Det var en tid da folk og selskaper slo opp nettsteder med fullstendig forlatelse, bare i håp om at ingen ville hacke innholdet eller installere skadelig programvare på nettstedet.
Disse dagene er lenge bak oss, ettersom antall og hyppighet av angrep betyr at det er en konstant trussel - og jo mer vellykket et nettsted er, desto større er faren.
Så hva er måtene du kan beskytte nettstedet ditt (via din webhosting-leverandør), og hvordan kan du redusere muligheten for at nettstedet blir hacket og endret?
Før vi kommer til det, må vi forstå det mest grunnleggende sikkerhetsnivået som er ansvarlig for mange hackede nettsteder - til og med de som er vert på sikre servere.
- Vi har valgt de beste webhotelltjenestene her
- Dette er de beste gratis webhotellfirmaene rundt
- Og de er for tiden de beste nettstedbyggere
Den første forsvarslinjen
Selv om noen selskaper insisterer på å være vert for egne nettsteder, ligger de fleste forretningsdomener på sikre servere som er kontraktet for formålet.
Når du velger hosting, får du definere hvilket operativsystem systemet kjører (Windows Server, Linux eller Unix) og som dikterer sikkerhetsprotokollene som kreves.
Personen eller personene med ansvaret for å administrere nettstedet har administratorrettigheter til å endre filstrukturene på den, og ingen andre.
Hvor dette kan gå galt fra begynnelsen, er hvis for mange vet administratorkontodetaljene, og passordet ikke endres regelmessig. Og det trengs bare en nøkkellogger for å bli installert på en av maskinene som brukes til å administrere, og passordet blir avslørt for akkurat den typen mennesker du minst vil ha det.
Men for å være ærlig, hvor mange jobber på et kontor der passord regelmessig huskes med post-it-notater? Noen hender gikk der uten tvil.
Å sikre disse passordene er den første forsvarslinjen, og uten det kan alt annet du gjør lett bli angre.
Så det er to innledende leksjoner å lære om nettsikkerhet, nemlig at:
- Det er bare like bra som nettverket der nettstedet ble bygget
- Sikkerhet blir sjelden bedre ved å skrive ned passord og plassere dem på et godt synlig sted
Sikkerhetsrevisjon
Å utføre en sikkerhetsrevisjon på et nettsted er en relativt enkel øvelse som kan gjøres av IT-ansatte ved hjelp av et utvalg av programvareverktøy. Alternativt kan du trekke en tredjepart til å utføre skanningen for deg, og gi en liste over potensielle svakheter for å støtte opp.
Hvis du kjøper en webhostingtjeneste, kan leverandøren også pakke sammen et sikkerhetsverktøy for å sikre at du er rimelig sikker fra begynnelsen - men vanligvis ikke kontinuerlig.
Utover det tilbyr mange leverandører også en sikkerhetspakke for nettsteder, der de lover rask respons på trusler og avbøtelse av tjenestenektangrep. Med mindre du bare har en liten personlig blogg, er dette en god investering.
Prisen på disse tjenestene er ikke mye når du tenker på hvor dyrt å ha et nettsted offline i en hvilken som helst periode, spesielt for de som tilbyr e-handel.
Uansett hvilken tilnærming du tar, er det viktig at sikkerhetsskanninger utføres regelmessig, for å identifisere mulige nye trusler når de dukker opp, og adressere dem umiddelbart.
Vanlige bekymringer
De vanligste angrepsformene som nettsteder støter på er disse:
- Distribuert denial of service (DDoS) - Mange eksterne datamaskiner, vanligvis infisert med en trojan, opptrer unisont krevende websider gjentatte ganger til det punktet hvor serverne ikke kan håndtere mengden forespørsler.
- Infeksjon med skadelig programvare - På en eller annen måte plasseres filer som inneholder en uhyggelig kode på nettstedet med den hensikt å laste den opp til alle som besøker.
- SQL-injeksjon - Ondsinnet kode satt inn i et skjema eller inndata som deretter kjøres av SQL Database på serveren. Denne koden kan gjøre det mulig å få tilgang til kundedata, eller åpne maskinen for ekstern tilgang.
- Ren styrke - Ofte tillater en feil i operativsystemet at et gjentakende angrep kan forårsake en tilbakestilling som åpner en port kort for et sekundært angrep. Gitt kompleksiteten i moderne operativsystemer, blir nye sårbarheter funnet regelmessig.
- Skripting på tvers av nettsteder - En hackingsmetode der en nettleser kan omdirigeres til et annet nettsted, eller erstatte innhold på offerets side uten at den besøkende er klar over det.
- ‘Zero day’-hacket - Dette er nye og vanskelige å stoppe angrep som bruker en svakhet som ikke er offentlig kjent. Tiden mellom at sårbarheten oppdages og oppdateres er kritisk, og kan kreve at noen serverfunksjoner blir deaktivert midlertidig til en løsning er funnet.
Svakheter etter design
Mens mange nettsteder fungerer med følgende funksjoner aktive, er de kilden til mange sikkerhetsproblemer av flere årsaker:
- Skjemaer - Alt som behandler inndata på serveren er et potensielt inngangspunkt for ondsinnet kode, og det kan også utnyttes til å trekke ut brukerdata.
- Forum - Plassering av skript og omdirigering av brukere til nettsteder som dispenserer skadelig programvare er bare noen få av de potensielle problemene med brukergenererte fora.
- Pålogging på sosiale medier - Å bruke Facebook- eller Google-kontoen din til å logge på et nettsted er raskt og enkelt, men det kan også være en måte at disse kontoene blir hacket.
- E-handel - Kriminalitet følger pengene, og hackere vil bruke mye mer innsats på å hacke et e-handelssted.
- Uregulert innhold - Hvis du henter nyhetshistorier og artikler fra andre nettsteder, er du avhengig av deres sikkerhetstiltak, uansett hva de måtte være.
Å fjerne alle disse funksjonene fra et nettsted vil åpenbart gjøre det til et mye mindre innbydende sted for besøkende. Det må avgjøres om hvilke elementer du er forberedt på å bruke, og hvordan du har tenkt å redusere mulige sikkerhetsproblemer knyttet til dem.
Passende beskyttelse
Det er bare én måte å garantere at nettstedet ditt aldri blir hacket, og det er ikke å ha det. Til syvende og sist er nettstedssikkerhet en avbøtende øvelse der du gjør nok for å gjøre det mye mindre verdt å prøve å hacke nettstedet ditt, og også sørge for at det er raskere å gjenopprette fra enhver hendelse.
Det nøyaktige nivået av sikkerhetsinnsats som er gjort er et valg som alle selskaper må kjempe med, men for de som er involvert i online salg, må forpliktelsen være 100% for å sikre de personlige og økonomiske detaljene til de som handler med deg.
Mange selskaper og organisasjoner har fått stjålet all deres kundedata og deretter brukt til svindel med identitetstyveri, med dyre konsekvenser.
Uansett hvilket nivå av beskyttelse og overvåking du velger, må det være egnet til formålet. Til slutt, vurder at å ha bedre sikkerhet enn du trenger har en minimal kostnadskonsekvens, men å ha mindre kan ha store juridiske og kommersielle konsekvenser.
