie adres URL do logowania dla tego systemu CMS został w postaci domyślnej, czyli był ustawiany na domena.pl/wp-admin/. To znacznie ułatwiło planowanie i przeprowadzanie prób włamania się do danej witryny. Zmiana adresu strony dostępowej na inną np. domena.pl/drzwiwejsciowe oraz wdrożenie dodatkowych środków bezpieczeństwa, jak na przykład zagadka matematyczna czy graficzny rebus w tym wypadku zniwelowały problem. Jednocześnie taka zmiana sprawiła, że w przyszłości potencjalny włam będzie znacznie trudniejszy. Niezależnie od tego, jaki masz system CMS, wraz z deweloperem zweryfikujcie, czy możecie zmienić adres do logowania. Jeśli nie masz doświadczenia i kopii zapasowej, nie podejmuj takich działań samodzielnie.
Jednak zmiana adresu, to nie jedyne co możesz zrobić, aby mocnej chronić swoją stronę. Dodatkowym sposobem na większe bezpieczeństwo danych jest założenie hasła na pliki i foldery znajdujące się bezpośrednio na serwerze. Możesz to zrobić na dwa sposoby. Pierwszy z nich, to wykonanie tej procedury z panelu administratora twojego hostingu, a drugi – z wykorzystaniem pliku .htaccess. W obu sytuacjach zalecam przejście całego procesu z pomocą doświadczonego dewelopera, ponieważ to pozwoli ci uniknąć problemów z działaniem witryny.
Phishing – zdarza się także pracownikom
O phishingu mówi się sporo w kontekście wyłudzania dostępów do kont prywatnych, ale występuje także dla kont firmowych. I nie ma w tym nic dziwnego, ponieważ na służbowe adresy e-mail są udzielane dostępy do różnych systemów wewnątrzfirmowych czy, w przypadku agencji, do stron klientów i ich social mediów.
Oznacza to, że także w trakcie pracy ty i twoi pracownicy musicie być ostrożni i uważnie sprawdzać nadawców wiadomości zanim klikniecie w jakikolwiek link czy odpowiecie na maila.
Więcej w tym temacie przeczytasz w artykule: Bezpieczeństwo w sieci. Zasady bezpiecznego korzystania z internetu – poradnik.
Zweryfikuj stan swojej strony, czyli audyt bezpieczeństwa
Jak wspomniałam, w celu wykrycia efektów potencjalnego włamu możesz przeskanować witrynę samodzielnie lub zamówić audyt SEO, w którym znajdziesz informacje o podejrzanych podstronach czy szkodliwych linkach wychodzących. Jednak, aby jeszcze mocniej poprawić bezpieczeństwo w swojej witrynie, świetnym rozwiązaniem będzie zamówienie audytu bezpieczeństwa.
Dzięki niemu w kontrolowanych warunkach zespół specjalistów zapewni sprawdzenie i wykrycie luk w twoich zabezpieczeniach oraz zweryfikuje, czy twoi pracownicy odporni są na pishing. Jest to bardzo istotne, ponieważ w swoich systemach możesz mieć wrażliwe dane użytkowników lub dostęp do istotnych dla działania opcji.
Dlaczego to ważne?
Bezpieczeństwo strony internetowej staje się coraz bardziej kluczowe wraz ze wzrostem znaczenia internetu dla prowadzenia biznesów i nasilającymi się atakami. Utrata dostępu czy całej witryny, na której opiera się działalność, może stać się przysłowiowym gwoździem do trumny z uwagi na następstwa i ich koszty, jakie za sobą pociąga taka sytuacja. To tylko wydaje się, że to takie nic.
Przelicz, ile zarabiasz dzięki temu, że istniejesz online i pojawiasz się w sieci. Dodaj do tego wszystkie nakłady, jakie poniosłeś na przygotowanie strony, jej pozycjonowanie oraz umacnianie wizerunku. Teraz wyobraź sobie, że tracisz to bezpowrotnie bo nie masz żadnych zabezpieczeń i musisz zaczynać od nowa. Owszem, część danych powinno udać się odzyskać, ale i tak przed tobą sporo pracy i wydatków, zanim strona ponownie zacznie działać. Nie jest to miła perspektywa, prawda?
Z tego punktu widzenia koszt zwiększenia bezpieczeństwa wydaj się znacznie mniejszy.
Podsumowanie
Jeśli wdrożysz wszystkie zabezpieczenia i zadbasz o logowanie dwuetapowe, to zminimalizujesz prawdopodobieństwo, że ktoś niepożądany będzie mieć dostęp do twojej strony. Dodatkowo systematyczne szkolenia dla pracowników i podnoszenie ich wiedzy w zakresie zagrożeń, jakie na nich czekają w internecie oraz audyty bezpieczeństwa zaowocują większym bezpieczeństwem twojego biznesu w sieci, niezależnie od jego typu. Sprawdź więc, jak to wygląda u ciebie i podejmij konkretne kroki, zanim nie jest za późno.
Spodobał Ci się ten artykuł?
Zapisz się na newsletter - nie spamujemy!
Loading...
