Základní pravidla pro orientaci v ochraně webu před útoky

V článku 5 věcí, které by o internetu měl vědět každý, jsem zmiňovala základní nebezpečí hrozící datům i uživatelům. Dnešní článek bude trochu delší, a rozebere základní způsoby ochrany webu před útoky.

Lidé hrozby silně podceňují, stále potkávám hesla typu jméno123, která „chrání“ i velmi cenné účty obsahující data zákazníků (protože „Kdo si má ta složitá hesla pamatovat?)“. Setkávám se s weby bez certifikátů, a to i u firem nabízejících webdesign. Nejvíc mě zarazil jeden klient (který se mým klientem nakonec nestal), který se snažil snížit cenu nového webu tím, že nebude chtít zabezpečení – argumentoval tím, že bez toho se web přeci obejde.

Nutno podotknout, že takové nezodpovědné chování neohrožuje jen majitele webu, ale i návštěvníky jeho stránek, jeho zákazníky a klienty, a vlastně kohokoliv na internetu. Nedávno jsem řešila situaci, ve které se útočník dostal na hosting, nahrál na něj svůj vlastní web, který se tvářil jako web původní, a rozesílal z něj viry na další adresy. Napadený server se soubory vypadal, jako když hmyz na skryté místo v bytě naklade vajíčka, z nichž se pak klubou další a další jedinci – mnoho instalačních souborů, a mnoho složek s kdovíjakým obsahem. To vše se distribuovalo dál, aby to sbíralo data, nebo aby se to uhnízdilo zase jinde.

Vyřešit takovou situaci je časově náročné, stresující, a někdo to celé musí zaplatit, proto je lepší investovat do prevence. Opatření můžete zvládnout sami, anebo si najít webmastera na praviedlnou správu a pustit to z hlavy. Vždy ale platí: better safe then sorry.

1. SSL certifikát

Web, který má SSL certifikát, poznáte podle zámečku u domény. Značí šifrovanou komunikaci, kterou nemůže odposlouchávat třetí strana. Poznáte ho také podle protokolu HTTPS uvádějícího doménu. Nezabezpečené weby mají jen HTTP. Když procházíte jakýkoliv web, vidíte obrázky a obsah, ale na úrovni prohlížeče a serveru vypadá komunikace jako vyměňování protokolů s informacemi. Pokud tato výměna není chráněná šifrováním, může kdokoliv informace obsažené v protokolech odposlechnout.

Lze slyšet názor, že SSL není všemocný – to je pravda. Autority vydávající protokoly nejsou centralizované a šifrování lze prolomit. Není ale pravda, že nemít certifikát je vlastně jedno; důkazem budiž že Google nezabezpečené weby znevýhodňuje ve vyhledávání, a od letošního roku by je měl začít označovat štítkem.

Pokud si tvoříte web sami, je dobré nasazovat certifikát jako první věc po instalaci. Pokud se nasazuje až po dokončení webu, některý obsah (např. obrázky), může zůstat na HTTP a části webu se pak mohou načítat nezabezpečené. Nejlepší je nasadit ho přes soubor .htaccess, ale lze to i s pluginem (Really Simple SSL). Jako návštevníci pak z webu bez zabezpečení raději odejděte.

2. Plugin na zabezpečení

Pluginy na zabezpečení řeší mnoho věcí najednou a pohodlně se ovládají. Fajn je třeba iThemes Security (ale moc se mi neosvědčil s multisite úpravou), nebo Sucuri Security. Monitorují stav webu, blokují uživatele pokoušející se uhodnout heslo, posílají oznámení o podezřelé aktivitě, zkrátka celkově posilují ochranu webu.

3. Blokace FTP serveru

Další krůček z větší bezpečnosti je v blokaci serveru. Díky ní se na server nelze dostat ani se správným heslem. Blokace se provádí zákaznické administraci a mnoho poskytovatelů hostingu ji umožňuje. Pokud dojde k napadení skrze formulář či plugin, je vysoká šance, že problém zůstane jen u něj a nerozšíří se skrz soubory na serveru dál.

4. reCAPTCHA

Ochrání formuláře, je jednoduché ji nastavit, předchází spoustě problémů. Rozhodně ji na svém webu aktivujte, ušetříte si spoustu starostí.

5. Omezení skrze .htaccess

Soubor .htaccess je určen k úpravám nastavení serveru. Můžete pomocí něj omezit přístup k přihlášení na stránku pouze na jednu nebo více vybraných IP adres. Můžete samotnou přihlašovací stránku ochránit heslem (bez kterého se přihlašovací stránka vůbec neukáže). Můžete zakázat veřejné zobrazování složek. Můžete zakázat přístup konkrétním IP adresám. Jakou variantu zvolíte závisí na vašich požadavcích, provozu a správě. Pro konkrétní návody hledejte např. htaccess secure wordpress.

6. Nepoužívat uživatele „admin“

To je to první, co útočníci zkouší. Jedinečný název uživatele a silné heslo jsou základ a není důvod je podceňovat.

7. Pravidelně aktualizovat

Aktualizace slouží k vylepšením, opravám chyb a k zalátání bezpečnostních děr. Neaktualizované jádro, šablony nebo pluginy jsou jako díry v plotě, aktualizujte tedy opravdu pravidelně.

8. Zálohovat

Přes všechnu snahu se může stát, že web někdo nebo něco napadne. Proto je dobré pravidelně zálohovat, nejlépe denně. Zálohy nabízejí samotní poskytovatelé hostingu (zjistěte si, zda je váš poskytovatel dělá), existují na to pluginy, a já dělám jednou za čas i manuální zálohu k sobě do počítače, což už párkrát zachránilo situaci. Záloha dává možnost infikovaný web ze serveru zkrátka smazat a nahrát ho znovu – a je klid.