Atak na www!

Co zrobić w przypadku, gdy nasza witryna stała się celem ataku?

W sieci jest sporo informacji na ten temat, ale wbrew pozorom odpowiedź na to pytanie prosta nie jest. Po pierwsze dużo zależy od rodzaju użytego CMS-u na którym jest zbudowana strona, po drugie nie każdy atak jest taki sam i nie zawsze działają porady publikowane w internecie.

Oczywiście są punkty wspólne, od sprawdzenia których trzeba zacząć w większości przypadków, ale w pewnym momencie dochodzimy do różnic i wtedy trzeba mieć już “trochę” wiedzy z zakresu budowy i działania konkretnych rozwiązań. Na pewno przydatna jest choćby podstawowa wiedza na temat PHP, CSS, JavaScript itp. Aby móc zweryfikować, czy dany plik powinien mieć taką zawartość jak ma, czy też część kodu jest zbędna i stanowi właśnie “ten złośliwy kawałek”. Trzeba wiedzieć które pliki w witrynie odpowiadają za konkretne funkcje i jak powinny działać prawidłowo.

W każdym przypadku, kiedy mamy podejrzenia, że “coś jest nie tak” należy zmienić dane logowania do serwera i do strony (FTP, panel administracyjny itd.). Tu oczywiście kłania się temat używania silnych haseł (nie używamy imion, nazwisk, dat, lub prostych ciągów typu 123!@# – to nie jest silne hasło ;)). Najlepiej używać haseł generowanych losowo, zawierających małe i duże litery, cyfry i znaki specjalne (min. 12 znaków – to moja opinia). Tylko tu też od razu ostrzeżenie – jeżeli użyjemy silnego hasła i zapiszemy je sobie w notatniku (na wypadek gdybyśmy zapomnieli) to trochę mija się z celem. Tak zapisane hasło relatywnie łatwo wykraść. Należy używać dobrze zabezpieczonych menedżerów haseł lub mieć tego typu dane zapisane np. na zaszyfrowanym pendrive.

Generalnie – temat rzeka, tak więc, zapraszam – postaram się pomóc.

✴✴✴

Bezpieczeństwo www

Wielu twórców stron stosuje metodę “wykonaj i zapomnij”, czyli jak już mamy gotową stronę to na tym w zasadzie cała praca się kończy – poważny błąd. Odnotowuje się coraz więcej ataków skierowanych na strony www (brute force, includy kodu itd.), aby zapobiec wstrzyknięciu złośliwego kodu, który np. zacznie rozsyłać spam za pomocą naszej strony lub kierować użytkowników do stron o innej tematyce (stron porno, stron organizacji uznanych za przestępcze, czy zachęcających do zakupu różnych środków prawnie niedozwolonych), należy dbać o bezpieczeństwo naszej witryny.

Służę pomocą w powyższym zakresie, ale nie tylko. Jeżeli mają Państwo pytania zachęcam do kontaktu.

Bezpieczeństwo każdej strony www wiąże się wprost m.in. z wynikami wyszukiwania. Popularne wyszukiwarki blokują strony, które zawierają złośliwy kod i w takim przypadku strona przestaje być widoczna w ogóle lub jest widoczna, ale z opisem który mówi o tym, że strona jest uznana za niebezpieczną co poważnie odstręcza potencjalnych odwiedzających – klientów od wejścia na tak opisaną stronę. Co z kolej może się fizycznie przełożyć na spadek sprzedaży produktów, czy też usług Państwa firmy.

Kolejnym istotnym aspektem bezpieczeństwa stron jest to, iż atakujący może przejąć dane osobowe użytkowników – klientów, zebrane np. za pomocą formularza kontaktowego i wykorzystać dane w celach niekoniecznie zbieżnych z polityką Państwa firmy, czego wynikiem mogą być poważne konsekwencje natury prawnej.

Ostatnia uwaga – nie tylko sam serwis / strona www musi być odpowiednio zabezpieczona, ale również maszyna na której fizycznie znajdują się pliki. W przypadku gdy strona znajduje się na serwerze firmy zewnętrznej (hosting), wtedy to hostingodawca odpowiada za zabezpieczenia fizyczne, ale w przypadku gdy strona jest na Państwa serwerze, znajdującym się w Państwa firmie, odpowiedzialność ponoszą Państwo i wszelkie kwestie zabezpieczeń są po Państwa stronie.

✴✴✴

Sklep internetowy

Zanim zdecydujemy się na otwarcie sklepu internetowego, należy zastanowić się jak nasz sklep ma funkcjonować, czyli:

– jak ma wyglądać zarządzanie dokumentacją,
– jak ma wyglądać zarządzanie magazynem,
– czy jest potrzebna integracja z portalami zewnętrznymi? (jeżeli tak, to z jakimi?)
– jakie mają być dostępne opcje płatności?
– jaką ilość zdjęć będziemy chcieli dodać do każdego produktu?
– jak ma być zoptymalizowany system do prezentacji produktów?
– czy mają być dostępne recenzje produktów?
– czy mają występować produkty powiązane?
– czy będą niezbędne informacje o: dostępności towaru, terminie realizacji zamówienia, kosztach wysyłki?
– czy ma być dostępny wybór opcji produktu przy dodawaniu do koszyka?
– czy ma być możliwość wykonywania promocji cenowych?
– czy mają być (mogą być wdrożone w przyszłości) bony i kupony rabatowe?
– czy mają być (mogą być wdrożone w przyszłości) programy lojalnościowe?
– czy ma być np. darmowa przesyłka przy określonej kwocie zamówienia?
– czy mają / mogą być stosowane upusty w zamian za zapisanie się do newslettera? (lub inne zabiegi marketingowe)
– oczywiście w nawiązaniu do powyższego, czy ma być uruchomiony newsletter? 😉
– czy mają być dostępne porównywarki cen?

To tylko kilka podstawowych.

Do tego absolutnie niezbędne:
1. regulamin sklepu,
2. regulamin płatności,
3. regulamin – zasady zwrotów / reklamacji,
4. bardzo dokładna polityka prywatności i cookie (sugeruję kontakt z prawnikiem w tym zakresie),
5. bardzo dokładne określenie sposobu przetwarzania danych osobowych Klientów (zbiory danych),
6. kwestia zabezpieczenia bazy danych oraz narzędzia do raportowania w razie potrzeby.

Stworzenie sklepu internetowego trzeba bardzo gruntownie przemyśleć. Ponieważ wybór złej platformy na początku skutecznie uniemożliwi wprowadzanie zmian / dodawanie nowych funkcjonalności w przyszłości. No i na koniec niezbędna będzie optymalizacja SEO.

✴✴✴

Statystyki

Trudno zebrać bardzo dokładne dane, ale mniej więcej można przyjąć, że 40% stron w sieci wykonanych jest w oparciu o CMS WordPress, 3% w oparciu o CMS Joomla i 1% w oparciu o CMS Drupal. To oczywiście szacunkowe dane i podałem tylko trzy najczęściej wykorzystywane CMS, a jest ich dużo więcej. Mniej popularne systemy zarządzania treścią nie są gorsze czy lepsze, ale problem może stanowić ich obsługa, dostępność motywów, wtyczek, aktualizacji i wsparcia. Z kolej najczęściej spotykane sklepy internetowe to m.in. WooCommerce, PrestaShop, czy Magento. Nie biorę pod uwagę rozwiązań komercyjnych, czyli dedykowanych jak np. Shoper.