Egyre többször lehet hallani feltört weboldalakról, kiszivárgó adatokról. Ez a veszély mindenkit érint, akinek weboldala van, hiszen rengetegen “specializálódtak” a weboldalak feltörésére. Miért jó ez nekik? És miért kell odafigyelnünk arra, hogy weboldalunk biztonságos legyen?
A weboldalak feltörése jellemzően két fő célra vezethető vissza. Egyrészt a weboldalra (és/vagy tárhelyre) káros szkriptet helyeznek be, amely számos módon árthat: adatainkat ellophatják, az adatforgalmat átirányíthatják, vírusos fájlokat tölthetnek fel vagy ágyazhatnak a kódokba, amely miatt weboldalunk elérhetetlenné válhat, vagy más tartalom jelenik meg rajta. Másrészt néhány hacker számára próbatétel, hogy minél több weboldalt törjön fel, és rajta a feltörés tényét, valamint saját tartalmát jelenítse meg. Az okokra egy későbbi cikkben még kitérünk, most azonban következzenek azok a tényezők, amelyek minimálisra csökkentik az oldal feltörésének valószínűségét-
Megfelelő jelszó
A jelszó erősségét nem győzik eleget hangsúlyozni, mégis a legtöbbször itt bukik el a biztonság: jelszo123, password, abc123, qwertz12, stb. Ha a fentiekhez hasonló “bonyolultságú” jelszavat használunk, ne csodálkozzunk, ha feltörik az oldalunkat.
Használjunk minimum 7 karakterből álló kifejezést, benne írásjeleket, különleges karaktereket, számokat, esetleg nagybetűt (újabb kimutatások szerint a jelszavak biztonsága inkább a karakterek számán és egyediségén múlik, a nagybetű-kisbetű variáció kevésbé teszi jelszavunkat megfejthetővé). Ha tehetjük, minden helyen használjunk más jelszót!
És egy tipp: jegyezzük meg jelszavunkat!
Kétlépcsős azonosítás
A jelszó megadása után erősíthetjük a védelmet azzal, hogy egy biztonsági kérdésre (CAPTCHA) kell válaszolnunk. Ez a folyamat megkülönbözteti az embert, mint felhasználót a bejutni kívánkozó szkriptektől (robotoktól). Szintén támogatandó, ha egy bizonyos számú sikertelen azonosítási kísérlet után letiltja az adott IP címet a program, ezzel is korlátozva a jelszó megszerzésére irányuló folyamatokat.
A kétlépcsős azonosítás lényege, hogy a jelszó megadása után egy másik eszköz segítségével azonosítjuk magunkat. Ez történhet hardverkulcs segítségével (pl. Yubico), vagy akár a mobilunkra telepített Google 2FA program támogatásával. A teendőnk az, hogy a mobilunkon korábban beállított kapcsolatot használva, az alkalmazásban látható számsort (amely 30 másodpercenként frissül) beírjuk a honlap bejelentkezésekor látható azonosítóhelyre.
A kétlépcsős azonosító nem helyettesítheti a jelszót, ez annak kiegészítőjeként működik.
Biztonságos tárhely
A fentiek szinte semmit sem érnek, ha a tárhelyünkön ki-be járnak a hackerek, robotok azért, mert a tárhely működését biztosító szoftver nem frissített, hibás, vagy nem alkalmaznak a szerveren biztonsági eszközöket. Egy tárhely csak akkor igazán jó, ha biztonságos.
A CludLinux olya
Helyes weboldal-beállítások
A weboldalak önmagukban is rejtenek biztonsági problémát, ha helytelenül lettek beállítva. Bizonyos mappáknak és fájloknak olyan jogosultsági beállítást kell adni, hogy azokat kívülről, vagyis az internet irányából ne lehessen elérni. Különösen igaz ez a konfigurációs fájlokra, amely többek között az adatbázis csatlakozáshoz szükséges jelszavunkat is tárolja.
Ha CMS-t (pl. WordPress, Drupal, Joomla, stb.) használ, érdemes elolvasnia a telepítési útmutatót, illetve futtasson olyan szkriptet, amely a nem biztonságos beállításokat feltérképezi.
Vírusmentes számítógép
Amennyiben a számítógépünkön olyan vírus van, amely továbbítja a jelszavainkat, FTP-hozzáférésünket harmadik fél felé, akkor tulajdonképpen ne csak a weboldalunk, hanem minden más adat (pl. hozzáférések, bankszámla, saját adatok) miatt is aggódhatunk. Ne felejtse el a mobileszközök vírusvédelmét sem!
Megbízható program
Egyre több olyan malware-t találunk, amely ún. “nem jogtiszta” program felhasználásból származik.
Egy rövid példa: egyik ügyfelünk -némiképpen bizonytalan forrásból- letöltött egy WordPress – sminket, amit később a saját weboldalaként futtatott.
Mint kiderült, a letöltött WordPress olyan kódokat tartalmazott, amely a tárhelyhez és az adatbázishoz is “kinyitotta a kaput”, így a weboldal tárhelye folyamatos fertőzésnek volt kitéve.
Biztonsági frissítések
Igen, talán ezt a legegyszerűbb betartani, kedves WordPress – felhasználók! Mindig frissíteni kell a CMS-t, vagy bekapcsolni az automatikus frissítést, és a biztonsági problémák is jó eséllyel elkerülnek bennünket.
