Jak zadbać o bezpieczeństwo strony firmowej?

2

Założyliście firmę, macie świetny pomysł, dobry produkt, ale chcecie się rozwijać. Obecnie najlepszym ku temu sposobem jest reklama w sieci. Trzeba jednak zbudować stronę internetową, na której wszystko się oprze. Gdy już to macie wydaje się, że teraz tylko czekać na deszcz zielonych banknotów. Jak zwykle staramy się jednak zwrócić wam uwagę na zagrożenia, których nie do końca możecie być świadomi. Jeśli niewystarczająco zabezpieczycie swoją stronę może ona być skupiskiem złośliwego oprogramowania, które skutecznie odstraszy waszych potencjalnych klientów. Poniżej znajdziecie kilka rad na start.

Jak dbać o bezpieczeństwo strony firmowej?

Spis Treści
Zwiń
Rozwiń


Darmowe porady dotyczące bezpiecznego prowadzenia firmy

Prowadzisz firmę? Pobierz DARMOWE porady, które zwiększą jej bezpieczeństwo.


Wybierzcie zaufany hosting

Bardzo ważne jest by wykupić miejsce pod waszą stronę w serwisie, który stawia sobie bezpieczeństwo za jeden z głównych priorytetów. Jeśli wasza witryna opiera się o moduł WordPressa warto sprawdzić, czy dany dostawca usług oferuje je już skonfigurowane pod tę właśnie opcję. To na co również powinniście zwrócić uwagę to czy jest zapewniony monitoring ataków i ich prewencja. Czy często następują aktualizacje i wgrywanie poprawek. Czy oprogramowanie serwera jest na bieżąco ze standardami, np. aktualizacja do najnowszej wersji PHP. Czy jest możliwość wyizolowania infekcji, tak by shakowana strona nie „zaraziła” innych na tym samym serwerze. Dostawca winien posiadać osobną stronę informacyjną poświęconą tylko temu tematowi. W przeciwnym razie nie bój się zadawać pytań, to bardzo ważna decyzja gdzie postawisz serwer swojej strony.

Czy jest możliwość wyizolowania infekcji, tak by shakowana strona nie „zaraziła” innych na tym samym serwerze?

Pamiętajcie o wyborze zaufanego hostingu

Stwórzcie i bezpiecznie przechowujcie mocne hasła

Choć trzeba zacząć od bezpieczeństwa po stronie serwera to od was zależy co nastąpi potem. Kolejnym krokiem powinno być stworzenie silnych haseł. Ważne by były unikalne, najlepiej nie zawierały żadnych słów w dowolnym języku, nie były datą urodzin/imienin/ślubu, zawierały małe i duże litery, cyfry oraz znaki specjalne. Dobrze by były jak najdłuższe. Im więcej znaków tym trudniej będzie je złamać metodą brute-force. Jeśli wydaje się wam to wszystko skomplikowane, obawiacie się, że trudno będzie spamiętać te wszystkie dane logowania mamy dla was poradnik z obsługi programu KeePass, który służy do ich bezpiecznego przechowywania oraz ma możliwość wygenerowania kosmicznie długich i skomplikowanych haseł.

Stwórzcie dwustopniową weryfikację

O samej idei pisaliśmy niedawno tutaj. Przypominamy jednak, że chodzi o dodatkowe zabezpieczenie, które po podaniu hasła, jest wymagane do zalogowania. Najczęściej jest to losowy ciąg znaków generowany przez aplikację na smartfonie. Trzeba je tylko przepisać. Idealnie byłoby gdyby wszystkie firmowe konta były zabezpieczone w ten sposób. W takim przypadku nawet jeśli wasze dane logowania zostaną złamane bądź pozyskane w inny sposób haker fizycznie nie dostanie się dalej. Naturalnie, wydłuża to cały proces dostępu do strony, ale uwierzcie, jest to gra warta świeczki. Szukacie darmowego programu? Sprawdźcie Google Authenticator. Jest on dostępny w wersjach na systemy Android i iOS.

Ograniczcie ilość błędnych logowań

Mimo, że macie silne hasło nadal ktoś może próbować je złamać metodą brute-force. To znaczy, że wpisuje, dosłownie, wszystkie kombinacje na jakie może składać się hasło i próbuje w ten sposób odgadnąć te właściwie. Wystarczy jednak ustawić ograniczenie np. do 10 błędnych logowań, po których dany adres IP z jakiego następowały próby jest blokowany czasowo. Powiedzmy na 60 minut. To skutecznie zniechęci potencjalnych włamywaczy. Darmowym oprogramowaniem do tego może być Jetpack Protect. Program umożliwia wpisanie adresów IP na białą listę, tak by nie przeszkadzał w pracy firmy, gdy przykładowo jeden z pracowników zapomni hasła lub przestawi się mu na klawiaturze „y” z „z”.

Zapewnijcie dodatkową ochronę

Do tej pory omówiliśmy bezpieczeństwo serwera oraz sprawy związane z logowaniem. Jeśli chcecie być bardziej pewni to warto zainteresować się dodatkowym oprogramowaniem, które powstrzyma nie tych, którzy chcą się do was włamać, a tych, którzy chcą jedynie zaszkodzić. Jednym z dobrych narzędzi, niestety tym razem płatnych, jest VaultPress, który stworzony został dla stron opartych o moduł WordPress. Zapewnia on wielopoziomową ochronę i wsparcie. Ma możliwość tworzenia kopii zapasowych i odzyskiwania danych, dzienne skanowania pod kątem bezpieczeństwa, tak by wykryć każde podejrzane zachowania na waszym serwerze oraz ochronę przed spamem w komentarzach.


Pobierz teraz i przetestuj AVG PC TuneUp!

Testuj za darmo program do przyspieszenia pracy komputera przez 90 dni!


Sprawdźcie i dopasujcie ustawienia folderów na serwerze FTP

Zablokujcie foldery zawierające dane wrażliwe na FTP. Poprzez nieuwagę bądź złe zarządzanie hasłami może się zdarzyć, że ktoś uzyska dostęp nie tylko do strony, ale także do waszego serwera FTP. Z tego poziomu mogą wykraść wszystkie wasze dane, wgrać szkodliwe oprogramowanie lub je zniszczyć obracając w niwecz całą ciężką pracę. Ustawcie te foldery jako tylko do odczytu. W przypadku strony na WordPressie upewnijcie się, że tylko wasze konto administratora ma uprawnienia do zmian w następujących folderach:

  • root
  • wp-admin
  • wp-includes
  • wp-content

Musicie także zezwolić serwerowi na dostęp do zmian w katalogu wp-content inaczej sami również nie wprowadzicie zmian.

Nie ignorujcie poprawek

Jako, że może się to wydawać uciążliwe i niepotrzebne oraz możecie się tłumaczyć brakiem czasu to nigdy nie zaniedbujcie procesu aktualizacji. Nie ważne czy to wyszła nowa wersja modułu, na bazie którego stworzyliście stronę, wtyczki czy chociażby samego PHP zaplanujcie termin wdrożenia. Najlepiej tuż przed zrobić kopię danych. Jeśli zaś to możliwe potestujcie zmiany na roboczej witrynie. Nie mniej jednak poprawki i aktualizacje wydawane są po to by załatać dziury w bezpieczeństwie, usprawnić to co nie działało jak powinno. Pomijając fakt, że narażacie siebie i waszych użytkowników na niepotrzebne ryzyko. Dobrą praktyką jest z góry zaplanowanie dnia na takie prace. Raz na dwa tygodnie? Raz na miesiąc? Wszystko zależy od waszych możliwości i częstotliwości aktualizacji narzędzi, na jakich pracujecie.

Łatwo jest zapomnieć o tym wszystkim mając nadzieję, że jakoś to będzie. Pamiętajmy, że strona to wizytówka firmy. Do tego posiadając bazę użytkowników musimy zadbać także o ich dane, by nie trafiły w niepowołane ręce. Mamy nadzieję, że pomogliśmy zwrócić waszą uwagę na podstawowe kwestie bezpieczeństwa. Dajcie znać czy dzięki temu wasze strony stały się bezpieczniejsze. Może Was również zainteresować nasz artykuł dotyczący cyber zagrożeń dla firm w 2017 roku.

wszystkie najważniejsze informacje masz zebrane w jednym miejscu.

O czym pamiętać dbając o bezpieczeństwo firmowej strony?

___

Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Sprawdź AVG – antywirus dla biznesu. Idealny, jeżeli pracujesz z komputerem i potrzebujesz najlepszej ochrony.
antywirus avg logo

 

 

Oceń artykuł
[Głosów: 0 Średnia: 0]

Podobał Ci się ten artykuł?

Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

Potrzebjesz pomocy z komputerem?

Skorzystaj z wiedzy ekspertów i zadaj pytanie.

Prowadzisz małą lub średnią firmę?

Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

Pobierz e-book teraz!

O Autorze

Avatar

Na co dzień zajmuję się bezpieczeństwem IT w Centrum Nauki, sprzedaję narzędzie do dokumentowania baz danych i pomagam wielu małym studiom wypromować ich gry. Po godzinach zaś ratuję niewiasty i światy w niezliczonych właśnie grach. Okazjonalnie piszę recenzje i teksty okołogrowe, z którymi można się zapoznać na stronie gamesguru.org.

2
Dodaj komentarz

avatar
2 Comment threads
0 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors
Tomasz WasiewiczChiss Recent comment authors
  Subscribe  
najnowszy najstarszy oceniany
Powiadom o
Chiss
Gość
Chiss

Czy bez naszej wiedzy, jako potencjalnych administratorów, właścicieli danych stron, owa strona firmowa może bez naszej wiedzy zostać zainfekowana i atakować komputery potencjalnych czytelników? Jak sprawdzić, czy nasza strona jest bezpieczna dla odwiedzających?

Chiss
Gość
Chiss

Czy bez naszej wiedzy, jako potencjalnych administratorów, właścicieli danych stron, owa strona firmowa może bez naszej wiedzy zostać zainfekowana i atakować komputery potencjalnych czytelników? Jak sprawdzić, czy nasza strona jest bezpieczna dla odwiedzających?

Tomasz Wasiewicz
Gość
Tomasz Wasiewicz

W odpowiedzi na pierwsze pytanie: tak, jak najbardziej może to zrobić. Co do drugiego: najprościej z odwiedzić własną stronę z oprogramowaniem do wyłapywania malware. Na przykład AVG Internet Security: http://www.avg.pl/pobierz

Podobał Ci się ten tekst? Dołącz do nas na Facebooku i nie przegap NOWYCH artykułów!
Polub AVG na Facebooku