Dziennik Przedsiebiorcy

Publikacja 08.04.2013

KW_TAGS

Oto niektóre niebezpieczeństwa wynikające z zaniedbania tego zagrożenia:

  • podmiana strony firmy, dodanie niepożądanych treści – może to mieć ogromny wpływ na wizerunek firmy.
  • wysyłka niepożądanych maili (spamu) z serwera - dodanie IP serwera do czarnych list spamowych, w najgorszym razie blokada przez dostawcę z tego powodu - strona stanie się niedostępna.
  • całkowite skasowanie zawartości strony, w przypadku braku backupu ( zapasowej kopii strony)  utrata treści.
  • instalacja wirusa,  który sam rozsyła wirusy, lub np. przynależność do tzw. BotNetu - nasz serwer/strona będzie sama atakowała inne serwery/strony wg preferencji atakującego – grozi to zablokowaniem strony lub nawet odpowiedzialność karna.
  • instalacja wirusa przez który Google uzna stronę za zarażoną, wtedy w przeglądarkach przy wejściu wyświetla się informacja o zagrożeniu – powoduje to spadek wiarygodności strony, spadek ilości naszych oglądających czyli potencjalnych klientów.

Istnieje jednak kilka podstawowych rzeczy, które można i należy wykonać, aby zabezpieczyć firmową stronę internetową przed nieautoryzowanym dostępem i zmianą treści chroniące przed tymi zagrożeniami.

Aktualne oprogramowanie

Głównym problemem, mimo wielu sporów i niejasności jest fakt stosowania nieaktualnego - niebezpiecznego oprogramowania. Czy to na serwerze, czy to w samych plikach strony - należy zadbać o aktualność. Kluczowe tu się mogą stać błędy typu 0day ( np. atak z wykorzystaniem luki, która nie jest nikomu znana - szczególnie developerom danej aplikacji), dlatego należy w miarę regularnie kontrolować aktualność oprogramowania zarówno na serwerze jak i w samych plikach strony. Istotna jest tu zatem lokalizacja serwisu na serwerze. O ile rozwiązania współdzielone serwera (tzw. shared) są tanie i dość łatwe w zorganizowaniu, to niejednokrotnie nawet u polskich usługodawców zdarzały się przypadki, gdy następowało włamanie na serwer i ingerencja w pliki stron wszystkich klientów ulokowanych na nim. Problem ten wynika z faktu, że zazwyczaj administratorzy takich tanich usług współdzielonych nie przywiązują do tego większej wagi, zaś z racji natury takich rozwiązań uzyskanie dostępu do konta administratora jest jednoznaczne z możliwością ingerencji w dowolne pliki na serwerze, w tym na pliki stron klientów. Dlatego aby takiego problemu uniknąć, a raczej go zniwelować (nie ma nigdy 100% zabezpieczenia) można zastosować się do jednego z kilku rozwiązań, odcinających w gruncie rzeczy nas od innych klientów i uniezależniających od osobistych upodobań dostawców i administratorów serwera fizycznego.

Serwer

Obok postawienia serwera we własnej lokalizacji (tj. stworzenie własnej serwerowni, tzw data center) najbezpieczniejszym, ale jednocześnie jednym z najdroższych rozwiązań jest zakup własnego (np. dedykowanego) w firmie oferującej SLA (tzw. gwarancję dostępności usługi, najczęściej oferującej monitorowanie usługi, raportowanie, przegląd osiąganych wyników) na wysokim poziomie. Serwer dedykowany, skonfigurowany w sposób właściwy, z administratorem, który na bieżąco kontroluje aktualność usług i oprogramowania, to jeden z kluczowych elementów podnoszących jego bezpieczeństwo. W przypadku strony, gdzie jest duży ruch, a ilość klientów zostawiających swoje dane szybko się zwiększa, można też zastanowić się nad uruchomieniem własnego serwera we własnej serwerowni. Koszt jest tutaj zdecydowanie największy, ale mamy pełną swobodę jeśli chodzi o zarządzanie tym kto może korzystać z jakich usług. Teoretycznie można wtedy udostępnić panel administracyjny strony np. tylko w wewnętrznej sieci firmy, tak aby nigdzie z zewnątrz nie było do niego dostępu.

Autoryzacja i uprawnienia

Z prostych uniwersalnych rozwiązań warto rozważyć wprowadzenie dodatkowych warunków autoryzacyjnych celem dostania się do panelu zarządzającego stroną. Jednym z takich rozwiązań jest autoryzacja typu HTTP z poziomu pliku .htaccess, znana dobrze administratorom m.in. prostych routerów, gdzie to rozwiązanie jest często stosowane. Oprócz tego dzięki .htaccess można ograniczyć wejścia do określonego zasobu (np. panelu) tylko dla osób o określonym adresie IP (czyli można np. ograniczyć dostęp do panelu do możliwości wejścia z IP biura lub IP administratora).

Istotną sprawą jest też stosowanie linuxowych CHMOD-ów czyli systemu uprawnień w systemach linux w odpowiedni sposób. Warto dzięki zmianie CHMODów zezwolić skryptom na zapisywanie tylko tam gdzie rzeczywiście tego potrzebują. W ten sposób możemy uniknąć sytuacji, gdy przez dziurę w skrypcie strony ktoś podmieni plik na serwerze na inny (jednak na dziury w oprogramowaniu na serwerze czy zbyt mało złożone hasła nie ma to wpływu).

Zabezpieczenie przed przeciążeniem

Kolejną ważną rzeczą jest zabezpieczenie przed atakami typu „DOS/DDOS”. To trudna sztuka, ponieważ często mamy znikome możliwości ochrony przed tego typu atakami, zwłaszcza na serwerach współdzielonych. Tam problem jest o tyle trudny, że celem ochrony innych klientów, właściciel serwera może zakończyć z nami współpracę, tak aby inni klienci ulokowani na tej samej maszynie/ w tej samej sieci nie odczuli dyskomfortu w związku z atakami, które otrzymujemy.

Ograniczyć możliwości ataku można zastosować m.in. rozwiązania typu „cache”, które serwują klientom zawartość statyczną zamiast dynamicznie generowanej, co zmniejsza obciążenie serwera. Do tego można użyć rozwiązań typu „CloudFlare”, które zajmują się monitorowaniem ruchu i wycinaniem szkodliwego ruchu w momencie gdy następuje atak, aby uchronić naszą stronę przed niedostępnością czy uszkodzeniem. Z tego punktu widzenia wartym uwagi może być rozwiązanie serwerowe typu Cloud, dzięki któremu przy wzmożonym ruchu możemy dynamicznie zwiększyć zasoby przydzielone dla serwera, aby uniknąć jego zablokowania pod wpływem wysokiego obciążenia.

Często sytuacja zbliżona do ataku DDOS następuje w momencie wysyłania mailingu do dużej ilości klientów, czy w momencie pokazania naszego serwisu szerszym mediom (np. duże portale internetowe lub TV), stąd funkcjonują w internecie pojęcia np. "Wykop Efekt" czy "DDTVN Efekt" - są to sytuacje gdy publikacja w określonym medium powoduje wzmożony ruch, co zaś skutkuje przeciążeniem i często samoistnym wyłączeniem serwera.

Hasła

Najważniejszym aspektem bezpieczeństwa pozostają jednak hasła - są one często piętą achillesową w bezpieczeństwie usług internetowych różnego rodzaju - warto upewnić się, że nasze hasło jest odpowiednio trudne, odpowiednio niespotykane i odpowiednio niemożliwe do odgadnięcia, oraz że jest używane wyłącznie do jednej usługi (aby np. haker włamując się na jedną z usług z której gdzieś korzystamy i wyciągając hasła nie mógł się zalogować do innej). Tym samym należy dołożyć szczególnych starań by zabezpieczyć  komputery przed szkodliwym oprogramowaniem, które kradnie hasła, bo wtedy to i najtrudniejsze hasło jest do odgadnięcia. Dobrym rozwiązaniem jest też korzystać z protokołu szyfrowanego przy wprowadzaniu zmian na stronę, tj. np. SFTP.

Dołącz do dyskusji

Kod antyspamowy
Odśwież

FacebookGoogle Bookmarks

Czytaj również

Certyfikat SSL - bezpieczny protokół zwiększy pozycjonowanie?

Po zmianach algorytmu Google będzie promował strony działające w oparciu o bezpieczny protokół HTTPS. Jakie będą konsekwencje tych zmian dla...

google ukryte funkcje przeglądarki

Wyszukiwarka google - dodatkowe, przydatne funkcje

Wyszukiwarka google posiada szereg funkcji, o którym mało kto wie, poniżej przedstawiamy niektóre możliwości wyszukiwarki wraz z przykładami jak można...

Wykorzystanie kodów QR w firmie

Fotokody znane są od ponad 20 lat, ale na dobre rozpowszechniły się dopiero kilka lat temu wraz ze wzrostem popularności smartfonów.

mobile trendy

Przyszłość aplikacji mobilnych

Zdaje się, że nic nie może zaszkodzić wyjątkowej popularności urządzeń mobilnych. Jak zatem wygląda przyszłość aplikacji?

Czy stać Cię na utratę danych? Sprawdź jak się zabezpieczyć

Możemy sami w pewnym stopniu zabezpieczyć się przed skutkami takich awarii, a co najmniej mamy możliwość zmniejszenia negatywnych oddźwięków utraty danych

Potencjał rynku m-commerce w Polsce, jakie perspektywy?

Polski rynek m-commerce szybko się rozwija – w ubiegłym roku jego wartość wyniosła pół miliarda złotych, a w tym roku ma się podwoić .

IT w rękach marketingu, czy taka współpraca jest opłacalna?

Według ankietowanych szefów marketingu, nowoczesne rozwiązania IT pozwalają istotnie zwiększyć efektywność procesów biznesowych w tym obszarze.

Wirtualny faks - rozwiązanie na miarę XXI wieku

Brak ciężkich i zajmujących miejsce urządzeń i szybki, łatwy dostęp do nagranych wiadomości z każdego miejsca na świecie - to zalety wirtualnego faxu.