Wczuj się na sekundę w rolę swojego klienta, który właśnie zdecydował poszukać nowego laptopa na Twojej stronie internetowej. Jednak po wpisaniu adresu Twojej strony zamiast sklepu internetowego, ukazuje mu się jeden z poniższych widoków:
Biedny klient, zdezorientowany i zniechęcony, przechodzi do Twojej konkurencji, żeby tam znaleźć nowego laptopa. I właśnie w ten sposób straciłeś pierwszego z wielu klientów.
A mogłeś temu zapobiec.
Zainfekowani przez wirusa
Powyższe zdjęcia są przykładami stron, na których znajduje się wirus. To właśnie on ingeruje w kod źródłowy strony, wdrażając treści, których nigdy nie powinno tam być. Niezależnie czy są to reklamy leków, treści pornograficzne, czy też informacja od hakera, żaden właściciel firmy nie chce, aby niepowołana osoba miała dostęp do jego strony.
Warto tutaj zauważyć, że często wirusy i działania hakerskie nie są spowodowane przez zakapturzoną osobę, która stuka w klawiaturę dniami i nocami, aby tylko dotrzeć do najgłębszych warstw kodu źródłowego strony internetowej. Najczęściej są to automatyczne programy, które poszukują (i niestety zazwyczaj odnajdują!) znanych już luk w zabezpieczeniach strony, następnie je wykorzystując.
Jednak nieestetyczny, nieprofesjonalny wygląd to nie jedyna przyczyna, dla której użytkownik właśnie przestał ufać takiej stronie. Charakterystyczną cechą sklepów internetowych jest dokonywanie płatności przez klientów, którzy są zmuszeni do udostępniania firmie swoich prywatnych danych. Nawet jeżeli wirus, którym została zainfekowana strona nie jest w stanie do nich dotrzeć, użytkownik tego nie wie – a też nie zamierza ryzykować. Ponadto w większości przypadków dokonywanie zakupów nie jest nawet możliwe. Wirus najczęściej częściowo bądź całkowicie blokuje dostęp do płatności.
Co może zrobić wirus?
A w rezultacie:
klienci odchodzą do konkurencji (chroniąc swoje cenne dane),
pozycjonowanie nie odnosi pożądanych efektów (Google może nałożyć karę ręczną lub algorytmiczną),
tracimy czas, pieniądze i energię na naprawę wyrządzonych szkód (zastój w poprawnym działaniu strony; czasami trzeba nawet zatrudnić zewnętrzną firmę, specjalizującą się w tego rodzaju wirusach).
Naturalnie, od razu po zauważeniu wirusa należy podjąć działania mające na celu jego usunięcie. Jest to istotne nawet, gdy jego obecność objawia się w sposób nieszkodliwy. Pierwszego dnia może to być dodanie dwóch zdań po rosyjsku w najmniej istotnej części naszej strony, następnego może to być już podmienienie wszystkich nagłówków, trzeciego strona główna będzie posiadała przekierowanie do groźnej witryny. Jest to dość fatalistyczny scenariusz, ale jak najbardziej prawdopodobny.
No dobrze… Kończąc całe (jak najbardziej realne) straszenie, przejdźmy do wyjaśnienia w jaki sposób można tego wszystkiego uniknąć. Nie będzie to łatwe, jednak każda minuta spędzona na poprawie bezpieczeństwa strony to zaoszczędzone długie godziny naprawiania skutków działań wirusa.
Zacznijmy od pozornie oczywistych metod, które webmasterzy nadal za często pomijają.
7 podstawowych zasad
1. Regularnie zmieniaj hasła do serwera i strony!
2. Odpowiednio przechowuj hasła do serwera i strony!
Oczywiście hasło spełniające powyższe warunki jest dużo trudniejsze do zapamiętania, jednak nie oznacza to, że możemy zapisać je sobie na dowolnej karteczce przy komputerze bądź w pliku tekstowym w jednym z naszych prywatnych folderów. Jeżeli już musimy je gdzieś przechowywać (a nie warto ufać własnej pamięci, w szczególności w przypadku dużej liczby różnych haseł), należy skorzystać z baz danych do przetrzymywania haseł po stronie serwera, stosując algorytmy szyfrujące – np. kryptograficzne funkcje skrótu SHA (Secure Hash Algorithm).
3. Aktualizuj każde oprogramowanie w obrębie strony!
Przestarzałe widżety i CMS (Content Management System, np. WordPress) mogą wywołać równie niepożądane skutki, co opublikowanie hasła do serwera w poście na Facebooku. Większość autorów oprogramowania i widżetów regularnie sprawdza wszystkie swoje wtyczki, poszukując wszelkich słabych stron i luk w zabezpieczeniach. Gdy je odnajdzie, przygotowuje zaktualizowaną wersję swojego produktu, którą należy jak najszybciej zainstalować. Jeżeli autorzy oprogramowania odnaleźli jakiś problem, to hakerzy też już na pewno do niego doszli. Warto również usunąć ze strony wszelkie wtyczki, z których już nie korzystamy – łatwo o nich zapomnieć, przez co nie są aktualizowane. Warto również pamiętać, żeby instalować wtyczki, CMS i oprogramowanie do łączenia się z serwerem wyłącznie ze sprawdzonych, pewnych źródeł.
4. Dobrze ukryj panel i katalogi administracyjne strony/serwera!
Wykorzystanie
http://abc-laptopy.pl/admin może nie być najlepszym rozwiązaniem –
hakerzy skupią się właśnie na tej stronie, szybciej docierając do miejsc, gdzie nie powinno ich być. Podobnie ze ścieżkami dostępowymi – katalog „admin” warto zastąpić nazwą, która nie wzbudzi podejrzeń lub zainteresowania i tylko wybrane osoby będą wiedzieć czym tak naprawdę jest.
5. Nie pozwalaj użytkownikom wgrywać wszystkiego na Twój serwer!
Wiele sklepów internetowych pozwala spersonalizować profil klienta, umożliwiając dodanie przykładowo awatara. Nawet najbardziej niepozorny plik może kryć wirusa, który chętnie, po dostaniu się na serwer, przejdzie do bardziej wrażliwych części naszych danych. Warto więc ograniczyć rozszerzenia plików jakie akceptuje nasza strona (np. tylko graficzne: JPG i PNG), zablokować bezpośredni dostęp plików do serwera, a także wykorzystywać wyłącznie zaszyfrowane połączenia.
6. Twórz kopie zapasowe strony i nie trzymaj ich na tym samym serwerze!
Jeżeli wszystkie nasze działania zawiodły bądź jeszcze nawet ich nie rozpoczęliśmy i wirus już zdążył zamieszkać na stałe w kodzie źródłowym strony, możemy znaleźć się w dość kłopotliwej sytuacji. W większości przypadków złośliwe oprogramowanie można usunąć, jednak w wyjątkowych sytuacjach, wszystkie dane powinny zostać usunięte, a w ich miejsce należy wdrożyć te z kopii zapasowej.
7. Korzystaj z narzędzi testujących bezpieczeństwo strony!
Zarówno przed rozpoczęciem jakichkolwiek działań, w trakcie ich wdrażania, jak i po zakończeniu wszystkich prac, warto skorzystać z narzędzi, które sprawdzą co jeszcze może być nie tak. W sieci można znaleźć dziesiątki darmowych i płatnych programów, które w bardziej lub mniej zaawansowany sposób ukażą najbardziej krytyczne problemy, przechodząc do tych mniej istotnych, jednak również wartych naszej uwagi.
Podstawy za nami, przejdźmy do kwestii związanej z bezpieczeństwem, o której jest głośno już od kilku miesięcy.
Wyjaśniając najpierw powyższe terminy:
TLS (Transport Layer Security) – rozwinięcie protokołu komunikacyjnego SSL (Secure Socket Layer), który odpowiada za uwierzytelnienie serwera oraz za zachowanie integralności oraz poufności transmisji danych. Tłumacząc najprościej, jego zadaniem jest wychwycenie i zaniechanie wszelkich prób ingerencji (kradzieży, zmiany) w transfer informacji pomiędzy przeglądarką a serwerem witryny.
HTTPS (Hypertext Transfer Protocol Secure) – szyfrowana wersja protokołu przesyłania dokumentów hipertekstowych (HTTP). W prowadzonych działaniach wykorzystuje protokół SSL (obecnie stosuje jego rozwinięcie – TLS).
Uwaga! SSL i TSL są częścią HTTPS – tych terminów nie można stosować zamiennie.
Google już od kilku lat zachęca webmasterów do przejścia na bezpieczniejszy protokół HTTPS. Obecnie doszło do tego, że strony, które go nie wykorzystują zostają oflagowane przez przeglądarkę Google Chrome jako niezabezpieczone. A klienci widząc taką informację, zdecydowanie mniej chętnie powierzą witrynie swoje dane poufne. Potwierdza to poniższy wykres, zgodnie z którym wyraźna większość użytkowników zadeklarowała, że nie skorzystaliby z niezabezpieczonej strony:
Warto pamiętać, że
korzystanie z HTTPS należy do czynników rankingujących, co zostało oficjalnie potwierdzone przez Google na ich
blogu. Wszelkie informacje dotyczące protokołu, jego implementacji oraz potencjalnych problemów znajdują się również w
Dziale Pomocy Google.
Ataki na strony internetowe odbywają się każdego dnia – a zdecydowanie za wiele z nich kończy się sukcesem dla złośliwego oprogramowania lub hakera. Dlatego tak istotne jest poświęcenie kilku godzin na usunięcie wszystkich luk w zabezpieczeniach strony i serwera. Zaczynając od aktualizowania wtyczek, po zainwestowanie w certyfikat SSL. Dzięki temu nie utracimy naszej reputacji w branży, zaufania klientów, efektów wielomiesięcznego pozycjonowania, a w rezultacie również ciężko zarobionych pieniędzy.
Źródła: Dział Pomocy Google, Digicert, PerezBox, GoogleBlog, Small Business TRENDS, MOZ, CreativeBloq.
09:20 min
17.01.2018
wysłać maile do wszystkich naszych klientów (a także do osób z własnej bazy mailowej), wyłudzające dodatkowe informacje lub dane (jest to tzw. phishing),
składało się z dużych i małych liter,
