Dabar turėti elektroninę svetainę ar elektroninę parduotuvę tapo lengviau nei bet kada. Internete galima rasti daug puikių įrankių bei turinio valdymo sistemų, tokių kaip WordPress, Joomla!, Magento, Opencart ar kitos. Šios sistemos turi daugybę įskiepių ir yra lengvai pritaikomos bet kokiam verslui.
Turėti verslą internete yra paprasta. Tačiau yra ir neigiamų pusių. Vis dažniau pasitaiko elektroninių puslapių valdytojų, kurie nesupranta kaip įsitikinti ar jų svetainė yra saugi.
Todėl, kad būtų svetainės kūrimas būtų užtikrintas pabandysime pateikti 10 žingsnių, kuriuos reiktų atlikti, kad jūsų svetainė tikrai būtų saugi naudoti:
- Atnaujinimai
Nepaprastai svarbu yra atnaujinti savo svetaine kaskart kai pasirodo nauja įskiepio ar pačios CSM (turinio valdymo sistemos) versija. Šiuose versijų naujiniuose gali tiesiog būti saugos patobulinimų ar įvairių senesnės versijos spragų pataisymai.
Daugelis svetainių atakų yra automatizuotų. Todėl kiekvienas naujinys yra ypač svarbus.
Štai kodėl mes rekomenduojame naudoti svetainės užkardą (firewall), kuri apsaugos jūsų svetainę iki bus išleisti atnaujinimai.
- Slaptažodžiai
Turėti saugią svetainę labiau priklauso nuo to kaip jūs patys žiūrite į saugumą. Ar kada susimastėte, kad net jūsų naudojami slaptažodžiai gali kelti grėsmę svetainės saugumui?
Dauguma svetainių valdytojų dėl slaptažodžių nesuka galvos ir prisijungimui naudoja tokį slaptažodį kaip “admin / admin”, naudoja puslapio ar įmonės pavadinimą arba visai nesivargina ir neuždeda jokio slaptažodžio.
Internete gausu sąrašų su nesaugiai slaptažodžiais. Jei savo slaptažodį randate viename iš tokių sąrašų turėtumėte labai susimastyti, nes tik laiko klausimas, kada jūsų svetainės saugumas bus pažeistas.
Mūsų patarimai saugiam slaptažodžiui susikurti:
*Unikalūs slaptažodžiai (kiekvienai paskyrai naudokite skirtingus slaptažodžius);
*Ilgi slaptažodžiai (naudokite 12 simbolių ar ilgesnius slaptažodžius);
*Naudokite išgalvotus žodžius (Slaptažodžių paieškos programos gali atspėti milijonus slaptažodžių per kelias minutes, jei juose yra žodžių, kuriuos galima rasti internete ar žodynuose);
*naudokite skaičius ar simbolius
Patariame naudoti slaptažodžių tvarkytojus tokius kaip „LastPass“ (prisijungus) ir „KeePass 2“ (neprisijungus). Slaptažodžių tvarkytojai suteikia galimybę naudoti stiprius slaptažodžius, atimant silpnesnius ar juos įsimenant. - Viena svetainė = vienas serveris
Suprantame, kad daugelio svetainių talpinimas viename serveryje gali atrodyti idealus. Deja, tai viena blogiausių saugumo praktikų, kokią dažniausiai matome. Daugelio svetainių talpinimas toje pačioje vietoje sukuria labai didelę atakos tikimybę.
Turite žinoti, kad užteršimas keliose vietose yra labai dažnas. Tai yra tada, kai svetainę neigiamai veikia kaimyninės to paties serverio svetainės dėl blogos serverio izoliacijos ar paskyros konfigūracijos. Todėl labai svarbu svetaines viena nuo kitos atskirti, kad kiekviena turėtų savo vietą ir savo apsaugas. - Individualūs prisijungimai kiekvienam vartotojui
Ši taisyklė yra taikoma tada, kai prie svetainės turi prieiti ir naudotis ne vienas vartotojas. Tokiu atveju labai svarbu, kad kiekvienas vartotojas turėtų savo atskirą prisijungimą prie svetainės su būtent jam priskirtomis vartotojo teisėmis.
Atidžiai apibrėžę vartotojo vaidmenis ir prieigos taisykles apribosite bet kokias galimas klaidas. Tai gali apsaugoti nuo nesąžiningų vartotojų padarytos žalos. Dažnai nepastebima vartotojo valdymo dalis: atskaitomybė ir stebėjimas. Jei keli žmonės turi vieną vartotojo abonementą, o tas vartotojas daro nepageidaujamą pakeitimą, kaip sužinoti, kuris jūsų komandos asmuo buvo atsakingas?
Kai turėsite atskiras kiekvieno vartotojo paskyras, galėsite stebėti jų elgesį, apriboti prieigos teises bei valdyti paskyras. - Pakeiskite numatytuosius CMS parametrus!
Šiandienos CMS programos saugumo požiūriu gali būti sudėtingos. Iki šiol dažniausiai pasitaikantys išpuoliai prieš svetaines yra visiškai automatizuoti. Daugelis šių atakų priklauso nuo to, ar vartotojai turi tik numatytuosius nustatymus.
Tai reiškia, kad galite išvengti daugybės atakų paprasčiausiai pakeisdami numatytuosius nustatymus, diegdami pasirinktą CMS.
Pavyzdžiui, kai kurias CMS programas vartotojas gali rašyti – tai leidžia vartotojui įdiegti bet kokius plėtinius, kurių jie nori.
Yra nustatymai, kuriuos galite koreguoti, kad būtų galima valdyti komentarus, vartotojus ir jūsų vartotojo informacijos matomumą.
- Plėtinio pasirinkimas
CMS programų išplėtimas yra kažkas, ką žiniatinklio valdytojai mėgsta, tačiau tai taip pat gali būti viena didžiausių silpnybių. Yra įskiepių, priedų ir plėtinių, kurie suteikia praktiškai visas funkcijas, kurias galite įsivaizduoti. Bet kaip žinoti, kurį iš jų saugu įdiegti?
Štai keletas dalykų, kurių visada ieškau, kai nusprendžiu, kuriuos plėtinius naudoti:
* kada paskutinį kartą buvo atnaujintas plėtinys (jei atnaujinimas buvo prieš metu, vadinasi galimai šis plėtinys nėra naujinamas ir nebus pritaikytas bei tinkamiausiais naudoti šiai dienai)
* Plėtinio sukūrimo data ir diegimų skaičius (jei plėtinys sukurtas seniai ir jį įsidiegę turi daugybė vartotojų, vadinasi jis bus Saugus naudoti)
* Teisėti plėtinių šaltiniai (siųskitės tik iš teisėtų, oficialių platintojų, venkite nemokamų, kenkėjiškų svetainių) - Atsarginės kopijos
Juk nenorėtumėt, kad jūsų svetainę nulaužtų? Turėkite tam atsarginį planą! Turėkite savo svetainės atsarginę kopiją, nes ji gali padėti atkurti pažeistus failus.
Geras atsarginis sprengimas turi atitikti šiuos reikalavimus:
* Atsarginę kopiją laikyti atskirame serveryje;
* atsarginė kopija turėtų būti automatinė;
Išbandykite savo atsargines kopijas - Serverio konfigūracijos failai
Susipažinkite su savo žiniatinklio serverio konfigūracijos failais:
„Apache“ žiniatinklio serveriai naudoja .htaccess failą,
„Nginx“ serveriai naudoja „nginx.conf“,
„Microsoft IIS“ serveriai naudoja web.config.
Dažniausiai randami pagrindiniame žiniatinklio kataloge, serverio konfigūracijos failai yra labai galingi. Jie leidžia vykdyti serverio taisykles, įskaitant direktyvas, kurios pagerina jūsų svetainės saugumą.
Jei nesate tikri, kurį žiniatinklio serverį naudojate, paleiskite savo svetainę naudodami „Sitecheck“ ir spustelėkite skirtuką „Svetainės informacija“.
Štai keletas taisyklių, kurias rekomenduoju ištirti ir įtraukti į savo konkretų žiniatinklio serverį:
* Neleisti naršyti kataloguose (tai neleidžia piktybiniams vartotojams peržiūrėti kiekvieno svetainės katalogo turinio);
* Neleiskite siųstis paveikslėlių (nors tai nėra griežtai saugumo patobulinimas, tačiau jis neleidžia kitoms svetainėms rodyti vaizdų, esančių jūsų žiniatinklio serveryje);
* Apsaugokite svarbius failus (Galite nustatyti taisykles tam tikriems failams ir aplankams apsaugoti)
- Įdiekite SSL
SSL yra standartinė saugos technologija užšifruotam ryšiui tarp interneto serverio ir naršyklės užmegzti.
SSL yra labai svarbus visoms svetainėms. HTTPS neišvengiama el. Prekybos svetainėse ir bet kokiose svetainėse, kurios priima formos pateikimus su slaptais vartotojo duomenimis arba asmeniškai identifikuojama informacija. - Leidimai naudotis failais
Leidimai nusako, ką koks vartotojas gali atlikti su failu. Dažniausiai naudojami trys leidimai, kurie nusakomi skaičiais 1, 2 ir 3. Kiekvienas skaičius atsakingas už funkciją, pavyzdžiui:
1 – suteikiamas tik savininkui, pavyzdžiui tokį leidimą turintis asmuo gali daryti ką tik nori su failu;
2 – priėjimą prie failų turi tik tam tikra vartotojų grupė, tarkim ši grupė gali ne tik skaityti bet ir koreguoti failus;
3 – prie failų gali prieiti visi, tačiau failus bus galima tik skaityti, atlikti korekcijų failuose nebus galima.
Tam tikros nustatytos teisės apdraus jus nuo veiksmų, kurie gali būti atlikti netyčia ar nekvalifikuoto vartotojo.
Jei atliksite šiuos gana paprastus veiksmus, padidinsite savo svetainės saugumą. Vien šie veiksmai negarantuos, kad į jūsų svetainę niekada nebus įsilaužta, atlikę juos sustabdysite daugumą automatinių atakų ir sumažinsite bendrą riziką.
Žinodami šias problemas ir suprasdami jas, gausite vertingų žinių apie tai, kaip veikia pagrindinės technologijos.