Masz stronę www? Wyciągnij wnioski z włamania do serwerowni 2be.pl
Kilka prostych rad jak zabezpieczyć swoją stronę internetową na wypadek problemów firmy hostingowej. Także dla nie-programistów.
Zapis webinara: https://youtu.be/NMK7snHLQXg
Jakub Cyran, Jak wykorzystać narzędzia marketingu do generowania sprzedaży, k...
5 rzeczy, które możesz zrobić w 30 min, żeby poprawić bezpieczeństwo strony www
1. 5 rzeczy, które możesz zrobić
w 30 min, żeby poprawić
bezpieczeństwo strony www
2. Historia klientów 2be.pl w pigułce
1500 osób utraciło strony www, maile i wszelkie inne dane przechowywane na
hostingu. Nie jest jasne czy kiedykolwiek odzyskają swoje dane a jeśli tak to z
jakiej daty.
Przez ponad tydzień nie działała poczta elektroniczna. Od ponad 2 tygodni
strony www tych osób pozostają niedostępnie.
Prawdopodobnie większość tych stron www będzie trzeba wykonać od nowa.
8. Bezpieczne hasło
Przykładowe hasło Łatwe do
zapamiętania?
Trunde do
odgadnięcia?
123456 TAK NIE
VVW^kv7xEUk5fd&GV1uA#R NIE TAK
Lepiej zapobiegać niż leczyć!!! TAK TAK
9. Zarządzanie dostępami
Dostępy do:
● Konta domenowego
● Panelu administracyjnego hostingu
● Panelu rozliczeniowego hostingu
● Bazy danych
● Serwera pocztowego
● Panelu administracyjnego strony www
● Google Analytics i usług SaaS
Kto ma dostęp?
Kto miał dostęp w przeszłości?
Kto może zmienić hasło?
Jak udostępniać hasła na przyszłość?
12. Przejrzyj swoich dostawców
Firma hostingowa - kryteria
● nie tylko cena się liczy
● elastyczność
● polityka bezpieczeństwa
● scenariusze na wypadek katastrof
● własne serwery / pośrednictwo
● redundancja
● renoma
Administrator strony www - kryteria
● czas reakcji
● organizacja pracy / oprogramowanie do
zarządzania stronami www
● redundancja
● proaktywność
14. Dowiedz się jako pierwszy
Na czym polega monitoring?
● Sprawdzanie czy strona www jest
dostępna
● Sprawdzanie czasu odpowiedzi strony
www
Parametry
● Z jakiej lokalizacji sprawdzana jest
dostępność?
● Jak często jest sprawdzana dostępność?
● Które podstrony są monitorowane?
● Co konkretnie jest monitorowane na
stronach?
15. Procedura w razie braku dostępności
Kto otrzymuje informacje?
Kto powinien działać w tej sprawie?
Jak szybko zostaną podjęte kroki?
Jakie działania zostaną podjęte?
Kto nadzoruje wykonanie procedury?
17. Co powinien zawierać backup?
● pliki z kodem
● baza danych
● media (zdjęcia, video, pdf, itp)
18. Częstotliwość backupów
Backup strony www powinien być wykonywane regularnie.
Częstotliwość backupów zależy od częstotliwości zmian na stronie.
W większości przypadków jest to pomiędzy 1 a 30 dniami.
19. Przechowywanie backupów
Backup trzymany na tym samym serwerze co strona www to żaden backup.
Jeśli nastąpi włamanie na stronę, to backupy także mogą być zainfekowane/
zaszyfrowane/usunięte.
Jeżeli serwer ulegnie awarii zagrożona jest zarówno strona www jak i kopie
zapasowe.
Upewnij się, że Twoje backupy przechowywane są poza serwerem, na którym
znajduje się strona www.
20. Integralność backupów
Nie masz backupu, dopóki nie sprawdzisz czy można z niego odtworzyć
stronę.
1 z 10 backupów zawodzi podczas testu integralności.
Najczęstsze przyczyny to:
● błąd podczas tworzenia archiwów backupów
● błąd podczas kopiowania archiwów backupów do Internetu
23. Co powinno być aktualizowane
● Oprogramowania serwera (nawet na współdzielonych hostingach)
○ Apache / NGINX
○ PHP (do wersji 5.5 lub wyższej)
○ MySQL (do wersji 5.5 lub wyższej)
● CMS
○ WordPress (do wersji 4.4.2)
○ Joomla (do wersji 3.4.8)
○ Presta Shop (do wersji 1.6.1.4)
● Rozszerzenia/Motywy/Add-ony
24. Na co zwrócić uwagę?
Harmonogram aktualizacji
Informacje o dostępnych aktualizacjach
Dostęp do aktualizacji (zwłaszcza przy płatnych rozszerzeniach)
Aktualizacja na serwerze produkcyjnym czy deweloperskim?
Testowanie po aktualizacji?