Με την ασφάλεια δεν παίζουμε
Πολλές φορές είναι στη φύση του ανθρώπου να μην ασχολείται με θέματα που μπορεί να του προκαλέσουν δυσάρεστες καταστάσεις. Ένα από αυτά είναι και η ασφάλεια της ιστοσελίδας του.
Όλο και πιο συχνά ακούμε και διαβάζουμε επιθέσεις από χάκερς που έχουν γίνει σε διάφορες ιστοσελίδες με τους πιο γνωστούς να είναι οι Anonymous.
Η πρώτη σκέψη είναι “σιγά μην ασχοληθούν με μένα” ή “πόσο τυχερός είμαι”. Όμως μπορούμε να αφήνουμε στην τύχη την ασφάλεια της επιχείρησης μας; Η απάντηση είναι όχι. Ειδικά στην περίπτωση που το site διαθέτει προϊόντα ή υπηρεσίες προς πώληση, ο πελάτης θα εμπιστευτεί τα προσωπικά του στοιχεία σε σένα για να κάνει την αγορά.
Στην D3 Solutions παίρνουμε στα σοβαρά τα θέματα ασφαλείας. Από την πρώτη μέρα της κατασκευής της ιστοσελίδας, μέχρι την τελειοποίηση και τη συντήρηση της.
Το διαδίκτυο με την πραγματικότητα δε διαφέρουν πολύ. Η επιλογή των θυμάτων, γίνεται ανάλογα με την άμυνα του καθενός. Ο κακοποιός θα επιλέξει τον ευκολότερο στόχο για να κάνει τη δουλειά του πιο γρήγορα χωρίς να βρει μπροστά του ιδιαίτερη αντίσταση.
Όταν λέμε «κακοποιός», μη φανταστείτε πως υπάρχει απαραίτητα κάποιος hacker πίσω από μία συγκεκριμένη επίθεση. Αυτό είναι συνήθως χολιγουντιανό σενάριο.
Τις περισσότερες φορές είναι κάποια bots που όντως έχουν δημιουργηθεί από κάποιους πολύ κακούς, πολύ έξυπνους και πολύ μοναχικούς ανθρώπους και βολοδέρνουν στο διαδίκτυο ψάχνοντας μια ευπάθεια στο σύστημα ώστε να τρυπώσουν.
Οι επιθέσεις
Όσο εξελίσσεται η τεχνολογία, τόσο περισσότεροι άνθρωποι ασχολούνται με αυτήν. Στον κυβερνοχώρο γίνονται καθημερινά απόπειρες επιθέσεων σε διάφορους στόχους. Οι επιθέσεις δεν είναι λίγες όπως νομίζουμε και η συχνότητα μεγαλώνει, όσο πληθαίνουν οι ιστοσελίδες στο διαδίκτυο. Αυτό σημαίνει πως η ανάγκη για μεγαλύτερη ασφάλεια γίνεται όλο και πιο επιτακτική.
Τα περισσότερα sites χρησιμοποιούν το WordPress που είναι και το δημοφιλέστερο CMS. Όμως, το WordPress είναι ανοιχτού κώδικα. Αυτό σημαίνει ότι ο κώδικας είναι διαθέσιμος να το δει όποιος θέλει. Επίσης, τα θέματα και τα plugins πρέπει να είναι έγκυρα από νόμιμους παρόχους. Αν έχουν δημιουργηθεί από τρίτους επιβαρύνουν την ομαλή λειτουργία και την ασφάλεια της ιστοσελίδας.
Οι πιο γνωστοί τρόποι hacking attacks είναι τα sniffer, το DOS attack, το DNS Spoofing, οι δούρειοι ίπποι (trojan horses) και φυσικά οι ιοί – σκουλήκια (viruses – worms). Υπάρχουν δεκάδες ακόμα διαφορετικοί μέθοδοι που εξελίσσονται και τροποποιούνται με τον χρόνο.
Η πλειοψηφία των επιθέσεων γίνεται για να χρησιμοποιηθεί το website σαν διακοσμητής για ανεπιθύμητη αλληλογραφία ή να δημιουργηθεί ένας προσωρινός διακοσμητής για να προβληθούν αρχεία με παράνομο χαρακτήρα.
Βασικοί κανόνες ασφαλείας
Με όλα αυτά στο μυαλό μας, ήρθε η στιγμή να πάρεις τα μέτρα σου για να κάνεις την ιστοσελίδα σου πιο ασφαλή.
Η πρόληψη είναι το παν και τα updates πρέπει να γίνονται τακτικά. Οι καλύτεροι στόχοι είναι οι ιστοσελίδες που δεν είναι ενημερωμένες. Τα περισσότερα προγράμματα όπως τα plugins και τα themes βγάζουν νέες ενημερώσεις για να μην παρουσιάζουν κενά ασφαλείας. Αν παρατηρήσεις ότι έχουν καιρό να βγάλουν κάτι καινούριο, καλό θα είναι να αφαιρούνται, καθώς γίνονται τρωτά σε επιθέσεις.
Αν έχεις κωδικό 123456 ή username με το όνομα admin τότε άλλαξε τον άμεσα. Στο διαδίκτυο μπορείς να ενημερωθείς με τους πιο γνωστούς κωδικούς που χρησιμοποιούνται από τους χρήστες. Το 2013 η Adobe χακαρίστηκε και της εκλάπησαν πάνω από 35 εκατομμύρια κωδικοί των πελατών της. Μετά από αυτό, έκανε μια έρευνα και παρατήρησε ότι οι 6 εκατομμύρια λογαριασμοί είχαν 10 κοινούς κωδικούς.
Φτιάξε έναν δύσκολο κωδικό που να περιέχει κεφαλαία γράμματα, σύμβολα και αριθμούς. Να τον αλλάζεις συχνά, για παράδειγμα κάθε 8 μήνες. Επίσης, να μην έχεις τον ίδιο σε όλους τους λογαριασμούς, γιατί αν γίνει η στραβή σε κάποια υπηρεσία όπως στην Adobe, τότε είναι σαν να αφήνεις τα κλειδιά του σπιτιού σου έξω από την πόρτα. Ούτε καν κάτω από το χαλάκι.
Μην εμπιστεύεσαι ποτέ κανέναν. Στο πρόσφατο παρελθόν υπήρχαν κρούσματα, όπου έπαιρναν τηλέφωνο “και καλά” τεχνικοί της Microsoft για να σου λύσουν ένα πρόβλημα που εντόπισαν στο λογισμικό σου, ζητώντας προσωπικά δεδομένα.
Το ηλεκτρονικό ταχυδρομείο δεν είναι απαραίτητα ασφαλές. Σε περίπτωση που έχεις χακαριστεί χωρίς να το καταλάβεις, τα email σου μπορεί να είναι προσβάσιμα και σε άλλους που δεν θα έπρεπε. Μην αναφέρεις ποτέ σημαντικές πληροφορίες σε μία ηλεκτρονική αλληλογραφία. Αν παρατηρήσεις κάποια περίεργη συμπεριφορά, όπως ορθογραφικά λάθη ή κάτι που δε σου κολλάει τότε πάρε τηλέφωνο τον αποστολέα.
Κάνε τακτικά αντίγραφα ασφαλείας όλων των αρχείων και της βάσης δεδομένων για παν ενδεχόμενο. Πρέπει πάντα να έχεις προνοήσει αν πάει κάτι στραβά.
Πιστοποιητικό ασφαλείας SSL
H Google ευνοεί τις ασφαλείς ιστοσελίδες. Κάθε μέρα βάζει στην black list περίπου 10.000 sites που δεν έχουν τα βασικά θέματα ασφαλείας.
Το πρωτόκολλο SSL είναι δημιουργία της Netscape και αναπτύχθηκε για να παρέχει τη μεγαλύτερη ασφάλεια στη μετάδοση ευαίσθητων δεδομένων στο διαδίκτυο.
Το πιστοποιητικό SSL σημαίνει ότι ο κάθε χρήστης που συνδέεται στο ίντερνετ, θα έχει έναν κρυπτογραφημένο σύνδεσμο μεταξύ της συσκευής του και της ιστοσελίδας κάνοντας τη διαδρομή με απόλυτη ασφάλεια.
Τα προγράμματα περιήγησης όπως το Google Chrome προειδοποιούν τον επισκέπτη που θέλει να συνδεθεί σε ιστοσελίδες χωρίς πιστοποιητικό SSL. Ενώ εκείνες που το έχουν, βοηθούνται στον αλγόριθμο κατάταξης κάνοντας καλύτερο το SEO.
Captcha
Αν σου αρέσει να σερφάρεις στο διαδίκτυο σίγουρα θα έχεις παρατηρήσει σε κάποια δημιουργία λογαριασμού ότι πρέπει να επιλέξεις ότι “Δεν Είσαι Ρομπότ”. Μάλιστα, στο πρόσφατο παρελθόν ήταν αρκετά ενοχλητικό καθώς έπρεπε να βρεις τα 3 ποδήλατα σε ένα σύνολο εικόνων ή 3 φανάρια (ενός λεπτού σιγή για τα κατεστραμμένα keyboards όταν δεν τα έβρισκες όλα) ή να απαντήσεις σε κάποια εύκολη ερώτηση.
Σήμερα υπάρχουν bots που θέλουν να κάνουν ζημιά στην ιστοσελίδα σου και είναι μία από τις μεγαλύτερες απειλές. Το Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) είναι μια υπηρεσία που κάνει αυτόματους ελέγχους, όπου οι άνθρωποι μπορούν να το περάσουν επιτυχημένα, ενώ τα προγράμματα όχι.
Ο καθένας μπορεί να το βρει εντελώς δωρεάν από τον ιστότοπο της reCaptcha. Μάλιστα, στην ανανεωμένη 3η έκδοση ο επισκέπτης δεν θα το βλέπει στο site. Τα τεστ γίνονται χωρίς καμία ένδειξη στο backround. Τις γνωρίζει μόνο η ιστοσελίδα και ενημερώνεται άμεσα όταν εμφανίζεται κάποια ύποπτη κίνηση.
Τι κάνω σε περίπτωση χακαρίσματος
Πρώτα απ’ όλα, don’t panic! Δεν πρέπει να χάσεις την ψυχραιμία σου. Αν πανικοβληθείς, πήγαινε να ηρεμήσεις και έλα πάλι πίσω να αντιμετωπίσεις το πρόβλημα.
Άλλαξε όλους τους κωδικούς πρόσβασης. Όχι μόνο αυτούς του site, αλλά και όλους που έχουν σχέση με αυτό. Κράτα το τελευταίο backup γιατί θα σου χρειαστεί.
Αντιμετώπισε το κακόβουλο λογισμικό. Βρες το και αφαίρεσε το. Κάνε όλα τα update. Και τέλος, άλλαξε για μία ακόμη φορά τους κωδικούς πρόσβασης.
1 Σχόλιο