Tipy pro zabezpečení vašeho webu
3. 12. 2020
Webový Online Pilot
Pokud si spravujete web sami, nebo používáte obecně známá řešení jako např. WordPress, pak je třeba myslet na bezpečnost.
Pamatujte, že první útok na nový web přichází již do 1 minuty po jeho zprovoznění
Např. WordPress je tak populární redakční systém, že na něj již existují zcela automatizované útoky. A tyto útoky využívají běžných vlastností, které jsou shodné pro každý nový web. Proto je dobré v nastavení vašeho webu udělat něco zcela jinak. Právě tím totiž dokážete odstínit přes 80 % (možná dokonce přes 90 %) automatizovaných útoků.
Pro přihlášení do administrace nepoužívejte standardní adresu
U WP je to často „…/wp-login.php“ nebo „/wp-admin“. U jiných systémů je to často „…/login“. Zvolte něco specifického pro pro váš web např. „…/petlogin“ nebo „…/firma-login“ apod.
Adresy pro přihlašování do administrace jsou u populárních systémů jako WordPress obecně známé. A většina uživatelů se ani nesnaží je změnit. Pro útočníka je pak jednoduché najít si pro svůj automatizovaný útok web, kde je použita právě běžná adresa stránky pro přihlášení.
Nepoužívejte uživatele s názvem „admin“ nebo „administrator“
Zjednodušujete tak útočníkovi situaci.
Útočníci vědí, že většina uživatelů nechává přednastaveného uživatele pro přístup do administrace. Často to bývá uživatel se jménem „administrator“. Nebo si podobného uživatele s příslušnými oprávněními uživatele sami vytvoří. Je to totiž intuitivní.
Jenomže to je bezpečnostní hrozba. Jak je vidět z analýz útoků, použití uživatelů s názvy jako „admin“, „administrator“ nebo dokonce „root“ je ze strany útočníků zcela běžné.
Založte si tedy nového uživatele s individuálním jménem , např „franta-spravce“ a tomu přidělte oprávnění pro správu webu. Uživatel „admin“ zcela smažte, deaktivace nestačí.
Vytvořte si více uživatelů s různým oprávněním
Pokud pro publikaci obsahu používáte stejného uživatele jako pro administraci webu, změňte to. Např. pro publikaci obsahu používejte uživatele pouze s oprávněním „redaktor“.
Pro každou úroveň oprávnění je dobré mít specializovaný přístup. Uživatel, který publikuje obsah, je na webu často zmiňován jako autor. Některé webové systémy, jako WordPress, umožňují tímto způsobem zjistit uživatelské jméno. A tím má útočník již jednu z informací, které nemusí testovat. Pak už mu stačí jenom „uhodnout“ heslo.
Omezte počet pokusů na vložení správného jména a hesla
Řada útoků na weby je automatizována. Útočníci používají databázi jmen a hesel a postupně ji testují. Pokud na svém webu omezíte počet pokusů pro zadání jména a hesla, ztížíte jim situaci. Pokud dojde např. ke třem nesprávným pokusům, útočník může být zablokovaný, třeba na 10 minut nebo hodinu. To výrazně brání rychlému napadení.
Řada útočníků při takovémto omezení raději svých útoků zanechá. A jde hledat jiný, jednodušší cíl.
Omezte přístup k administraci na vybrané počítače
Každý počítač má při připojení do internetu svou tzv. IP adresu. Pokud je to možné, pak dovolte, aby do administrace vašeho webu se mohl přihlásit pouze uživatel z předem určených IP adres. Tím zabráníte, aby se o vstup do správy vašeho webu pokoušel někdo, kdo je zcela mimo vaši firmu.
Toto omezení lze nastavit buď na úrovni daného systému, např. WordPress. Vhodnější je pak to řešit již na straně hostingu a nastavení webového serveru. Požádejte správce vašeho webu ať to zařídí. Pokud nikoho takového nemáte nebo váš hosting toto nechce udělat, ozvěte se nám. Zařídíme vše potřebné.
Existují i další, složitější nastavení a postupy, jak se bránit útokům. Pokud váš web přináší vaší firmě každý měsíc významné příjmy, pak je na místě si tento zdroj příjmů chránit. Protože byste také mohli o svůj web přijít. Díky útoku by web mohl přestat fungovat.
Pokud si nejste jisti, zda Váš web není jednoduše napadnutelný, nechte si udělat aspoň základní audit bezpečnosti vašeho WordPress webu. Zavolejte nám a domluvíme jeho rychlou realizaci.