https

4 bezpečnostní hrozby pro váš web a jak jim vzdorovat

Náš život se přesouvá do internetového světa a s ním i kriminalita. O kyberterorismu čteme v médiích téměř denně a napadány nejsou zdaleka jen vlády a nadnárodní korporace. Pojďme se seznámit se čtyřmi základními hrozbami, které vaši webovou prezentaci mohou potkat, a způsoby, jak jim vzdorovat.

 

1.      Hrozby spojené s redakčním systémem webu

I web je pouze aplikace a žádná aplikace není dokonalá. Existují jisté bezpečnostní hrozby, kterými lze prolomit zabezpečení webu. Může se jednat například o tzv. SQL injekce. V jejich rámci je některého z políček webu vložen kód umožňující získání citlivých uživatelských dat (například hesel uživatelů). Proto je nezbytné veškerá citlivá data v databázích šifrovat.

Někteří lidé tvrdí, že největším nebezpečím jsou otevřené redakční systémy (WordPress, Joomla, Drupal apod.). My si to nemyslíme. Tyto systémy jsou samozřejmě díky své rozšířenosti atraktivním cílem hackerů, ale při dodržení zásad bezpečné tvorby webu se jim lze vyvarovat. Stačí jen instalovat doplňky systému s rozmyslem (některé bývají záměrně či nezáměrně zavirované) a redakční systém pravidelně aktualizovat (WordPress zavedl v posledních měsících možnost automatických aktualizací, které riziko hackerských útoků výrazně snižují). Leckdy mohou být naopak větším rizikem neaktualizované agenturní redakční systémy postavené na zastaralých technologiích.

 

2.      Prolomení komunikace mezi uživatelem a webem

Ukažme si to na typickém příkladu. Uživatel na veřejné Wi-Fi síti se přihlašuje do webového rozhraní. V tom momentě jsou jeho data zachycena hackerem, který tím získá přístup k datům konkrétního uživatele, aniž by musel narušit zabezpečení webu. Zde je řešení jednoduché – šifrovat technologií HTTPS.

 

3.      Phishing

Proti tomuto typu útoku vám nepomůže ani sebelepší zabezpečení, je totiž založen na tzv. sociálním inženýrství. Útočník zasílá uživatelům e-maily vydávající se za e-maily od provozovatele služby, kterou uživatel využívá (například internetové bankovnictví). Tyto e-maily vedou na falešnou přihlašovací stránku, kde důvěřivý uživatel vloží své přihlašovací údaje, které jsou mu následně ukradeny. Proti phishingu se můžete bránit pouze dostatečným proškolením sebe a svých zaměstnanců.

 

4.      Prolomení zabezpečení serveru a jeho přehlcení

Jako poslední jsem si záměrně nechal bod související s hostingem. I server je jenom počítač, který může být hacknut. Hackeři se mohou prolomit do jeho dat, která mohou ukrást, či přemazat (například islamističtí a neonacističtí hackeři častokrát obsah webu přepíší svou propagandou). Ukradeny mohou být i e-maily uživatelů. Je proto důležité, aby servery využívané k hostingu využívaly nejmodernější softwarové technologie a měly nastavenou vysokou úroveň zabezpečení (i za cenu, že tím bude mírně omezen komfort uživatelů).

Dalším rizikem je i tzv. DDoS útok. Ten spočívá v přehlcení serveru zasíláním nadměrného počtu úkonů k vyřízení. V některých případech je nemožné DDoS útoku zabránit, ale při využití výkonných serverů a připojení k páteřní síti je možné snížit pravděpodobnost jeho úspěšného provedení. Zajímavé řešení nabízí také naše hostingové řešení FreshCloud, které je schopno při úspěšném DDoS útoku spustit web z alternativního uložiště.

 

Z článku je patrné, že 3 ze 4 bezpečnostních hrozeb lze vyřešit volbou důvěryhodného partnera pro web a hosting. Například námi. Weby stavíme na bezpečných technologiích, HTTPS máme v malíku a FreshCloud také vydrží ledacos. Napište nám na office@freshservices.cz a rádi vám k tomu povíme více.

A pokud napíšete do 30. září 2017, dáme vám slevu na hosting 30 %.

3 důvody, proč je web s HTTPS téměř nutnost

O výhodách zabezpečení webu certifikátem HTTPS píšeme na tomto blogu již poměrně dlouho. Rozdíl je, že zatímco dříve bylo zabezpečení HTTPS výhodou, od roku 2017 je pro velkou část webů nutností. Pojďme si ukázat, proč.

1.      Google začal proti webům bez HTTPS nelítostně bojovat

Vyhledávač Google postupně zavádí v tomto roce 2 výrazné změny:

  1. začal weby bez HTTPS, které jakkoliv pracují s uživatelskými daty (přihlášení, objednávky atd.), označovat ve svém prohlížeči Chrome jako nezabezpečené;
  2. zakázal e-shopům bez HTTPS účast ve svém systému Nákupy Google (psali jsme o něm zde).

Čistě pro připomenutí – Google Chrome je dnes suverénně nejpoužívanějším prohlížečem (již před několika lety nechal Internet Explorer a Mozillu Firefox nelítostně za sebou) a Google Nákupy u mnoha e-shopů generují výrazný podíl na tržbách. Proto je dobré nebrat tento boj Google na lehkou váhu.

2.      Ochrana uživatelských údajů před hackerskými útoky

Hacking a kyberterorismus jsou na silném vzestupu. Téměř každý týden jsme informováni o významném úniku informací (naposledy minulý týden únik citlivých dat z českého ministerstva zahraničí, více informací zde). Cíli hackerů již dávno nejsou jen exponované a špatně zabezpečené weby, ale může se jím stát kdokoliv.

HTTPS samo o sobě web nezabezpečí. Funguje-li web na nezabezpečeném redakčním systému, HTTPS mu nepomůže. Dokáže ale zabezpečit přenos informací mezi uživatelem a webem. To v praxi znamená, že během přenosu informací na veřejné síti (například WIFI v kavárně) nehrozí jejich „odposlechnutí“ a následné zneužití.

3.      Zvyšuje důvěryhodnost webu

Tím, že je HTTPS již několik posledních let propagováno jako prostředek bezpečné komunikace, začínají ho uživatelé považovat za standard. Tím, že je i váš web zabezpečený HTTPS, zvyšujete psychologicky jeho důvěryhodnost.

K tomu přispívá i chování vyhledávačů. Oba dva ve výsledcích vyhledávání stále více preferují weby s HTTPS. Proto si HTTPS certifikát pořizují i weby, které ho teoreticky nepotřebují, ale mají ho kvůli SEO.

HTTPS stále není nezbytné pro weby, které nemají interaktivní prvky a neoptimalizují pro vyhledávače. Pro ostatní začíná být HTTPS nezbytné.

Zabezpečte webový projekt certifikátem

Nejprve pár pojmů. Známe internetový protokol HTTP (Hypertext Transfer Protocol). Jedná se o protokol, který zjednodušeně řečeno umožňuje výměnu dat mezi uživatelem a serverem při “brouzdání” na internetu.  Tento protokol ovšem neumožňuje šifrování – tzn., že všechna data, která jsou mezi serverem a uživatelem během brouzdání přenesena, jsou přenesena v nešifrované podobě. To může mít za následek odposlouchávání přenášených dat a může vést až k jejich zneužití.

(Pokračování textu…)