8 tipov ako na bezpečný web
Na internete na vás a vaše weby číha mnoho nástrah, ktoré netreba podceňovať. Každý jeden web alebo aplikácia sa môže stať terčom kybernetického útoku.
Dôležité je uvedomiť si, že neohrozujete len seba a svoj biznis, ale aj vašich zákazníkov, ktorý sa rozhodli návštíviť váš web. Tí často nevedia o bezpečnostných rizikách, ktoré na nich číhajú, preto musíte myslieť za nich.
Nikdy si nemôžete byť 100% istý, že niekto nevymyslí nejaký nový sofistikovaný spôsob, ako targetovať vašu webovú stránku alebo aplikáciu. Prevencia a dôsledný monitoring vám však vedia vo veľkej miere redukovať potenciálne škody.
Podľa čoho viete, že ste urobili aspoň minimum pre bezpečnosť vášho webu?
1. Skontrolujte SSL certifikát
Moderné prehliadače to už kontrolujú za vás a agresívne vás na to upozornia. Može sa stať, že vám certifikát expiruje, alebo sa inak invaliduje. Určite to riešte okamžite ako si to všimnete, lebo málokto už teraz dobrovoľne vstúpi na web, ktorý sa mu nenačítava cez “HTTPS”.
2. Pravidelné bezpečnostné aktualizácie
Pri Open Source softvéry platí dvojnásobne, aby ste ho pravidelne aktualizovali. Je veľká šanca, že používate redakčný systém ako WordPress, alebo October spolu s ďalšími rozšíreniami a pluginmi ako je napríklad WooCommerce.
Dajte si záležať, aby ste najnovšie dostupné aktualizácie nasadili skôr ako príde niekto iný na to, že ich nemáte. Malo by to byť súčasťou pravidelnej údržby vášho webu. Rovnako nemajte zbytočne na webe funkcionalitu, ktorú nepoužívate, alebo nebodaj ani vôbec neviete, ako funguje.
3. Silné heslá a dvojitá autentifikácia
V prvom rade sa uistite, že do administrácie webu majú prístup iba ľudia, ktorí to naozaj potrebujú. Nie, naozaj tam nemusí mať účet bývalý zamestnanec, alebo programátor, čo tam niečo niekedy robil. Zároveň nie každý potrebuje plný administrátorský prístup a dobrý redakčný systém poskytuje viacero úrovní používateľských účtov. V neposlednom rade si dajte záležať, aby všetci používali naozaj silné heslá a nejakú formu dvojitej autentifikácie, alebo nejaký iný spôsob dodatočnej autorizácie na prístup k citlivým údajom. Výborným pomocníkom su správcovia hesiel (1Password, Bitwarde a iné).
4. Monitoring a sledovanie aktivity
Odporúčame sledovať a zaznamenávať podozrivú aktivitu na vašom webe. Pri neustálom dohľade zistíte veľmi rýchlo, že niečo nie je v poriadku a viete okamžite reagovať. Je potrebné vyhodnocovať takúto aktivitu nielen na servery a hostingu, ale aj v samotnej aplikácii.
5. Vzdelávajte správcov webu
Je dôležité robiť osvetu vo svojom tíme o najnovších bezpečnostných rizikách a poučiť kolegov, ako sa im dá predchádzať. Veľmi málo bezpečnostných opatrení vie odolať sociálnemu inžnierstvu, ktoré je aj oveľa ťažšie odhaliť.
6. Firewall a ochrana pre DDoS
Odborne nastavený serverový firewall, takzvaný WAF (Web Application Firewall), je ako ochranný štíť pre váš web, ktorý odfiltruje väčšinu hrozieb, takže nebudú mať šancu pokúšať sa prelomiť bezpečnosť vašej implementácie. Služby ako Cloudflare, AWS WAF, alebo Sucuri ponúkajú výborný pomer ceny a výkonu bez toho, aby ste si na tento účel konfigurovali vlastné riešenie od základov a veľmi dobre ochránia aj pre DDoS útokmi.
7. Zálohujte
Najlepšia prevencia je mať urobenú kompletnú zálohu v čo najmenších intervaloch. Nezabúdajte, že škodlivý kód môže byť aj v samotnej zálohe, ale aj v počítačoch používateľov webu alebo aplikácie.
8. Bezpečnostný audit
Nechajte si skontrolovať váš web a hosting na potenciálne bezpečnostné nedostatky niektorou s agentúr, ktoré za zaoberajú bezpečnosťou (Insighti, Binary Confidence). Môžete prísť na to, že vaši vývojári používajú zastaralé praktiky, alebo vám ukážu tri roky starú bezpečnostnú dieru vo vašom redakčnom systéme.
Je veľmi ťažké odolať cielenému kybernetickému útoku, ale body, ktoré som popísal vyššie vám určite pomôžu dostatočne včas zistiť, že sa niečo deje a budete mať dostatok priestoru s tým niečo urobiť. Takisto poslúžia ako veľmi dobrá prevencia, aby vôbec niečo také nastalo. Ostaňte v bezpečí aj na internete.