Yra posakis, kad grandinė stipri tiek, kiek stipri silpniausia jos grandis. Tai labai tinka kalbant apie interneto svetainių saugumą. Pabandysiu apžvelgti didžiausias saugumo grėsmes, su kuriomis susiduria dauguma svetainių - tas silpniausias grandis, į kurias pirmiausia reikia atkreipti dėmesį.
Kuo rizikuojate
Žiniasklaidoje kartais nuskamba istorijos, kai svetainės savininkas vieną rytą vietoj savo įprasto puslapio pamato juodą ekraną ir užrašą, kad svetainę nulaužė kažkokia "hakerių" grupuotė. Tačiau tokie demonstratyvūs nulaužimai pasitaiko gana retai. Daugumos įsilaužimų į svetainę jūs net nepastebėsite, nors žala bus padaryta.
Į svetaines paprastai įsilaužiama, kad panaudoti jūsų svetainę seo tikslais - pridėti į ją reklaminių nuorodų ar net automatiškai nukreipti lankytojus į kitas svetaines. Tokiu būdu, jums nieko neįtariant, įsilaužėlis gali ilgą laiką vogti jūsų lankytojų srautą bei kenkti jūsų pozicijoms paieškos sistemose. Tai kartais priveda net prie nuobaudų iš paieškos sistemų pusės ar puslapio pripažinimo kenkėjišku.
Iš jūsų svetainės gali būti pavogti registruotų vartotojų duomenys. O tai skaudžiai atsilieps tiek jums, tiek patiems vartotojams. Jūsų pirkėjų duombazę kažkas panaudos savo pasiūlymams siuntinėti. O jei prisijungimo duomenys buvo saugomi neužšifruotu formatu, tai įsilaužėlis galės įeiti į to vartotojo paskyras ir kitose svetainėse.
Be to, jūsų serveris gali būti panaudotas kaip įrankis įvairiai kenkėjiškai veiklai - spamo siuntinėjimui, atakoms prieš kitas svetaines. Vėlgi, tai gali vykti nieko jums nežinant, kol gausite perspėjimą iš hostingo paslaugas teikiančios įmonės.
Svetainės administravimo klaidos
Didžiausią grėsmę saugumui kelia ne pačios svetainės kodo klaidos, o administravimo ir serverio konfigūravimo klaidos. Pats paprasčiausias būdas įsilaužti į svetainę - tiesiog patikrinti, gal jos turinio valdymo sistemoje uždėtas koks nors standartinis lengvai atspėjamas slaptažodis kaip "demo" ar "test". Atrodo, čia savaime suprantamai dalykai, bet tokių atvejų pasitaiko dažnai. Be to serveryje, be pačios svetainės, veikia ir daugybė papildomų jos funkcionavimą užtikrinančių servisų - duomenų bazė, el. paštas, serverio konfigūravimo įrankiai. Kiekvienas jų taip pat gali būti visai be slaptažodžio arba su lengvai atspėjamu. Žinoma, žmogui ieškoti tokių svetainių ir tikrinti slaptažodžius užimtų daug laiko, tačiau tai daro ne žmonės, o botai. Botai - t.y. specialiai parašytos kompiuterinės programos, pastoviai skanuoja įvairias interneto svetaines ir ieško slaptažodžiais neapsaugotų sistemų. Ir su tuo susidurs kiekviena svetainė - užtenka paleisti naują projektą ir jau po kelių dienų loguose galima pamatyti apsilankiusį botą, kuris bandė atspėti slaptažodį.
Nepatartina slaptažodžių išsaugoti asmeniniame kompiuteryje esančiose ftp prisijungimo programose. Nes yra virusų, kurie ieško būtent tokių išsaugotų slaptažodžių. Taigi, jei į jūsų kompiuterį pateks virusas, jis nuskaitys slaptažodžius ir tada lengvai įeis ir į internetinę svetainę.
Todėl būtina tinkamai sukonfigūruoti serverį, ir tai liečia ne tik slaptažodžius, bet ir daugybę kitų programinių nustatymų. O taip pat atsakingai administruoti svetainę, nes koks nors nerūpestingas administravimo veiksmas gali plačiai atverti duris galimiems įsilaužimams. Tai ypatingai svarbu, jei naudojatės ne shared hostingu, bet turite virtualų dedikuotą serverį. Shared hostingus prižiūri ir saugumu iš dalies pasirūpina pats hostingo paslaugų tiekėjas, tuo tarpu užsisakius virtualų dedikuotą serverį - visa atsakomybė už serverio administravimą tenka jums.
Atviro kodo turinio valdymo sistemų klaidos
Saugumas kartais minimas kaip atviro kodo turinio valdymų sistemų privalumas, tačiau šis teiginys ne visai teisingas. Norint pasinaudoti kokia nors saugumo spraga, pirmiausia reikia ją rasti. O turint viešai prieinamą programinį kodą - tą padaryti daug lengviau. Be to, galima pačiam klaidų net neieškoti - tereikia peržiūrėti pakeitimų istoriją ir ten bus ilgiausias sąrašas jau kažkieno aptiktų ir ištaisytų saugumo spragų. Tačiau jos bus ištaisytos tik naujausioje versijoje, o suradus svetainę, kuri dar nespėjo atsinaujinti, galima nesunkiai įsilaužti pasinaudojant kuria nors iš šių saugumo spragų. Tą irgi pastoviai daro botai - skanuoja svetaines, ieško senesnių turinio valdymo sistemų versijų ir į jas įsilaužti.
Beveik visos populiariausios turinio valdymo sistemos yra atviro kodo - Wordpress, Joomla, Drupal, Opencart, Prestashop, Magento. Todėl jei naudojate kurią nors iš jų, turite pastoviai sekti atnaujinimus ir visada turėti naujausią versiją. Taip pat pastoviai atnaujinti ir visus naudojamus pluginus, nes juose klaidų pasitaiko dar dažniau, nei turinio valdymo sistemos branduolyje.
Programinės svetainės klaidos
Dažnas vartotojas būtent taip įsivaizduoja grėsmę saugumui - kaip klaidas programuotojo parašytame kode, kuriomis pasinaudojęs "hakeris" įsilauš į internetinę svetainę. Tačiau, iš tiesų, čia rečiausiai sutinkamas scenarijus. Botai gali skanuoti svetaines tūkstančiais, tuo tarpu rankinis svetainės analizavimas ir saugumo spragų ieškojimas - daug laiko ir pastangų reikalaujantis darbas. Todėl jei apsisaugojote nuo anksčiau minėtų klaidų, kurias gali surasti botai - jau atlikote didžiąją dalį darbo. Kad žmogus susidomėtų jūsų svetaine ir bandytų rankiniu būdu į ją įsilaužti - joje turi būti kažkas tikrai vertingo, kad pastangos atsipirktų.
Žinoma, svetainės kodas turi būti parašytas laikantis saugumo principų. Į svetainės kūrimo darbų sąmatą vertėtų įtraukti ir saugumo testavimą. Pats saugumo testavimas - labai plati tema, tačiau daugeliu atveju pakaks tiesiog pratestuoti specialiomis programomis, kurios ieško tipinių klaidų. Tai neužtruks ilgai ir apsaugos nuo daugumos grėsmių. Taip pat rekomenduočiau vengti pastovių smulkių pakeitimų ir patobulinimų veikiančioje svetainėje. Geriau juos visus iš anksto suplanuoti ir atlikti kaip vieną didelį darbą, po kurio projektas vėl bus pratestuotas ir tada publikuotas. Nes įvairiausios klaidos ir saugumo spragos dažniausiai ir atsiranda, kai programuotojai skubiai daro pakeitimus, kurių prireikė tiesiog šiandien.
Šimtaprocentinio svetainės saugumo pasiekti, ko gero, neįmanoma. Daugelis saugumo specialistų sako, kad jų tikslas ne padaryti svetainę neįveikiama, bet pasiekti, kad į ją įsilaužti kainuotų daugiau, negu būtų gaunama naudos. Manau, kad laikantis šitų patarimų, tipinė interneto svetainė pasidarys nepatraukliu taikiniu įsilaužimams.
