Zabezpieczenie strony internetowej staje się ważnym zagadnieniem w przypadku wszystkich tych, którzy posiadają własne strony internetowe. Niestety, przez wielu właścicieli witryn temat ten jest traktowany po macoszemu.
Niewielu z ich zdaje sobie sprawę, że stronę internetową trzeba zabezpieczyć dokładnie tak samo jak fizyczną siedzibę firmy. Potrzebne są zatem mechanizmy, które pozwolą na to, żeby zarówno korzystający z witryny, jak i właściciel czuli się bezpieczni i chronieni przed wyciekiem danych do internetu.
To szczególnie ważne w przypadku, kiedy coraz więcej użytkowników jest świadomych obowiązku ochrony danych osobnych, praw konsumenta oraz zasad łamania zabezpieczeń stron internetowych.
Zabezpieczenie strony internetowej i ochrona danych osobowych
Ochrona danych osobowych klientów oraz wszystkich użytkowników strony internetowej jest obowiązkiem właściciela witryny. Ustawa o ochronie danych osobowych zakłada, że osoby przechowujące informacje na temat innych użytkowników, takie jak: imię, nazwisko, adres itp. mają obowiązek ich ochrony przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Oznacza to zatem, że zabezpieczenie strony internetowej jest jednym z ważniejszych elementów zarządzania nią i nie może być pomijane ani traktowane jako zbędne. Odpowiednie zabezpieczenia witryny internetowej pozwalają na przekonanie klientów do tego, że dana witryna jest bezpieczna i poważnie traktuje obawy swoich użytkowników.
Istnieje kilka sposobów na zabezpieczenie strony internetowej oraz danych klientów znajdujących się w sklepie. Jednym z nich jest certyfikat SSL, który pozwala na chronienie danych przesyłanych przez klientów. Taki certyfikat szyfruje informacje przesyłane przez nabywcę na przykład poprzez formularz zgłoszeniowy. Jest to jednak rozwiązanie, które może niepotrzebnie obciążać serwer strony, dlatego warto ograniczyć jego obecność do takich elementów jak: koszyk, logowanie, rejestracja i formularz zamówienia.
Posiadanie certyfikatu widoczne jest dla klienta w adresie internetowym witryny, gdzie zamiast „http” pojawia się „https” oraz znak kłódki. Świadomi podstawowych zabezpieczeń internetowych klienci, starają się dokonywać zakupów jedynie w sklepie posiadającym takie zabezpieczenie, dlatego posiadanie certyfikatu SSL jest podstawą.
Innym elementem jest opracowanie zasad bezpieczeństwa tak, aby nie dostały się one do rąk osób niepowołanych. Istnieje oprogramowanie, które pozwala na założenie kont administratorów i wyznaczenie ich praw dostępu do poszczególnych części serwisu. Warto z niego skorzystać, szczególnie jeżeli do obsługi serwisu potrzebnych jest kilka osób.
Zabezpieczenie serwisów i stron firmowych
Oprócz wspomnianego już wyżej certyfikatu SSL, w przypadku bezpieczeństwa stron firmowych przyda się jeszcze kilka innych zabezpieczeń. Przede wszystkim dobrze jest postawić na zabezpieczone hasłami katalogi. Okazuje się, że wiele z komercyjnych firm oferujących hosting pozwala na takie działanie. Wystarczy jedynie ustawić odpowiedni kod dla katalogu stworzonego w PHP.
Innym sposobem na zabezpieczenie strony internetowej jest używanie bezpiecznych skryptów. W porównaniu z CSS-ami udostępnianymi w internecie na zasadzie OS, nie posiadają one dziur ani innych słabości, przez które mogliby do strony dobrać się niepowołani użytkownicy. Trzeba pamiętać, że kiedy używamy dodatków ściągniętych z sieci, narażamy się na włamanie, ponieważ w większości przypadków ich autorzy nie zaprzątali sobie głowy bezpieczeństwem użytkowania. Ta zasada dotyczy również aktualizacji skryptów, nawet tych pobieranych z oficjalnych stron. Aby upewnić się, czy warto ściągnąć dany dodatek, można sprawdzić, czy znajduje się on na liście tych „dziurawych”, na forach ruchu OS.
Można również pokusić się o stosowanie odpowiednich atrybutów, a dokładniej o odpowiednie określenie dostępu do plików. Jest ono kontrolowane poprzez FTP i ustalenie 644 dla plików i 755- dla katalogów. Niektóre pliki, tzw. catche potrzebują atrybutów do odczytania, zapisania i wykonania o kodzie 777.
Ostatecznie można ustawić serwer na nowsze wersje języka PHP – PHP5 czy PHP7, co oznacza, że będzie on interpretował pliki o rozszerzeniu .php jako PHP5 bądź PHP7.
Czy moja strona narażona jest na atak?
Zastanówmy się, jakie strony narażone są na atak ze strony hakerów. Odpowiedź jest prosta: wszystkie. Ich ofiarą może paść zarówno osoba, która wynajmuje serwer lub używa własnego oraz taka, która założyła swoja witrynę na platformie stron WWW. W tym przypadku nie ma znaczenia również to, kto wykonywał stronę, ponieważ zarówno klienci wielkich firm, jak i freelancerów są tak samo narażeni na kradzież danych.
Ważne jest, aby uświadomić sobie, co może się stać, jeżeli strona dostanie się we władanie hakerów. Mogą wydarzyć się następujące scenariusze: ruch z witryny może zostać przekierowany na strony spamerskie, serwer może zostać użyty do wysyłania spamu, serwis może zostać wzięty “za zakładnika” i jego ponowne uruchomienie może być zależne od wpłaconego okupu, dane klientów mogą zostać wykradzione. Dlatego stosowane zabezpieczenie strony internetowej powinno zakładać tego typu zdarzenia. Trzeba również pamiętać, że nie miały miejsca ataki związane z uszkodzeniem stron internetowych, ponieważ takie działanie nie przynosi atakującym żadnych wartości materialnych.
Na szczęście można nieco obniżyć możliwość wystąpienia ataku poprzez zastosowanie się do kilku ogólnych zasad. Ważne jest zabezpieczenie połączenia Wi-Fi. W innym przypadku, udostępnia się je każdemu użytkownikowi, co pozwala na pozyskanie haseł i podsłuchanie połączenia.
Używanie silnych haseł, czyli takich, które trudno będzie odgadnąć. Nieprzestrzeganie tego warunku może spowodować szybkie przejęcie tego kodu i ułatwienie zdobycia potrzebnych informacji. Trudne i jednocześnie unikalne hasła powinny być stosowane do zabezpieczenia wejścia do takich miejsc jak: panel administracyjny, serwer, panel administracyjny serwera i rejestratora domeny, adresu e-mail, na który wysyła się wiadomość przypominającą hasło.
Podobnie ma się sytuacja z loginem użytkownika. Również musi być trudny do odgadnięcia. Nie może to być ani imię i nazwisko, ani słowo „admin”, ponieważ są zbyt oczywiste. Podobnie jak w przypadku haseł, nazwy użytkownika również powinny być silne.
Dobrym pomysłem jest zabezpieczenie samego komputera. Szczególnie, kiedy istnieje ryzyko zainfekowania sprzętu tzw. keyloggerem, czyli programem, który odczytuje to, co wpisywane jest na klawiaturze komputera i wysyła je do zainteresowanej osoby. Aby uchronić sprzęt trzeba koniecznie zaopatrzyć się w dobry program antywirusowy, zainstalować firewall, a także starać się, aby wszelkie hasła wpisywać z klawiatury ekranowej. Istotne jest także, aby nie pobierać plików z niewiadomego źródła.