Założyliście firmę, macie świetny pomysł, dobry produkt, ale chcecie się rozwijać. Obecnie najlepszym ku temu sposobem jest reklama w sieci. Trzeba jednak zbudować stronę internetową, na której wszystko się oprze. Gdy już to macie wydaje się, że teraz tylko czekać na deszcz zielonych banknotów. Jak zwykle staramy się jednak zwrócić wam uwagę na zagrożenia, których nie do końca możecie być świadomi. Jeśli niewystarczająco zabezpieczycie swoją stronę może ona być skupiskiem złośliwego oprogramowania, które skutecznie odstraszy waszych potencjalnych klientów. Poniżej znajdziecie kilka rad na start.
Jak dbać o bezpieczeństwo strony firmowej?
Spis treści
- Wybierzcie zaufany hosting
- Stwórzcie i bezpiecznie przechowujcie mocne hasła
- Stwórzcie dwustopniową weryfikację
- Ograniczcie ilość błędnych logowań
- Zapewnijcie dodatkową ochronę
- Sprawdźcie i dopasujcie ustawienia folderów na serwerze FTP
- Nie ignorujcie poprawek
Wybierzcie zaufany hosting
Bardzo ważne jest by wykupić miejsce pod waszą stronę w serwisie, który stawia sobie bezpieczeństwo za jeden z głównych priorytetów. Jeśli wasza witryna opiera się o moduł WordPressa warto sprawdzić, czy dany dostawca usług oferuje je już skonfigurowane pod tę właśnie opcję. To na co również powinniście zwrócić uwagę to czy jest zapewniony monitoring ataków i ich prewencja. Czy często następują aktualizacje i wgrywanie poprawek. Czy oprogramowanie serwera jest na bieżąco ze standardami, np. aktualizacja do najnowszej wersji PHP. Czy jest możliwość wyizolowania infekcji, tak by shakowana strona nie „zaraziła” innych na tym samym serwerze. Dostawca winien posiadać osobną stronę informacyjną poświęconą tylko temu tematowi. W przeciwnym razie nie bój się zadawać pytań, to bardzo ważna decyzja gdzie postawisz serwer swojej strony. Wybierając hosting warto sprawdzić najnowszy ranking hostingów.
Stwórzcie i bezpiecznie przechowujcie mocne hasła
Choć trzeba zacząć od bezpieczeństwa po stronie serwera to od was zależy co nastąpi potem. Kolejnym krokiem powinno być stworzenie silnych haseł. Ważne by były unikalne, najlepiej nie zawierały żadnych słów w dowolnym języku, nie były datą urodzin/imienin/ślubu, zawierały małe i duże litery, cyfry oraz znaki specjalne. Dobrze by były jak najdłuższe. Im więcej znaków tym trudniej będzie je złamać metodą brute-force. Jeśli wydaje się wam to wszystko skomplikowane, obawiacie się, że trudno będzie spamiętać te wszystkie dane logowania mamy dla was poradnik z obsługi programu KeePass, który służy do ich bezpiecznego przechowywania oraz ma możliwość wygenerowania kosmicznie długich i skomplikowanych haseł.
Stwórzcie dwustopniową weryfikację
O samej idei pisaliśmy niedawno tutaj. Przypominamy jednak, że chodzi o dodatkowe zabezpieczenie, które po podaniu hasła, jest wymagane do zalogowania. Najczęściej jest to losowy ciąg znaków generowany przez aplikację na smartfonie. Trzeba je tylko przepisać. Idealnie byłoby gdyby wszystkie firmowe konta były zabezpieczone w ten sposób. W takim przypadku nawet jeśli wasze dane logowania zostaną złamane bądź pozyskane w inny sposób haker fizycznie nie dostanie się dalej. Naturalnie, wydłuża to cały proces dostępu do strony, ale uwierzcie, jest to gra warta świeczki. Szukacie darmowego programu? Sprawdźcie Google Authenticator. Jest on dostępny w wersjach na systemy Android i iOS.
Ograniczcie ilość błędnych logowań
Mimo, że macie silne hasło nadal ktoś może próbować je złamać metodą brute-force. To znaczy, że wpisuje, dosłownie, wszystkie kombinacje na jakie może składać się hasło i próbuje w ten sposób odgadnąć te właściwie. Wystarczy jednak ustawić ograniczenie np. do 10 błędnych logowań, po których dany adres IP z jakiego następowały próby jest blokowany czasowo. Powiedzmy na 60 minut. To skutecznie zniechęci potencjalnych włamywaczy. Darmowym oprogramowaniem do tego może być Jetpack Protect. Program umożliwia wpisanie adresów IP na białą listę, tak by nie przeszkadzał w pracy firmy, gdy przykładowo jeden z pracowników zapomni hasła lub przestawi się mu na klawiaturze „y” z „z”.
Zapewnijcie dodatkową ochronę
Do tej pory omówiliśmy bezpieczeństwo serwera oraz sprawy związane z logowaniem. Jeśli chcecie być bardziej pewni to warto zainteresować się dodatkowym oprogramowaniem, które powstrzyma nie tych, którzy chcą się do was włamać, a tych, którzy chcą jedynie zaszkodzić. Jednym z dobrych narzędzi, niestety tym razem płatnych, jest VaultPress, który stworzony został dla stron opartych o moduł WordPress. Zapewnia on wielopoziomową ochronę i wsparcie. Ma możliwość tworzenia kopii zapasowych i odzyskiwania danych, dzienne skanowania pod kątem bezpieczeństwa, tak by wykryć każde podejrzane zachowania na waszym serwerze oraz ochronę przed spamem w komentarzach.
Sprawdźcie i dopasujcie ustawienia folderów na serwerze FTP
Zablokujcie foldery zawierające dane wrażliwe na FTP. Poprzez nieuwagę bądź złe zarządzanie hasłami może się zdarzyć, że ktoś uzyska dostęp nie tylko do strony, ale także do waszego serwera FTP. Z tego poziomu mogą wykraść wszystkie wasze dane, wgrać szkodliwe oprogramowanie lub je zniszczyć obracając w niwecz całą ciężką pracę. Ustawcie te foldery jako tylko do odczytu. W przypadku strony na WordPressie upewnijcie się, że tylko wasze konto administratora ma uprawnienia do zmian w następujących folderach:
- root
- wp-admin
- wp-includes
- wp-content
Musicie także zezwolić serwerowi na dostęp do zmian w katalogu wp-content inaczej sami również nie wprowadzicie zmian.
Nie ignorujcie poprawek
Jako, że może się to wydawać uciążliwe i niepotrzebne oraz możecie się tłumaczyć brakiem czasu to nigdy nie zaniedbujcie procesu aktualizacji. Nie ważne czy to wyszła nowa wersja modułu, na bazie którego stworzyliście stronę, wtyczki czy chociażby samego PHP zaplanujcie termin wdrożenia. Najlepiej tuż przed zrobić kopię danych. Jeśli zaś to możliwe potestujcie zmiany na roboczej witrynie. Nie mniej jednak poprawki i aktualizacje wydawane są po to by załatać dziury w bezpieczeństwie, usprawnić to co nie działało jak powinno. Pomijając fakt, że narażacie siebie i waszych użytkowników na niepotrzebne ryzyko. Dobrą praktyką jest z góry zaplanowanie dnia na takie prace. Raz na dwa tygodnie? Raz na miesiąc? Wszystko zależy od waszych możliwości i częstotliwości aktualizacji narzędzi, na jakich pracujecie.
Łatwo jest zapomnieć o tym wszystkim mając nadzieję, że jakoś to będzie. Pamiętajmy, że strona to wizytówka firmy. Do tego posiadając bazę użytkowników musimy zadbać także o ich dane, by nie trafiły w niepowołane ręce. Mamy nadzieję, że pomogliśmy zwrócić waszą uwagę na podstawowe kwestie bezpieczeństwa. Dajcie znać czy dzięki temu wasze strony stały się bezpieczniejsze. Może Was również zainteresować nasz artykuł dotyczący cyber zagrożeń dla firm w 2017 roku.
___
Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Sprawdź AVG – antywirus dla biznesu. Idealny, jeżeli pracujesz z komputerem i potrzebujesz najlepszej ochrony.
Podobał Ci się ten artykuł?
Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!
Czy bez naszej wiedzy, jako potencjalnych administratorów, właścicieli danych stron, owa strona firmowa może bez naszej wiedzy zostać zainfekowana i atakować komputery potencjalnych czytelników? Jak sprawdzić, czy nasza strona jest bezpieczna dla odwiedzających?
W odpowiedzi na pierwsze pytanie: tak, jak najbardziej może to zrobić. Co do drugiego: najprościej z odwiedzić własną stronę z oprogramowaniem do wyłapywania malware. Na przykład AVG Internet Security: http://www.avg.pl/pobierz
Czy bez naszej wiedzy, jako potencjalnych administratorów, właścicieli danych stron, owa strona firmowa może bez naszej wiedzy zostać zainfekowana i atakować komputery potencjalnych czytelników? Jak sprawdzić, czy nasza strona jest bezpieczna dla odwiedzających?
W odpowiedzi na pierwsze pytanie: tak, jak najbardziej może to zrobić. Co do drugiego: najprościej z odwiedzić własną stronę z oprogramowaniem do wyłapywania malware. Na przykład AVG Internet Security: http://www.avg.pl/pobierz