Przejdź do treści

Bezpieczeństwo strony www

Bezpieczeństwo strony WWW - foto

Zapraszam do lektury pierwszego gościnnego wpisu, dotyczącego bezpieczeństwa strony WWW 🙂

Decydując się na wykonanie strony internetowej musimy mieć świadomość, że niezależnie od metody, jaką zostanie ona stworzona, będzie mniej lub bardziej narażona na ataki hakerskie. Nie ma bowiem stuprocentowo odpornych ani systemów CMS, ani skryptów, ani też baz danych. Można jednak podjąć działania, dzięki którym ryzyko ataku zostanie zminimalizowane.

Bezpieczeństwo pracy na komputerze

Jest to absolutna podstawa bezpieczeństwa strony. Przede wszystkim należy zawsze mieć zainstalowaną aktualna wersję systemu operacyjnego. Nie ma znaczenia ani rodzaj komputera, ani system operacyjny, ani posiadanie oprogramowania antywirusowego. Jeżeli pojawi się aktualizacja systemu operacyjnego, należy ją niezwłocznie pobrać i zainstalować.
Zapominamy o używaniu pendrivów. Nie posiadają one zabezpieczeń i przenoszą wirusy. W żadnym wypadku nie pozwalajmy, aby osoby z zewnątrz podłączały pendriva do naszego komputera i nie przenośmy danych tą drogą. Obecnie każdy plik można przekazać w inny sposób, choćby za pomocą Messengera lub e-maila.
Zachowajmy najdalej idącą ostrożność podczas logowania się na innym komputerze, niż nasz własny. Nigdy nie logujmy się na komputerze powszechnie dostępnym (np. w kawiarence). Może on być zainfekowany złośliwym oprogramowaniem, które przechwyci nasz login i hasło. Nie logujmy się też na swoim własnym komputerze, korzystając z publicznej sieci Wi-Fi lub darmowego hotspota. Pracując poza stałą siedzibą lub w miejscu publicznym, logujmy się wyłącznie przez internet z własnego abonamentu. Oczywiście do każdej strony internetowej należy ustalić inny login i hasło. A to powinno być dość długie i trudne, zawierające różne znaki, innymi słowy – silne. Warto też mieć dwuetapowy system logowania (z weryfikacją).
Może się zdarzyć, że oczekujemy, aby inna osoba zrobiła coś na naszej stronie. Uwaga: w żadnym wypadku nie udostępniajmy naszych danych do logowania. Jeśli zachodzi potrzeba udostępnienia komuś dostępu do naszej strony, należy utworzyć nowe konto i udostępnić je tej osobie, a po zakończonej pracy usunąć je albo pozostawić uprawnienia na najniższym poziomie – jedynie do edycji wpisów.

Wybieranie serwera

Warto wybrać uznaną, renomowaną firmę, będącą potentatem na rynku. Firma taka posiada pod swoją opieką wiele rozbudowanych, skomplikowanych stron internetowych, co zmusza ją do stałego aktualizowania swoich systemów, a więc są one zawsze bardziej bezpieczne. Opłata miesięczna będzie zapewne wyższa, ale niewątpliwie lepiej zapłacić więcej, niż później mieć problem z atakiem hakerskim lub nawet utratą danych.
Certyfikat SSL to kolejny element zabezpieczający. Dzięki niemu dane, które przesyłamy, są zaszyfrowane. Posiadając adres strony z przedrostkiem https, oznaczony zieloną kłódką (ze skonfigurowanym certyfikatem), przesyłamy nasze dane w bardziej skomplikowany i trudny do zhakowania sposób. Uwaga: w związku z wprowadzeniem RODO, dane wrażliwe muszą być odpowiednio chronione. Jeżeli zatem jesteśmy właścicielem np. sklepu internetowego, gdzie klienci zostawiają swoje dane osobowe, mamy obowiązek zainstalować certyfikat SSL. Ponadto, strony z certyfikatem są pozycjonowane wyżej w wyszukiwarce Google.
Dobra firma serwerowa zajmuje się także tworzeniem kopii bezpieczeństwa. Zanim podpiszemy umowę, dowiedzmy się, czy taka kopia tworzona jest codziennie i jak długo kopie są przechowywane. Dla kopii codziennych powinno to być trzydzieści dni, a dla tygodniowych sześć miesięcy. Kopie zapasowe będą bezpieczne, jeżeli będą przechowywane na innym serwerze, a nawet w innej serwerowni. Z kolei jeżeli posiadamy własny serwer, chrońmy go przed przypadkowym lub celowym zniszczeniem.

Kiedy nastąpi atak

Jeżeli, pomimo zastosowania wszelkich możliwych środków ostrożności, nasza strona zostanie zaatakowana, możemy spodziewać się różnych „niespodzianek”, a zależą one jedynie od inwencji hakera. Przykładowo, jeżeli nasza strona w ogóle nie działa, zamiast naszej strony pod jej adresem zgłasza się serwis usług erotycznych, pojawiają się na niej reklamy afrodyzjaków, na forum pojawia się duża ilość spamu, instalują się różne wtyczki – musimy nie tylko oczyścić komputer ze złośliwego oprogramowania, ale pozmieniać wszystkie dane logowania, nie tylko do zainfekowanej strony, a nade wszystko zastrzec konta bankowe. A po przywróceniu poprawnego działania strony postarajmy się o jeszcze lepsze zabezpieczenia. Nie jest bowiem wykluczone, że podczas awarii strony straciliśmy klientów, którzy, nie mogąc jej znaleźć, odeszli do konkurencji.

Autor: Katarzyna Zgorzelska, w konsultacji z TEB Edukacja