7 kľúčových rád v zabezpečenia webových stránok
Návštevník internetu je neustále vystavený mnohých bezpečnostným rizikám. Hackeri a podvodníci kradnú osobné údaje, heslá alebo čísla platobných kariet. Ako ale zabezpečiť svoje stránky tak, aby návštevníci stránok boli pred útočníkmi v bezpečí? SSLmarket.cz - ako platinový partner významných certifikačných autorít pre Slovensko sme pripravili 7 najdôležitejších tipov k bezpečnosti webových stránok.
1. Zabezpečte celý web SSL certifikátom
Nezabezpečená komunikácia cez HTTP protokol umožňuje odpočúvanie dát.
Počas nej môže ktokoľvek čítať dáta prúdiace medzi počítačom
užívateľa a serverom. K tomu útočníkovi stačí voľne dostupná
softwarové vybavenie.
Všetka komunikácia prúdiace medzi vaším webom a návštevníkom bude s použitím SSL certifikátu šifrovaná a nikto nebude schopný zistiť obsah prenášaných dát. Absolútne nevyhnutné je použitie SSL certifikátu pre stránky s prihlasovacími dialógy, kde môže dôjsť k získaniu a zneužitiu prístupových hesiel.
2. Preferujte EV SSL certifikáty so zeleným pruhom
Obstaranie SSL certifikátov nie je náročné finančne ani časovo. Pri voľbe
SSL certifikátu je však potrebné prihliadnuť na dôveryhodnosť, ktorú
môže používateľom priniesť.
Ak prevádzkujete webové stránky či projekt, pri ktorých je dôležitá dôvera zákazníkov, používajte certifikáty EV so zeleným pruhom v adresnom riadku. Príkladom vhodného použitia EV certifikátov sú e-shopy, stránky pracujúci s osobnými dátami a stránky, na ktorých prebiehajú platobné transakcie.
Zelený pruh v adresnom riadku prehliadača je najznámejší symbol bezpečnosti na internete. V zelenom riadku sa zobrazuje názov vašej organizácie a návštevník sa na webe cíti bezpečne. Vie, že je chránený prestížnym certifikátom a zároveň vie, kto web prevádzkuje a kto bol certifikačnou autoritou overený.
3. Používajte SSL certifikáty dôveryhodných autorít
Výber správnej a dôveryhodné certifikačnej autority je dôležitý pre
návštevníkov vášho webu. Certifikát dôveryhodné
certifikačnej autority nezobrazuje v prehliadači návštevníka žiadne
varovanie o nedôveryhodnosti. Naopak certifikáty nedôveryhodných autorít a
vlastné (tzv. Self signed) certifikáty nemajú na webe miesto. Prehliadač
zákazníka im nedôveruje a odrádza ho od návštevy vašich stránok.
Svetovo známe certifikačnej autority ako Symantec, Thawte alebo GeoTrust, sú automaticky dôveryhodné pre 99,9% počítačov a v prehliadači návštevníka chybu nezobrazí. Naopak problémové sú certifikáty málo známych autorít, ktoré v operačných systémoch alebo prehliadačoch chýba. Certifikačnej autority vydávajúce certifikáty zadarmo žiadateľa o certifikát prakticky nijako neoverujú a taký certifikát môže získať aj nepovolaná osoba.
4. Pravidelne kontrolujte prítomnosť malvéru
Ďalšou veľkou hrozbou je pre užívateľov malware,
ktorý môže byť na webe umiestnený bez vedomia prevádzkovateľa. Často sa
stáva, že útočník získa prihlasovacie údaje od FTP vašich stránok a
umiestni na ne škodlivý kód. Ten sa buď ďalej šíri a infikuje
návštevníkov, alebo je použitý pre šírenie SPAMu.
Podľa analýzy Symantecu (Symantec Internet Security Thread Report) tvorí 61% nakazených stránok bežné weby, ktorých stránky boli zneužité a na ktorých by ste závadný obsah nikdy neočakávali. Bezpečnostné špecialisti objavia denne cez 9000 nakazených stránok, vaša prezentácia môže byť jednou z nich.
Známe certifikačnej autority Symantec a GeoTrust pomáhajú vlastníkom ich SSL certifikátov zabezpečiť webové stránky proti škodlivému kódu. Môžete si zapnúť pravidelnú kontrolu vášho webu a v prípade nájdenia nákazy budete upozornení správou priamo od certifikačnej autority.
5. Sledujte podozrivá spojenie
Sledujte podozrivé spojenie smerujúce z vášho servera. Môžete tak prísť
na neočakávaná zistení. Váš server či počítač môže byť súčasťou
botnetu, ktorého aktivita je ťažko zistiteľná. Server môže byť vzdialene
zneužívaný k činnostiam útočníka, avšak jeho prioritou je nebyť
odhalený.
6. Chráňte svoje informácie a ocenenia
Chráňte svoje dôležité informácie, predovšetkým prístupové údaje k
správe webových stránok a svoje šifrovacie kľúče. Útočníci sa často
zameriavajú na krádež prihlasovacie údajov z FTP klientov a webových
prehliadačov. Chráňte svoje prihlasovacie údaje ďalšími heslami, ktoré
nebudú v počítači uložené.
Najvyššia pozornosť venujte ochrane vašich šifrovacích kľúčov, ktoré na webe používate. Samotný SSL certifikát útočník zneužiť nemôže, ale ak získa privátny kľúč certifikátu, môže ho bez obmedzenia využiť.
7. Používajte aktuálny softvér
Každý prevádzkovateľ webových stránok by mal dbať na aktuálnosť použitého softvéru. Dôležité sú najmä aktualizácie redakčných systémov, ako je Joomla, Wordpress či Drupal. Pokiaľ je v týchto systémoch nájdená bezpečnostná diera, útočníci na celom svete ju začnú zneužívať a môžete mať istotu, že sa nevyhnú ani vášmu webu. Po vydaní nové či opravené verzie webových aplikácií by ste mali vykonať aktualizáciu, rovnako ako je vykonávate na svojom PC.
Veríme, že vám naše tipy pomôžu lepšie zabezpečiť vaše webové stránky. V prípade vašich otázok k tejto problematike sme vám plne k dispozícii. Môžete využiť e-mail, telefón, alebo chat. Viac informácií na www.SSLmarket.cz, admin (@) zoner.cz, 603 196 637.
Autor: Jindřich Zechmeister, certifikovaný Symantec Sales Expert Plus