Nusprendėte susikurti interneto svetainę. Išsirinkote tinkamiausią domeną, parengėte tekstus jos puslapiams, išsirinkote nuotraukas ir puslapių dizainą arba už visus jos kūrimo darbus sumokėjote programuotojui. Galiausiai jūsų svetainė išvydo dienos šviesą ir atrodytų, kad dabar jau visi darbai baigti. Deja. Net kai interneto puslapis yra pilnai paruoštas, labai svarbu užtikrinti jo saugumą, kad visas darbas, investuoti pinigai ir laikas nenueitų perniek, į puslapį nebūtų išsilaužta ir jis nebūtų sugadintas.
Svetainės saugumas priklauso nuo serverio, kuriame ji talpinama, saugumo ir nuo pačios svetainės programinio kodo. Jei naudojamas ne savarankiškai administruojamas serveris, serverio saugumą turi užtikrinti hostingo paslaugų teikėjas. Programinio kodo saugumu turėtumėte rūpintis savarankiškai arba už tai turėtų atsakyti jūsų svetainės kūrėjas.
Be šių dviejų bazinių saugumo veiksnių, yra ir kitos papildomos priemonės, į kurias labai svarbu atsižvelgti.
Atsarginės kopijos neužtikrina svetainės saugumo, tačiau jas labai pravartu turėti, kad po saugumo incidento būtų galima greitai atkurti svetainę. Domenų kopijas galima kurti savarankiškai arba jomis turėtų pasirūpinti hostingo paslaugų teikėjas.
Reikėtų išsiaiškinti, ar hostingo paslaugų teikėjas kuria atsargines duomenų kopijas ir jei taip, tuomet kokiu dažnumu. Nemažiau svarbu, kokie duomenys yra įtraukiami į kopiją: tik duomenų bazė, tik svetainės failai, ar išsaugoma pilna svetainės kopija. Taip pat, ar taikomi kokie nors limitai saugomai kopijai ar į ją įtraukiamiems failams.
Šią informaciją svarbu išsiaiškinti iš anksto, kol dar neprireikė atstatyti duomenų. Priešingu atveju gali paaiškėti, jog duomenų iš kopijos atstatyti negalima, nes kai kurie failai dėl dydžio viršijimo nebuvo įtraukti į kopiją arba jums reikia senesnės kopijos, negu gali pasiūlyti paslaugos teikėjas.
Nepriklausomai nuo to, ar hostingo paslaugų teikėjas kuria atsargines kopijas, jomis reikėtų pasirūpinti ir savarankiškai. Hostingo paslaugų teikėjai dažniausiai siūlo tik tam tikro senumo atsargines kopijas, tad, savarankiškai kuriant papildomas kopijas, būtų galima turėti norimo senumo duomenis.
Reikėtų patikrinti, ar hostingo paslaugų teikėjas siūlo įrankius savarankiškam kopijų generavimui. Interneto vizijos bendro naudojimo serveriuose talpinamų duomenų kopijas galima sukurti DirectAdmin serverio valdymo pulte, jeigu duomenys neužima daugiau nei 10 GB.
Talpinimo plane, kuriame naudojamas Installatron įrankis, galima nustatyti automatinį atsarginių kopijų kūrimą norimu dažnumu. Jei svetainės turinys yra statinis, kopijas galima kurti rečiau, ir atvirkščiai – jei puslapio informacija nuolat kinta, kopijas generuoti reikėtų dažniau.
Atsarginės kopijos gali būti kuriamos ir svetainės valdymo dalyje, įsidiegus papildomą įskiepį, jei tokį turi jūsų naudojama svetainės turinio valdymo sistema. Priklausomai nuo pasirinkto įskiepio, gali būti generuojamos tik duomenų bazės kopijos arba visų failų, taip pat naudojamų temų ar įskiepių. Taip pat galima pasirinkti, kur kopijos bus saugomos, pvz. Google Drive, DropBox, išoriniame FTP serveryje ar lokaliai.
Rečiau saugomas kopijas (pvz. po programinio kodo atnaujinimų) vertėtų išsisaugoti keliose skirtingose vietose tam, kad praradus prieigą prie vienos, kita būtų pasiekiama ir svetainės veikimą pavyktų atstatyti kaip įmanoma greičiau.
Svarbu nepamiršti, kad atstatoma atsarginė kopija negarantuoja puslapio saugumo. Greičiausiai atstatytoje atsarginėje kopijoje jau bus saugumo spragos, dėl kurių buvo įsilaužta į puslapį, todėl po atstatymo reikėtų nedelsiant jas pašalinti.
Taip pat yra tikimybė, kad atsarginės kopijos generavimo metu svetainės failuose jau buvo įterptas žalingas kodas, todėl net jei po atsarginės kopijos atstatymo puslapis veikia, labai svarbu patikrinti, ar nėra likę žalingo kodo, o jį aptikus – kuo skubiau pašalinti.
Siekiant iš anksto užkirsti kelią svetainės sugadinimui, svarbu atlikti reguliarų sistemos skenavimą ir tikrinti svetainės failus bei naudojamus įrenginius.
Svetainės failai turėtų būti skenuojami nuolat ir ne rečiau kaip kartą per savaitę. Tai reikėtų atlikti savarankiškai arba išsiaiškinti, gal tokią paslaugą siūlo arba atlieka hostingo paslaugų teikėjas. Reguliarus svetainės failų skenavimas leistų iškart pastebėti įterptą žalingą kodą ir jį pašalinti.
Interneto vizijos prižiūrimuose bendro naudojimo serveriuose failų skenavimą automatiškai atlieka jau įdiegta sistema, tačiau nepaisant to, reikėtų naudoti ir papildomus skenavimo įrankius. Tai svarbu, nes nėra vieno universalaus įrankio, kuris galėtų garantuoti 100% apsaugą. Skirtingi įrankiai gali atlikti skirtingus skenavimus ir padidinti tikimybę, kad svetainėje įterpi žalingi failai bus aptikti laiku.
Interneto vizija šiuo metu siūlo Sitelock saugumo įrankį, kuris atlieka svetainės failų ir aplikacijų skenavimą bei tinklo patikrą.
Ne mažiau svarbu užtikrinti, kad reguliariai būtų skenuojami ir įrenginiai, iš kurių yra jungiamasi prie serverio ar svetainės administracinės dalies. Tam turėtų būti naudojamos antivirusinės programos, iš kurių dalį galima įsigyti nemokamai. Renkantis antivirusinę programą reikėtų patikrinti, ar ji suderinama su įrenginyje naudojama operacine sistema, ir kokias funkcijas atlieka.
Svetainės ir tinklo apsaugai labai svarbi ugniasienė. Tai kompiuterinė arba programinė įranga, kuri atlieka už jos esančių programų ar kompiuterių apsaugą. Ji tikrina įeinantį ir išeinantį srautą ir blokuoja tokį, koks pasirodo įtartinas ir nepageidaujamas. Ugniasienės gali būti įvairių tipų ir yra skirtos apsaugoti jūsų įrenginius ar serverius.
Svetainių ir serverių apsaugai turėtų būti naudojama WAF (Web Application Firewall) ugniasienė, kuri veikia panašiai kaip atvirkštinis tarpinis serveris, kuomet srautas pirmiausia turi pereiti per WAF, kad pasiektų svetainę ar serverį. WAF atlieka HTTP srauto analizę ir, jei srautas atrodo įtartinas, į užblokuoja. Interneto vizija papildomai svetainių apsaugai suteikia galimybę naudoti Mod security užklausų filtrą, kuris aptinka bandymus pasinaudoti programavimo klaidomis, o papildomos taisyklės leidžia apsisaugoti nuo slaptažodžių spėliojimo, „rootkit’ų” ir kenkėjiškų programų.
Papildoma serverio ugniasienė blokuoja išorinius IP adresus, iš kurių buvo vykdomi kenkėjiški veiksmai serverio atžvilgiu, pvz., DDoS atakos, virusų siuntimai, bandymai įsilaužti ir panašiai.
Jei puslapyje prašote lankytojų pateikti savo asmeninę informaciją (pvz. pirkimo metu banko kortelių duomenis, registracijų metu asmeninę informaciją, prisijungimų metu slaptažodžius), svarbu, kad jūsų puslapis būtų pasiekiamas saugiu HTTPS („Hypertext Transfer Protocol Secure“) protokolu. Svetainė HTTPS protokolu gali būti pasiekiama tuomet, kai jos domenui yra išduotas ir įdiegtas SSL (Secure Sockets Layer) sertifikatas. Jis leidžia užmegzti užšifruotą ryšį tarp vartotojo kompiuterio ir svetainės. SSL sertifikatas neapsaugo serverio ar puslapio nuo atakų ir žalingo kodo įterpimo, tačiau užšifruoja svetainę naudojančio asmens įvedamus ir į serverį perduodamus duomenis. Tai leidžia puslapio lankytojams labiau pasitikėti jūsų svetaine.
Papildomai apsaugai rekomenduojama naudoti HTTP saugumo antraštės (angl. Secure Headers), kurios nurodo naršyklei, kaip elgtis bendraujant su svetaine. Naudojant atitinkamas antraštes, svetainei suteikiamas papildomas apsaugos lygis, kuris gali sustabdyti įprastas atakas, žalingo kodo įterpimą ar apsaugoti nuo duomenų nuskaitymo.
Prieigą prie serverio ar svetainės administracinės dalies turėtų gauti tik apmokyti darbuotojai, kuriems šį prieiga reikalinga puslapio administravimui ir priežiūrai, ir kurie yra supažindinti su saugumo reikalavimais.
Norint papildomai apsisaugoti nuo trečiųjų šalių, galima sukurti prieigos taisykles ir jomis apriboti prieigą prie serverio arba svetainės administracinės dalies ir nurodyti, iš kokių IP adresų galima juos pasiekti. Nesuteikite prisijungimo duomenų prie viso serverio ar administratoriaus teisių prie TVS, jei tai nėra būtina. Sukurkite atskirus prisijungimus darbuotojams prie serverio ar TVS administracinės dalies ir apribokite, kuriuos failus ar funkcijas jie gali pasiekti.
Dar labiau svetainę galima apsaugoti prisijungimams prie jos administravimo dalies įjungus papildomą autentifikavimą (MFA/2FA). Tai užtikrins apsaugą, kad net žinodamas prisijungimo duomenis, įsilaužėlis negalės prisijungti prie administracinės dalies, jei neįves papildomo kodo. Papildomai autentifikacijai prie TVS gali būti naudojamos mobiliųjų įrenginių programos ar papildomi įskiepiai.
Prisijungimui prie serverio ar failų įkėlimui reikėtų naudojanti tik saugius perdavimo būdus, pvz., SSH (angl. Secure Socket Shell) ar lygiavertį, jei naudojamas serveris ar talpinimo planas tą leidžia. SSH protokolas yra saugus nuotolinio prisijungimo iš vieno kompiuterio į kitą būdas. Dėl autentifikavimo parinkčių ir stipraus, šifravimu užtikrinto ryšio saugumo, tai yra gerokai saugesnė alternatyva neapsaugotiems prisijungimo protokolams (pvz. „Telnet“ ) ir nesaugiems failų perdavimo metodams (pvz. FTP ).
Dar saugesnis susijungimas su serveriu atliekamas naudojant SSH raktą (angl. SSH key). Šis metodas suteikia naudotojui papildomą privalumą, nes jį naudojant prie serverio galima prisijungti be slaptažodžio. Jungiantis su SSH raktu, naudojamas serveryje patalpintas viešasis raktas ir privatus raktas, esantis kompiuteryje. Viešasis raktas užšifruoja siunčiamus duomenis, o jie gali būti iššifruoti tik tame įrenginyje, kuriame yra privatus raktas.
Prisijungimui prie serverio ar svetainės administravimo dalies svarbu naudoti saugius slaptažodžius. Saugiu slaptažodžiu yra laikomas ne trumpesnis nei aštuonių simbolių slaptažodis, sudarytas iš mažųjų ir didžiųjų raidžių, skaičių ir specialiųjų simbolių. Slaptažodžiuose reikėtų vengti naudoti bendrinius žodžius ar asmeninę informaciją, tokią kaip gimimo data, šeimos narių vardai ir panašiai. Jie turėtų būti reguliariai atnaujinami (ne rečiau kaip kas 3 mėnesiai) ir unikalūs. Taip pat nereikėtų naudoti to paties slaptažodžio keliose paskyrose.
Pastarieji saugumo incidentai parodė, kaip svarbu naudoti unikalius slaptažodžius. Jei tam tikras slaptažodis naudojamas keliose paskyrose ar sistemose, įsilaužus į vieną iš jų (tai gali būti ir išorinis puslapis), jūsų slaptažodis tampa prieinamas įsilaužėliams ir jie pagal kitus atskleistus duomenis (pvz. el. paštas), gali įsilaužti į kitas jūsų paskyras, sistemas, pašto dėžutes ar netgi serverius. Plačiau apie slaptažodžius skaitykite šiame straipsnyje: https://www.iv.lt/saugus-slaptazodis-ka-daryti-ir-ko-nedaryti/
Programinę įrangą reikia periodiškai atnaujinti. Tiek serverio operacinė sistema, tiek bet kokia programinė įranga, naudojama svetainėje, turi būti atnaujinta iki paskutinės galimos versijos.
Serverio priežiūra ir programinės įrangos atnaujinimu paprastai rūpinasi hostingo paslaugų teikėjas, tačiau jei naudojamas savarankiškai administruojamas serveris, šiais atnaujinimais teks pasirūpinti patiems arba šių darbų atlikimui samdyti serverio administratorių. Tuo tarpu svetainėje naudojamos programinės įrangos atnaujinimu turi rūpintis svetainės savininkas arba svetainę prižiūrintis asmuo. Jei svetainę kuriate ne savarankiškai, su svetainę kuriančia įmone ar programuotoju reikėtų aptarti šiuos darbus ir jų reguliarumą iš anksto, kol dar svetainė nebaigta kurti.
Svetainėje naudojamos programinės įrangos atnaujinimas yra ypač svarbus, jei svetainė yra sukurta su populiariomis TVS, tokiomis kaip WordPress, Joomla, Drupal ar panašiai. Kuo naudojama TVS yra populiaresnė, tuo didesnė grėsmė, kad laiku neatnaujinus naudojamos programinės įrangos, į puslapį bus įsilaužta. Taip pat reikėtų peržiūrėti, ar svetainėje turite įdiegtų, bet nenaudojamų įskiepių. Tokius įskiepius reikėtų pašalinti, nes apie jų egzistavimą dažnai pamirštama ir be to, kad jie daro svetainę „sunkesnę“ ir lėtina užkrovimo greitį, neatnaujinami jie kelia grėsmę saugumui.
Jei talpinimo plane galima talpinti daugiau nei vieną svetainę ir nėra galimybės izoliuoti vieno puslapio nuo kito, labai svarbu nearchyvuoti nenaudojamų svetainių failų, duomenų bazių ar programų kartu viename serveryje su aktyviomis svetainėmis. Norint turėti tokį duomenų archyvą, jį reikėtų saugoti atskirame serveryje arba lokaliai kompiuteryje. Taip pat galima pasirinkti talpinimo planą, leidžiantį kurti atskirus, vienas nuo kito izoliuotus vartotojus. Interneto vizija tokiam tikslui siūlo planą „Didmeninis“. Pasirinkus šį planą, galima sukurti atskirus naudotojus, kurie turi unikalius prisijungimus, tad visos vieno tokio papildomo naudotojo talpinamos svetainės yra izoliuotos nuo kito, tame pačiame plane sukurto naudotojo svetainių.
Dažniausiai nebenaudojamų svetainių turinio valdymo sistemos nėra nuolat atnaujinamos ir tai lemia, kad tokių svetainių failuose atsiranda saugumo spragų. Jei į tokią svetainę būtų įsilaužta, kyla giesmė, kad bus pažeistos ir kitos, aktyvios svetainės.
Savarankiškai susikurti svetainę šiais laikais yra nebe tokia sudėtinga užduotis. Visgi kartais pamirštama, kad vien tik sukurti ir patalpinti svetainę nepakanka. Kad puslapis veiktų korektiškai, nemažiau svarbus yra puslapio saugumas.
Svetainės saugumo užtikrinimas gali pasirodyti sudėtinga užduotis, tačiau laikantis pagrindinių saugumo taisyklių, pasirenkant patikimus hostingo paslaugų teikėjus ir laiku atnaujinant sistemas, galima užtikrinti saugų puslapio veikimą.
Dėl nuolatinių pokyčių kibernetinio saugumo srityje, svarbu nepamiršti nuolat atnaujinti žinias ir neatsilikti nuo naujausių saugumo tendencijų.