Coraz częściej dochodzi do włamań na serwisy internetowe. Powody są różne – od wandalizmu do wyłudzania danych wrażliwych. Ataki dotyczą wielu systemów, a szczególnie podatne są te z otwartym kodem źródłowym, takie jak WordPress czy Joomla. Poniżej kilka porad, które zminimalizują ryzyko włamania.
Przede wszystkim należy zapewnić „silne” hasło, czyli takie, które będzie trudno złamać. Najlepiej składające się z kilkunastu znaków, zawierające duże i małe litery, cyfry oraz znaki specjalne. Złożone hasło powinno utrudnić atak metodą siłową (ang. brute-force; polegającą na sprawdzaniu wszystkich kombinacji) oraz słownikową (ang. dictionary attack; przy pomocy najczęściej używanych loginów i haseł). Warto stosować oddzielne hasła do panelu administracyjnego, konta FTP oraz bazy danych. Jeżeli nie mamy pomysłu na hasło, możemy skorzystać np. z Secure Password Generator.
Zapamiętywanie haseł w klientach FTP lub przeglądarce może w niektórych przypadkach ułatwić atak na nasz serwis, dlatego należy się takich praktyk wystrzegać. Nawet najbardziej złożone hasło będzie bezużyteczne, jeżeli haker uzyska do niego dostęp.
Instalując dodatkowe moduły w naszym systemie, miejmy na uwadze kwestie bezpieczeństwa. Korzystajmy tylko z oficjalnych źródeł, które takie rozszerzenia oferują. Bezpłatne dodatki lub testowe wersje mogą być podatne na ataki.
Większość najpopularniejszych systemów CMS/eCommerce posiada system aktualizacji do najnowszej wersji, która teoretycznie powinna być wolna od krytycznych błędów i luk w zabezpieczeniach.
Aktualizacja może być wykonywana automatycznie, co oznacza, że nasz serwis zostanie aktualizowany po ukazaniu się nowej wersji naszego systemu. W przypadku aktualizacji ręcznych, warto co jakiś czas sprawdzać, czy nie występuje nowsza wersja oprogramowania naszego serwisu.
Zaawansowane systemy CMS/eCommerce mogą posiadać oddzielne aktualizacje dla szablonów oraz rozszerzeń, które są bardzo ważne pod kątem bezpieczeństwa. Pluginy nieaktualne lub pobrane z niezaufanych miejsc mogą stanowić realne zagrożenie dla naszego serwisu.
Warto pomyśleć np. nad dwuetapowym procesem uzyskiwania dostępu do panelu administracyjnego. W tym celu możemy wykorzystać np. uwierzytelnianie Basic Auth.
Zmiana adresu do panelu lub wymaganie dodatkowego parametru GET z znaną tylko nam wartością może być dodatkowym elementem, który utrudni włamanie.
Możemy także wyłączyć możliwość modyfikacji plików poprzez panel administracyjny lub doinstalować moduły zabezpieczeń, które np. blokują adres IP po n-próbach błędnego logowania lub zabezpieczają dodatkowo plik .htaccess.
O ile sama w sobie nie uodporni naszego serwisu, to po jego ataku będziemy mogli szybciej przywrócić serwis do działania. Taka kopia powinna zawierać kopię plików i bazy danych.
Powyższe porady mogą sprawić, że Twój serwis będzie bezpieczniejszy, a tym samym zminimalizujesz ryzyko ataku na swoją witrynę. Pamiętaj, że istnieje wiele innych możliwości ataków, które mogą wykorzystywać np. brak walidacji formularzy czy inne luki w zabezpieczeniach.