4 proste i skuteczne sposoby na zabezpieczenie witryny internetowej

Klaudia Ciesielska
6 min

Wydarzenia ostatnich miesięcy doprowadziły do znaczącego przepływu klientów do Internetu. Za nimi przeniosły swoje oferty także liczne sklepy i usługodawcy. Tym sposobem w krótkim czasie zauważalnie wzrósł ruch sieciowy, a zachęceni zamieszaniem i dopływem potencjalnych ofiar, swoje działania zintensyfikowali także cyberprzestępcy. Biorąc pod uwagę, że w obecnej sytuacji priorytetem jest działanie usługi, a bezpieczeństwo często schodzi na drugi plan– nastał czas żniw dla szarej strefy.

Szacuje się, że aż 60 proc. firm na świecie doświadczyło już naruszenia danych. W Polsce sytuacja nie wygląda wcale lepiej. W samym 2018 roku odnotowano 19,5 tysiąca zgłoszeń, co stanowi 17,5 proc. więcej w stosunku do roku wcześniej[i]. Uwzględniając ten negatywny trend oraz aktualną sytuację z myślą o przedsiębiorcach, którzy przenieśli swój biznes do Internetu, OVHcloud, globalny dostawca hiperskalowalnej chmury, przygotował zestaw prostych wskazówek, które pomogą poprawić bezpieczeństwo strony internetowej.

Wśród popularnych sposobów atakowania stron internetowych, wykorzystywanych przez cyberprzestępców, są między innymi włamania na konto administratora poprzez odgadywanie słabych haseł (m.in. metodą słownikową) oraz przechwytywanie czy nawet manipulowanie komunikacją pomiędzy witryną internetową, a przeglądarką danego internauty (strategia man in the middle). Inne formy „hakowania” to zalanie strony internetowej dodatkowymi połączeniami (atak DDoS) lub wykorzystywanie luk i podatności starszych wersji platform internetowych.

REKLAMA

Różnorodność ataków w sieci oznacza, że do ich skutecznego zwalczania potrzebna jest fachowa wiedza. Każdy użytkownik może jednak utrudnić ataki we własnym zakresie, dbając o cyberbezpieczeństwo, by możliwie najefektywniej chronić przynajmniej dane osobowe, swoje i innych. Niektóre z najlepszych praktyk da się wprowadzić indywidualnie, podnosząc znacząco w ten sposób poziom zabezpieczeń strony internetowej. Zastosowanie czterech poniższych kroków radykalnie ogranicza podatność na skuteczne włamanie lub uszkodzenie strony internetowej przez cyberprzestępców.

„Cyberprzestępczość to też, w pewnym sensie, biznes – musi się opłacać.” – mówi Jakub Słociński Network Defence leader, OVHcloud – „Stosując podstawowe zabezpieczenia można znacząco zminimalizować ryzyko włamania i kradzieży danych. Większość ataków jest zautomatyzowana: wyszukują znane luki i słabe hasła. Z kolei ataki bardziej wypracowane tworzone są z oszacowaniem potencjalnych zysków i kosztów, koniecznych do poniesienia przez przestępców. Jeśli bilans się nie zgadza, ataku nie ma sensu przeprowadzać. Zachowując podstawowe bezpieczeństwo, zdecydowaną większość z nich możemy więc odeprzeć lub ich uniknąć.”

#1 Stosuj silne hasła

Słabe hasła zwiększają ryzyko włamania m.in. przez przejęcie kont administratora. Jeżeli wybierzemy długie i złożone, składające się z kombinacji wielkich i małych liter, jak i znaków specjalnych, lepiej zabezpieczymy swoje dane. Można zastosować łatwe do zapamiętania zdanie lub losową kombinację zapisaną w managerze haseł. Dla cyberprzestępców takie hasła są zbyt skomplikowane, aby mogli je zgadnąć lub złamać, wykorzystując słowniki haseł. Unikać należy prostych, osobistych skojarzeń, takich jak data urodzenia, nawet zapisana nie po kolei. Warto pamiętać, że aż ok. 90 proc. ataków w 2019 roku umożliwiły cyberprzestępcom właśnie nieprzestrzegający procedur bezpieczeństwa użytkownicy, nie zaś nieskuteczne zabezpieczenia.[ii]

W ramach podstawowej profilaktyki warto też ustawić odrębne, unikatowe hasło dla każdego tworzonego konta, zabezpieczy to wszystkie dane uwierzytelniania. Dobrą praktyką jest zmiana hasła przynajmniej co kwartał.

#2 Zainstaluj certyfikat SSL

Niektóre adresy stron zaczynają się od „HTTP://”, inne natomiast od HTTPS://. Litera “S” to skrót od słowa “secure”, czyli bezpieczny. Oznacza, że witryna ma zainstalowany certyfikat SSL, a zatem wszystkie połączenia pomiędzy daną stroną internetową i przeglądarką są szyfrowane. Znacząco utrudnia to cyberprzestępcom “podsłuchiwanie” transmisji lub manipulowanie takim połączeniem. Zainstalowanie certyfikatu SSL na witrynie poprawi też jej pozycjonowanie w wyszukiwarkach (SEO, Search Engine Optimization). Chcąc już na pierwszy rzut oka ocenić poziom bezpieczeństwa danej strony internetowej, zwróćmy uwagę na certyfikat SSL oraz na przykład na poprawność składni danego hiperłącza.

#3 Zwróć uwagę na zabezpieczenia przed atakiem DDoS

Ataki rozproszonej odmowy dostępu (DDoS – Distributed Denial of Service) to, według ekspertów ds. cyberbezpieczeństwa, rodzaj zagrożenia, które w ostatnich latach staje się coraz bardziej powszechne. W samym 2019 roku polskie firmy doświadczyły łącznie 159 tys. takich incydentów.[iii] Ataki DDoS stosują rozmaite strategie (np. korzystają z sieci botów – botnet) w celu przeciążenia zasobów systemu lub wyczerpania przepustowości łącza. Szacuje się, że tego typu atak ma miejsce co dwie sekundy. Z tego powodu renomowani dostawcy hostingu oferują klientom rozwiązanie zabezpieczające przed DDoS. Niektóre firmy zaś, jak OVHcloud, zapewniają ochronę Anty-DDoS jako standard dla większości usług w ramach swojej infrastruktury.

#4 Stale aktualizuj platformę, na której stoi Twoja witryna – to bardzo ważne

Niektórzy dostawcy zapewniają ochronę witryn klientów poprzez konkretne rozwiązania, takie jak Anty-DDoS. W Internecie jest jednak wiele innych zagrożeń, których łatwo można uniknąć, dbając o aktualizację wszystkich komponentów (platforma CMS, Pluginy, itp.). Na przykład dla rozwiązań CMS, takich jak WordPress, Joomla, Drupal czy PrestaShop, pojawia się co najmniej kilka aktualizacji i łatek w roku. Łatki pozwalają na wydajne funkcjonowanie strony internetowej, uwzględniając jednocześnie ewolucję rozwiązań technologicznych. Aktualizacja zwykle nie wymaga żadnych nakładów, poza przeczytaniem powiadomień i paroma kliknięciami w CMSie.

Stosowanie tych czterech prostych zabezpieczeń na pewno pomoże w utrzymaniu płynności działania strony internetowej. Żaden rynek nie lubi jednak próżni i nie wystarczy zabezpieczyć się „raz a dobrze”. Ochrona strony internetowej wymaga regularnej aktualizacji wiedzy o nowe, pojawiające się dopiero zagrożenia oraz sposoby walki z nimi.

[i] https://www.cert.pl/news/single/zgloszenia-i-incydenty-w-2018-roku
[ii] https://www.kaspersky.pl/dziewiec-na-dziesiec-incydentow-naruszenia-bezpieczenstwa-danych-wynika-z-bledow-ludzi
[iii] https://biznes.t-mobile.pl/pl/blogit/bezpieczenstwo-it/ataki-ddos-w-2019-roku