Συμβουλές ασφαλείας για τις ιστοσελίδες

ssl

Ασφάλεια;

Δυστυχώς το διαδίκτυο δεν έρχεται μόνο με τα καλά του στοιχεία (επικοινωνία, γνώση, κ.α.), αλλά πολύ συχνά χρησιμοποιείται από κακόβουλους για χειραγώγηση δεδομένων, υποκλοπή προσωπικών στοιχείων, περίεργες διαφημίσεις, πορνό και ένα σωρό ακόμα. Έτσι, συνήθεις στόχοι είναι οι ιστοσελίδες σαν μόνιμοι πομποί μετάδοσης κακόβουλων προγραμμάτων. Πολύ συχνά διάφορα bots ελέγχουν τις σελίδες ψάχνοντας για εύκολη πρόσβαση και τρύπες ασφαλείας στο λογισμικό, που θα τους επιτρέψει να πάρουν τον έλεγχο της σελίδας και να δημοσιεύσουν κακόβουλο κώδικα. Συνήθως ο κακόβουλος κώδικας θα μεταδοθεί σαν ιός ή διαφημιστικά μηνύματα στους επισκέπτες της σελίδας.

Τι κάνουμε;

Καταρχάς ξεκινάμε από τα πολύ βασικά :

  • Επιλέγουμε δυνατούς κωδικούς στους χρήστες και ειδικά στους διαχειριστές της σελίδας. Τουλάχιστον 8 χαρακτήρες. Επίσης αποφεύγουμε να χρησιμοποιούμε τα προεπιλεγμένα usernames (admin, administrator ή παρόμοια). Έτσι καλυπτόμαστε κατά ένα πολύ καλό ποσοστό από τις λεγόμενες brute force επιθέσεις που προσπαθούν να βρουν κωδικούς και να αποκτήσουν πρόσβαση στις σελίδες.
  • Χρησιμοποιούμε SSL (https) για κρυπτογράφηση στην επικοινωνία μας με τη σελίδα. Πέρα από τους ποικίλους λόγους ιδιωτικότητας που προσφέρει, μπορεί να μειώσει αρκετά και τα ποσοστά επιθέσεων, αφού γίνεται πάρα πολύ δύσκολο για τρίτα μέρη (κακόβουλους, bots, υπηρεσίες) να υποκλέψουν ευαίσθητα στοιχεία, όπως κωδικούς. Η κρυπτογράφηση πάντα εξαρτάται και από τις ρυθμίσεις που κάνουμε, οπότε να είστε προσεκτικοί εφαρμόζοντας τη κρυπτογράφηση στη σελίδα σας. Υπάρχουν διάφορα ssl test για να την ελέγξετε όπως το Qualys, το ssl-tools.net κ.α.
  • Κάνουμε συχνά τις ενημερώσεις πυρήνα, προσθέτων και θεμάτων της ιστοσελίδας μας. Ειδικά τις ενημερώσεις ασφαλείας, αφού αυτές είναι που υποδεικνύουν αδύναμα σημεία της σελίδας και όσο δεν αναβαθμίζεται, μένει εκτεθειμένη σε στοχευμένες επιθέσεις. Οι Διαχειριστές/ριες των ιστότοπων πρέπει να ελέγχουν συχνά τις διαθέσιμες ενημερώσεις των σελίδων.
  • Χρησιμοποιούμε antispam και security plugins που μπορούν να παρακολουθούν την «υγεία” των αρχείων της σελίδας -μέσω checksums-, και να μας ειδοποιούν για οτιδήποτε «στραβό”. Υπάρχουν πολλές έτοιμες λύσεις, αναλόγως το κώδικα της σελίδας, ψάχνουμε στα διαθέσιμα plugins για τις αντίστοιχες που μας ταιριάζουν.
  • Προτιμάμε ελεύθερο λογισμικό ή λογισμικό ανοιχτού κώδικα για τις ιστοσελίδες μας (π.χ. WordPress, Drupal, Joomla). Τα περισσότερα ελεύθερα λογισμικά ελέγχονται τακτικά, από πολύ και διαφορετικό κοινό για την ασφάλεια τους επειδή ακριβώς είναι ανοιχτά. Ο κώδικας τους είναι διαθέσιμος σε οποιονδήποτε για review (security & μη), και αυτό από μόνο του είναι μια εγγύηση. Αντίθετα με τα κλειστού κώδικα λογισμικά που συνήθως το μοναδικό security audit που βγάζουν στη δημοσιότητα, είναι το δικό τους εσωτερικό. Κάποια δεν έχουν καν περάσει κάποιο security audit που να γνωρίζουμε. Χωρίς όμως διαφάνεια, πως να εμπιστευτούμε ότι μας λένε την αλήθεια;
  • Οι υπολογιστές μας ή ότι συσκευές χρησιμοποιούμε για είσοδο στην ιστοσελίδα, να διατηρούνται ενημερωμένοι και με κάποιου είδους antivirus (αν έχουμε εγκατεστημένο κάποιο κλειστό λειτουργικό σύστημα. Δεν έχει νόημα να έχουμε πάρει όλα τα παραπάνω απαραίτητα μέτρα για την ασφάλεια της ιστοσελίδας μας, και δεν έχουμε φροντίσει για την ασφάλεια των ίδιων των συσκευών που τις διαχειρίζονται.

Από κει και πέρα;

Η ασφάλεια, δυστυχώς δεν είναι one-time ασχολία. Θέλει έρευνα και έλεγχο, σε κάθε αλλαγή και αναβάθμιση που κάνουμε. Χρειάζεται μια σφαιρική γνώση των απειλών, αλλά κυρίως της ίδιας της σελίδας μας. Να γνωρίζουμε τι περιέχει και για ποιο λόγο. Να μη διατηρούμε άχρηστο κώδικα (plugins/themes/libraries) που δε χρησιμοποιούμε. Ελέγχουμε τις δυνατότητες των χρηστών του ιστότοπου και πιθανά σενάρια για απώλεια/υποκλοπή των κωδικών ή των email τους. Επομένως και ένα εύκολο σύστημα για αλλαγή των κωδικών μας. Επίσης αν υπάρχει δυνατότητα, ελέγχουμε οι ίδι@ την ασφάλεια με διάφορα εργαλεία ανοιχτού κώδικα που υπάρχουν διαθέσιμα, όπως το nmap, κα. Προβλήματα ασφαλείας σχετίζονται και με το performance της σελίδας ορισμένες φορές. Πολύ αργά scripts που καθυστερούν τη σελίδα, μπορούν και να τη «ρίξουν” τελείως.  Κοιτάμε τα logs του web server για λάθη στη σελίδα και τα επιδιορθώνουμε.

Τακτικά backups τοπικά και απομακρυσμένα αν είναι δυνατόν, για να μπορέσουμε σε περίπτωση μόλυνσης από malware, να επιστρέψουμε σε προηγούμενη «υγιή” κατάσταση. ΠΟΛΥ ΒΑΣΙΚΟ!!!

*ΣΤΗΝ ΠΡΙΖΑ SPOILER*

Στην Πρίζα προσέχουμε όσο μπορούμε την ασφάλεια όλων των φιλοξενούμενων ιστοσελίδων. Τακτικά backups και καθημερινό έλεγχο για malware σε όλες τις ιστοσελίδες. Όταν αναλαμβάνουμε και την βασική υποστήριξη μιας σελίδας, αυτό περιλαμβάνει και κάποια εξτρά μέτρα προστασίας. Ένα από αυτά (fail2ban integration) μπορεί εύκολα να ενσωματωθεί σε wordpress/drupal/roundcube ιστοσελίδες ώστε να αποτρέπει τις συχνότατες brute force επιθέσεις. (χωρίς κανένα εξτρά κόστος στο hosting). Το SSL (https) αν δεν είναι ήδη ενεργοποιημένο, μπορείτε να το ενεργοποιήσετε μέσα από control panel πολύ εύκολα.

Σημείωση

Αυτό δεν είναι ολοκληρωμένος οδηγός ασφαλείας και καλύπτει κάποια λίγα βασικά πράγματα με μερικές χρήσιμες συμβουλές. Υπάρχουν εξειδικευμένες υπηρεσίες που κάνουν αναλυτικά security audits και μπορούν να δώσουν ολοκληρωμένες λύσεις. Επίσης μπορείτε να βρείτε πάρα πολλές πηγές στο διαδίκτυο για να κάνετε τη δική σας έρευνα σχετικά.