5 rzeczy, które możesz zrobić w 30 min, żeby poprawić bezpieczeństwo strony www

Historia klientów 2be.pl w pigułce

1500 osób utraciło strony www, maile i wszelkie inne dane przechowywane na hostingu. Nie jest jasne czy kiedykolwiek odzyskają swoje dane a jeśli tak to z jakiej daty.

Przez ponad tydzień nie działała poczta elektroniczna. Od ponad 2 tygodni strony www tych osób pozostają niedostępnie.

Prawdopodobnie większość tych stron www będzie trzeba wykonać od nowa.

30,000stron internetowych zostaje zainfekowanych każdego dnia

To może się przytrafić każdemu

Zawinić może firma hostingowa

Zawinić może twórca / administrator strony www

Zawinić może właściciel strony www

Wyciągnijmy wnioski z cudzych błędów

1. Popraw hasła i zarządzanie dostępami

Lista najpopularniejszych używanych haseł w internecie według splashdata.com

Bezpieczne hasło

Przykładowe hasło Łatwe do zapamiętania?

Trunde do odgadnięcia?

123456 TAK NIE

VVW^kv7xEUk5fd&GV1uA#R NIE TAK

Lepiej zapobiegać niż leczyć!!! TAK TAK

Zarządzanie dostępami

Dostępy do:

● Konta domenowego● Panelu administracyjnego hostingu● Panelu rozliczeniowego hostingu● Bazy danych● Serwera pocztowego● Panelu administracyjnego strony www● Google Analytics i usług SaaS

Kto ma dostęp?

Kto miał dostęp w przeszłości?

Kto może zmienić hasło?

Jak udostępniać hasła na przyszłość?

2. Porozmawiaj ze swoim administratorem (lub go zatrudnij)

Doprecyzuj zakres obowiązków

Utrzymanie vs. Monitoring

Kopie zapasowe

Uaktualnienia vs. Upgrade

Przejrzyj swoich dostawców

Firma hostingowa - kryteria

● nie tylko cena się liczy● elastyczność● polityka bezpieczeństwa● scenariusze na wypadek katastrof● własne serwery / pośrednictwo● redundancja● renoma

Administrator strony www - kryteria

● czas reakcji● organizacja pracy / oprogramowanie do

zarządzania stronami www● redundancja● proaktywność

3. Zainwestuj w monitoring

Dowiedz się jako pierwszy

Na czym polega monitoring?

● Sprawdzanie czy strona www jest dostępna

● Sprawdzanie czasu odpowiedzi strony www

Parametry

● Z jakiej lokalizacji sprawdzana jest dostępność?

● Jak często jest sprawdzana dostępność?● Które podstrony są monitorowane?● Co konkretnie jest monitorowane na

stronach?

Procedura w razie braku dostępności

Kto otrzymuje informacje?

Kto powinien działać w tej sprawie?

Jak szybko zostaną podjęte kroki?

Jakie działania zostaną podjęte?

Kto nadzoruje wykonanie procedury?

4. Upewnij się, że masz kopie zapasowe

Co powinien zawierać backup?

● pliki z kodem● baza danych● media (zdjęcia, video, pdf, itp)

Częstotliwość backupów

Backup strony www powinien być wykonywane regularnie.

Częstotliwość backupów zależy od częstotliwości zmian na stronie.

W większości przypadków jest to pomiędzy 1 a 30 dniami.

Przechowywanie backupów

Backup trzymany na tym samym serwerze co strona www to żaden backup.

Jeśli nastąpi włamanie na stronę, to backupy także mogą być zainfekowane/ zaszyfrowane/usunięte.

Jeżeli serwer ulegnie awarii zagrożona jest zarówno strona www jak i kopie zapasowe.

Upewnij się, że Twoje backupy przechowywane są poza serwerem, na którym znajduje się strona www.

Integralność backupów

Nie masz backupu, dopóki nie sprawdzisz czy można z niego odtworzyć stronę.

1 z 10 backupów zawodzi podczas testu integralności.

Najczęstsze przyczyny to:

● błąd podczas tworzenia archiwów backupów● błąd podczas kopiowania archiwów backupów do Internetu

5. Dopilnuj, żeby oprogramowanie strony www było aktualne

80%Stron jest podatnych na włamanie z powodu nieaktualnego oprogramowania

Co powinno być aktualizowane

● Oprogramowania serwera (nawet na współdzielonych hostingach)○ Apache / NGINX○ PHP (do wersji 5.5 lub wyższej)○ MySQL (do wersji 5.5 lub wyższej)

● CMS○ WordPress (do wersji 4.4.2)○ Joomla (do wersji 3.4.8)○ Presta Shop (do wersji 1.6.1.4)

● Rozszerzenia/Motywy/Add-ony

Na co zwrócić uwagę?

Harmonogram aktualizacji

Informacje o dostępnych aktualizacjach

Dostęp do aktualizacji (zwłaszcza przy płatnych rozszerzeniach)

Aktualizacja na serwerze produkcyjnym czy deweloperskim?

Testowanie po aktualizacji?

Q&A