Hogyan törhetik fel a weboldalunkat, webáruházunkat? Mit tehetünk, ha megtörtént?
Sokszor már meg is történt a tragédia, mire észbe kapunk, de jobb azt teljesen megelőzni.
Manapság minden egyes weboldal, vagy webáruház esetén fennáll annak a veszélye, hogy feltörjék. Ennek minden egyes esetben megvan a lehetősége, és senki nem lehet képes teljes mértékig garantálni, ez nem fog megtörténni: biztonsági rések gyakorlatilag mindig lehetnek. Viszont, abban az esetben, ha mindent megteszünk annak érdekében, hogy a weboldalunk, webáruházunk a lehető legbiztonságosabb legyen, akkor töredékére tudjuk annak az esélyét redukálni, hogy baj történjen.
Ennek kapcsán szerettük volna megírni ezt a cikket, ami ahhoz segíthet hozzá, hogy a lehető legjobb módon képesek legyenek megvédeni a cégük, vállalkozásuk online arculatát. A cikk egyaránt vonatkozik weboldalakra, webáruházakra, viszont az egyszerűbb kifejtés érdekében mindenhol weboldalt fogunk említeni.
Miért fontos a biztonság?
Nyilván, mindenki tisztában van azzal, hogy mennyire fontos ez a kérdés, viszont szerettük volna leírni azt is, hogy konkrétan milyen veszélyek leselkedhetnek ránk. Talán, csak egy szimpla blogot üzemeltetünk: nincsenek tárolva személyes adatok, esetleg nincsenek feliratkozóink sem: ennek megfelelően talán úgy érezzük, hogy minket kevésbé érint ez a kérdés. Nos, valójában ez esetben is származhat hátrányunk abból, ha elhanyagoljuk az ilyen irányú tevékenységünket.
Abban az esetben, ha tényleg csak egy kisebb weboldalról, vagy egy működő blogról van szó, is sokat veszíthetünk, ha feltörik azt. Egy hacker-támadás eredményeként tönkre mehet a weboldalunk, ami azt fogja jelenteni, hogy azon semmi nem fog megjelenni. Egy fehér, üres képernyő fogja fogadni a látogatóinkat, vagy ami még rosszabb: egy trágár, minket lejárató üzenet. Előfordulhat, hogy a weboldalunkra átirányítást helyeznek el, és mindenki, aki a mi oldalunkra téved, kétes eredetű, és témájú weboldalakon fog kikötni.
Amennyiben egy webáruházról lenne szó, akkor a kérdés még kritikusabb. Ugyanezek a hibák mellett, lehetséges, hogy valaki hozzáfér a vásárlóink adataihoz, megpróbálja eladni őket, ami-ha megtörténik, rajtunk fog csattani, és a mi hírnevünket fogja csorbítani. Az is lehetséges, hogy a nevünkben próbál meg velük kommunikálni. Egy adatbázis-támadás esetén például, amennyiben valaki kitörli az egész adatállományunkat, akkor sok ezer feliratkozó, termék neve és leírása fog elveszni, ami felbecsülhetetlen károkat okozhat a folyamatos bevételezés terén. Ezen felül, ne feledkezzünk meg a zsarolólevelekről sem: valaki közzé teszi a felhasználóink adatait, amennyiben nem fizetünk neki egy nagyobb összeget.
Kik azok, akik általában feltörik a weboldalunkat?
Mindenkinek eszébe juthat egy klasszikus kép: egy görnyedt hátú hacker ül egy sötét szobában, különleges, spéci szoftverekkel, és analizálókkal nézegeti a weboldalad különféle analitikáit, és megpróbál biztonsági rést találni.
Az igazság az, hogy ez egyfajta hibás sztereotípia: a támadások nagy részét nem is emberek végzik, hanem különféle botok. Tehát, nem közvetlenül emberek állnak egy ilyen „merénylet” mögött, hanem robotok, emberek csak közvetetten vannak jelen a folyamatban. Ezek a botok egy előre meghatározott algoritmus alapján végig mennek a lehető leggyakoribb hibákon, és megpróbálják azokat megkeresni. És ha találnak, akkor kész is a baj.
Mit tehetünk a feltörés ellen?
Mégis, mi az, amit konkrétan tehetünk az ellen, hogy a weboldalunk, webáruházunk támadás áldozata legyen? Egy 10 pontból álló listát szerettem volna összegyűjteni nektek, amelyen érdemes lehet végig menni, ha már megtörtént a baj, illetve, ha azt el szeretnénk kerülni a jövőre vonatkozólag.
1. Válasszunk megfelelő hostingot
Természetesen, a legelső lépés az az, hogy a lehető legjobb helyen legyen a weboldalunk „tárolva”. Amennyiben a hosting eleve hibás, vagy rossz, akkor előfordulhat, hogy az összes egyéb intézkedésünk fabatkát sem fog érni.
A jó hostingot több féleképp felismerhetjük. Olvassunk utána véleményeknek, hogy mások milyen véleménnyel voltak az általunk nyújtott szolgáltatásokról. Akár kérdezzünk utána ilyen jellegű Facebook csoportokban, hogy kinek milyen hostinggal volt jó tapasztalata.
Ezen felül, több dologból is kitűnhet, ha egy szolgáltató nem megfelelő: ilyenek lehet például az, amikor nem https:// alatt fut, vagy a tárhelyre való bejelentkezés nem így történik. Figyeljük meg, hogy mennyire igényesen válaszolnak a leveleinkre. Kérdezzünk rá, hogy backup (biztonsági mentés) készítés elérhető-e náluk megfelelő rendszerességgel.
2. Döntsük el a weboldal architektúráját
Fontos lehet, hogy tisztában legyünk azzal, hogy a weboldalunkat milyen motor alatt szeretnénk futtatni. Ugyanis attól függően, hogy választunk, már alapból lehet egy biztonságosabb, vagy kevésbé biztonságos applikációnk. Ez nagyjából ugyanolyan, hogy milyen anyagokból építünk egy épületet: azt, amelyik erősebb acélból készül, az nagyobb eséllyel lesz stabil, igaz, ez nem csupán ezen múlik, hanem például a mérnöki munkán is, vagy a talpazaton.
Habár a WordPress a legnépszerűbb CMS, a secruityja alapvetően gyengébb, mint a többi CMS-nek, vagy keretrendszernek, amikkel weboldalakat, webáruházakat szoktak készíteni: ez megmutatkozik például abban, hogy a jelszavak tárolása nem a legbiztonságosabb Hashinggal van benne megoldva. Én például az OCTOBER CMS-t használom, aki kifejezetten jó értékelésű biztonsági szempontból.
3. Használjunk SSL tanúsítványt
Az SSL tanúsítványt bárki beállíthatja a tárhelyén, csupán néhány kattintásába fog kerülni. Abban az esetben, ha cPanel-t használunk, akkor a felületre belépve a Security fül alatt az SSL/TLS részre kattintva tudjuk ezt megtenni. Itt a Private Keys (KEY)-re kattintva nincs más dolgunk, mint legenerálni egyet.
Ezek után fontos, hogy a weboldalunkat minden esetben irányítsuk át https:// alapú protokollra, ne lehessen azt elérni http:// alapúról. Ugyanis abban az esetben, ha a weboldalunkat meg fogják tudni nyitni http:// alatt is, akkor semmit nem ért az, hogy lehetővé tettük a https://-t. Ezt kell használnunk mindig.
Természetesen az SSL-ből is vannak olyanok, amelyek nagyobb fokú védelmet nyújtanak, a különféle szolgáltatóknál változhat egy jobb csomag ára. Általában minden szolgáltató biztosít egy ingyenes verziót, minimum ezt érdemes beállítanunk. Amennyiben komolyabb webáruházunk lenne, vagy a biztonság fontosabb, akkor érdemes egy drágább, fizetős, ámde többet nyújtó csomag után néznünk.
4. Készítsünk biztonsági mentéseket
A biztonsági mentések alapvetően mindenre kiterjedhetnek: nem csak a weboldalunk elemeire (képek, oldalak, fájlstruktúra), hanem az adatbázisunkra is. Természetesen van lehetőség arra, hogy manuálisan tegyük meg mindezt, viszont annál jobb, ha automatikusan történik meg a biztonsági mentés-készítés, mondjuk heti rendszerességgel. Ez által minimalizálhatjuk a veszteségeinket, ha baj történik.
5. Ne használjunk kétes eredetű bővítményt, sablonokat
Akármilyen sablonból készítjük is el a weboldalunkat, vagy akármilyen bővítményre is lenne szükségünk, soha ne essünk abba a hibába, hogy majd az ismerősömtől megszerzem, vagy egy kétes oldalról, mert az úgy olcsóbb.
Rengeteg hacker direkt erre játszik: egy adott, alapból létező WodPress plugint átalakít, úgy, hogy az hibásan működjön, biztonsági résekkel, majd azt kezdi el terjeszteni. Éppen ezért tanácsos mindig az adott CMS hivatalos weboldaláról beszerezni azokat, amikre szükségünk lenne.
6. Használjunk frissítéseket
A frissítések esszenciális részét képezhetik a weboldalunk biztonsági karbantartásának. Lehetséges például, hogy biztonsági rés van az általunk használt bővítmények egyikében, és azt fixálják a hivatalos verzióban, viszont abban az esetben, ha mi nem frissítünk, ez ránk nem lesz hatással.
WordPress esetén például ez automatikusan megjelenik az adminisztrátori felületre belépve: frissíthető az adott bővítmény. Ne késlekedjünk!
7. Gondoljuk át a beviteli mezőket
A weboldalunkon sok alkalommal előfordulhat, hogy azon különféle beviteli mezők, elküldhető űrlapok találhatók. Ilyen lehet például egy szimpla kapcsolatfelvétel.
Fontos, hogy ezeket a beérkező adatokat mindig ellenőrizzük (validáltassuk), ez a fejlesztő feladata lesz. Ne lehessen mondjuk 255 karakternél hosszabb e-mail címet, vagy tárgy mezőt megadni. A