Coraz częściej dochodzi do włamań na serwisy internetowe. Powody są różne – od wandalizmu do wyłudzania danych wrażliwych. Ataki dotyczą wielu systemów, a szczególnie podatne są te z otwartym kodem źródłowym, takie jak WordPress czy Joomla. Poniżej kilka porad, które zminimalizują ryzyko włamania.
Złożoność haseł
Przede wszystkim należy zapewnić „silne” hasło, czyli takie, które będzie trudno złamać. Najlepiej składające się z kilkunastu znaków, zawierające duże i małe litery, cyfry oraz znaki specjalne. Złożone hasło powinno utrudnić atak metodą siłową (ang. brute-force; polegającą na sprawdzaniu wszystkich kombinacji) oraz słownikową (ang. dictionary attack; przy pomocy najczęściej używanych loginów i haseł). Warto stosować oddzielne hasła do panelu administracyjnego, konta FTP oraz bazy danych. Jeżeli nie mamy pomysłu na hasło, możemy skorzystać np. z Secure Password Generator.
Przechowywanie haseł
Zapamiętywanie haseł w klientach FTP lub przeglądarce może w niektórych przypadkach ułatwić atak na nasz serwis, dlatego należy się takich praktyk wystrzegać. Nawet najbardziej złożone hasło będzie bezużyteczne, jeżeli haker uzyska do niego dostęp.
Dodatki i rozszerzenia
Instalując dodatkowe moduły w naszym systemie, miejmy na uwadze kwestie bezpieczeństwa. Korzystajmy tylko z oficjalnych źródeł, które takie rozszerzenia oferują. Bezpłatne dodatki lub testowe wersje mogą być podatne na ataki.
Aktualizacja systemu
Większość najpopularniejszych systemów CMS/eCommerce posiada system aktualizacji do najnowszej wersji, która teoretycznie powinna być wolna od krytycznych błędów i luk w zabezpieczeniach.
Aktualizacja może być wykonywana automatycznie, co oznacza, że nasz serwis zostanie aktualizowany po ukazaniu się nowej wersji naszego systemu. W przypadku aktualizacji ręcznych, warto co jakiś czas sprawdzać, czy nie występuje nowsza wersja oprogramowania naszego serwisu.
Zaawansowane systemy CMS/eCommerce mogą posiadać oddzielne aktualizacje dla szablonów oraz rozszerzeń, które są bardzo ważne pod kątem bezpieczeństwa. Pluginy nieaktualne lub pobrane z niezaufanych miejsc mogą stanowić realne zagrożenie dla naszego serwisu.
Dodatkowe zabezpieczenie
Warto pomyśleć np. nad dwuetapowym procesem uzyskiwania dostępu do panelu administracyjnego. W tym celu możemy wykorzystać np. uwierzytelnianie Basic Auth.
Zmiana adresu do panelu lub wymaganie dodatkowego parametru GET z znaną tylko nam wartością może być dodatkowym elementem, który utrudni włamanie.
Możemy także wyłączyć możliwość modyfikacji plików poprzez panel administracyjny lub doinstalować moduły zabezpieczeń, które np. blokują adres IP po n-próbach błędnego logowania lub zabezpieczają dodatkowo plik .htaccess.
Kopia serwisu
O ile sama w sobie nie uodporni naszego serwisu, to po jego ataku będziemy mogli szybciej przywrócić serwis do działania. Taka kopia powinna zawierać kopię plików i bazy danych.
Powyższe porady mogą sprawić, że Twój serwis będzie bezpieczniejszy, a tym samym zminimalizujesz ryzyko ataku na swoją witrynę. Pamiętaj, że istnieje wiele innych możliwości ataków, które mogą wykorzystywać np. brak walidacji formularzy czy inne luki w zabezpieczeniach.
