Nowe Technologie

Jak zabezpieczyć witrynę WWW przed atakiem?

Ostatnia aktualizacja: 04.03.2013 12:23
Cyberprzestępczość to jeden z głównych argumentów za zrezygnowaniem z pomysłu prowadzenia biznesu w internecie. Strach przed atakiem hakerskim w wielu przypadkach okazuje się być większy niż brak środków finansowych na utrzymanie internetowego interesu.
Jak zabezpieczyć witrynę WWW przed atakiem?

 

Istnieje kilka metod, które w pewnym stopniu mogą zmniejszyć ryzyko takiego ataku. Warto zadbać o to już na etapie budowania strony, gdyż bezpieczeństwo naszych danych oraz danych naszych klientów jest najważniejsze.

Szyfrowanie haseł

Wiele osób, które strony internetowe znają tylko z ich „fizycznego” wyglądu, nie zdaje sobie sprawy, jak wiele informacji ukrytych jest w ich kodzie. To właśnie podczas tworzenia witryny WWW popełnia się najwięcej błędów, a jednym z nich jest przechowywanie haseł w czystej, niezakodowanej postaci. Gdyby ktoś włamał się do niezabezpieczonej bazy danych, jak na tacy miałby podane wszystkie dane użytkowników, a przecież to właściciel strony odpowiedzialny jest za bezpieczeństwo danych. Dobrym sposobem na zabezpieczenie danych jest kryptografia, a więc wykorzystanie funkcji jednokierunkowych, które każdemu hasłu przyporządkowują pewien ciąg znaków np.: zamiast nazwiska „Kowalski” otrzymamy zaszyfrowany zapis „b78b6b578a568d890b679a808”. Odszyfrowanie takiego hasła jest bardzo czasochłonne, a więc, jeśli ktoś już włamie się do bazy danych, jest szansa, że jej nie odszyfruje i nie wykorzysta.

SSL

Jeśli hasła w bazie danych są zaszyfrowane, warto także zadbać o to, aby transmisja danych również była zaszyfrowana. Wymagane jest to szczególnie wtedy, kiedy strona zawiera formularz rejestracyjny, a więc dane, które przekazują użytkownicy, mogą mieć dla nich kluczowe znaczenie. Dotyczy to konta e-mail, hasła oraz danych personalnych. Szyfrowanie danych za pomocą SSL to wydatek kilkuset złotych rocznie, ale warto w niego zainwestować, ponieważ dane, które przesyłają użytkownicy będą zaszyfrowane, a więc utrudnione będzie ich przechwycenie pomiędzy użytkownikiem, a serwerem.

Niebezpieczne przekierowania

Jeśli ktoś nie zna się na bezpieczeństwie stron internetowych, powinien zwrócić uwagę na filtrowanie adresów wyświetlanych stron. Dość często widać brak filtrowania, aplikacja adresuje domenę na zasadzie {stala}https:\/\/nazwadomeny.pl?strona=podstrona.html{/stala}, to istnieje ogromne ryzyko, że zamiast „index.html” będzie można podstawić np.: {stala}https:\/\/wirus.pl?strona=robak.exe{/stala}, w takim wypadku zawartość podejrzanej aplikacji wyświetli się na stronie domowej. Jest to bardzo niebezpieczna sytuacja, ponieważ w takim przypadku, cyberprzestępca, może wysłać link podobny do tego, który wykorzystywany jest przez stronę „domową” i przekierować zaatakowanych użytkowników na własny formularz rejestracyjny, który będzie wyświetlany, jako fragment strony „domowej”. Skutki takiego działania mogą być bardzo niebezpieczne, wystarczy, więc zadbać o to, aby strona posiadała filtrowania wyświetlanego adresu, a skutecznie uchroni to witrynę przed tego typu sytuacją.

Aktualne oprogramowanie i odpowiednia konfiguracja

Zawsze należy pamiętać o tym, aby mieć aktualną wersję oprogramowania i dotyczy to zarówno serwera WWW jak i działających na nim skryptów jak np.: WordPress czy Joomla. Niektórzy dostawcy usług hostingowych osobiście aktualizują wersje oprogramowania do tej najbardziej aktualnej, ale najlepiej zrobić to we własnym zakresie. Luka w oprogramowaniu to bardzo często zachęta do ataku, szczególnie, kiedy usługodawca udostępnił informację w internecie, w której publikuje, że poprzednia wersja zawierała lukę w kodzie i zaleca aktualizację do jej najnowszej odsłony. Osoba, która w porę nie dokona aktualizacji, narażona jest na duże ryzyko. Po aktualizacji, warto zadbać o odpowiednią konfigurację, a więc ustalić silne hasło oraz login, a także zablokować dostęp do bazy danych z różnych komputerów. Szczególnie często popełniany błąd to ustalenie loginu „admin” oraz hasła „admin”. Takie działanie wydaje się być zaproszeniem dla niepowołanego gościa w panelu administracyjnym. Warto ustalić hasło, które składa się zarówno z wielkich jak i małych liter, liczb oraz znaków specjalnych.

Przedstawione działania dla zaawansowanych użytkowników wydają się być może banalne, jednak wdrożenie ich wszystkich, to dobry pierwszy krok do zwiększenia bezpieczeństwa serwisu. Należy zawsze pamiętać o tym, że bezpieczeństwo naszych danych oraz danych naszych klientów jest najważniejsze – mówi Tomasz Kuźniar, prezes Monit24.pl.



autor: Robert Kamiński

Czytaj także

3 mln adresów IP padło ofiarą wirusa

Ostatnia aktualizacja: 11.03.2013 17:09
Co najmniej trzy miliony adresów IP na całym świecie zostało zainfekowanych przez wirus komputerowy o nazwie Virut - wynika z raportu opublikowanego przez zespół CERT Polska, działający w ramach instytutu badawczego NASK. Wirus, który rozprzestrzeniał się za pomocą stron www, był wykorzystywany między innymi do dystrybucji spamu, kradzieży danych oraz ataków DDoS.
rozwiń zwiń
Czytaj także

Cyberatak. Poczta Kancelarii Premiera zhackowana

Ostatnia aktualizacja: 13.03.2013 15:36
Przejęto skrzynkę pocztową Tomasza Arabskiego i wysyłano z niej zainfekowane wiadomości do innych instytucji rządowych – przyznała Kancelaria Prezesa Rady Ministrów.
rozwiń zwiń
Czytaj także

Monitoring prewencyjny - jak zabezpieczyć witrynę?

Ostatnia aktualizacja: 14.03.2013 10:00
Strona WWW to bardzo ważny kanał komunikacji pomiędzy firmą, a kontrahentem, a więc w przypadku problemów technicznych, kiedy witryna WWW nie odpowiada lub nie wyświetla poprawnie treści – generuje straty. O ile straty finansowe można z biegiem czasu odrobić, to straty wizerunkowe i rozczarowanie klientów będzie dużo trudniej naprawić.
rozwiń zwiń
Czytaj także

Nowe formy wirtualnej wojny

Ostatnia aktualizacja: 22.03.2013 11:11
Wg najnowszego raportu Deloitte „Cyber Espionage - The harsh reality of advanced security threats”, aż 76 proc. zaatakowanych przez cyberprzestepców podmiotów nie miało skutecznych programów antywirusowych.
rozwiń zwiń