Představa, že se hackeři a kybernetičtí zločinci zajímají pouze o nadnárodní korporace a banky, je jedním z nejnebezpečnějších mýtů dnešní doby. Skutečnost je taková, že menší a střední weby, e-shopy a firemní prezentace jsou zdaleka nejčastějším cílem nejrůznějších automatizovaných útoků. Proč? Právě proto, že jejich zabezpečení bývá velmi často naprosto zanedbáváno.
V tomto článku se podíváme na pět základních pilířů, které tvoří skutečně bezpečný web. Zjistěte, jestli neděláte některou ze zásadních chyb, která by mohla ohrozit jak vás, tak vaše zákazníky.
1. SSL/TLS certifikát (HTTPS) je dnes absolutní nutnost
Pokud se před vaší URL adresou v prohlížeči neukazuje malá ikona zámečku (případně prohlížeč ukazuje varování "Nezabezpečeno"), zaděláváte si na gigantický problém. SSL/TLS certifikát zajišťuje, že veškerá komunikace mezi prohlížečem uživatele a vaším serverem je šifrovaná.
Pokud jej nemáte, jakákoliv zadaná data – ať už jde o hesla k účtům, jména, e-maily nebo údaje z kontaktních formulářů – putují internetem jako prostý text. Po cestě je může kdokoliv zachytit a zneužít. Navíc vyhledávače jako Google dnes weby bez aktivního a platného HTTPS nejen penalizují ve výsledcích vyhledávání, ale dokonce mohou návštěvníka aktivně odrazovat od vstupu na váš web formou celoobrazovkového varování.
2. Pravidelné aktualizace systému, pluginů a komponent
Máte web postavený na WordPressu nebo jiném tradičním redakčním systému? V tom případě zpozorněte. Většina úspěšných kybernetických útoků na tyto platformy se totiž děje přes zastaralé a neaktualizované pluginy. Vývojáři těchto rozšíření pravidelně vydávají bezpečnostní záplaty vždy, když se v kódu objeví trhlina.
Pokud vy nebo váš správce pravidelně neaktualizujete, necháváte hackerům doslova odemčené dveře. Automatičtí boti neustále prolézají internet a hledají weby se starou verzí známých pluginů, do kterých umí přesně cílenou "střelou" vniknout.
Tip od nás: Pro naše klienty v MESCONu vyvíjíme weby převážně na moderních serverless a edge architekturách (např. v Next.js) bez nutnosti použití starých "monolitických" systémů s hromadou děravých pluginů třetích stran. Tím se tato bezpečnostní rizika dramaticky (téměř na nulu) snižují. Nemáte staré pluginy – nemá vás kdo přes ně hacknout.
3. Silná hesla a dvoufázové ověření (2FA)
Tento bod zní banálně, přesto je zodpovědný za masivní procento průniků. Nejslabším článkem naprosto každého IT systému je uživatel a jeho pohodlnost. Hesla typu „Admin123“, "Heslo2024" nebo název vaší firmy jednoduše nejsou silná hesla a dnešní počítače je uhodnou hrubou silou v řádech sekund.
Vynucujte u všech administrátorů webu a zaměstnanců používání dlouhých a naprosto unikátních hesel (ideálně generovaných přes správce hesel). Co je ale mnohem důležitější – zapněte si na všech přístupech dvoufázové ověřování (2FA). I kdyby následně někdo vaše heslo uhodl, ukradl nebo našel na uniklém seznamu hesel na darkwebu, bez šestičíselného potvrzovacího kódu z vašeho mobilního telefonu (nebo biometrického klíče) se do systému nedostane.
4. Ochrana proti DDoS útokům a hádání hesel (Brute-Force)
Cílem některých útoků vůbec není krádež dat, ale zlomyslné vyřazení webu z provozu, případně vydírání. Tzv. DDoS útok znamená, že na váš web někdo najednou pošle obrovské množství falešných návštěv z desetitisíců nakažených počítačů po celém světě. Výsledek? Váš server to nezvládne a spadne.
Ochrana typu Cloudflare pomůže odfiltrovat takový podezřelý provoz ještě předtím, než vůbec dorazí na váš fyzický server. Proti zkoušení miliardy hesel do vaší administrace (Brute-Force útoky) pak pomáhá i to nejobyčejnější omezení počtu neúspěšných přihlášení. Pokud někdo třikrát zadá špatné heslo, systém danou IP adresu na určitý čas (nebo trvale) zablokuje a pošle vám upozornění.
5. Pravidelné a oddělené zálohování (Backups)
I ta nejlepší ochrana někdy selže. Když se tak stane, zachrání vás a váš byznys jedině kvalitní záloha. Obrovskou chybou ale je, když se zálohy drží na úplně stejném serveru jako samotný web.
Pokud vám totiž někdo kompromituje systém a zašifruje server ransomwarem (vyděračským virem), pravděpodobně vám zároveň zašifruje i onu složku s názvem "Zálohy_Webu". Zálohujte proto pravidelně, automaticky a ideálně vše zrcadlete do zcela odděleného cloudového úložiště (např. AWS S3), ke kterému nemá server s webem za normálních okolností přístup pro smazání starých souborů.
Mějte konečně klidný spánek
Zabezpečení webu rozhodně není jednorázová akce, kterou odškrtnete ze seznamu. Je to nepřetržitý proces monitoringu, aktualizací a prevence.
Pokud chcete mít absolutní jistotu, že jsou vaše cenná data a data vašich klientů v absolutním bezpečí, a že váš web odolá moderním i budoucím hrozbám, svěřte jeho správu do rukou profesionálům. V MESCONu nestavíme jen „pěkné stránky“. Stavíme technologicky vyspělá řešení s důrazem na špičkový výkon a tu nejpřísnější bezpečnost už od vůbec prvního řádku zdrojového kódu.
