Bezpieczeństwo na stronie internetowej

18 grudnia 2017 | Po godzinach - Wszystkie wpisy, Poradnik | 1 komentarz

Bezpieczeństwo strony internetowej to całkowita i totalna podstawa. Jeśli nasza strona zostanie zhakowana i pojawią się na niej wirusy, wtedy drastycznie tracimy ruch.

Drastycznie tracimy ruch na stronie internetowej, ponieważ Google automatycznie wyświetli komunikat o potencjalnym zagrożeniu już w wynikach szukania oraz, jeśli internauta korzysta z przeglądarki Chrome to zanim ujrzy stroną do której kliknął, pojawi się tablica z informacją o zagrożeniu.

A czemu mam się przejmować Google? Bo Google to 98-99% wyszukiwań w polskim internecie. Czyli jeśli zniknę z Google to całkowicie znikam z sieci. Chyba, że mam jakiś inny kanał promocji. Ale i tak ludzie mający Chrome zobaczą komunikat, a programy antywirusowe wzniecą alarm i zasieją popłoch…

Teraz punkt po punkcie najważniejsze aspekty związane z bezpieczeństwem stron internetowych.

1. Aktualizacja oprogramowania strony

Jeśli korzystasz z systemu do zarządzania stroną to aktualizuj system, pluginy, moduły, skórki czyli szablony.
Wydaje się to sensowne i oczywiste, prawda? Niestety nie raz widziałem strony, które postawione na systemach open source, a więc takich gdzie hakerzy mieli podane dziury w zabezpieczeniach na tacy, nie były aktualizowane ponad 2, a nawet i 3 lata.
Jeśli mam taki stary system i nie mam jeszcze zainfekowanej strony, to oznacza że jestem niezłym szczęściarzem. Można wtedy wysłać kupon w totka, może i tu się los uśmiechnie 😉

2. Bezpieczne hasło

Czyli hasło dłuższe, co najmniej kilkanaście znaków. A do tego złożone z dwóch zlepków słów. Czyli jest to wyrażenie, którego nie znajdziemy w słowniku. Przez to złamanie hasła metodą siłową jest bardzo utrudnione.
Kila razy widziałem sytuację, gdzie hasła były zbyt proste, dla przykładu takie: biurko, pantofelek etc. A raz nawet włamano się na serwer FTP właśnie dzięki odkryciu prostego hasła. A brzmiało ono: agnieszka

3. Unikalna nazwa użytkownika

Unikalna albo może bardziej wyjątkowa. Czyli chodzi o to, aby login administratora strony nie był „admin” albo „administrator”.
W tym momencie hakerzy mają utrudnione życie. Często osobom nie znającym właściciela witryny jest bardzo trudno namierzyć login administratora, a więc mamy przynajmniej na tym polu zabezpieczenie maksymalne.

4. Utrudniony dostęp do administratora

Dostęp do zarządzania stroną po jakimś unikalnym adresie podstrony, zamiast po typowym dla danego systemu CMS. W PrestaShop wystarczy zmienić katalog „admin” na „NiEznajdzieSZmnieWcALE” i załatwione. Do WordPress’a są od tego wtyczki.
Możemy także pokusić się i wprowadzić bardziej drastyczny dostęp do administratora – dostęp tylko dla wybranych adresów IP. Ale to tylko w sytuacji, gdy osoby zarządzające stroną mają łącze do Internetu o stałym IP.
Tu notka wynikająca z wielu lat doświadczenia: zmiana ścieżki do administracji w przypadku systemu open source nie jest super pomocą. Hakerzy i tak wykorzystają luki bezpieczeństwa, a nie stronę logowania samą w sobie.

5. Czasowa blokada połączenia ze stroną

Jeśli użytkownik wykona kilka błędnych logowań system automatycznie zablokuje łączność z numerem IP z którego użytkownik dokonywał połączenia.
Dodatkowo można nawet wprowadzić blokadę IP, jeśli tylko użytkownik wywoła domyślny, czyli typowy adres administratora dla danego systemu CMS.

6. Ochrona przed atakiem brute force

Brute force to jak sama nazwa wskazuje technika siłowa. Włamywacz odpytuje system na wszelkie możliwe sposoby, aby poznać dane do logowania. Czyli wykorzystuje przykładowo potencjalny login lub email administratora i hasła tak zwane słownikowe. Ale przed takimi zapytaniami chronią odpowiednie zabezpieczenia.

Te 6 punktów to jak przykazania dla właściciela strony internetowej. Jeśli wszystkie są przestrzegane to zamiast tracić czas na naprawę szkód możemy delektować się malinami! A co, piękne i pyszne i zdrowe… 😉

Autor tekstu:

Autor tekstu:

Tomasz Bartosiewicz - Ojciec dyrektor

Ojciec bo pełni funkcję taty dla dwójki cudownych dusz, a dyrektor, bo jest szefem w ITB Vega 😉
Co mnie kręci: świat technologii oraz jak można go użytecznie wykorzystywać, maratony w basenie, wędrówki po starych górach, robienie zdjęć.
Mieszkam i pracuję w Bydgoszczy, ale wykonuję sporo prac zdalnych. Jeśli szukasz kogoś do stworzenia strony internetowej lub do jej aktualizacji, zadzwoń, z przyjemnością porozmawiam o Twoich potrzebach
507 96 11 46

1 komentarz

  1. Jerzy

    Czasami słyszę, że nie warto aktualizować strony. Chodzi mi o system do zarządzania stroną. Wtedy krótko walę między oczy: to proszenie się o kłopoty! To prawie jak jawne zaproszenie złodzieja aby pilnował w nocy sklepu u jubilera. Co niektórym to wydać się może dość naciągane takie porównanie ale należy pamiętać, że najpopularniejsze systemy CMS na świecie czyli WordPress, Joomla, Drupal mają otwarte źródła. A co to oznacza? To że wieści o dziurach bezpieczeństwa rozchodzą się wśród odpowiednich ludzi. Często są rozpowszechniane gotowe sposoby łamania stron i potem domorośli hakerzy, czyli jakieś dzieci ćwiczą na takich stronach, niekoniecznie infekując je trojanami, lecz zostawiając jakieś dziwne komunikaty w stylu: Allah coś tam coś tam…
    A straty wynikłe z hakowania strony mogą być duże.

Wyślij komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Po godzinach

Wielkie zmiany w pozycjonowaniu stron internetowych

Wielkie zmiany w pozycjonowaniu stron internetowych

Można to śmiało nazwać rewolucją, a zbliża się ona wielkimi krokami. Niektórzy spece od SEO zaczynają to zauważać i czasami gdzieś w sieci można spotkać ciekawe analizy. Wynika z nich, że strony www, którymi się opiekują piszący, przyciągają duży ruch, który jest niewspółmiernie wielki do środków jakie włożono w linkowanie. I to jest najbardziej zaskakujące, ten stosunek działań do efektów, zwłaszcza pod kątem linkowania.

Ghost in the Machine, IBM NorthPole, zasobożerność procesów myślowych i kreatywność sztucznej inteligencji

Ghost in the Machine, IBM NorthPole, zasobożerność procesów myślowych i kreatywność sztucznej inteligencji

Tytuł wpisu to zbiór tematów, które przy niedzieli mnie naszyły, a że pod czaszką kipi kreatywność, to pozwalam jej się wydostać przy pomocy klawiatury. A i że kocham muzykę wszelkiej maści, to dziś się też podzielę pewnym smacznym kąskiem, który idealnie pasuje do mojego pisania o sztucznej inteligencji i jej zagrożeniach wynikających z jej rozwoju, bo i o tym też wspomnę.

Przyszłość WordPress, czyli najpopularniejszego systemu CMS na planecie Ziemia

Przyszłość WordPress, czyli najpopularniejszego systemu CMS na planecie Ziemia

Zastanawiasz się może nad przyszłością WordPress’a? Pewnie nie. No chyba, że twój biznes oparty jest o tworzenie lub obsługę stron internetowych i czasami sprawdzasz czy twoje narzędzia mają potencjał w przyszłości. Albo może jesteś amatorem, który dzierga strony wieczorowo i sprawdzasz czy ten WordPress jeszcze długo pociągnie. A może ktoś Ci stawia stronę na WordPress’ie i chcesz dowiedzieć się czy długo ona podziała? Jeśli zastanawiasz się nad przyszłością WordPress’a to zapraszam do lektury.

CSS before i after dla Google są za ścianą

CSS before i after dla Google są za ścianą

Na oficjalnym profilu Google na platformie X pojawił się wpis „Zalecamy, aby nie dodawać znaczących treści ani symboli za pomocą pseudoelementów CSS ::before i ::after”. Spece z Google stwierdzają, że takie treści nie mogą być wykorzystywane do indeksowania stron. Jako ciekawostkę można dodać, że nie jest to zmiana w działaniu wyszukiwarki Google. Została ona po prostu wspomniana w dokumentacji.

Wyszukiwarka Bing + AI = Coś niespotykanego!

Wyszukiwarka Bing + AI = Coś niespotykanego!

Jest taki tort, który zwie się wyszukiwarki internetowe. Microsoft chciał chapnąć z niego większy kawałek. Zapewne firma widziała okazję na zmniejszenie dominacji Google. Na początku roku, bo to jakoś w lutym było, Microsoft ogłosił uruchomienie ChatGPT w swojej wyszukiwarce Bing. Oczywiście wszystko dostępne tylko we własnej przeglądarce Edge. Upłynęło kilka miesięcy, można ocenić skutki – co wyszło z tego połączenia?