Jak zabezpieczyć stronę swojej firmy?
Ponad 80% zagrożeń w sieci wymierzonych jest w strony małych i średnich firm. Przedsiębiorcy muszą zabezpieczyć się przed włamaniami, wirusami i utratą danych. Zwłaszcza po wejściu w życie przepisów RODO.
Atak hakerów na home.pl sparaliżował 1/3 polskich firm. Globalna awaria OVH unieruchomiła połowę stron internetowych na świecie. Z Facebooka wykradziono dane 30 mln osób. Co kilka tygodni słyszymy o spektakularnych włamaniach i wielkich awariach. Zdecydowanie ciszej mówi się o infekcjach i przejęciach stron małych i średnich firm. A te zdarzają się praktycznie codziennie.
Większość złośliwego oprogramowania, wymierzona jest właśnie w tego typu strony internetowe. Dlaczego? Ponieważ stanowią łatwy cel. W odróżnieniu od dużych portali, największych sklepów czy banków, bezpieczeństwem firmowych witryn rzadko kto się przejmuje. Zwykle właściciele są przekonani, że dobrze napisana strona będzie zawsze bezpieczna. Nic bardziej mylnego. Każdego dnia w Internecie pojawiają się nowe wirusy, backdoory i konie trojańskie. Hakerzy odkrywają luki w oprogramowaniu, powstają są nowe metody ataków. Jeśli nie będziemy dbali o bezpieczeństwo, każda, nawet najlepiej napisana strona www, stanie się z czasem podatna na zagrożenia.
Co zrobić, by strona www była bezpieczna?
Bezpieczeństwo w Internecie to wyścig zbrojeń. Jeśli więc szukasz uniwersalnego sposobu na zabezpieczenie swojej strony, tutaj go nie znajdziesz. Poniżej przedstawiamy za to zestaw działań, które – jeśli są wykonywane regularnie i z należytą starannością – pozwolą uniknąć większości problemów z bezpieczeństwem firmowej strony. Wskazówki dotyczą witryn opartych o WordPressa – najpopularniejszy obecnie system CMS, napędzający 30% wszystkich stron w Internecie.
Zgodnie z RODO przedsiębiorcy mają prawny obowiązek informowania swoich klientów o incydentach związanych z bezpieczeństwem danych osobowych. Jeśli na Twojej stronie znajduje się np. formularz kontaktowy zapisujący pytania klientów, do bezpieczeństwa witryny firmowej musisz podejść bardzo poważnie. Nowe przepisy dają Ci jedynie 72 godziny na zgłoszenie naruszenia. Niewywiązanie się z tego obowiązku może zaś skutkować wysokimi karami finansowymi.
Kopia bezpieczeństwa
Kopia danych to Twoja polisa ubezpieczeniowa. Posiadając ja, w razie awarii, infekcji, czy utraty danych, będziesz w stanie szybko przywrócić stronę do stanu sprzed incydentu. Kopię bezpieczeństwa należy wykonać przynajmniej raz w miesiącu (optymalnie częściej, w zależności od rodzaju witryny), a także przed wprowadzaniem zmian w kodzie. Przed wykonaniem czynności opisanych w dalszej tego artykułu, bezwzględnie wykonaj kopię danych.
By tego dokonać, będziesz potrzebować dostępu do serwera FTP, na którym zainstalowana jest witryna. Niezbędny jest także dostęp do serwera SQL i bazy danych. Sama czynność sprowadza się do pobrania wszystkich plików znajdujących się w głównym folderze witryny (czyli tam, gdzie znajdują się katalogi wp-admin, wp-content, etc.), oraz eksportu bazy danych witryny.
Aktualizacja WordPressa
Popularność WordPressa ma swoją cenę. System CMS napędzający jedną trzecią całego Internetu jest łakomym kąskiem dla wielu cyberprzestępców. By nie być gołosłownym, w wersji 4.7.0 tego systemu, wykryto poważną lukę umożliwiającą przejęcie strony przez hakerów bez znajomości loginu lub hasła. WordPress został szybko zaktualizowany, a problem usunięty. Jednak mimo, iż cała sytuacja miała miejsce w styczniu 2017 roku, do dziś istnieją strony korzystające z podatnej na ataki wersji oprogramowania. Dlatego nie możesz zwlekać z aktualizacjami silnika swojej strony.
Pamiętaj, by przed aktualizacją wykonać kopię zapasową! By zaktualizować WordPressa, zaloguj się do swojej strony. Z głównego menu po lewej, wybierz opcję Aktualizacje, znajdującą się pod zakładką Kokpit i postępuj zgodnie ze wskazówkami na ekranie.
Aktualizacja wtyczek
Na tym samym ekranie zobaczysz informacje o wszystkich dodatkach wymagających aktualizacji. Nowe wersje wtyczek możesz pobrać także indywidualnie, na zakładce Wtyczki. Niektóre rozszerzenia do aktualizacji mogą wymagać zakupu licencji. Jeśli korzystamy z takich dodatków, za ich nowe wersje przyjdzie nam zapłacić.
Aktualizacja motywów
Analogicznie, jak w przypadku wtyczek, nowe wersje skórek do WordPressa możesz pobrać z głównego panelu aktualizacji. Aktywny motyw decyduje o wyglądzie strony internetowej. Dlatego po wgraniu najnowszej wersji, warto przejrzeć dokładnie stronę internetową i upewnić się, że wszystko prezentuje się jak należy. Jeśli pojawią się problemy z wyświetlaniem witryny, konieczne mogą być zmiany w kodzie. W takim wypadku pamiętajmy jednak, by wprowadzać je wyłącznie w motywie potomnym. Modyfikując skórkę bezpośrednio stracimy wszystkie wprowadzone zmiany przy następnej aktualizacji.
Rozsądny wybór rozszerzeń
Wiele osób ceni WordPressa za możliwość szybkiego dodawania nowych funkcji za pomocą wtyczek. Instalując nowe dodatki musimy być jednak bardzo ostrożni. To właśnie za ich pośrednictwem najczęściej dochodzi do włamań. Znamiennym przykładem może być wtyczka Accelarator Mobile Pages, która umożliwiała hakerom instalację backdoorów, złośliwego oprogramowania i przejęcia kontroli nad stroną internetową. Gdy ukryta natura rozszerzenia wyszła na jaw, plug-in został zainstalowany na ponad… 100 tys. stron www.
Zbędne dodatki
Każde rozszerzenie możesz traktować jak potencjalne zagrożenie dla Twojej strony. Wtyczka to nic innego jak zewnętrzny kod. Intencje jego autorów mogą być krystalicznie czyste. Ale niestety nie zawsze takie są. Czasami także autorzy padają ofiarą cyberprzestępców i nieświadomie rozpowszechniają niebezpieczne oprogramowanie. Dlatego trzymaj się więc zasady, w myśl której im mniej plug-inów tym lepiej. Usuń wszystkie zbędne rozszerzenia. Jeśli nie używasz danej wtyczki, nie trzymaj jej na serwerze „na zapas”. Tak samo postępuj z motywami. Jeśli potrzebujesz dodatkowych funkcji – w pierwszej kolejności zapytaj o nie programistę, bądź agencję, która tworzyła Twoją stronę www.
Dezaktywacja edytora rozszerzeń
Gdy Twoja strona jest już ukończona, warto zablokować jeszcze jedno potencjalne źródło infekcji – edytor rozszerzeń. By tego dokonać, do pliku wp-config.php należy dodać następującą linię kodu:
define(‘DISALLOW_FILE_EDIT’, true);
Zablokowanie rejestracji użytkowników
Skoro jesteśmy już przy wyłączaniu funkcji, nie możemy zapomnieć o uniemożliwieniu swobodnej rejestracji nowym użytkownikom. Jeśli nasi klienci nie zakładają indywidualnych kont na stronie, koniecznie zablokujmy dostęp do tej funkcji. Możemy to zrobić po zalogowaniu się do WordPressa. Przechodzimy do zakładki Ustawienia i wybieramy opcję Ogólne. Teraz wystarczy znaleźć i odznaczyć odpowiednie pole.
Nazwy użytkowników i hasła
Jeśli logujesz się do strony, jako nazwę użytkownika podając admin, a jako hasło qwerty, prosisz się o kłopoty. Każde słownikowe hasło, takie jak misiek, password, monika, czy polska, jest bardzo proste do złamania. Niewiele lepiej będzie jeśli przy tworzeniu haseł popisujesz się elokwencją. Onaomatopeja i paradygmat to również hasła słownikowe, stanowiące słabe zabezpieczenie.
Pod koniec 2017 roku włamywacze wykradli ponad 10 milionów haseł do w polskich portalach. Ofiarą padły nie tylko małe sklepy, ale też poważne instytucje, w tym banki: bzwbk.pl, pkobp.pl, pekao.com.pl, pzu.pl, ingbank.pl. Z wykradzionych danych wynika, że czołówkę najpopularniejszych haseł w Polsce otwierają:
- 123456
- qwerty
- 123456789
- 12345
- zaq12wsx
- polska
- 111111
- 1234
- misiek
- monika
Jeśli widzisz swoje hasło powyżej – natychmiast je zmień! Do wygenerowania bezpiecznego hasła możesz posłużyć się narzędziami wbudowanymi w przeglądarki internetowe, bądź np. stroną passwordsgenerator.net.
Dwustopniowe uwierzytelnianie
By zabezpieczyć się przed atakami typu brute force, przy logowaniu do WordPressa wymagaj dodatkowych poświadczeń od użytkownika. Pomogą Ci w tym rozszerzenia takie jak Two Factor Authentication, czy Google Authenticator. Od momentu aktywacji zabezpieczenia, do logowania na stronę potrzebny będzie smartfon i wygenerowany w aplikacji Google Authenticator kod. Dzięki temu, nawet po przejęciu nazwy użytkownika i hasła, atakujący nie będzie w stanie zaszkodzić stronie internetowej.
Ograniczenie dostępu przez .htaccess
Korzystając z pliku .htaccess, pozwoli Ci ograniczyć dostęp do kluczowych elementów strony internetowej. Tym sposobem możesz m.in. zabezpieczyć panel administracyjny, zablokować zewnętrzny dostęp do istotnych folderów, czy chronić główny plik z konfiguracją WordPressa przed niepowołanym dostępem.
Plik .htaccess znajduje się na serwerze FTP, w głównym katalogu Twojej strony www. Możesz też tworzyć tego typu pliki w lokalizacjach, do których dostęp chcesz ograniczyć. Najwygodniej będzie otworzyć plik .htaccess w edytorze kodu typu VS Code, Notepad++, czy Atom. Jeśli nie masz akurat żadnego pod ręką, możesz też posłużyć się windowsowym Notatnikiem.
Rozważ ograniczenie dostępu do panelu logowania wyłącznie użytkowników łączących się z wybranych adresów IP. Możesz to zrobić kodem:
AuthName "Example Access Control" AuthType Basic order deny,allow deny from all allow from tutaj_wpisz_adres_ip
Zablokowanie dostępu do lokalizacji wp-includes bez wątpienia korzystnie wpłynie na bezpieczeństwo witryny. Do pliku .htaccess dodaj więc kod:
<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ – [F,L] RewriteRule !^wp-includes/ – [S=3] RewriteRule ^wp-includes/[^/]+\.php$ – [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L] RewriteRule ^wp-includes/theme-compat/ – [F,L] </IfModule>
Nie możesz także zapomnieć o ochronie pliku konfiguracyjnego wp-config.php. W zależności od serwera, na którym działa Twoja strona, posłuż się kodem:
<files wp-config.php> order allow,deny deny from all </files>
lub, jeśli funkcja order jest niedostępna na Twoim serwerze:
<files wp-config.php> Require all denied </files>
reCaptcha
Dobrym pomysłem jest sprawdzenie, czy próbujący się zalogować użytkownik jest człowiekiem, czy internetowym botem. Współcześnie większość ataków wymierzonych w panel logowania przeprowadzana jest automatycznie. Realizują się specjalnie napisane boty – krótkie programy wędrujące po internecie i szukające niezabezpieczonych ofiar.
Na szczęście znaczną część z nich możemy wyeliminować korzystając z popularnego rozwiązania reCaptcha. To zabezpieczenie możemy dodać instalując odpowiednią wtyczkę do WordPressa.
Banowanie adresów IP
Monitorowanie aktywności użytkowników pod kątem niebezpiecznych zachowań ułatwi Ci wykrycie zagrożeń i pozwoli uniknąć wielu nieprzyjemnych sytuacji. Nawet na niewielkiej stronie firmowej prosta analiza behawioralna pozwoli wytypować i zablokować nawet kilkadziesiąt adresów IP dziennie. Na szczęście, nie musisz śledzić poczynań użytkowników samodzielnie. Możesz posłużyć się m.in. rozszerzeniem WordFance, które zautomatyzuje cały proces.
Dzięki temu zabezpieczeniu będziesz w stanie nie tylko zablokować boty, ale też ustalić kilka ważnych reguł dotyczących bezpieczeństwa witryny. Możesz m.in. wymusić używanie bezpiecznego hasła przez użytkowników, czy ograniczyć liczbę prób logowania do panelu administracyjnego.
Zapomnij o wirusach i włamaniach internetowych
Zrobione. Czy teraz mogę spać spokojnie?
Jak wspomnieliśmy już na początku, bezpieczeństwo to ciągły wyścig zbrojeń. Powyższe rozwiązania pozwolą wyeliminować najprostsze i najpopularniejsze zagrożenia. A konkretnie – te z nich, które znamy dzisiaj.
By zapewnić bezpieczeństwo stronie internetowej swojej firmy, musisz być na bieżąco. Warto śledzić najnowsze informacje o zagrożeniach w sieci, monitorować wykryte luki w oprogramowaniu, czytać publikacje na temat bezpieczeństwa IT. I szybko reagować, poprawiając swoją witrynę i modyfikując zabezpieczenia.
Nie masz na to czasu? Nie mają go też inni właściciele firm. Cyberprzestępcy zdają sobie sprawę z tej sytuacji. Dlatego witryny firmowe są zwykle podatne na zdecydowaną większość zagrożeń płynących z Internetu. Zanim jednak wydasz grube tysiące na zatrudnienie specjalisty IT w swojej firmie, zobacz jak chronimy strony naszych klientów. Możemy zabezpieczyć także Twoją stronę firmową. Zadbamy o o jej prawidłowe funkcjonowanie i bezpieczeństwo danych. A za rok naszej pracy zapłacisz tyle, ile wydałbyś na wykwalifikowanego pracownika w dwa tygodnie.