Jak je možné zajistit neprůstřelnost internetových stránek a eshopu pomocí bezpečnostních opatření? Zeptáte se občas také sami sebe na tuto otázku? Mít e-shop nebo webové stránky je skvělá věc. Umožňují vám prodávat produkty a služby, generovat příjmy, komunikovat s lidmi a budovat vaši značku. Ale za oponou všeho, co vidíte při pohledu na samotný web, se toho děje hodně. Hodně činností, aby tento elektronický “stroj” fungoval hladce a aby byl v bezpečí před různými online hrozbami.
V dnešním článku se krátce podíváme na některé běžné hrozby, se kterými se internetové stránky a eshopy často setkávají. Věděli jste například, že až 30 % všech internetových stránek zažije nějakou formu hackingu? Majitelé a provozovatelé stránek mohou tímto způsobem ztratit cenná zákaznická data, potýkat se s různými viry a jinými nákazami nebo ještě hůře, mohou ztratit přístup ke svým účtům a přímo k celé administraci vlastního webu.
Začneme náš výčet hrozeb s DDoS a s útoky hrubou silou. Takové hrubé útoky jsou společné pro všechny webové stránky. Ale co jsou přesně zač? Odpovíme vám. A poté ještě přidáme několik dalších běžných typů útoků.
DDOS útoky
DDoS útoky na vaše internetové stránky zjednodušeně naruší provoz vašich internetových stránek (e-shopu) extrémním množstvím přístupů. Vaše servery (kde hostují vaše stránky) zažijí extrémní množství příchozího provozu, nikoli od skutečných lidí, ale ze škodlivých zařízení, často z lokalit celého světa. Tato škodlivá zařízení chtějí váš server zahltit a tím znemožnit jeho fungování.
S tímto útokem sami nic nenaděláte, musíte mít kvalitního poskytovatele hostingu, který investuje dlouhé roky nemalé finance a kapacity do boje s DDoS útoky. Zmíním například WEDOS, u kterého hostujeme náš portál.
Brute Force útok
Brute Force, jak název napovídá, je snaha o prolomení vašich stránek hrubou silou. Obvykle hackeři násilně posílají žádosti o přihlášení do různých sekcí vašeho webu pomocí programového kódu. Cílem je získat kontrolu nad vaším účtem a zabránit vám v přístupu do administrace.
Proti tomuto typu útoku je ideální zvolit velmi silné heslo, které budete pravidelně měnit. Takové heslo, které nikde jinde nemáte uložené. Dále doporučuji dvou faktorovou autentizaci při samotném přihlašování, kdy vám přijde ověřovací kód, ať již formou tokenu, emailu nebo SMS zprávy, případně vám přijde do speciální aplikace v chytrém telefonu..
Napadení vaší SQL databáze.
Víme, že hackeři rádi kradou data. Pro přístup k vaší databázi se používají SQL dotazy. Násilným vložením dotazu prostřednictvím formuláře mohou hackeři ukrást databázové záznamy. Jakmile dostanou co chtějí, naruší vaši databázi a vy o tom nebudete mít ani ponětí. Ztratíte data a často i přístup do vaší databáze. Proto vaši databázi (i soubory webu) pravidelně zálohujte.
Phishingové e-maily
Pokud jste někdy pracovali pro nějakou organizaci, dostali jste jistě tuto bezpečnostní radu: „Nikdy neotevírejte e-mail nebo přílohu z neznámého zdroje“. Tyto podvodné e-maily obsahují odkazy, které vedou na podvodné internetové stránky.
Jistě také dostáváte od vašeho poskytovatele e-mailových služeb varování, abyste byli před otevřením takových e-mailů opatrní. Hackeři, kteří často posílají „phishingové e-maily“, posílají dopisy vašim zákazníkům ve jménu vaší firmy a žádají je, aby „ověřili podrobnosti“. Tím získávají kritické informace, které chtějí. Bohužel tím významně poškozují pověst vaší značky.
Jak zlepšit zabezpečení internetového obchodu / internetových stránek?
Existuje řada způsobů. Rozhodně doporučuji tuto oblast nepodceňovat a vždy se poradit s odborníky, případě s poskytovateli vašeho hostingu nebo s lidmi, kteří vám postavili vaše webové stránky. Nyní pojďme některé preventivní úkony nastínit.
Posilte zranitelné oblasti webových stránek / elektronického obchodu.
Ať už máte malou firmu nebo společnost s miliardovými obraty, vaše webové stránky jsou náchylné k napadení. Hackeři chtějí data víc než samotný web, a proto je důležité, abyste nikdy neztratili přístup k vašemu účtu.
Tento obrázek od Wordfence ukazuje, jak byly hacknuty weby s redakčním systémem WordPress, na kterém běží cca ⅓ všech stránek na světě. Z obrázku je patrné, že v některých případech je možné hacknout stránky pomocí téměř všech komponent, ze kterých se skládají.
Jak vidíte, cest, jak můžete být napadení je více. Kterákoli z těchto oblastí na vašem webu se může stát vstupní branou pro hackera. Pro obchody eCommerce jsou cenná zákaznická data. To je to, co hackeři obvykle chtějí. Taková data zahrnují podrobnosti a informace o zákaznických kreditních kartách, adresách a telefonních číslech. V zájmu reputace vaší firmy jistě nechcete, aby se tyto informace dostaly do nesprávných rukou.
Proto byste měli zabezpečit každý komponent vašeho webu – projednejte tento úkon se svým technickým správcem webu, aby vám poskytl ochranu celých stránek, případně kontaktujte i vašeho poskytovatele hostingu, který vám jistě také poradí.
Nastavte si bezpečná hesla tak, aby byla odolná proti hackerům.
Hesla jsou prvním vstupním bodem, kterým se hackeři přímo nabourají do vašich účtů. A jaký je nejjednodušší způsob, jak chránit vaše účty? Již jsme to zmínili výše. Často měňte vaše hesla. Špičkové organizace trvají na tom, aby si jejich zaměstnanci změnili hesla alespoň jednou měsíčně.
Čím složitější je vaše heslo, tím obtížnější bude hacknutí. Pokud nemůžete přijít na nějaké složité a zapamatovatelné, použijte generátor hesel. Získáte tak silná hesla, která je prakticky nemožné prolomit a vaše účty zůstanou v bezpečí. Ještě připomenu, abyste nikdy neukládali vaše hesla do žádného dokumentu (papírového ani elektronického), tj. na papíře nebo kdekoli v online prostředí.
Omezte konkrétní oprávnění pro jednotlivé uživatele.
V týmu spolupracovníků by neměli mít všichni uživatelé stejná oprávnění. Ve skutečnosti by je neměli mít ani na vašich internetových stránkách, protože tak rozlišujete mezi uživateli a jejich přístupem k softwaru.
Prvním krokem je omezit administrátorský přístup správce na velmi malý počet uživatelů. Toto oprávnění zahrnuje přístup k citlivým datům, určité části softwaru, přístup k jiným účtům a všemu, co je pro běžného uživatele příliš “velké”.
Dalším krokem je přímé odepření přístupu k datům zákazníků vašim uživatelům. Jedná se o citlivé informace, se kterými by váš tým neměl pracovat. Většina týmů pro vývoj webu má k práci a testování různá prostředí testovacích dat. Živá data zákazníků mezi ně nepatří.
Tím se dostáváme ke třetímu kroku a tím je vybudování silného týmu administrátorů. Ti mají možnost udělovat a omezovat oprávnění všech ostatních uživatelů. To znamená, že by měli mít jasnou představu o vašem podnikání, co dělat a co nedělat. Mým tipem je ponechat administrátorská práva co nejmenšímu počtu lidí.
Šifrování a více faktorová autentizace (MFA)
Pamatujete si, jak silná hesla pomáhají se zabezpečením vašeho elektronického obchodu? Více faktorová autentizace přístupu je dalším krokem, je druhou linií obrany, kdy při přihlašování znovu ověřujete identitu uživatele. „Takže je to jako druhé heslo, ne?“ No, ne přesně.
V případě MFA se můžete po zadání vlastního hesla ještě v druhém kroku ověřit pomocí jednorázového hesla (OTP), které může být platné pouze několik minut. Existují ověřovací aplikace, které odesílají žádost o schválení, která je platná pouze několik sekund.
Toto malé časové okénko brání jakémukoli hackerovi v hacknutí vašich účtů. Do té doby se požadavek stane neplatným a budete se muset znovu přihlásit. Jednoduché, ale velmi účinné.
Nechte si nastavit firewall.
Jako majitel firmy chcete velký provoz návštěvníků, tunu provozu! Velký provoz je ale skvělá kamufláž pro hackery, protože se mohou přestrojit za potenciální zákazníky a vplížit se dovnitř. To je důvod, proč musíte mít na hostingu firewall. Proxy firewall funguje jako ochranný štít a brání klientům z neznámých serverů odesílat datové pakety na váš web. To znamená, že nelze vytvořit žádné potenciálně škodlivé připojení, takže váš web zůstane v bezpečí. Doporučujeme konzultovat s vaším poskytovatelem hostingu.
Firewallem eliminujete hrozbu „prostředníka“, kdy bude jako hacker sledovat data od uživatele na server. Brána firewall tomu brání, protože neexistuje způsob, jak identifikovat IP, ze které uživatel nebo server odesílá.
Zálohujte vše, co potřebujete. Smažte vše, co nepotřebujete.
To zjevné jsem si nechal na poslední místo. Dovolte mi vysvětlit, proč každý eCommerce obchod a internetové stránky musí zálohovat svá data. Pokud vás napadne malware, budete mít zálohu, která bude připravena k okamžité obnově. Náš portál se například zálohuje každý den, díky tomu docílíme aktuálních dat v případě nutné obnovy. A obnova není potřeba pouze v případě externího napadení. Občas takovou obnovu využijete i v případě, že si sami něco shodíte špatným zásahem do vašeho webu.
Na druhou stranu ale nechcete uchovávat mezipaměť a stará data. Nechápejte mě špatně. Ukládání do mezipaměti je skvělé, protože vše zrychluje. Ale tato data mohou být také zachycena hackerem, který pak může způsobit zmatek.
Jakmile se data uloží do mezi-paměti, mohou záškodníci vložit škodlivý kód Javascript, což má vliv na všechny uživatele, kteří později navštíví váš web. Výsledek? Ztráta provozu, dat a dokonce i potenciálních zákazníků.
Aktualizujte pravidelně váš systém na nejnovější verze.
Každé stránky a eshop se skládají z různých modulů a pluginů, které je potřeba pravidelně aktualizovat. Jednak aby šli s dobou, a také kvůli zabezpečení vyšší bezpečnosti. Vydavatelé a tvůrci těchto komponent v průběhu času dodávají bezpečnostní záplaty a aktualizace. Proto doporučuji mít zapnutou automatickou aktualizaci komponent, pokud máte dostatečně chytrý systém, který to umožňuje. My například pracujeme se systémem WordPress, který automatickou aktualizaci všech komponent nabízí.
Co si dnes můžete zapamatovat?
Zabezpečení internetových stránek je klíčové a zajištění bezpečnosti webu (a elektronického obchodu) by mělo být pro každého vlastníka firmy vysokou prioritou. Tak na to nezapomínejte a berte dnešní příspěvek, jako takové malé připomenutí této problematiky. A pokud si nevíte rady, kontaktujte vašeho dodavatele internetových stránek, případně poskytovatele vašeho hostingu, kde je váš web hostovaný. Ti si jistě budou umět poradit.