Wbrew pozorom, obecny poziom bezpieczeństwa witryn internetowych pozostawia wiele do życzenia. Czy jako administratorzy własnego serwisu www zdajemy sobie sprawę, że często jesteśmy posiadaczami danych lub informacji, które nie powinny przedostać się do szerszej publiczności? Przestrzeganie pewnych, ustalonych reguł powinno ograniczyć (niestety nie zniwelować) najczęstsze trudności, które mogą przytrafić się nam w zapewnieniu odpowiedniego standardu bezpieczeństwa. Dzięki podstawowej wiedzy na ten temat, możemy uchronić się przed wyciekiem poufnych danych. Należy pamiętać, że to właśnie człowiek jest głównym powodem wielu kłopotów.
Wybrane dane, tylko dla wybranej grupy
Nigdy nie powinniśmy dopuścić do sytuacji, kiedy dane, które są powszechnie poufne, trafiły do szerszego grona odbiorców. Należy zadbać o odpowiednie prawa dostępu, w zależności od przynależności danego użytkownika do danej grupy. W popularnych systemach zarządzania treścią sprawa ta jest już rozwiązana, największy kłopot mają Ci, którzy piszą własne CMS’y – to właśnie one, niepoprawnie napisane, mogą stać się celem ataku i napędzeniem sobie niemałych problemów.
Polityka haseł
Nigdy nie należy dopuścić, aby hasła używane przez administratorów, moderatorów, czy użytkowników z grup, które mogą ingerować w działanie witryny były proste do zapamiętania. Należy stosować różne kombinacje, składające się z wielkich i małych liter, cyfr i znaków specjalnych. Warto w tym celu skorzystać z generatora haseł online (np. pass.sigsiu.net, generator.blulink.pl, www.adgraf.net, www.dobrehaslo.pl). Ze strony czysto technicznej powinniśmy zadbać o to, aby hasła nie były zapisywane w bazie danych jako tekst jawny. Obecnie, nawet korzystanie z funkcji skrótu md5 nie jest bezpieczne. Należy zainteresować się algorytmami o lepszym poziomie kryptograficznym.
Kopia bezpieczeństwa
Bieżące wykonywanie kopii bezpieczeństwa jest świetnym pomysłem. Najlepiej byłoby, gdyby archiwalne pliki znajdowały się na dysku, który nie ma bezpośredniego połączenia z siecią (w celu wyeliminowania ataku przez internet). Co daje nam backup? Zdolność odtworzenia witryny w stanie idealnym, w razie ataku hackerów, oraz zwykłej awarii serwera, zniszczenia dysków czy innej, niespodziewanej sytuacji. Kopia bezpieczeństwa jest również dobrą możliwością powrotu do poprawnego działania strony, kiedy wykonamy na niej modyfikacje, które niepoprawnie wpłynęły na jej działanie.
Szacowanie ryzyka
To czy zostaniemy zaatakowani zależy w dużej mierze od popularności naszej witryny. Jeśli stronę prowadzimy hobbystycznie, ataki – jeżeli w ogóle wystąpią – zostaną wyprowadzone przez amatorów, którzy raczej nie będą chcieli wyrządzić nam większych szkód. Co jednak jeśli prowadzimy popularny serwis? Korzystajmy ze sprawdzonych usług hostingowych, w szczególności odpornych (lub minimalizujących) na ataki DDoS. Główną rolę odgrywa tu infrastruktura dostawcy hostingu, ale również i zasobność naszych portfeli.
Weryfikacja danych
Jeżeli na naszej stronie użytkownik ma możliwość wprowadzania danych (mówię tu głównie o formularzach), musimy wiedzieć co przesyła. Z treści przesyłanej przez użytkowników wyeliminujmy kod zamieniając go na tzw. encje, za pomocą funkcji htmlspecialchars(). Zabezpieczmy też zapytania wprowadzane do bzy danych. Najlepiej będzie, jeśli będą one wprowadzane w apostrofach – nie w cudzysłowach – dzięki temu nie dopuścimy do wrzucenia do nich niechcianych zmiennych. W skrócie, zadbajmy o to, aby uniknąć SQL injection, oraz Cross-site scripting.
Przede wszystkim czujność
Sam problem bezpieczeństwa stron internetowych jest równie stary, co sam internet. Od samego początku spędzał sen z powiek ówczesnym webmasterom. Na głównym froncie spotykają się osoby ciągle poprawiające bezpieczeństwo witryn, konkurując z użytkownikami sieci, starających się przełamać wszelkie próby ochrony. Tak jak wspomniałem na początku – tylko od naszej świadomości zależy, czy nasza witryna nie zostanie pomyślnie zaatakowana. Zapamiętajmy też, że nie ma stron całkowicie bezpiecznych. Zawsze czai się luka, którą można wykorzystać. Postarajmy się jednak wyprzedzić napastnika, zanim zrobi cokolwiek.
ja dodam, że częstym błędem jest również instalowanie skryptów dziwnego pochodzenie, pseudo ulepszone WordPress-y itp. pobrane z for i innych niż oficjalna strona źródeł
Oczywiście cenna uwaga. Masz rację, korzystanie ze stron innych niż oficjalna, to działanie na własne ryzyko.