Podstawowe zasady bezpieczeństwa portali internetowych




jeżeli nie zadbasz p bezpieczeństwo będziesz następny

Tematem tym przeważnie zaczynamy się interesować już po udanym ataku na nasz portal lub innej dokliwej stracie dotyczącej naszych treści, zasobów lub wycieku danych. W większości przypadków dało by się takiego ataku lub straty uniknąć. Wystarczy tylko stosować się do pewnych zasad, o których piszę ponizej.

Dlaczego jesteśmy atakowani

Dostęp do naszej strony daje atakujacemu same korzyści:

  • może umieszczeać na niej dowolną treść
  • może umieszczać na niej dowolne linki
  • może wykorzystywać nasze adresy email i zasoby do wysyłania spamu
  • może dowolnie wykorzystać wykradzione dane, adresy email

Na swoich stronach odnotowuję co najmniej jeden atak dziennie, do tego wiele prób przeskanowania zasobów, określenia skryptu/silnika strony, struktury folderów, wykradania treści czy obrazów.

Zasada pierwsza - mocne loginy i hasła

Na pierwszy rzut oka niby nie ma możliwości odgadnięcia loginu a tym bardziej hasła jednak jak by takiej możliwości nie było nie istniały by ataki brute force. Każdy formularz logowania prędzej czy pożniej jest do złamania. Jednak przy używaniu mocnych loginów i haseł potrwa to dużo dłużej, czasmi tak długo, że nie bedzie akakujacemu się oplacać na to czekać.

Pierwsze co atakujący robi to sprawdza podstawowe błedy w loginach i hasłach czyli ich domyślne ustawienia. Musimy pamiętać, że pozostawienie ustawień domyslnych dostepu jes bardzo podatne na udany atak. Do tego dochodzą jeszcze pary login/hasło łatwe do zapamiętania lub w jakikolwiek sposób publikowane. Postępowanie takie można porównac z zamknieciem domu i włączeniem alarmu po czym wszadzamy klucz pod wycieraczkę razem z kodem do alarmu.  

Login

  • nie stosujemy loginów admin, administrator lub jego odpowiednika mailowego na przykład admin@mojadomena.pl
  • nie stosujemy loginów w jakikolwiek sposób powiazanych z domeną np dla tej domeny siezamawia
  • nie stosujemy loginów w postaci adresu mailowego które są publikowane na naszej stronie

Login jest równie ważny co hasło i podawnie go atakującym niemalże na tacy jest dużym obnizeniem bezpieczeństwa.

Hasło

  • nie stosujemy haseł powiązanych z domeną
  • nie stosujemy haseł składajacych sie z jedej litery na przykład aaaaaaaaa
  • nie stosujemy haseł takich samych jak login
  • nie stosujemy haseł typu admin, administrator, user i innych łatwych do zapamiętania

Prawidłowe hasło powinno skladać się z minimum ośmiu znaków róznych i zawierać duże litery, małe litery, cyfry oraz znaki specjalne.

Zasada druga - widoczność plików

Plik wp-login.php z popularnego CMS Wordpress jest doskonałym przykładem jak nie powinien być widoczny dla każdego ważny plik. Sam nie używam (chociaż bardzo dobrze znam) w swoich portalach Worpress'a a mimo to odnotowuję około 2 atakow na plik wp-login.php tgodniowo. Jest tak dlatego bo plik ten służy do logowania się do palelu administracyjnego tego CMS. W standardowej instalacji jest on widoczny dla każdego więc jeżeli ktoś stwierdzi, że strona mojadomena.pl wykorzystuje CMS Wodpress to w wiekszości przypadków pliku logowania do części administracyjnej może spodziewać się pod adresem mojadomena.pl/wp-login-php. I tak właśnie ma około 25% portali na świecie bo tak mniej wiecej szacuje się popularność Wodpress'a. Plik ten nie jest umieszczony nawet w osobnym folderze, który można zabezpieczyć tylko w folderze główym skryptu.

Oczywistym faktem jest, że publicznie widoczne powinny być tylko pliki, gdzie istnieje konieczność by były widoczne, reszta plików powinna być umieszczona w zabezpieczonych folderach lub umieszczonych poziom wyżej od pliku startowego skryptu.

Zasada trzecia - darmowe rozszerzenia, dodatki i szblony do popularnych skryptów

Jak to często w życiu bywa jak coś jest za darmo to jest bardzo drogo a często obraca się to w "otworzenie dzwi na ościerz" do naszej strony a nawet do serwera i jego zasobów. Nie możemy zapominać że jak ktoś cos daje za darmo to musi to mieć jakąś wadę lub specjalną furtkę wykonana dla jego potrzeb. W najlepszym przypadku darmowe rzeczy są przestarzałe, wykonawca ich w razie kłopotów na mnie pomoże. W najgorszym przypadku slużą do przejecia naszej strony lub serwera.

Darmowe pluginy i szablony do popularnych skryptów trzeba stosować z dużą ostrożnością, zalecałbym nawet przetestowanie ich w istalacji testowej a dopiero po takim teście dołączenie do instalacji docelowej.

Do powyższego trzeba dodać, że darmowe dodatki czesto zawierają linki do strony wykonawcy więc po pierwsze nie są darmowe bo polecamy stronę wykonawcy przy pomocy naszych zasobów a po drugie licencja takich zabrania te linki usunąć lub zgoda na ich isunięcie jest płatna.

Zasada czwarta - monitoring ruchu

Pozostawienie strony samej sobie przy obenym ruchu różnych robotów, crawlerów, spirerów itd. jest duzym będem. Pisałem juz wczesniej o ataku brute force. Bez monitorowania ruchu, nawet takiego opartego na logach serwera o próbach takich ataków nawet możemy nie wiedzieć, a czym wiecej atakujacemu damy czasu tym wieksze jest prawdopodobieństwo że atak będzie udany.

Monitoring ruchu najlepiej oprzeć o opragramowanie wlaśnie do tego celu stworzone. Poza oczywistym zapisem zdarzeń czyli wejść na stronę potrafi ono samoczynnie wykryć niektóre ataki i je zablokować. Ale najlepsze oprogramowanie nie zastapi rozumu człowieka, wiec może ono być tylko narzedziem wpomagającym osiagniecie zwiekszonego bezpieczeństwa portalu internetowego.

Pozdrawiam Piotr Nowak



Wszystkie artykuły

Statystyki

Kategorii: 14
Podkategorii: 75
Wpisów razem: 148
Wpisów opublikowanych: 148
Wpisów oczekujacych: 0
Wpisów odrzuconych: 0
Wpisy wyświetlono: 45427 razy

Stronę odwiedzono: 155821 razy
Użytkowników online: 18

Cookies

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.

Pokaż wiecej