Każda firma ma stronę internetową. Wiele z nich postawionych jest na popularnym systemie CMS – WordPressie. Niezależnie od tego czy korzystacie z gotowca czy macie www napisaną od nowa – jest kilka zasad bezpieczeństwa, które trzeba stosować.
Mocne hasła
To niestety męczące, ale mocne hasła są naprawdę istotne. Jeśli nie jesteś pewny/a czy Twoje hasło jest odpowiednie – skorzystaj z howsecureismypassword.net Aby wygenerować mocne hasło wystarczy skorzystać z jednego z serwisów, które oferują taką opcję. Mogę ze swojej strony polecić VPNMentor.
Istnieje wiele sposobów na ulepszenie systemu zabezpieczeń każdego CMS (WordPress, Magento), ale bądźmy szczerzy – jednym z najpopularniejszych sposobów ataku na sklep internetowy/stronę www jest odgadnięcie / złamanie hasła administratora lub użycie phishingu*, aby go uzyskać.
Jest kilka słów, których nie powinieneś używać w haśle – np. Imię i nazwisko, rok urodzenia, najpopularniejsze kombinacje, takie jak admin lub 1234. Ponieważ hasło powinno być zmieniane co kilka miesięcy (przynajmniej!) – łatwiej jest użyć czegoś, co zapamiętasz i nie dajcie się pomylić. Więc albo powinieneś to zapisać, ale istnieje ryzyko, że ktoś może go ukraść lub sprawić, by był tak prosty, jak to tylko możliwe i jak najtrudniejszy do złamania.
Dobre hasła mają również duże i małe litery, cyfry i znaki specjalne. Jak z niego korzystać i nie zapomnieć hasła?
Wypróbuj coś takiego: [nazwa strony lub nazwa części] – [miesiąc]. [Rok] i [nazwa], ale staraj się nie używać ludzkich imion lub nazw swoich psów / kotów
W przykładzie Fb-02.18 Samsing; Tt-03.2018&owsianka; Gmail-1.18kaktus.
Ponieważ możesz przygotować własną kombinację imion i nazwisk oraz postaci – trudno to odgadnąć, łatwo zmienić co miesiąc.
Oh i gdyby były jakiekolwiek wątpliwości – NIE, nie rób wszędzie takich samych haseł. I staraj się nie korzystać z nich na komputerach publicznych czy cudzych urządzeniach.
*phishing – metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej) lub nakłonienia ofiary do określonych działań.
Aktualizuj wtyczki, cms i szablony
Częstym powodem ataków są dziury i błędy, które znajdowane są w różnych elementach strony. Aktualizacje, oprócz poprawiania funkcjonowania takich aspektów, służą również zatykaniu dziur. Aktualizując wszystkie wtyczki, sam cms oraz szablony zapewniasz sobie nie tylko, że strona będzie działała szybciej i lepiej, ale przede wszystkim – bezpieczniej.
Surfuj odpowiedzialnie
Jak już wspomniałem, innym sposobem uzyskania hasła jest użycie phishingu. Ogólnie oznacza to, że haker używa różnych metod, aby dać ci hasło. Brzmi niemożliwe?
Wyobraź sobie, że używasz wtyczki do łączenia swojego sklepu/strony z Facebookiem. Aby to działało, wtyczka prosi o podanie hasła administratora. Właśnie stałeś się ofiarą phishingu – żadna wtyczka nie powinna pytać Cię o hasła dostępu.
Jeśli Twój sklep ma możliwość logowania się przez konta społecznościowe (możesz zalogować się np. za pomocą konta Facebook), haker potrzebuje tylko swojego hasła na Facebooku, aby dostać się do niego.
Otrzymasz wiadomość e-mail z informacją o komentarzu lub poście, na które powinieneś zareagować, a co dziwne, gdy klikniesz link do treści, jesteś poproszony, aby się zalogować. Po prostu zdradziłeś swoje hasło na Facebooku na stronie wyglądającej jak Facebook, ale to zupełnie inna strona! (np. o adresie facebook.com)
Myśląc o tym, jak poprawić bezpieczeństwa Twojej strony, trzeba zawsze myśleć o czymś więcej niż tylko bezpieczeństwo strony (paradoksalnie!). Jak pokazałam – używanie Facebooka może być również sposobem na wejście do Twojej strony, jeśli nieopatrznie ktoś będzie miał dostęp do Twoich danych.
Pamiętaj, że zazwyczaj większość włamań jest dokonywana przy użyciu metody wyłudzania informacji (czyli właśnie phishingu). I często – użytkownicy nie są wystarczająco ostrożni, aby dbać o swoje hasła. Pytając więc, jak poprawić bezpieczeństwo Twojej strony www, odpowiedź jest prosta – bądź ostrożnym użytkownikiem.
Uczyń administratora niedostępnym
Utrudnij dostać się do środka. Zmieniaj adres URL administratracji, zmieniaj nazwę użytkownika administratora z “administratora” (czy admina) na coś innego, używaj dwukierunkowej autoryzacji, ograniczaj próby zalogowania się – wszystko to powinno ci pomóc w minimalnych możliwościach złamania hasła i zaatakowania twojej strony jako administratora lub wykorzystać niektóre błędy, aby dostać się do sklepu. Możesz także użyć niektórych wtyczek, aby poprawić bezpieczeństwo witryny. Dla WordPressa popularne to: Wordfence, All in one wp security & firewall, czy Cerber.
Chroń swoje hasła!
Może się to wydawać oczywistym, ale NIGDY, pod ŻADNYM POZOREM nie podawaj nikomu swoich haseł! To najprostszą droga do stracenia dostępu do konta. Wystarczy, że ktoś wejdzie na stronę i zmieni hasło. Podobnie sprawa się tyczy haseł dostępowych do Twojego hostingu, bazy MYSQL, FTP itp. Jeśli masz komukolwiek udostępnić dostęp do tych narzędzi, zawsze zakładaj nowe konta. W ten sposób chronisz swoje dostępy.
Pamiętaj również, że udostępniając swoje własne hasło, zwiększasz szansę na to, że ktoś będzie w stanie włamać się na Twoje inne hasła – ludzie mają tendencje do korzystania z podobnych haseł lub stosowania podobnych systemów budowania ich (jak widać powyżej 😉 ).
To oczywiście nie wszystkie rozwiązania, ale zastosowanie już tych, powinno pomóc. Pamiętaj, że w dowolnym momencie ktoś może zaatakować Twoją firmę przez atak na Twoją stronę. Jeśli problem zakończy się na wejściu na stronę – nie będzie najgorzej. Ale co jeśli ktoś np. zaszyje w Twojej stronie złośliwy kod i będzie infekował komputery Twoi klientów? Lub jeśli zainstaluje swoje reklamy i będzie czerpał zyski, a Twoim odwiedzającym będą wyskakiwać reklamy?
Jeśli chcesz porozmawiać o zabezpieczeniu swojej strony www – możemy pomóc!