Spis treści
- Regularna aktualizacja skryptu
- Powstrzymywanie się od instalowania dodatków z niezaufanych źródeł
- Mocne hasła
- Zabezpieczenia przed atakami brute-force
- Dbanie o bezpieczeństwo komputerów, które łączą się z hostingiem
- Dodatkowe zabezpieczenia, które utrudnią ataki
- CloudFlare
- Aktualny adres e-mail oraz numer telefonu w panelu klienta
Regularna aktualizacja skryptu
Podstawową zasadą bezpieczeństwa jest regularna aktualizacja oprogramowania, które obsługuje witrynę. Najlepiej, gdy aktualizacja sprawdzana jest codziennie. Istnieją dodatkowe rozszerzenia witryn, które powiadomią nas o aktualizacji. Wiele skryptów posiada wbudowane powiadomienia, wyświetlane w panelu lub wysyłane na adres e-mail właściciela witryny.
Powstrzymywanie się od instalowania dodatków z niezaufanych źródeł
Bardzo często zdarzają się dodatki do witryn (wtyczki, rozszerzenia, skórki, szablony), które zawierają kod umożliwiający atakującym wykorzystanie naszego konta hostingowego do wysyłki spamu, wyłudzenia danych lub ataku na kolejne witryny. Atakujący często wykorzystują luki dopiero po wielu miesiącach od instalacji. Ideałem oczywiście byłoby przejrzenie kodu źródłowego dodatku, jednak dla osób niezaawansowanych zalecane jest po prostu instalowanie dodatków ze sprawdzonych źródeł, które weryfikują kod źródłowy.
Mocne hasła
Wszyscy wiedzą, że jest to ważne, jednak słaba pamięć do haseł oraz poczucie, że nikt nie będzie chciał włamać się na rzadko odwiedzaną stronę stanowi w dalszym ciągu pokusę, aby korzystać ze słabych haseł. Włamania na strony najczęściej dokonuje stworzone w tym celu oprogramowanie. Mocne hasło to minimum 8 znaków, małe oraz wielkie litery, cyfry oraz znaki specjalne. Aby zapamiętać trudne hasło, warto na przykład ułożyć sobie śmieszny wierszyk i skorzystać z pierwszych liter słów.
Zabezpieczenia przed atakami brute-force
Nawet jeżeli mamy mocne hasło do witryny, warto zabezpieczyć się dodatkowo przed atakami typu brute-force. Polegają one na próbach logowania z losowymi lub najpopularniejszymi hasłami. I chociaż wszystkie nasze usługi (FTP, SSH, poczta, DirectAdmin, phpMyAdmin) są zabezpieczone przed tego typu atakami, mieliśmy przypadki udanych ataków brute-force na skrypty Joomla i WordPress. Zalecamy instalację dodatkowych rozszerzeń do witryn, które zablokują dostęp do logowania na kilkanaście minut po wykonaniu na przykład 3 prób logowania.
Dbanie o bezpieczeństwo komputerów, które łączą się z hostingiem
Kolejną przyczyną ataków jest kradzież hasła do poczty lub FTP przez szkodliwe oprogramowanie zainstalowane na kontach klientów. Tutaj obowiązują takie podobne zasady bezpieczeństwa: regularnie aktualizujemy system operacyjny oraz oprogramowanie na komputerze, nie instalujemy oprogramowania z niezaufanych źródeł, nie odwiedzamy niezaufanych stron internetowych. Poziom bezpieczeństwa z pewnością zwiększy dobry program antywirusowy i włączony firewall. W żadnym wypadku nie łączymy się z hostingiem przez komputery, których nie znamy, szczególnie w kawiarenkach internetowych.
Dodatkowe zabezpieczenia, które utrudnią ataki
Nasz hosting dysponuje niestandardowymi zabezpieczeniami, które blokują próby ataków. Jednym z nich jest już wspomniany we wstępie filtr, który domyślnie jest włączony i zalecamy pozostawienie go włączonym. Drugim zabezpieczeniem, które można włączyć, jest blokada połączeń z konkretnych krajów. Ataki bardzo rzadko następują z terenu Polski, najczęściej z krajów Ameryki Południowej, Chin i Rosji. Mamy możliwość włączenia blokady logowania FTP i SMTP a także blokadę żądań POST, np. jeżeli nasi odwiedzający pochodzą tylko z regionu Polski lub Europy. Należy tylko pamiętać przed wyjazdem na wakacje, żeby odblokować kraj do którego wyjeżdżamy.
CloudFlare
CloudFlare to pośrednik między hostingiem a odwiedzającym, który blokuje wiele ataków na witryny oraz pomaga zaoszczędzić transfer i przyspiesza wczytywanie witryny. CloudFlare posiada filtr bezpieczeństwa podobny do naszego, który na podstawie właściwości żądania HTTP potrafi rozpoznać te, które stanowią atak. Usługa w podstawowej wersji jest bezpłatna a integracja witryny na naszym hostingu sprowadza się do kilku kliknięć w panelu DirectAdmin.
Aktualny adres e-mail oraz numer telefonu w panelu klienta
Jedną z konsekwencji niezabezpieczenia witryn jest przerwa w działaniu lub utrata danych. Czasami, na skutek roztargnienia możemy sami sobie zgotować tego typu nieprzyjemności. Nieaktualny adres e-mail oraz numer telefonu, który należy podać w panelu klienta, skutkować może brakiem przypomnienia o płatności za usługi i blokadę tych usług, oraz usunięcie danych i utratę domeny.