7 tipů pro bezpečnější web

Hackeři dnes mají mnoho důvodů k tomu, aby váš web napadli a zneužili ho ve svůj prospěch. Např. ukradnou data, budou rozesílat SPAM, nebo si přes váš web posílí vlastní SEO či přidají affiliate odkaz.

Přečtěte si, jak se můžete bránit.

Přemýšlíte, že svůj web zabezpečíte? Nejdřív si odpovězte na otázku jaký prospěch vám webové stránky přinášejí?

  • Generují vám peníze,
  • máte je pro zábavu,
  • nebo je máte protože je mají všichni?

Jeden zákazník mi říkal, že jeho webové stránky generují jen 4 % z celkového obratu firmy. Asi vás také napadne, že to není moc. Ale ta 4 % jsou 75 000 korun denně a to už je zajímavé (to je kouzlo firem s velkými obraty. :))

V tomto případě už stojí za to zabezpečit své webové stránky před nezvanými hosty (hackery).

Co všechno můžete ztratit?

Kromě peněz také úsilí, které jste do svých webovek vložili. Důvěru lidí, kteří na stránky chodí pravidelně. Je to i o penězích, které jste investovali, abyste své zákazníky přivedli. To všechno má svou hodnotu.

Rozhodně neplaťte více

Určitě nemá smysl do ochrany webových stránek nebo aplikací investovat více peněz, než jakou mají hodnotu. To je pro vás levnější vytvořit je znovu. V bezpečnosti neplatí to, co v podnikání: „sky is the limit“.

Jak okamžitě zvýšíte bezpečnost svého webu?

1.ZÁLOHUJTE

Zálohováním vašich webových stránek nepřijdete o svou investici a práci, kterou jste do nich vložili. Zálohujte pravidelně (týdně, měsíčně) a po větších úpravách.

Pokud vám webové stránky někdo provozuje, smluvně si ošetřete, aby vám pravidelně zálohu předával (třeba přes úložiště).

Když budete mít zálohu k dispozici, budete moci stránky kdykoliv rychle obnovit nebo bez problémů změnit poskytovatele služeb.

2. AKTUALIZUJTE

Pravidelně (jednou za měsíc) kontrolujte, jestli nevyšla nová verze programů spojených s vaším webem a obratem je aktualizujte. Ať už jde o aktualizace webserveru (pokud hostujete stránky na vlastním serveru), nebo redakčního systému (WordPress, Joomla, Drupal apod.).

Není pro hackera větší lahůdka než starý neaktualizovaný redakční systém, úplně nejlépe s nějakým starým pluginem třetí strany.

3. NASTAVTE SI HTTPS

U statických webů se vám to může zdát jako čirá rozmařilost. Nicméně internetové prohlížeče už od loňského roku webové stránky bez certifikátu označují jako „nebezpečné“.

Naopak stránky s certifikátem (https stránky) se ve vyhledávání umisťují výš a vaše stránky budou působit profesionálněji.

Jedná se o drobnou úpravu. Nahrání certifikátu (třeba Let’s encrypt https://letsencrypt.org) by nemělo zabrat více než 15 vteřin.

PS: Na neplatný certifikát reagují prohlížeče ještě hůř, takže si platnost certifikátu určitě hlídejte!

4. ŠIFRUJTE UŽIVATELSKÁ HESLA

Takže pokud máte uživatelskou sekci, kam se uživatelé přihlašují, určitě dbejte na to, abyste hesla ukládali v šifrované podobě nikoliv volně čitelné. U poskytovatelů toto vymáhejte smluvně a ptejte se na sílu šifrování.

Od té doby, co máme zákon o ochraně osobních údajů, musíme tyto údaje chránit. Od doby, co máme GDPR, to vědí všichni. 🙂

5. ZABEZPEČTE FORMULÁŘE

Provozujete aplikaci?
Čím více formulářů směřujících do nějaké databáze, tím lépe. Tedy pro vznik chyby nebo zranitelnosti. A dost možná taky pro uživatele, kterým je taková služba určena.

K ochraně aplikace se používá Webový aplikační firewall, který lze zapnout jako cloudovou službu. (Např. od společnosti Incapsula.) Díky němu vám z vaší aplikace nikdo nevykrade data, která v ní jsou a také do ní nenahraje škodlivý kód.

6. CHRAŇTE SE PŘED DDoS ÚTOKEM

Určitě by bylo nepříjemné, kdyby vám přestal fungovat web jen proto, že ho někdo „zaplavil“ nesmyslnými dotazy v hodnotě asi 10 dolarů. Obzvlášť, pokud je to váš hlavním zdroj příjmů.

Jednou z možností, jak tomu čelit je nákup tzv. „DDoS čističky“ (jedná se o cloudovou službu, např. Cloudflare nebo Akamai), která dokáže rozpoznat legitimní provoz od toho škodlivého.

7. DĚLEJTE PENETRAČNÍ TESTY

Jedna věc je investovat čas a peníze do zabezpečení vašich webových stránek. Druhá je mít zpětnou vazbu o tom, jak na tom opravdu jste a co byste měli řešit.

Prvním krokem v bezpečnosti vašeho webu je jeho otestování. Díky etickému hackingu zjistíte, co vám funguje a kde jsou vaše slabiny. Na ty se potom zaměříte.

Podívejte se na testování webu podrobněji a napište si o nezávaznou nabídku.

Táta a nadšenec. Pokud se nevěnuje informační bezpečnosti a IT bezpečnosti v práci, nejspíš ho najdete doma s rodinou. K IT bezpečnosti se dostal náhodou v roce 2010, od té doby se systematicky vzdělává a hledá nové podněty pro zlepšení zabezpečení zákazníků. Rád popularizuje kybernetickou bezpečnost na konferencích. Ve zbytcích volného času pomýšlí na Ironmana. Konzultant informační bezpečnosti MENZO, a.s.
Komentáře

Přidat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Vaše osobní údaje budou použity pouze pro účely zpracování tohoto komentáře. Zásady zpracování osobních údajů