Kvalitní zabezpečení Vašeho webu před útoky hackerů je dnes prakticky nutností a povinností. Ať už se jedná pouze o malý prezentační web, kde nehrozí úniky citlivých dat, nebo o velkou webovou aplikaci, na kterou přistupují denně tisíce uživatelů. Propracované webové aplikace jsou často dobře zabezpečeny po všech stránkách už pouze z toho důvodu, že je to nutné pro její provoz z legislativního hlediska. A to je samozřejmě dobře. Určitě by Vám nebylo příjemné používat třeba web Vaší banky s vědomím, že jejich internetové bankovnictví není dobře zabezpečeno, a Vaše (nejen) platební údaje a bankovní identita obecně mohou být zneužity.
Malé weby a zabezpečení
Asi se tedy shodneme, že weby, které pracují s citlivými uživatelskými daty, vyžadují tu nejvyšší úroveň zabezpečení proti útokům. Jak jsou na tom ale menší weby? Jednostránkové on-line vizitky, firemní stránky, osobní weby? Ruku na srdce. Řeší to někdo? Záleží na tom? Není to náhodou úplně jedno?„Však na té stránce je jenom pár údajů, které jsou stejně veřejné…“
Hacker se mi může dostat do administrace? A co by z toho měl?
Když začneme přemýšlet například nad svou jednostránkovou webovou prezentací, začneme pochybovat, proč by se vůbec útočník snažil se našeho webu zmocnit. A skutečně je realitou, že kupříkladu web Microsoftu (nebo Applu) bude pro hackery asi vždycky lákavější, než svým způsobem generická jednostránková prezentace osoby nebo firmy. Na druhou stranu, špatným zabezpečením i přesto riskujete nemálo.
Ostudu a starosti
Opravdu se Vám chce po večerech řešit, že se Vám někdo naboural do webu, že nemáte přístup k administraci, nemůžete upravovat obsah stránek, nebo dokonce, že hacker něco na stránkách změnil? Navíc můžete před svými zákazníky nebo čtenáři vzbudit dojem nedůvěryhodné osoby. A věřte mi, po této zkušenosti stejně web lépe zabezpečíte.
Phishing
Útočník například může na Váš web nahrát podvrženou stránku, pomocí které bude od uživatelů získávat citlivé údaje. Tento jev je charakteristický třeba v souvislosti se stránkami bank, odborně se mu říká phishing. Podvodná praktika spočívá v tom, že uživatel načte webovou stránku, která vypadá stejně, jako webová stránka důvěryhodné organizace, ale nejedná se o originál, nýbrž o kopii originální stránky. Tato kopie je po technické stránce téměř identická, zásadní rozdíl je však v tom, kam se odesílají uživatelem zadaná data. Uživatel následně v domnění, že se nachází na originálním důvěryhodném webu zadá citlivé údaje, které následně získává podvodník.
Nekalý konkurenční boj
Ano, i to se Vám může stát. Pokud se zmocním cizího webu, mohu jej například nastavit tak, aby příchozí uživatele stránka automaticky přesměrovala na jinou stránku. Ačkoli zde se jedná již o poměrně extrémní příklad, technicky to možné je. Kdo má k webu přístup, má i možnost takovou věc udělat. A to, zda ji udělá, nebo ne, záleží pouze na něm, na jeho svědomí a poctivosti. Ale věřte, že poctivý člověk nemá potřebu se ani pokoušet dostat se do cizí administrace.
Scam, spam a podobně
Jak určitě víte, na internetu se šíří spousta věcí, mezi nimi například dezinformace. Já se budu zabývat něčím, co je s tím velmi spjato, a sice podvodnými články (Scam). Typickým příkladem jsou třeba zavádějící zprávy o vývoji trhu kryptoměn, které občas každý z nás zahlédne někde na internetu. Zprávy a texty slouží útočníkům k manipulaci důvěřivých jedinců s cílem vylákat z nich peníze a okrást je. A to pod nejrůznějšími záminkami. Právě tyto texty, ať už ve formě bannerů, odkazů, nebo nežádoucích vyskakovacích oken, mohou útočníci nahrát i na Váš web, pokud mají přístup k administraci.
Musím tedy investovat do zabezpečení?
Pochopitelně, úroveň nutného zabezpečení určuje především charakter webu. A u malých webů – většinou osobních prezentací, které slouží pouze jako webová vizitka a nejsou příliš interaktivní, je dle mých zkušeností nejrozumnějším řešením se zkrátka chovat bezpečně.
SSL certifikát je základ všeho
Základem každého webu by mělo být zajištění SSL certifikátu. Ten slouží, zjednodušeně řečeno, k zašifrování informací putujících mezi serverem a klientem. V praxi to přináší větší odolnost třeba vůči „odposlouchávání“ této komunikace. Přítomnost SSL certifikátu pozná i laik, a to podle symbolu zámku, který se při navázání zabezpečeného připojení zobrazuje v prohlížečích zpravidla vedle URL adresy. Naopak, pokud zabezpečené připojení navázáno není, může se zobrazovat vykřičník s upozorněním, že web není důvěryhodný. Zabezpečení se projeví také v samotné URL adrese, ve které se bude nacházet https místo http.
Bezpečné chování
Mnoho zásad pro čistý a bezpečný web se shoduje se základními zásadami pro používání počítače. Například při kódování nebo programování webu bez předchozích zkušeností, nebo s minimálními zkušenostmi velmi riskujete vznik bezpečnostní díry. Máte-li tedy zájem o profesionální a zabezpečený web, zaplaťte si Web developera nebo specialistu. Vyplatí se to.
Redakční systém
Redakční systém je webová aplikace, jejímž účelem je zjednodušit a zefektivnit proces správy webu. Díky redakčnímu systému nemusíte řešit některé bezpečnostní problémy, se kterými byste si jinak mnohé hodiny lámali hlavu. Systém také nabízí příjemné uživatelské rozhraní a spoustu dalších výhod. Osobně doporučuji a používám redakční systém WordPress, je jich ale velké množství, a posoudit vhodnost nasazení konkrétní aplikace na Váš projekt by měl člověk z oboru, nejlépe web developer.
Pluginy, doplňky, rozšíření
Populární redakční systém WordPress, na kterém běží i tento web, nabízí rozšiřování svých funkcí prostřednictvím tzv. pluginů (od slova plug-in). Máte tedy možnost si sehnat plugin na zvýšení zabezpečení webu, a po poradě s odborníkem jej integrovat. Ovšem pozor, stejně tak se Vám může stát, že si do webu omylem stáhnete doplněk, který je naopak potenciálně škodlivý.
Na závěr článku zde chci zmínit jednoduchý a rychlý tip, jak skokově zvýšit zabezpečení a v očích některých i důvěryhodnost Vaší stránky. Mé doporučení je naprosto jasné. Změňte si URL adresu Vaší login stránky.
…/wp-admin
Tuto URL adresu notoricky zná každý, kdo alespoň jednou v životě spravoval WordPress web. A tedy asi není třeba více zmiňovat, že když se kterýkoli z těchto lidí dostane na cizí WordPress web, mohou se pokusit se na tuto přihlašovací stránku dostat. Pokud se jim to povede, zbývá jim již „pouze“ uhodnout přihlašovací jméno a heslo. Osobně se však domnívám, že nezávisle na tom, jak silné máte heslo je nežádoucí, aby byla administrátorská přihlašovací stránka tak moc „na očích“ a jednoduše dohledatelná pro každého čtenáře webu, který o webech alespoň trochu něco ví.
Realizujte přihlašovací stránku na jiné adrese
Používá-li tedy Váš web „provařený“ odkaz na přihlašovací stránku, jednoduše změňte její adresu. Ať už použijete řetězec náhodných znaků, nebo náhodné slovo, vždy budete o krok dál. Ve WordPressu je toto možné například pomocí pluginu Change wp-admin login, kde také určíte, kam budou přesměrováni uživatelé, kteří do prohlížeče zadají onu známou adresu určenou k přihlašování do redakčního systému.
Shrnutí
Při tvorbě a správě webů se chovejte bezpečně a zodpovědně. Osobně se domnívám, že skrytí přihlašovací stránky redakčního systému z jejího obvyklého umístění je základem jakékoli bezpečnosti webu. Dokonce se domnívám, že web, který tuto stránku skrytou nemá, může působit nedůvěryhodně a amatérsky, zejména před lidmi, kteří s daným redakčním systémem mají zkušenosti. Svým způsobem může tento můj tip působit jako řešení malicherností, realita je ale taková, že tímto krokem snížíte počet nežádoucích pokusů o přihlášení z nějakého počtu na 0. A pokud to myslíte se zabezpečením webu vážně, kde jinde začít, než tady, u kroku, který Vám zabere maximálně dvě minuty? 🙂