Pozostawienie szeroko otwartych drzwi wejściowych do swojej witryny internetowej jest błędem! Podpowiadamy jak zabezpieczyć swoją stronę internetową, co oznacza wprowadzenie ochrony, aby powstrzymać hakerów, uniknąć błędów i innych internetowych nieprzyjemności. W przeciwnym razie Twoje dane mogą być zagrożone, Twoja witryna może ulec awarii, a nawet możesz stracić pieniądze. Bezpieczne strony internetowe to nasz priorytet, dlatego wskazujemy jakich zagrożeń unikać.
Często klienci pytają o nas sens stosowania zabezpieczeń:
„Ale nie zarabiam nawet na mojej stronie internetowej. To tylko mały blog. Dlaczego ktoś miałby mnie zhakować? Dlaczego to w ogóle ma znaczenie, jeśli haker i tak się do niego dostanie?”
Oprócz utraty pieniędzy włamanie może spowodować ogromne straty w ruchu, zawieszenie lub awarię witryny, a nawet kradzież tożsamości. Twoje dane osobowe i dane odwiedzających mogą być zagrożone.
“Ale jak mam walczyć z hakerami? Nie mam umiejętności technicznych!”
To kolejne powszechne zmartwienie, ale na szczęście nie potrzebujesz umiejętności technicznych, aby zabezpieczyć swoją witrynę. Wszystkie przedstawione kroki w tym poradniku są proste do wdrożenia, a my przeprowadzimy Cię przez każdą część procesu.
Bezpieczne strony internetowe. Jak strony WWW są hakowane?
Zanim przejdziemy do szczegółów, jak zapobiec zhakowaniu Twojej witryny, powinniśmy dowiedzieć się jak wygląda witryna internetowa po ataku hakerskim.
Chociaż nie ma ustalonego wzorca, w jaki sposób odróżnić witrynę zhakowaną od działającej prawidłowo, to jeśli Twoja witryna została zhakowana, nie będziesz mieć co do tego wątpliwości. Strona WWW nie będzie działała prawidłowo lub będzie działać w odmienny, może nawet nieprzewidywalny sposób. Oto kilka typowych sposobów włamań do stron internetowych:
- Ransomware. Haker zagrozi opublikowaniem Twoich danych i/lub odmową dostępu do Twojej witryny, chyba że zostanie zapłacony okup.
- Gibberish hack. Zobaczysz mnóstwo automatycznie utworzonych stron wypełnionych słowami kluczowymi i dziwną treścią. Takie treści zazwyczaj przekierowują użytkownika do obcej witryny internetowej.
- Cloaked keywords hack. Jak powyżej, ale jest to nieco bardziej wyrafinowany atak. Na pierwszy rzut oka strona wygląda podobnie bo bazuje na szablonie oryginalnej strony, ale widoczna jest podmieniona treść.
- Japanese keywords hack. Tworzy losowe strony w języku japońskim pełne linków afiliacyjnych do sklepów sprzedających fałszywe towary.
- Złośliwy kod/wirusy. Jeśli do Twojej witryny zostanie wstawiony złośliwy kod lub wirus, witryna może ulec awarii lub możesz nie mieć do niej dostępu. Taka strona może też zarazić Twój komputer.
- Denial of Service (DoS). Hakerzy używają botów do przeciążania witryny żądaniami i powodują awarię serwera, na którym się znajduje. Zaawansowana odmiana tego ataku to DDoS, gdzie atak następuje z wielu komputerów jednocześnie.
- Phishing. Oszuści kontaktują się z Twoimi klientami podszywając się pod Twoją firmę i wykorzystując Twoją markę w nadziei na znalezienie danych osobowych.
- Brute Force. Atak polega na wielokrotnych próbach logowania do systemu w celu przejęcia kontroli. Do przeprowadzenia tego ataku wykorzystywana jest lista najpopularniejszych haseł. Objawem mogą być zmienione dane logowania i niekontrolowane zmiany na stronie.
Teraz już wiesz, jak wygląda zhakowana strona internetowa, czas przyjrzeć się sposobom, aby zapobiec jej ochronie.
Oto jak zabezpieczyć witrynę internetową:
- Zainstaluj Certyfikat SSL – zakup prostego certyfikatu Secure Sockets Layer to kluczowy pierwszy krok.
- Używaj oprogramowania chroniącego przed złośliwym oprogramowaniem — do skanowania i zapobiegania złośliwym atakom.
- Spraw, aby Twoje hasła były niemożliwe do złamania – proste hasło w stylu “123456” to zaproszenie dla intruza!
- Dbaj o aktualność swojej witryny — korzystanie z nieaktualnego oprogramowania jest jak pozostawienie otwartych tylnych drzwi.
- Nie pomagaj hakerom – uważaj na wiadomości phishingowe i inne oszustwa.
- Ręcznie akceptuj komentarze na stronie – zachowaj kontrolę nad potencjalnie podejrzanymi komentarzami.
- Wykonuj regularne kopie zapasowe – aby przygotować się na najgorszy scenariusz.
Bezpieczeństwo jest ważne dla wszystkich.
1. Zainstaluj Certyfikat SSL
Jedną z najprostszych rzeczy, które możesz zrobić, aby chronić swoją witrynę, siebie i swoich użytkowników, jest zainstalowanie certyfikatu SSL (Secure Sockets Layer). Być może nie zdajesz sobie z tego sprawy, ale podczas przeglądania sieci natrafiasz na SSL cały czas – można go odróżnić przez widoczny protokół „https” w nazwie witryny internetowej w pasku adresu i widoczną kłódkę.
Czy wiesz, że…
SSL oznacza Secure Sockets Layer. Instalujesz certyfikat SSL w swojej witrynie, który szyfruje dane (takie jak dane logowania) przechodzące między Twoją witryną a odwiedzającymi. Istnieją różne poziomy SSL – na przykład witryny e-commerce przetwarzające szczegóły płatności powinny korzystać z bardziej zaawansowanej wersji Certyfikatu SSL.
Google ostrzega odwiedzających, gdy wchodzą na stronę bez SSL, a nawet “dyskryminuje” te witryny w wynikach wyszukiwania.
Zabezpieczenie SSL jest szczególnie ważne, jeśli akceptujesz płatności za pośrednictwem swojej witryny, prosisz o dane logowania lub przesyłasz pliki. Bez niego dane są niechronione i podatne na ataki hakerów.
Certyfikat SSL jest niezbędny, jeśli prowadzisz sklep internetowy lub zbierasz w swojej witrynie informacje o odwiedzających, takie jak wiadomości e-mail. Oprócz poprawy pozycji strony internetowej w popularnych wyszukiwarkach treści, certyfikaty SSL zapewniają, że wszelkie dane wysyłane przez odwiedzających do Twojej witryny korzystają z zaszyfrowanego kanału, więc hakerzy nie mogą ich zobaczyć podczas przesyłania.
Istnieje wiele sposobów na zainstalowanie SSL. Dwa główne sposoby, które proponujemy to:
- wybierz dostawcę hostingu, który zapewnia bezpłatny Certyfikat SSL,
- zainstaluj samodzielnie podstawowy Certyfikat SSL Let’s Encrypt za darmo.
Jeśli zależy Ci na dużo wyższym poziomie bezpieczeństwa, to należy wybrać zaawansowany certyfikat SSL. Różnią się one ceną i można je kupić od dostawców hostingu lub rejestratorów domen. O ile nie prowadzisz dużego sklepu internetowego lub nie obsługujesz dużych ilości wrażliwych danych, prawdopodobnie wystarczy darmowa wersja SSL.
Czy wiesz, że…
Hakowanie to najczęstsza metoda włamań online, odpowiadająca za 61,9% utraconych informacji. Ponad 8 miliardów rekordów zostało utraconych z powodu włamań.
2. Ochrona antywirusowa i Firewall
Twórca stron internetowych lub dostawca usług hostingowych powinien dbać o bezpieczeństwo Twojej witryny internetowej. Dostawcy usług hostingowych często uwzględniają w swoich planach oprogramowanie chroniące przed złośliwym oprogramowaniem i podejrzanym ruchem zewnętrznym.
Są to podstawy bezpieczeństwa Twojej witryny oraz funkcje, których powinieneś oczekiwać, gdy szukasz dostawcy usług hostingowych. Jest to mile widziana dodatkową warstwa ochrony dla Twoich stron internetowych.
Wysokiej jakości dostawcy hostingu witryn internetowych mają protokoły chroniące WordPress i inne systemy zarządzania treścią, takie jak zapory WAF (Web Application Firewall), automatyczne poprawki zabezpieczeń i aktualizacje. Zadaniem dostawcy hostingu jest utrzymanie serwerów i wdrożenie niezbędnego monitorowania bezpieczeństwa.
3. Spraw, aby Twoje hasła były nie do złamania
Hasła – czasami możemy zapomnieć, jak są ważne. Łatwo przeoczyć fakt, że często Twoje hasło to jedyne, co stoi między hakerem a Twoimi danymi osobowymi.
Hasła są nie tylko niezwykle ważnym krokiem, ale są również jedną z prostszych elementów, które możesz zmienić, aby zwiększyć bezpieczeństwo swojej witryny. Poświęć dziś zaledwie 20 minut na zmianę haseł na mocniejsze, a będziesz mieć bardziej bezpieczną witrynę internetową.
Czy wiesz, że…
40% ankietowanych respondentów z małych firm stwierdziło, że ich firma została zaatakowana z powodu złamania haseł pracowników. Średni koszt każdego ataku to nieco ponad 380 tysięcy dolarów!
Brytyjska organizacja National Cyber Security Center przeanalizowała najczęściej używane hasła na kontach w Internecie, które zostały złamane. Jeśli używasz któregokolwiek z poniższych, czas to zmienić (na przykład teraz)!
- 123456
- 123456789
- qwerty
- password
- 111111
- 12345678
- abc123
- 1234567
- password1
- 12345
Zamiast używać łatwych do odgadnięcia fraz, zastosuj kilka wskazówek które powinny pomóc:
- połącz trzy losowe, niepowiązane, ale łatwe do zapamiętania frazy,
- użyj losowo wygenerowanej sekwencji znaków,
- nie używaj ponownie tych samych haseł – użyj menedżera haseł, aby je wszystkie zapisać i mieć je zabezpieczone przed obcym dostępem, np. polecamy program KeePass Password Safe,
- ustaw dodatkowe zabezpieczenie, np. podwójną weryfikację,
- nigdy nie używaj danych osobowych w swoim haśle – hakerzy mogą to wykorzystać!
Istnieje pozornie nieskończona lista wskazówek dotyczących haseł, ale powinieneś połączyć kilka z tych taktyk, aby utworzyć hasła niemożliwe do złamania. Po uzyskaniu nowych haseł, uważaj na nie – nie udostępniaj ich nikomu, nawet znajomym, i zmieniaj je regularnie (mniej więcej raz na kwartał lub częściej).
4. Aktualizuj swoją stronę internetową
Nie mówimy tutaj o publikowaniu najnowszych wieści lub informowaniu odwiedzających o nowym produkcie. Chodzi o to, jak ważne jest aktualizowanie oprogramowania Twojej witryny.
Jeśli korzystasz z platformy takiej jak WordPress, musisz być całkowicie na bieżąco i w razie potrzeby uruchamiać aktualizacje.
Aktualizacja podstawowego oprogramowania WordPress, a także wszelkich zainstalowanych wtyczek i szablonu strony WWW jest niezbędna. Jeśli tego nie zrobisz, wszystko te elementy strony internetowej mogą stać się przestarzałe i podatne na błędy, usterki i co najgorsze – hakerów posługujących się złośliwym kodem.
Dobrą wiadomością jest to, że można ustawić aktualizacje tak, aby odbywały się automatycznie w systemie CMS – ale nadal warto mieć na to oko i weryfikować, że wszystko działa płynnie i bez błędów. Dopuszczenie do dezaktualizacji witryny może być śmiertelnym ciosem pod względem bezpieczeństwa, więc nie zaszkodzi być na bieżąco z aktualizacjami.
Czy wiesz, że…
Wybierając wtyczki do swojej witryny, uważaj na jakość. Wtyczki może tworzyć każdy, a te niskiej jakości mogą zawierać błędy lub złośliwy kod. Przeczytaj recenzje, poszukaj zaufanych programistów i dokładnie sprawdź wtyczkę przed kliknięciem „Instaluj”.
5. Nie pomagaj hakerom
Powiecie: „Oczywiście nie zamierzam przekazywać swoich danych i pozwolić, aby moja strona została zhakowana – to jest cały powód, dla którego czytam ten artykuł!” Nic bardziej mylnego. Problem polega na tym, że ludzie nadal – nie z własnej winy, padają ofiarą oszustów i nieświadomie udostępniają ważne informacje o sobie.
Czy wiesz, że …
92,4% złośliwego oprogramowania jest dostarczana za pośrednictwem poczty e-mail? To sprawia, że jest to metoda ataku numer jeden i oznacza to, że zawsze powinno się uważać przy otwieraniu niezaufanych treści.
Można wprowadzić wiele technologicznych zabezpieczeń, aby chronić swoją witrynę, ale nie możesz zapominać, że 95% naruszeń cyberbezpieczeństwa wynika z błędu ludzkiego. Chroń swoją witrynę internetową, uważając jednocześnie na podejrzliwie SMS-y, e-maile lub telefony z prośbą o podanie danych osobowych.
Brzmi to dość prosto, ale oszustwa stają się coraz bardziej wyrafinowane. Oto pięć rzeczy, które możesz zrobić, aby upewnić się, że Twoja witryna pozostawia otwartych furtek nieproszonym gościom:
- Uważaj na publiczne lub otwarte połączenia internetowe, jeśli pracujesz we wspólnej przestrzeni, takiej jak kawiarnia – nie będą one bezpieczne.
- Nigdy nie klikaj linków w e-mailach, które wydają się podejrzane – natychmiast usuń e-mail.
- Uważaj, komu udzielasz dostępu do swojej witryny – sprawdź, czy administratorzy to osoby, którym możesz zaufać, i upewnij się, że dbają o bezpieczeństwo.
- Zmień domyślne ustawienia, hasła i nazwy użytkownika swojej witryny zaraz po skonfigurowaniu konta – jest to szczególnie ważne w przypadku witryn WordPress.
- Ufaj tylko zweryfikowanym profesjonalistom z którymi chcesz współpracować. Na przykład oszuści czasami chcą przejąć kontrolę nad Twoim ekranem pod pretekstem rozwiązania problemu technicznego.
6. Ręcznie akceptuj komentarze na stronie
Czy jest lepsze uczucie niż zobaczenie komentarzy, które zaczynają się pojawiać na Twojej stronie? To dowód na to, że ludzie rzeczywiście odwiedzili Twoją witrynę – i są nią zainteresowani.
Komentarze to doskonały sposób na mierzenie zaangażowania, dostarczanie dowodów społecznych innym odwiedzającym, łączenie się z innymi osobami w Twojej niszy, a nawet przyjmowanie konstruktywnych informacji zwrotnych. Uwielbiamy otrzymywać komentarze.
Jednak nie wszystkie komentarze są dla strony dobre. Boty, fałszywe konta i trolle są gotowe i czekają na publikację treści z głupim komentarzem lub spamerskim linkiem. W najlepszym przypadku jest to denerwujące – w najgorszym może stanowić zagrożenie bezpieczeństwa dla Ciebie i Twoich użytkowników.
Jeśli ludzie mogą publikować komentarze bezpośrednio w Twojej witrynie, istnieje ryzyko, że złośliwe linki mogą przeniknąć do sekcji komentarzy. Jest to szczególnie niebezpieczne dla odwiedzających Twoją witrynę, którzy mogą kliknąć link i narazić się na ujawnienie danych osobowych lub przypadkowo zainstalować złośliwe oprogramowanie.
Czy wiesz, że …
Jeden na dziesięć adresów URL jest złośliwy – i ta liczba rośnie.
Aby temu zaradzić, możesz zmienić ustawienia swojej witryny, aby włączyć ręcznie zatwierdzanie komentarzy, zanim pojawią się w witrynie, co daje szansę na usunięcie wszelkiego spamu. Inne sposoby na ograniczenie złośliwych wpisów to:
- użyj oprogramowania lub wtyczki antyspamowej (takiej jak Akismet dla użytkowników WordPress),
- poproś odwiedzających o zarejestrowanie się, zanim zaczną komentować,
- wyłącz komentarze do postów po miesiącu lub dwóch od dnia publikacji.
Te taktyki powinny sprawić, że sekcja komentarzy będzie bezpiecznym miejscem zarówno dla Ciebie, jak i Twoich klientów i gości.
7. Uruchamiaj regularne kopie zapasowe
Wykonanie każdego z opisanych przez nas kroków pomoże Ci powstrzymać hakerów. Ale nie bierz bezpieczeństwa swojej witryny za pewnik – tak jak posiadanie siatki bezpieczeństwa pod sobą jest dobrym pomysłem podczas chodzenia po linie, regularne tworzenie kopii zapasowych witryny ma sens.
Tworzenie kopii zapasowych witryny gwarantuje, że w przypadku najgorszego, najnowsza wersja witryny nadal będzie przechowywana w bezpiecznym miejscu, gotowa do ponownego uruchomienia.
Kopia zapasowa to zasadniczo kopia danych witryny — takich jak pliki, zawartość, multimedia i bazy danych. Jeśli masz dużą lub skomplikowaną witrynę, będziesz potrzebować większej ilości miejsca na kopie zapasowe, aby zapisać wszystkie swoje dane.
Jeśli witryna Twojej witryny firmowej została zhakowana, potrzebujesz sposobu na szybkie wznowienie działania, aby nie tracić klientów. Upewnij się, że którakolwiek usługa, którą wybierzesz, uruchamia codzienne kopie zapasowe, co pozwoli na odzyskanie jak najbardziej aktualnego stanu witryny internetowej.
- Skorzystaj z osobnego oprogramowania lub usługi tworzenia kopii zapasowych, która wykonuje pracę za Ciebie.
- Użyj hostingu internetowego, który zawiera kopie zapasowe w swoich planach. Niektóre hostingi mają wbudowane oprogramowanie do tworzenia kopii zapasowych lub są dostępne jako płatne usługi.
- Użyj wtyczki WordPress, takiej jak UpdraftPlus lub VaultPress. Użytkownicy WordPressa mogą po prostu zainstalować wybraną wtyczkę i zarządzać własnymi preferencjami tworzenia kopii zapasowych.
Korzystanie z usługi tworzenia kopii zapasowych jest zwykle najbezpieczniejszym i najbardziej niezawodnym sposobem. Niezależnie od wybranej metody tworzenia kopii zapasowej, należy zawsze zwracać uwagę na kilka ważnych rzeczy:
- Kopie zapasowe na innym serwerze — dzięki temu dane są przechowywane z dala od hakerów w bezpiecznej lokalizacji na innym serwerze niż nasza strona. Chroni to również kopie zapasowe przed awarią sprzętu.
- Automatyczne kopie zapasowe – nie zapomnisz o tworzeniu kopii zapasowych. Automatyzując ten proces, możesz po prostu usiąść i zrelaksować się.
- Regularne kopie zapasowe – nie jest dobrze, jeśli wykonujesz kopie zapasowe tylko od czasu do czasu. Jeśli dojdzie do ataku hakerskiego, pozostaniesz z nieaktualną wersją swojej witryny internetowej. Im częściej wykonywane są zmiany lub aktualizacje strony internetowej i im ważniejsze dane przechowujemy, tym częściej powinniśmy robić kopie zapasowe. Zalecamy robienie kopii minimum z odstępem czasowym tygodniowym, a najlepiej jest wykonywać kopie codzienne.
Jak zabezpieczyć stronę internetową: Podsumowanie
Wysokie bezpieczeństwo witryny zależy od Ciebie – wybór niezawodnego dostawcy usług hostingowych, dokonywanie rozsądnych wyborów dotyczących sposobu prowadzenia witryny i dokładanie dodatkowych starań, aby hasła były bezpieczne.
Mam nadzieję, że już dobrze wiesz, jak zabezpieczać swoją witrynę internetową i odkryłeś, że nie jest to tak trudne, jak się wydawało. Nie potrzebujesz umiejętności technicznych ani ogromnego budżetu, aby Twoja witryna była bezpieczna – jak pokazuje nasza lista!
Przedstawiliśmy siedem kroków, które możesz podjąć, aby zabezpieczyć swoją stronę WWW. Nie jest to jednak wyczerpująca lista – istnieje wiele innych wskazówek, sztuczek i narzędzi, których możesz użyć, aby lepiej chronić swoją witrynę.
Jeśli na przykład jesteś użytkownikiem WordPress, możesz znaleźć wiele wskazówek dotyczących bezpieczeństwa na stronach pomocy WordPressa.
Na razie jednak zacznij od wykonania naszych prostych kroków…
- Zainstaluj SSL. Certyfikat SSL jest niezbędny dla każdej witryny. Szyfruje informacje przesyłane między Twoją witryną a odwiedzającymi.
- Korzystaj z oprogramowania chroniącego przed złośliwym oprogramowaniem. Użyj oprogramowania takiego jak SiteLock do skanowania i ochrony swojej witryny przed złośliwym kodem.
- Spraw, aby Twoje hasła były niemożliwe do złamania. Jeśli to możliwe, używaj losowej kombinacji liter, cyfr i symboli.
- Dbaj o aktualność swojej witryny. Zainstaluj wszelkie aktualizacje oprogramowania lub wtyczek, gdy tylko staną się dostępne.
- Nie pomagaj hakerom. Uważaj na wiadomości phishingowe.
- Ręcznie akceptuj komentarze. Dzięki temu możesz usunąć wszystkie spamerskie komentarze, zanim zostaną opublikowane.
- Wykonuj regularne kopie zapasowe. Jeśli Twoja witryna zostanie zhakowana, w ten sposób możesz przywrócić najnowszą wersję strony do ponownej instalacji.
Jeśli masz już stronę internetową, pierwszym krokiem jest sprawdzenie, czy masz zainstalowany certyfikat SSL. Powinieneś także sprawdzić swoje hasła i upewnić się, że są wystarczająco silne, aby stawić czoła atakom!
Jeśli nie zacząłeś jeszcze budować swojej witryny, najważniejszym krokiem, który musisz wykonać, jest wybór odpowiedniego twórcy strony internetowej i dostawcy usług hostingowych.