Wyobraź sobie, że Twoja strona internetowa jest jak biuro Twojej firmy. Udostępniając ją w Internecie otwierasz główne drzwi do swojego biura. Większość odwiedzających wejdzie do wskazanych pomieszczeń i zachowa się tak, jakbyś tego od nich oczekiwał.

Znajdą się jednak też tacy, którzy nie mają dobrych zamiarów – będą próbowali wejść do pomieszczeń przeznaczonych tylko dla personelu, otwierać szafki, przeglądać poufne dokumenty i ukraść coś, co ma dla nich jakąś wartość. Oczywiście w drzwiach takich pomieszczeń, jak i szafkach posiadasz zamki, jednak wśród niepowołanych gości znajdą się też tacy, którzy potrafią je otwierać bez klucza.

Tak właśnie wygląda serwer, na którym trzymasz swoją stronę internetową, z jedną zasadniczą różnicą: wirtualni włamywacze są niezwykle szybcy, anonimowi i trudni do wykrycia.

Mogą wykraść poufne dane Twojej firmy oraz Twoich klientów, złośliwie je usunąć lub zainstalować na serwerze narzędzia służące do kradzieży danych (loginów, haseł, numerów kart kredytowych) bez Twojej wiedzy. Powodów włamań na serwery jest wiele, efekt końcowy zawsze ten sam – straty finansowe i popsuta reputacja Twojej firmy.

Czy to się zdarza często? Nie uwierzysz jak bardzo! Każdego dnia hackowane jest ponad 30 tysięcy stron internetowych. Pomyślisz teraz – dlaczego moja strona nie została jeszcze zhackowana?

A może jednak została? Za pewne nigdy nie zastanawiałeś się nad tym i nawet nie wiesz, jak to sprawdzić. O wszystkim dowiesz się w poniższym artykule. W praktyce nie da się całkowicie zabezpieczyć przed atakami cyberprzestępców. Można jednak znacznie zmniejszyć ryzyko włamania się na Twoją stronę internetową.

Oto kilka porad, dzięki którym Twoja strona będzie bezpieczniejsza

Spis treści

• Hasła, loginy i jeszcze raz hasła
• Aktualizuj wszystko co da się aktualizować
• Nie chwal się tym, co masz
• Monitoruj swoją stronę internetową

Hasła, loginy i jeszcze raz hasła

To zabawne, że najstarsze i najprostsze ataki są nadal skuteczne. Są to ataki typu brute force, czyli wielokrotne wpisywanie różnych haseł tak długo, aż atakujący trafi na to właściwe. Statystycznie takie ataki odbywa się co 39 sekund.

Hackerzy nie używają tutaj przypadkowych ciągów znaków. W Internecie można znaleść setki baz zawierających najczęściej używane hasła. Skąd się biorą takie bazy? To proste – istnieją serwisy o wątpliwej legalności, które publikują wrażliwe dane, wykradzione z wielu znanych jak i mniej znanych stron internetowych.

Są tam między innymi loginy i hasła z serwisów takich jak linkedIn, gmail, czy też znanych dużych polskich sklepów internetowych. W serwisie haveibeenpwned.com możesz sprawdzić w bezpieczny sposób, czy Twój adres mailowy nie znajduje się już na takiej liście. Takie hasła są później dekodowane i zliczane wszystkie te, które się powtarzają.

Na ich podstawie tworzony jest ranking. Jednym z najpopularniejszych haseł w Polsce jest  d…  słowo na 4 litery 🙂 Występuje pojedynczo lub powielone dwukrotnie. Co ciekawe takiego właśnie hasła używali pracownicy instytucji rządowych, z kontami mailowymi w domenie .gov. Dlatego też warto wymagać od swoich użytkowników podczas rejestracji, aby używali haseł długich i unikalnych.

Hasła typu „admin”, „hasło”,  imię + rok , czy też zwykłe wyrazy ze słownika nie są żadnym zabezpieczeniem i zostaną złamane bardzo szybko. Aby uniemożliwić (a raczej ograniczyć) ataki typu brute force warto założyć limit na ilość nieudanych logowań. To znacznie spowolni proces odgadywania hasła i mimo, że będzie to dalej możliwe stanie się na tyle nieskuteczne, że nie będzie opłacalne.

Przy nieudanej próbie zalogowania nie powinniśmy również informować czy niepoprawny jest login, czy też hasło – dzięki temu włamywacz nie będzie w stanie odkrywać prawidłowych loginów. Dlaczego? Tutaj znowu pojawia się stara i prosta sztuczka – nie trzeba być hackerem, aby pobrać bazę skradzionych maili i loginów. Jeżeli użytkownik używa tego samego hasła do wszystkich serwisów, z których korzysta i akurat ma konto w naszym serwisie wystarczy podać te wykradzione dane.

Jeżeli okażą się takie same – tutaj niż nic nie poradzimy. Jeżeli jednak użytkownik użył innego hasła, atakujący nie będzie w stanie dowiedzieć się, czy użytkownik ma faktycznie konto w naszym serwisie. Kolejnym ważnym punktem jest reset hasła – należy pamiętać, że ta opcja jest dostępna dla każdego – nie tylko prawdziwego i uczciwego użytkownika naszego serwisu.

Gdy użytkownik chce zresetować hasło nie powinniśmy wysyłać nowego hasła mailowo – dużo lepszym rozwiązaniem jest link, dzięki któremu użytkownik będzie mógł ustalić nowe hasło już w naszym serwisie. Nie możemy również podczas resetu hasła informować, czy podany login lub mail był prawidłowy – to również idealny sposób do pozyskiwania loginów przez niepożądane osoby. Samo „jeżeli podałeś poprawne dane wyślemy Ci link” wystarczy.

Aktualizuj wszystko co da się aktualizować

Twoja strona internetowa umieszczona jest na serwerze. Serwer posiada system operacyjny, na nim zainstalowane różnego rodzaju aplikacje serwerowe, php, bazę danych i na końcu tego wszystkiego Twoją aplikację. Aplikacja (strona internetowa) również składa się z innych modułów.

Większość rozwiązań stosowanych w internecie (zakładanie kont, wysyłka maili, edycja formularzy) jest elementem wspólnym dla każdego serwisu, dlatego bez sensu byłoby tworzenie tych rozwiązań dla każdego serwisu z osobna. To jak wymyślanie koła na nowo. Dlatego też programiści używają open sourceowych bibliotek i frameworków.

Są to gotowe rozwiązania, które można pobrać i zaadaptować do potrzeb serwisu. Dzięki temu programista może pewne rzeczy zrobić o wiele szybciej. Takie rozwiązanie ma jednak zasadniczą wadę – kod źródłowy tych rozwiązań jest publiczny, więc dostępny dla każdego. Każdy z tych elementów – zarówno kod naszej strony internetowej, jak i wszystkie serwerowe aplikacje – jest w mniejszym lub większym stopniu podatny na ataki.

Jeżeli nie posiadasz serwera dedykowanego nie masz wpływu na aktualizacje części z tych rzeczy, jednak zawsze możesz pytać operatora hostingu, czy dba o aktualizacje. Masz za to wpływ na wszystkie moduły, z których składa się Twój serwis – szczególnie, jeżeli opiera się o opensourceowe rozwiązania (typu WordPress). Jest wielu etycznych hackerów, którzy łamią zabezpieczenia w ramach przeprowadzanych testów na zlecenie klientów lub po prostu „dla sportu”.

Tacy testerzy natychmiast zgłaszają wykryte usterki do twórców oprogramowania. Twórcy reagują (czasem wolniej, czasem szybciej) na zgłoszenie, publikując poprawki, czyli aktualizacje. Wykryte luki często są dostępne publicznie i nie wiele później pojawiają się tzw exploity, czyli gotowe rozwiązania, które wykorzystują te luki aby włamać się na serwer.

Nieetyczni hackerzy wyszukują stronach podatnych na exploity w sposób automatyczny i zazwyczaj również w sposób automatyczny umieszczają na nich niebezpieczny kod. Każda strona internetowa – nawet Twoja – posiada średnio 30 luk, dzięki którym można włamać się na serwer. Jeżeli nie aktualizujesz wszystkiego na bieżąco, możesz stać się kolejną liczbą w statystyce.

Nie chwal się tym, co masz

Wyszukiwarki internetowe takie jak Google „przeklikują” zawartość Twojej strony i umieszczają ich kopię w swojej bazie, udostępniając je publicznie w wynikach wyszukiwań. Niestety kopiowane są często miejsca, które powinny być dostępne tylko dla administratorów strony. Jednym z takich miejsc może być logowanie do panelu administracyjnego Twojego serwisu.

Powinniśmy blokować takie miejsca tak, aby nie mogły zostać zaindeksowane przez wyszukiwarkę. Umieszczenie takiego miejsca w pliku robots.txt nie jest najlepszym pomysłem – plik ten jest publicznie dostępny, więc może go przejrzeć każdy, dodatkowo nie wszystkie wyszukiwarki muszą go przestrzegać. Dużo lepiej jest zablokować niepożądanych gości za pomocą pliku .htaccess – zainteresowani znajdą dużo obszernych poradników na ten temat w Internecie.

Jeżeli nasz serwis jest oparty o rozwiązanie typu opensource warto jest ukryć takie informacje przed odwiedzającymi. Załóżmy, że nasza strona oparta jest o platformę WordPress – wtedy standardowo w stopce strony pojawi się dumny napis „Powered by WordPress”. Jeżeli poszukamy w Google zwrotu: blog kulinarny „Powered by WordPress.”, znajdziemy listę blogów kulinarnych, które używają tego skryptu a ich właściciele nie specjalnie myślą o bezpieczeństwie.

Standardowy panel logowania administratora na platformie WordPress znajduje się w zakładce /wp-admin/ – wystarczy do listy zwróconych przez Google adresów dokleić tą końcówkę i już stoimy przed drzwiami „tylko dla personelu”, których w ogóle nie powinniśmy zobaczyć.

Nie myśl, że samo ukrycie pewnych miejsc przed wyszukiwarkami i prosta zmiana nazwy panelu logowania wystarczy. Istnieją specjalne aplikacje, które posiadają wbudowane bazy najpopularniejszych nazw plików i folderów, które mogą zwierać dane poufne i panele logowania.

Jedna z tych aplikacji posiada w swojej bazie ponad 170 tys takich nazw – jej nazwy celowo nie podaję. Aplikacja ta „dokleja” te nazwy do adresu Twojej strony i metodą „brute force” wyszukuje wszystkie te miejsca, które znajdzie. Zmiana z „wp-admin” na „admin” lub „administartor” kompletnie nic nie da. Aplikacja taka znajdzie ten adres w kilka sekund. Nazwa panelu administracyjnego powinna być skomplikowanym ciągiem znaków, podobnie jak hasło administratora.

Monitoruj swoją stronę internetową

Wszystkie wymienione powyżej metody zwiększą bezpieczeństwo, jednak nie zagwarantują, że nasz serwis nie zostanie prędzej, czy później zhackowany. Warto więc również zmienić koncepcję – załóżmy, że kiedyś zostaniemy zhackowani i starajmy się wykryć to jak najszybciej, aby móc usunąć wszystkie szkody, zanim będzie za późno. Tutaj z pomocą przychodzi serwis web-utils.pl, który zajmuje się monitoringiem dostępności oraz treści strony.

Serwis ten zapisuje treść naszej strony w swojej bazie i nieustannie porównuje zapisaną kopię z obecną stroną. Jeżeli treść strony lub część jej kodu ulegnie zmianie narzędzie wykryje to i niezwłocznie poinformuje nas za pomocą smsa. Jeżeli treść naszej strony, lub niektóre jej elementy są dynamiczne i często się zmieniają serwis również sobie z tym poradzi, rozróżniając, które elementy zmieniają się regularnie a które pojawiły się wbrew intencji właściciela monitorowanej strony.

Na dodatek nie potrzeba żadnej specjalistycznej wiedzy aby odpowiednio skonfigurować narzędzie monitorujące – serwis dokonuje analizy naszej strony i sam automatycznie wybiera odpowiednie rozwiązania. To jeszcze nie wszystko – otrzymamy powiadomienie również o tym, że nasza strona została przekierowana na inny adres (częste sztuczki hackerów), serwer zwraca błąd lub strona jest po prostu niedostępna.

Otrzymamy również dostęp do szeregu ciekawych narzędzi oraz statystyk, które pozwolą nam sprawdzić, między innymi to, jak szybko ładuje się nasza strona dla odwiedzających z różnych krajów. Serwis web-utils.pl oferuje bezpłatny okres demo, sama cena również nie jest wygórowana w porównaniu do jego możliwości. Połączenie tego serwisu z regularnym robieniem kopii zapasowych strony, może uchronić nas przed wieloma problemami w przyszłości.

Aby sprawdzić, czy Twoja strona nie została już zhackowana skorzystaj z tego darmowego narzędzia – jeżeli Twoja strona padła ofiarą hackerów i służy do wykradania danych lub zawiera inne szkodliwe oprogramowanie została już umieszczona na czarnych listach, które ten serwis skutecznie sprawdzi.

Artykuł sponsorowany