Ochrona strony

Ryzyko ataku hakerskiego na stronę jest wpisane w żywot każdej witryny internetowej. W swoim wieloletnim doświadczeniu mieliśmy do czynienia z atakami różnego typu; od mikrowłamów po zaplanowane i skoordynowane ataki hakerskie. Pomożemy Państwu zabezpieczyć stronę, a jeżeli zostaną Państwo zaatakowani – pomożemy usunąć fałszywe fragmenty kodu. Niestety, ze względu na różnorodność ataków, nie zawsze możliwe jest uniknięcie jego konsekwencji. Poniżej opisujemy kilka zasad, którymi należy się kierować w celu zwiększenia zabezpieczenia.

Podstawowa wiedza

Nagminnie zdarza się, że włamanie na stronę następuje nie tyle ze względu na wielką lukę w oprogramowaniu, ale z powodu szeregu małych błędów popełnionych przez użytkownika danego komputera. Postanowiliśmy wymienić kilka najczęstszych przeoczeń podnoszących ryzyko włamania.

Ochrona stron

Zbyt Łatwy login lub hasło

Możesz zrobić to sam i nie jest tutaj wymagana żadna specjalistyczna wiedza. Podstawowym krokiem przy stawianiu strony jest utworzenie nowego administratora i usunięcie domyślnego użytkownika. Przeważnie jest on nazywany „admin” jako globalne międzynarodowe określenie administratora. Ta wiedza bardzo ułatwia sprawę potencjalnemu hakerowi, ponieważ omija on 50% naszych zabezpieczeń. Jeśli nieproszony gość zgadnie login, kolejnym jego krokiem będzie tak zwany Brute Force Attack, który polega na wpisywaniu najpopularniejszych ciągów znakowych używanych przez użytkowników, jako hasła. Jeżeli uda mu się zgadnąć nasze hasło, haker otrzyma pełną kontrolę nad naszą stroną i może nas spotkać bardzo niemiła niespodzianka po zalogowaniu się do systemu.

Ignorowanie aktualizacji

Każdemu zdarza się zapomnieć zaktualizować witrynę lub jej wtyczkę. Poważny problem pojawia się wtedy, gdy tych aktualizacji jest kilka lub kilkanaście, a czas od ostatniej aktualizacji jest dłuższy niż kilka miesięcy. Dbałość o częstotliwość aktualizacji to pierwsza bariera ochronna przed atakami hakerskimi. W tym przypadku dobrze skorzystać z pomocy programisty – czasami aktualizacja może nam „wysypać” szablon i unieruchomić stronę.

Ukrycie miejsca logowania

Ten krok wymaga już nieco bardziej zaawansowanej wiedzy. Chodzi tutaj o zamaskowanie domyślnej ścieżki logowania do panelu administracyjnego. Przykładowo, system Wordpress podczas każdej instalacji tworzy domyślną ścieżkę nazwadomeny.pl/wp-admin. Zmieniając ją na "nazwadomeny.pl/mojanowanazwa" w prosty sposób utrudnimy potencjalnemu hakerowi próbę konwencjonalnego ataku na naszą stronę (wspomniane wcześniej zgadnięcie hasła i loginu). Blokowanie dostępu zewnętrznego poprzez plik .htaccess

Krok dla bardziej zaawansowanych użytkowników i programistów.

Brak dostatecznych zabezpieczeń pliku .htaccess daje wiele możliwości włamywaczowi od strony kodu źródłowego witryny. Dobrym rozwiązaniem jest blokada dostępu z zewnątrz poprzez komendy w tym pliku. Fragment zablokowanego dostępu: Deny from All. Istnieje również możliwość przekierowania przez .htaccess: Redirect/staryfolder/staryplik.html http://przykładowadomena.pl/nowyfolder/nowyplik.html