Bezpieczeństwo witryny internetowej
Witryna internetowa to symbol i wizerunek firmy dlatego niezbędna jest dbałość o jej treść oraz bezpieczeństwo.
W internecie grasują wyspecjalizowane grupy zajmujące się zmianą kodu lub doklejaniem własnych kawałków szkodliwego oprogramowania do witryn internetowych.
Dlatego ważna jest profilaktyka i przestrzeganie poniższych zasad:
1. Hasło - dobre hasło dostępu do witryny – hasło minimum ośmio znakowe zawierające znaki specjalne lub duże litery, jeżeli istnieje taka możliwość zadeklaruj adresy IP z których możliwe jest logowanie do witryny. Hasło powinno być systematycznie zmieniane.
- Nie zapisuj haseł w programach do łączenia się z FTP.
2. Login - Zmień standardowy login logowania do witryny z admin na inny utrudnisz w ten sposób atak słownikowy.
3. Ftp – pamiętaj że dostęp przez ftp pozwala ingerować w strukturę witryny. Najbezpieczniej jest ograniczyć dostęp do serwera FTP dla wybranych numerów IP, stosować silne hasło oraz często je zmieniać.
4. Logowanie SSL - bezpieczny dostęp do witryny poprzez szyfrowane logowanie SSL. Logując się tym protokołem minimalizujesz szansę podsłuchania hasła.
5. CMS - używając ogólnie dostępnego systemu CMS np. Joomla lub Drupal należy ograniczyć ilość instalowanych komponentów oraz pluginów do minimum.
6. Foldery i pliki – prawidłowo ustawione atrybuty na folderach podnoszą bezpieczeństwo witryny – źle ustawione uprawnienia powodują możliwość dopisywania kodu do witryny. W systemach linuksowych atrybuty na folderach i plikach musza mieć poniższe wartości:
644 (dla plików)
755 (dla katalogów) uwzględniając odpowiedniego właściciela plików i folderów.
Czasami wymagane jest przez system ustawienie atrybutu (777) odczyt zapis i wykonywanie dla folderów typu TMP lub Cache
7. Index.html - pliki index.html powinny być umieszczone we wszystkich folderach. Zabezpieczają one przed listowaniem zawartości folderu co uniemożliwia sprawdzanie zapisanych plików z poziomy przeglądarki. Wgląd w listing folderu pokazuje atakującemu strukturę, wersję i ułatwia przeprowadzenie szybkiego ataku lub podegranie szkodliwego kodu na witrynę internetową.
8. .httaccess – jeżeli używasz .httaccess stosuj w pliku instrukcję „Options – Indexes” która zabezpieczy Twoją witrynę przed listowaniem plików w folderach
9. Aktualizacje - dbaj o aktualizację. Nowe wersje oprogramowania PHP, Apache, MySQL są systematycznie udoskonalane oraz zabezpieczane. Po wykryciu dziury w zabezpieczeniach producent wydaje poprawkę którą należy niezwłocznie wgrać na serwer w celu jego zabezpieczenia. Zlekceważenie aktualizacji komponentów systemowych obniża bezpieczeństwo witryny internetowej. Podczas publikacji poprawki zostaje wydana lista usuniętych błędów te informacje wykorzystywane są przez hakerów.
10. Kopie - Kopie bezpieczeństwa należy wykonywać systematycznie automatycznie lub ręcznie.
Uwaga:
Dla bezpieczeństwa witryny należy przestrzegać jednocześnie wszystkich powyższych zaleceń.