Bezpieczeństwo strony internetowej w epoce RODO

Blog

Bezpieczeństwo strony internetowej w epoce RODO

  • by Maciej Ramus
Bezpieczeństwo strony internetowej w epoce RODO

RODO to nowe przepisy, które obowiązują od 25 maja 2018 r na mocy rozporządzenia UE. Każdy przedsiębiorca w jakikolwiek sposób zbierający dane drogą internetową powinien (oprócz wdrożenia odpowiedniej dokumentacji) zabezpieczyć swoją witrynę pod kątem ochrony danych.

Kilka rzeczy, o których należy pamiętać:

  •  Instalacja certyfikatu SSL

Co to jest certyfikat SSL i po co go wdrażać? Certyfikat SSL, to narzędzie potwierdzające wiarygodność domeny, a co za tym idzie, całej naszej strony. Klient, który wejdzie na chronioną witrynę jest pewny, że dane przesyłane pomiędzy użytkownikiem a serwerem są szyfrowane, więc nawet w przypadku ich przechwycenia, nie będą niczego ujawniały. Jest to gwarancja zachowania poufności danych oraz całej komunikacji.

  •  Aktualizacja oprogramowania

Zaletą otwartego oprogramowania jak np. WordPress jest popularność. Jest to również wada 😉 ponieważ przekłada się to na duże zainteresowanie atakami. Twórcy oczywiście cały czas raczą nas odpowiednimi poprawkami, które naprawią i ulepszą funkcjonowanie, ale większość właścicieli stron i sklepów internetowych nie instaluje ich regularnie :/

Odpowiednie roboty “włamywacze” przeszukują miliony stron szukając właśnie takich luk i atakują stronę.

  •  Mocne hasła i unikalne loginy

“Jak ja zapamiętam to hasło?” “Mam jedno hasło do wszystkiego i nigdy nie miałem problemu” “Co za utrudnienie, za każdym razem trzeba będzie szukać, kopiować, a ja nie mam na to czasu”

To kilka powodów, dlaczego unikamy trudnych haseł. Nie dajcie się przekonać swojemu lenistwu, te kilka chwil pozwoli Wam oszczędzić w przyszłości dużo pieniędzy i nerwów. Inwestujecie środki w budowę nowej strony www, potem na jej promocję – a wszystko to zostaje przekreślone w ułamku sekundy z powodu zaniedbania.

Od razu przejdę do konkretów – hasła nie musicie pamiętać, nie musicie szukać, nie musicie kopiować – jest na to prosty sposób – KeePass 2

Keypass to bezpieczna aplikacja do przechowywania haseł. Wszystko jest zaszyfrowane w jednym miejscu, a zalogowanie się to jeden skrót klawiszowy!

  •  Dodatkowy firewall

Warto zadbać o narzędzie, które wyręczy w walce w codziennymi atakami. Wiadomo, że nikt nie ma czasu na bieżące monitorowanie stanu bezpieczeństwa we wszystkich komputerach w firmie – lepiej skupić się na pracy, którą lubimy 🙂

Dodatkowe narzędzie pozwoli automatycznie blokować pewne ataki (wg ustalonych przez nas zasad). W większości przypadków wystarczą darmowe wtyczki typu Wordfence, ale dla bardziej wymagających są również płatne rozwiązania.

  •  Zmiana adresu logowania do panelu administracyjnego strony

Kolejny raz wracamy do niezwykle popularnego w Polsce systemu WordPress. Bardzo prosto – instalując darmową wtyczkę – możemy zmienić domyślny adres /wp-admin na dowolny przez nas wybrany 🙂

Co nam to daje – oprócz wrażeń estetycznych? Unikamy automatycznych ataków typu “brute force attack”, polegających, jak sama nazwa wskazuje, na brutalnych próbach złamania hasła dostępu. Robot sprawdza kolejno wszelkie możliwe kombinacje znaków, aż odnajdzie właściwy ciąg. Takie ataki wykonywane są przez roboty, dlatego w krótkim czasie odbywa się ogromna liczba prób. Roboty wchodzą automatycznie właśnie na adres /wp-admin, jeśli więc zadbamy o jego zmianę, zmniejsza to ilość prób logowania o ponad 90%.

  •  Kopie zapasowe

Dzięki kopii zapasowej nie odeprzecie ataku na stronę, jest to jednak zabezpieczenie na wypadek, gdyby wszystkie metody obrony zawiodły. Bardzo często zdarza się, że firmy nie mają żadnej kopii zapasowej swojej strony (podmiot tworzący stronę nie ma obowiązku przechowywać plików źródłowych), a kopie wykonywane przez dostawcę hostingowego są zbyt świeże, by z nich postawić zaatakowaną stronę.

Kopia sprzed tygodnia (a takie zwykle oferują hostingodawcy) bardzo często nie wystarczy – zainfekowane pliki lubią “leżeć” na serwerze nawet kilka miesięcy przed uaktywnieniem się.

Z pomocą znowu posłużą nam gotowe i darmowe rozwiązania, które pomogą wykonać odpowiednie kopie na naszych zasadach.

Jak często powinno się wykonywać kopie zapasowe? Nie ma tutaj reguły, najczęściej jednak znaczenie ma częstotliwość zmian w witrynie. Im częściej uaktualniamy treści na stronie, tym częściej powinniśmy robić kopię zapasową. Jeżeli mowa o stronie-wizytówce, gdzie raz na miesiąc wrzucamy aktualizację galerii czy zmieniamy opisy – w zupełności wystarczy jedna kopia – raz na miesiąc. W przypadku sklepu internetowego – gdzie zmiany są codziennie – zalecane jest wykonanie co najmniej jednej kopii dziennie.

Podsumowując, RODO nie zmieniło wiele w samej metodologii zabezpieczeń. Zmieniła się jednak odpowiedzialność za niedopilnowanie tych spraw. Czy na Waszą korzyść? Rozstrzygnijcie sami 🙂