Jak zadbać o bezpieczeństwo strony internetowej?

Jeszcze kilka lat temu rozmawiając o bezpieczeństwie strony internetowej mówiliśmy o kiepskich zabezpieczeniach przy logowaniu do niej. Chodziło o słynne “login: admin, hasło: admin” lub inne dane o porównywalnym stopniu trudności dla hakerów z gimnazjów. Dziś nie ma już gimnazjów i raczej nie zdarzają się już aż takie proste zestawy login – hasło, także z tego powodu, że wiele systemów wymusza bezpieczeństwo, nakazując używanie dużych i małych liter, cyfr i znaków specjalnych. To jednak nie znaczy, że włamania na strony się nie zdarzają. Oczywiście, że się zdarzają i to nawet częściej niż kiedyś. Jak to możliwe?

Duży wpływ na to ma rozwój systemów do tworzenia i zarządzania stronami internetowymi. Dawniej strony były pisane na indywidualne zamówienia, więc od strony programistycznej miały znacznie mniej dziur, które mogliby wykorzystać hakerzy. No i “rozgryzienie” jednej strony nie powodowało możliwości wejścia na inne. Dziś ogromna część stron jest oparta na darmowych systemach w stylu: WordPress Drupal, PrestaShop czy Joomla.  Nie twierdzę, że to źle. Twierdzę jednak, że sprzyja to włamaniom. Dlaczego? Bo znalezienie dziury w jednej stronie otwiera drogę do ogromnej ilości następnych. Dodatkowo, sporo właścicieli stron po ich uruchomieniu “nie zagląda na nie” – w sensie nie dokonuje żadnych aktualizacji, itp. Kiedyś nie miało to znaczenia. Dziś, przy np. WordPressie, jest to bardzo ryzykowne zaniechanie.

W WordPressie i jego wtyczkach trwa cały czas swego rodzaju walka, trochę przypominająca mechanizmy inflacji. Mamy więc akcję: poszukiwanie dziur w systemie przez hakerów oraz reakcję: ich łatanie przez twórców. W efekcie pojawiają nam się aktualizacje systemów i wtyczek. Zignorowanie ich naraża stronę na zainfekowanie. Ponadto, wielu właścicieli do strony doinstalowuje wtyczki. Samo w sobie nie jest to złe. Co więcej, często są one wręcz konieczne. Zasada jest jednak taka, że z każdą kolejną wtyczką rośnie niebezpieczeństwo infekcji, szczególnie jeśli się ich nie aktualizuje. Ponadto należałoby sprawdzić co to za wtyczka (bo wtyczek wykonujących dane czynności jest wiele), czy nie spowolni za bardzo strony, czy nie ma złych opinii, czy jest aktualizowana przez autora… Pytania o jej przydatność i jakość można mnożyć. Z naszego doświadczenia wynika, że właściciele stron, a nawet ich administratorzy, nie zawsze sobie je zadają.

Oczywiście istotne są także zasady logowania do systemu – zarówno dla pracowników, jak i klientów oraz dokonywania zakupów, czyli sama konstrukcja systemu logowania, nawigacji przy zakupach, podpięcia systemu płatności czy wylogowywania. Z tym związana jest także polityka firmy w zakresie dostępu osób uprawnionych do danych klientów oraz kontrahentów. Temat robi się obszerny, więc na takim jego zasygnalizowaniu poprzestanę.

W przypadku problemów z zapewnieniem bezpieczeństwa systemowi WordPress, zapraszamy do współpracy w zakresie obsługi technicznej WordPress. Więcej informacji można znaleźć na tej stronie.