Mit tehetünk a biztonságos online jelenlétért? :: ABMG | Webfejlesztés & PPC kampánykészítés

Mit tehetünk a biztonságos online jelenlétért?

A hírekben egyre többet hallhatunk online adataink és jelenlétünk biztonságáról, illetve annak hiányáról. Rendszeresen találkozhatunk vele, hogy szolgáltatók, közösségi média platformok, de akár állami szervek és bankok is több millió felhasználó adatait veszítik el, vagy kibertámadások kerülnek nekik dollármilliókba. Ne gondoljuk azonban, hogy az ilyen fenyegetések pusztán a nagyvállalatokat érintik: adathalászok rendszeresen élnek vissza magánszemélyek adataival, és a kisvállalkozások, egyszerű webhelytulajdonosok sincsenek biztonságban – bár ezt pontosan meghatározni nehéz, az Astra adatai szerint naponta mintegy 30.000 weboldalt törnek fel, amelyek kb. 43%-a kisvállalkozásokhoz tartozik. Bár egy elszánt támadót nehéz eltántorítani, ezeknek az eseteknek a döntő többsége olyan gyengeségből, vagy figyelmetlenségből adódik, amelyet bármilyen szakértelem vagy komoly erőfeszítés nélkül is ki lehet küszöbölni.

Mik lehetnek ezek? Mitől lehet veszélyben a saját weboldalunk? Egyszerű felhasználókként lépéseket tehetünk, hogy biztonságosabb legyen az online jelenlétünk?

Milyen gyakori támadásokkal találkozhatunk az interneten?

Mielőtt a védelem témájára térnénk, tekintsük át röviden, milyen típusú fenyegetések leshetnek egy átlagos weboldalra, milyen támadásoknak lehetünk mi magunk is nap mint nap kitéve.

Brute-force támadások

A brute-force (vagyis „nyers-erejű„) támadás pontosan az, aminek hangzik – alapelvek szintjén nincs mögötte komoly átgondolás, vagy bonyolult megközelítés, a támadó (többnyire automatizált eszközre hagyatkozva) addig próbál újra és újra véletlenszerűen bejutni rendszerünkbe, amíg nem sikerül neki. Képzeljük el úgy, mintha valaki felvásárolna többezer sorozatgyártott kulcsot, majd egyesével próbálgatná őket végig a város összes lakásán, hátha, az egyik ajtó kinyílik.

A legegyszerűbb példa erre az, ha egy támadó úgy akar betörni az egyik fiókunkba, hogy megpróbálja kitalálni a jelszavunkat, betűről betűre, számról számra tippelgetve. Természetesen ezt senki sem kézzel csinálja, hanem automatizált eszközökkel, amelyek egy másodperc alatt több tízezer, vagy akár több százmillió ilyen próbálkozást tudnak végrehajtani. Biztosan jártunk már úgy, hogy egy rendszer kizárt minket, mert 4-5-ször rosszul írtuk be jelszavunkat – az ilyen óvintézkedésekre pontosan a brute-force támadások elkerülése végett van szükség.

Phishing, kamuoldalak, adathalászat

Amikor valakinek ellopják az online jelszavait, elérhetőségeit, vagy akár személyes adatait, nem kell azonnal hackerekre és komplex kibertámadásokra gondolnunk. A válasz sokszor jóval egyszerűbb ennél – valaki, valamikor, valahogy megadta őket a támadónak. Minden bizonnyal mi is kaptunk már telefonhívást egy ismeretlen számról, amiben egy gyanús hang próbálta előadni nekünk, hogy a bankunktól hív minket, és feltétlen szüksége van a nevünkre, születési dátumunkra, és édesanyánk leánykori nevére. Az ilyen próbálkozások a legegyszerűbb példái a phishingnek, vagyis az adathalászatnak.

Az adathalász támadások napjainkra ennél jóval bonyolultabbá váltak, bár az elvük ugyanaz maradt – hitessük el a célponttal, hogy meg kell nekünk adnia az érzékeny adatait. Ez öltheti egyre hihetőbbnek tűnő telefonhívások formáját, azonban a támadó megpróbálhatja előadni magát ügyfélszolgálati munkatársnak egy e-mailben, vagy indíthat egy kamuoldalt, amely kinézetre teljesen megegyezik például a Facebook, a G-mail, vagy a bankunk bejelentkező-oldalával. Ezutóbbiak más módszerekkel összhangban működnek valóban hatékonyan – senki sem fog magától felmenni a “lopdelajelszavam.hu”-ra, viszont példának okáért ha valaki feltör egy weboldalt, és egy “megosztom a facebookon” gombon elhelyez egy linket egy felületre, amely megtévesztésig hasonlít a Facebook bejelentkező-oldalára, sokan meg fogják adni az adataikat, anélkül, hogy a címet például a böngésző címsorában ellenőriznék.

A phishing ellen a legjobb védelem a figyelem – mindig győződjünk meg róla, hogy egy hitelesnek tűnő e-mail valóban egy megerősíthető, hivatalos címről érkezett, a telefonon valóban az ügyfélszolgálattal beszélünk, biztosan hiteles webhelyen adjuk-e meg éppen adatainkat. Sajnos azonban sosem tudjuk magunkat teljesen biztosítani, ugyanis a védelem nem csak rajtunk múlik. Egy tisztességtelen, vagy ködös felhasználói feltételeket használó online szolgáltató továbbküldheti megadott adatainkat egy csalónak, egy figyelmetlen ügyfélszolgálati munkatárs adhat ki véletlenül érzékeny információkat, ha egy adathalász, nekünk kiadva magát, felhívja azt.

Elavult és sebezhető kód

A sikeres internetes támadások jelentős hányadáért elavult szoftverek használata felel. Bár természetesen ez sem javallott, itt döntőképpen nem arra kell gondolnunk, hogy számítógépek tömkelege Windows 98-on futna, ennél általában egyszerűbben orvosolható dolgokról van szó.

Amit elsősorban fontos megértenünk az az, hogy manapság nincs olyan internetes szoftver, ami ne szorulna frissítésekre. Az idő múlásával és új funkciók elterjedésével egyszerűen nincs olyannyira kiterjett fejlesztés, amelybe ne csúsznának hibák és sérülékenységek. Ezek kikupálására a fejlesztők rendszeresen adnak ki frissítéseket – hiszen, a puszta tisztesség mellett, senki sem akarná vállalni a felelősséget egy tömeges adatszivárgásért, vagy hackertámadásért. Azonban ez semmit sem ér, ha a felhasználók, vagyis a webhelyek tulajdonosai és karbantartói, nem futtatják le ezeket. Így még olyan esetekről is hallhatunk, hogy valamilyen szoftverben a fejlesztő felfedez valamilyen hibát, javítja, kiadja a friss verziót, évekkel később hanyag felhasználók azonban még mindig az elavult verziót használják, miközben a hibára már hivatalos kiadványok is felhívják mind a vásárlók, mind rosszindulatú támadók figyelmét.

Cégünknél elsősorban a WordPress tartalomkezelő rendszerére hagyatkozunk. Ennek keretein belül számos bővítményhez férünk hozzá, amelyek különböző működésekre kínálnak kész megoldást – megkönnyíthetik a weboldal fejlesztését, kezelhetik kapcsolatfelvételi űrlapok működését, vagy éppen a webhely biztonságához járulnak hozzá. Egy bővítmény telepítésekor meg kell értenünk, hogy bizonyos szintű kockázatot fogadunk el – hiszen épp egy számunkra ismeretlen fejlesztő kódját visszük fel oldalunkra, bízva benne, hogy nem vétett valamilyen kardinális hibát. Ezek a bővítmények rendszeresen kapnak frissítéseket, és, általánosságban véve, fejlesztőik gyorsan reagálnak bármilyen felfedezett hibára vagy sérülékenységre. Mindez azonban nem vezet sehova, ha mi magunk nem futtatjuk le a frissítéseket – a WordPress az új frissítésekről egyértelmű jelzést ad a rendszergazdai felület bal felső sarkában. Más fejlesztőktől átvett weboldalaknál gyakran tapasztaljuk, hogy abszurd mennyiségű (akár 20-40) frissítés várat magára. Ezek közt természetesen vannak kozmetikai és felületi változtatások, amelyek nem járulnak hozzá az oldal biztonságához, azonban szükségszerűen lesznek köztük olyanok is, amelyek felfedezett sérülékenységeket javítanak ki oldalunkon. Hasonlóképpen fontos a webhely által használt sablon, és magának a WordPress Core verziójának frissítése is.

Hogy a technikai oldalról és nagyobb általánosságban is szóljunk, természetesen a laikus felhasználó nem fér hozzá mindenhez ilyen egyszerűen. Vegyük példának a PHP verziókat. A PHP egy nagyon népszerű szerveroldali szkriptnyelv, amelyet az internet webhelyeinek kb. 75%-a használ. Hogy ne bonyolítsuk túl szakmai részletekkel a cikket, fogalmazzunk úgy, hogy a PHP kód webhelyünk szerverével beszélget. Ennél fogva kimondottan fontos, hogy frissen és biztonságosan tartsuk. Ennek ellenére a W3Techs adatai szerint a PHP-t használó weboldalak 37.6%-a PHP 7-es verziót használ, amely lassan 3 éve nem támogatott, és semmilyen frissítést nem kap. Ennél súlyosabb, hogy az oldalak 9.7%-a még a PHP 5-ös verziót futtatja, amelyet 2018 végén vezettek ki. Ezek az oldalak mind ismert és publikált sérülékenységekkel rendelkeznek, amelyeket a PHP verzió frissítése egyszerűen orvosolna.

Spam és botok

Minden bizonnyal találkoztunk már spammel és botok által hagyott kommentekkel – ismeretlen címről érkező, kéretlen e-mailekkel visszautasíthatatlan ajánlatokról, videók alatt megjelenő hozzászólásokkal ingyenes termékosztásokról, de gyakran még lottó milliárdok győzteseként is kisorsolhat bennünket az amerikai nagybácsink. Ezek általánosságban valamilyen automata rendszer által hagyott üzenetek, amelyek jobb esetben számunkra érdektelen termékeket és szolgáltatásokat akarnak ránk tukmálni, rosszabb esetben adathalász, vagy vírusos oldalakra irányítanak.

Manapság legalább valamilyen alapvető spamvédelem nélkül felnyitni egy online felületet egyszerűen merő felelőtlenség. Automata rendszerek tömkelege vadászik támadható kommentszekciókra és címekre, amelyeket teljesen használhatatlanná tehetnek. Nyilvános felületeken (pl. egy blog hozzászólásai) a valós válaszok el fognak veszni a botok seregében, e-mail fiókunk megfelelő szűrés nélkül olvashatatlanná fog válni száz és száz kéretlen üzenettől, gyanútlan, illetve megfelelően fel nem készült felhasználók (kiváltképpen idősek és gyerekek) pedig ténylegesen rá is kattinthatnak a veszélyes linkekre.

Rosszindulatú kód, malware, vírusok

Ezzel érkezünk el ahhoz, amire a legtöbben kibertámadások, hackelések, adatszivárgások esetén gondolnak: ténylegesen bonyolult, rosszindulatú szakértők által írt kódok, amelyek lefutásukkal valamilyen komoly kárt okoznak. Mivel ezt a cikket főleg hétköznapi felhasználóknak szánjuk, a vírusok technikai működésében itt nem fogunk elmélyülni.

Pusztán annyit fontos megértenünk, hogy egy vírusnak valahogyan be kell jutnia a rendszerünkbe, „csak úgy magától„ nem fut le. Szükséges hozzá, hogy letöltsünk és megnyissunk egy vírust tartalmazó fájlt, lefuttassunk valamit a böngészőnkben, vagy a rosszindulatú kódot valamilyen résen keresztül bejuttassák webhelyünk rendszerébe.

A rosszindulatú kódok rengeteg módon és időtartamban működhetnek. Csendesen ellophatják és továbbíthatják a weboldalunkról jelentkező ügyfelek adatait, a látogatók által lekattintott linkeket csalóoldalakra cserélhetik le.
Az egyik leggyakoribb típusú vírus, amellyel napjainkban találkozhatunk, amely nagyvállalatoktól magánszemélyekig mindenkit érint, az úgynevezett Ransomware, vagy zsarolóprogram. Az ilyen vírus számítógépünk fájljait, adatbázisunkat zárolja és kódolja, hogy ahhoz ne tudjunk hozzáférni. A támadók a zárolás feloldásáért valamilyen váltságdíjat követelnek, általában nehezen visszakövethető kriptovaluták formájában. Megfelelő óvintézkedések nélkül ez teljes rendszerek, és hatalmas mennyiségű adat elvesztéséhez vezethet. Bár a zsarolóprogramok leggyakrabban személyi számítógépeket érintenek, webszerverek esetén is előfordulhatnak – például ha rosszindulatú kódot futtatnak a tárhelyen.

Hogyan védekezhetünk a kibertámadások ellen?

Amint azt láthatjuk, az internetes támadások többsége, ha technikai eszközökkel is történik, elhárítható olyan egyszerű lépésekkel, mint weboldalunk rendszeres frissen tartása. Az alábbiakban olyan módszerekre fogunk kitérni, amelyeket átlagos felhasználóknak tudunk ajánlani, hogy biztonságosabbá tegyék online jelenlétük.

Fontos fejben tartanunk, hogy egy valóban eltökélt és hozzáértő támadót napjainkban jóformán lehetetlen eltántorítani. Az általunk használt komplex, egymással összekötött számítógépes rendszerek puszta mérete annyi hibalehetőséget vet fel, hogy ha valaki valóban be akar törni, az előbb-utóbb be is fog. Azonban egyikünk szekrényében sem bujkál egy hadseregnyi csúcsképzett hacker, csak arra várva, hogy tönkre tegyék életünket és vállalkozásunkat.
A valóban veszélyes online támadások általában nem eszetlen vandáloktól érkeznek, hanem inkább rafinált pénzügyi megfontolás van mögöttük. A lopott adatokat a támadók eladják, a zárolt fájlokért váltságdíjat várnak, átvert látogatókból pénzt próbálnak kicsalni, stb. Így általánosságban véve annyit kell elérnünk, hogy kevésbé érje meg feltörni rendszerünket, mint amennyi hasznot abból a támadó remélhet – ezt a mércét pedig nem nehéz megütni. Ha pedig megtörténik a baj, és mégis valamilyen támadás áldozatává válunk, még mindig minimalizálhatjuk a minket érő károkat bizonyos óvintézkedésekkel.

Természetesen minél több és értékes adatot kezelünk, annál nagyobb felelősség nyomja a vállunkat, és annál inkább kell figyelnünk a biztonságra. Ahogy a sarki boltnak is valószínűleg komolyabb zár-, riasztó- és kamerarendszere van az átlagos lakásnál, és mégis eltörpül egy bankvállalat biztonsági apparátusa mellett, úgy az interneten is felhasználóként gyakran elég megtennünk a minimumot, webhelytulajdonosként kicsit több figyelmet fordítva a kérdésre, és ennél sokkal komolyabb lépéseket várhatunk el világszerte népszerű oldalaktól és alkalmazásoktól.

A következőkben először olyan lépéseket veszünk végig, amelyeket egyszerű felhasználóként, látogatóként, ügyfélként, stb. tehetünk saját érdekünkben, de vállalkozókra és cégekre is vonatoznak, később pedig kimondottan arra térünk át, mit tehet egy tulajdonos webhelye biztonságos működéséért.

Személyes védelem

Az internet használatakor rengeteg felelősség a szolgáltatókat terheli – mi, felhasználókként, nem tehetünk túl sokat, ha a bankunk vagy biztosítónk hibázik, és kiszivárogtatja személyes adatainkat. Vannak azonban egyszerű lépések és mindennapokban kialakítható jó szokások, amelyek a támadók dolgát jelentősen megnehezíthetik.

Biztonságos jelszavak használata

Higgyék el, minket is őrületbe tud kergetni, amikor egy online fiókunk jelszavát minden hónapban meg kell változtatni, miközben a szolgáltató különleges karakterek, nagybetűk és számok egyre egzotikusabb kombinációihoz ragaszkodik. Azonban, bármennyire is idegesítő legyen, működik.

Az erős jelszavakat egy adatainkat megkaparintó adathalász jóval nehezebben fogja kitalálni, mintha vezetéknevünket és születésnapunk dátumát használnánk, egy hosszabb, komplikáltabb jelszót pedig egy brute-force támadás során jóval kisebb eséllyel fogják feltörni.

Ezért, bár tudjuk milyen zavaró, javasoljuk ügyfeleinknek, hogy használjanak erős jelszavakat, azokat változtassák és cseréljék pár havonta.
Továbbá őszintén javasolni tudjuk, hogy ne használjuk mindenhol ugyanazt a jelszót, kiváltképpen nem megbízható platformokon: csak gondoljunk bele, hány telefonos alkalmazás és weboldal kéri manapság adatainkat, akár különleges kedvezményekhez, akár a szolgáltatás puszta kipróbálásához. Ezek az adatok valahol évtizedeken keresztül meg fognak maradni, és ki tudja, ezek a szolgáltatók mennyit fognak foglalkozni adataink biztonságával, kinek fogják eladni adatbázisukat öt, tíz, húsz év múlva. Ha mindenhol ugyanazt a jelszót használjuk, derült égből villámcsapásként érhet minket, hogy valaki hirtelen betört e-mail fiókunkba – pusztán azért, mert ugyanazt a jelszót használtuk egy fél évtizeddel ezelőtt egy webshopon, ahonnan egy kenyérpirítót rendeltünk.

Kétfaktoros hitelesítés

Biztonság szempontjából hatalmas segítség lehet a ma már egyre inkább terjedő, és egyre több helyen kötelező kétfaktoros azonosítás / kétfaktoros hitelesítés (gyakori angol rövidítéssel 2FA).

A kétfaktoros hitelesítés elve nagyon egyszerű, és közel sem új találmány: ahhoz, hogy a felhasználót beengedjük egy rendszerbe, 2 különböző módon is igazoltatjuk vele személyazonosságát. A különböző okoseszközök elterjedtsége az, amely ezt hasznossá és elérhetővé teszi az átlagos felhasználónak.
Ha nem is tudtuk a nevét, biztosan találkoztunk már kétfaktoros hitelesítéssel mindennapjainkban. Például, ha megpróbálunk számítógépről hozzáférni online bankfiókunkhoz, jelszavunk és azonosítónk beírása után vagy SMS-ben, vagy valamilyen alkalmazáson keresztül fogunk kapni egy rövid ideig élő azonosító számkódot, amelyet meg kell adnunk, hogy a rendszer beengedjen minket. Ez a kétfaktoros azonosítás, és felhasználóként általában ehhez hasonló formában fogunk vele találkozni.

A módszer enyhén zavaró lehet, és egyszerűnek tűnhet, de óriási segítséget ad adataink biztonságában tartásához. Amikor valakit internetes támadás ér, ritkán törik fel “mindenét”, e-mail címtől a bankfiókig. Sokkal gyakoribb az, hogy egy támadó – aki sokszor nem is egy ember, hanem valamilyen automatizált program – véletlenül hozzájutott egy sérülékeny felhasználónévhez és jelszóhoz, ezzel betört egy helyre, és semmilyen más használható adattal nem rendelkezik: nem tudja kik vagyunk, nem lát bele az e-mailjeinkbe, és végképp nincs a kezében a telefonunk. Azzal, hogy pusztán még egy lépcsőt és szolgáltatást hozzáadunk a folyamathoz, biztosíthatjuk magunkat – az online támadások jelentős hányada pedig pontosan ilyen primitív. A számok is pontosan erről árulkodnak – a Microsoft 2019-es adatai szerint a kétfaktoros hitelesítés a támadások 99.9%-át elháríthatja.

Biztonsági gátak, virtuális kártyák, backupok

Minden óvatosság ellenére, akár önhibánkon kívül is megeshet, hogy valaki sikeresen betör valamilyen fiókunkba vagy feltöri valamilyen rendszerünket. Azonban vannak bizonyos lépések, amelyekkel előre fel tudunk készülni erre az eshetőségre, és a minket érő kárt minimalizálhatjuk. Itt két módszerre szeretnénk felhívni a figyelmet, amelyek hétköznapi online működésünkben is segítségünkre lehetnek: a biztonsági mentések tartására és a virtuális bankkártyákra.

A biztonsági mentés pontosan az, aminek hangzik – adataink biztonsága érdekében azokról külön tárolt másolatot készítünk. Ez kimondottan hasznos lehet zsarolóprogramok, de összességében bármilyen vírusos támadás esetén – hiszen, ha minden értékes adatot eltároltunk máshol, egy merevlemez zárolása inkább kellemetlenséget jelent, mint katasztrófát. Kritikus adatainkat sose csak egy helyen tároljuk, ideális esetben másoljuk ki őket valamilyen másik eszközre, például egy pendrive-ra, vagy másik számítógépre.

Ezentúl javasoljuk olvasóinknak a Windows helyreállítási pontjainak használatát. Ezek lényegében pillanatképek, amelyeket az operációs rendszer számítógépünkről készít, amelyre vészhelyzetben vissza tud állni. Sikeres zsarolótámadás esetén ez nem lesz segítségünkre, ugyanis ilyenkor nem fogunk eljutni a kezelőfelületig, azonban ha valamilyen más váratlan probléma adódik, vagy vírus kerül gépünkre, egy korábbi állapot visszaállítása sokszor megoldást jelenthet. Javasoljuk olvasóinknak, hogy havonta, vagy pár hetente készítsenek egy ilyen visszaállítási pontot, hogy adataikat nagyobb biztonságban tudhassák.

A virtuális bankkártya egy fizikailag nem létező kártya, amihez általában saját alszámla tartozik. Különböző beállításokkal létrehozható hosszabb időre, vagy akár csak egy tranzakció időtartamára. A virtuális kártya lehetővé teszi bankkártyánk használatát anélkül, hogy számlánkat valamilyen fenyegetésnek tennénk ki – rosszindulatú felek nem tudnak róla a kívántnál több pénzt levonni, valamint ha feltörik valamilyen fiókunkat, ahol megadtuk bankkártyánk adatait, a támadó csak az alszámlára átutalt pénzt költheti el.
Szakmánkban gyakran hallunk olyan esetekről, hogy gyenge jelszó, vagy egyéb sérülékenység miatt valakinek feltörik a Google- vagy Facebook- hirdetések kezelésére használt fiókját, majd ezeken hatalmas büdzsével különböző külföldi termékeket és csalásokat kezdenek reklámozni – ha ez meg is történik, egy virtuális kártyával biztosítani tudjuk, hogy a támadásból származó veszteségünket akár csak párezer forintra limitáljuk.

Webhelyek védelme

Az eddig felsoroltak éppúgy hasznos információk webhelytulajdonosok és vállalkozók számára. Természetesen webhelytulajdonosként jóval több dologra kell odafigyelnünk – hisz jóval bonyolultabb rendszer van a kezünkben egy átlagos felhasználói fióknál, és, webhelyünk funkcióitól függően, nemcsak saját, hanem ügyfeleink megadott adatainak biztonságáért is felelünk. Az alábbiakban ezekre fogunk kitérni, több figyelmet fordítva az általunk is karbantartottakhoz hasonló, WordPress alapú oldalaknak.

Megbízható szoftverek

Napjainkban ritka az olyan weboldal, amit valóban „egyvalaki” fejleszt csak, legyen szó magányos fejlesztőről, vagy webstúdióról. Hacsak nem egy nulláról felépített, teljesen egyedi rendszerrel dolgozunk, szinte biztosan van valamilyen alapul szolgáló tartalomkezelő rendszer, a maga funkcióival és kiegészítőivel. WordPress oldalak esetében rengeteg ingyenes bővítmény áll rendelkezésünkre, amelyek kész megoldásokat szolgáltathatnak komplex funkciók fejlesztéséhez – többet mi magunk is előszeretettel használunk.

Azonban fejben kell tartanunk, minden sor kívülről behozott kóddal megbízunk egy számunkra ismeretlen külső fejlesztőben, rábízzuk saját, és látogatóink biztonságát. Ez nem azt jelenti, hogy a bővítményektől rettegni kell. Viszont fontos, hogy bármilyen külső eszköz használatakor győződjünk meg róla, hogy megbízható – nézzük meg, hogy van-e kellőképpen nagy felhasználóbázisa, kap-e még rendszeres frissítéseket, milyen ügyfélvéleményeket kapott, kellően teszteljük a működését, mielőtt az éles oldalra engedjük.

Frissítések

A mai piacon kevés olyan szoftver van, amely a „dobozból kivéve” tökéletesen működik, nem szorul folytonos frissítésekre. Rendszerint a fejlesztő a különböző hibákat, hiányosságokat a szoftver teljes élettartama alatt javítgatja, és, a nyilvánvaló, felhasználó által észrevehető hibák mellett pont ugyanígy merülnek fel biztonsági hiányosságok is. Ez pláne érvényes egy internetes programnál, amelynek stabilan kell futnia egy tucatnyi operációs rendszeren és eszközön, amelyek maguk is folyton változnak és frissülnek.

Rengeteg biztonsági rés abból származik, hogy a tulajdonos túl hanyag volt rendszerét frissen tartani – mi semmiképpen ne essünk ebbe a hibába!

WordPress oldalak esetében ez három esetben felhasználóként is könnyen kezelhető: ezek a bővítmények, a WordPress Core maga, és a sablon. Ezek közül mindhárom kezelhető a WordPress vezérlőpultjának „frissítések” füle alatt. Természetesen a frissítések okozhatnak esetleges összeütközéseket az oldalra készült egyedi fejlesztésekkel, úgyhogy konzultájunk róluk lefuttatás előtt fejlesztőnkkel, szükség esetén egy ideig napoljuk el őket. Azonban semmiképp se javasoljuk, hogy fukarság, vagy a fejlesztő lustasága miatt ezeket örökre elhanyagoljuk – csak idő kérdése, hogy egy elavult oldalt mikor törnek fel végül.

Itt fontos kiemelnünk azt, hogy napjainkban mennyire fontos a jogtiszta szoftverek használata. Nem a kalózkodás etikai kérdéseiről beszélünk, hanem pusztán biztonságról.
Ha kalózverziókra, lejárt szerződésekre hagyatkozunk, nem csak azt kockáztatjuk meg, hogy a feltört verzióban esetlegesen elrejtett vírusok megtámadják a rendszerünket, hanem elesünk ezektől a rendszeres és fontos frissítésektől is.

Támogatás és karbantartás

Weboldalunkon szinte elkerülhetetlenül lesznek olyan frissítések, amelyeket a laikus felhasználó nem tud végrehajtani. Ezek lehetnek komolyabb, rendszer-szintű folyamatok, mint a korábban említett PHP verzió frissen tartása, vagy származhatnak a mi oldalunkhoz készült egyedi fejlesztések karbantartásából. Oldalunk felkészültsége azonban itt éppolyan fontos, mint az általunk elvégezhető frissítések esetében. Ebből kifolyólag azt javasoljuk olvasóinknak, mindenképp maradjanak kapcsolatban oldaluk fejlesztőjével vagy üzemeltetőjével, és győződjenek meg róla, hogy a webhely feltétlenül naprakész marad. Még egyszerűbben fogalmazva az oldal elindítását követően mindenképpen gondoskodjanak annak karbantartásáról is.

Cégünknél mi az ügyfeleinknek egy megfizethető éves díj ellenében nyújtunk dedikált üzemeltetést, biztosítva ezzel a garanciát a weboldalak megfelelő után-követésére és gondozására. Ennek kereteiben javítunk bármilyen kialakuló hibát, valamint igény esetén kedvezményes óradíjon hajtunk végre új fejlesztéseket és módosításokat. Másoknak is erőteljesen javasoljuk, hogy amennyiben üzemeltetőnk, vagy fejlesztőnk ad ilyen lehetőséget, mindenképpen éljünk vele! Éles oldalt évekre az interneten hagyni éppolyan felelőtlenség, mint egy használt autóval éveken keresztül szerviz nélkül utazni – eltekintve attól, hogy az interneten a technológia fejlődése, és ezzel a sérülékenységek kialakulása és javítása, sokkal gyorsabban halad előre mint a való élet hétköznapjaiban az utakon.

Megbízható hosting

Sajnos gyakran találkozunk olyan esetekkel, ahol a tulajdonos a hostingot csak egy idegesítő apróságként kezeli, amin jobb minél gyorsabban és olcsóbban túllenni. A megbízható szerver azonban a webhely egyik alapja, és minél tovább él az oldal, egy gyenge szerver annál inkább roskadozni fog alatta.

Nem szeretnénk technikai részletekkel terhelni az olvasóinkat, azonban egy szerver biztonsága éppolyan fontos, mint a webhelyé, sőt. Egy olcsó hosting-szolgáltatónál gyengébb, olcsóbb tűzfalakkal, elavult szoftverekkel, lassabb frissítésekkel, és elérhetetlen ügyfélszolgálattal találkozhatunk. Így, bármilyen szolid is az oldalunk fejlesztése, könnyen érhetik támadások a szerver felől, amivel sem mi, sem fejlesztőnk nem fog tudni mit kezdeni.

A helyzetet tovább ronthatja, ha a hosting szolgáltató azon szeretne spórolni, hogy olcsó weboldalak tömkelegét tartja kevés, túltelített szerveren. Ilyenkor bizonyos beállítások mellett előfordulhat az is, hogy ha az egyik szerveren lévő oldalt sikeresen feltörik, akkor a támadás pedig onnan akár továbbterjedhet a mi webhelyünkre egyaránt.

Ezzel szemben egy megbízható szolgáltató nagyban hozzájárulhat oldalunk biztonságához. Frissen tartja a szerver szoftvereit, automatikus biztonsági mentéseket, vírusirtókat és tűzfalakat ajánl, esetleg a csomag részeként intézi oldalunk SSL tanúsítványát, és intézi a brute-force védelmet stb.

Levelezési beállítások

Rosszindulatú felek legkönnyebben e-mailes levelezésünk eltérítésével élhetnek vissza – így tudnak minket legkönnyebben „megszemélyesíteni”, és ügyfeleink az ilyen csalást fogják legnehezebben észrevenni. Egy csaló kiküldhet a nevünkben egy hamisított számlát, megpróbálhatja ellopni egy ügyfél adatait egy hamis űrlappal, megpróbálhatja linkekkel adathalász oldalakra terelni. Ezért fontos, hogy bármilyen kimenő e-mailt, legyen szó egy hírlevélről, vagy egy elfelejtett jelszó visszaállításáról, megfelelően igazoljunk.

Itt jön a képbe az SPF, a DKIM és a DMARC. A teljesség igénye és technikai részletek nélkül ezeket így érthetjük meg:

SPF (Sender Policy Framework) – Az SPF jelzi, hogy domainünk nevében milyen szolgáltatóknak van joga e-mailt küldeni – például a hírlevelünk kezelőjének.

DKIM (DomainKeys Identified Mail) – A DKIM egy digitális aláírás, amelyet minden kimenő üzenethez hozzáadunk. Ezáltal igazolni tudjuk, hogy az e-mail valóban tőlünk érkezik, és nem módosították a küldés után.

DMARC (Domain-based Message Authentication, Reporting & Conformance) – a DMARC egy biztonsági protokoll, amely megadja az e-mail szervereknek, hogyan kezelje azokat az e-maileket, amelyek látszólag tőlünk származnak, azonban nem mennek át a hitelesítésen (vagyis egy csaló küldte/módosította őket). A DMARC lehetővé teszi, hogy ezeket az e-maileket azonnal visszautasítsuk vagy jelentsük, és lehetővé teszi, hogy megfigyeljük a gyanús e-maileket.

Az SPF, DKIM és DMARC beállítása egy aránylag egyszerű folyamat, viszont nagyban hozzájárul oldalunk és levelezésünk biztonságához, így semmiképp se hanyagoljuk el.

SSL Tanúsítvány

Biztosan észrevettük már, hogy az utóbbi években sokkal inkább “https://” és nem “http://” kezdetű webcímekkel találkozunk. Ez nem véletlen, hanem egy nagyon komoly biztonságtechnikai előrelépés, amelyből az átlagfelhasználó jóformán semmit sem vett észre, és SSL tanúsítványok jelenlétét jelöli.

Az SSL (és utódja, a TLS, amelyre a modern SSL tanúsítványok alapulnak) kriptográfiai protokoll, amely lehetővé teszi, hogy látogatónk és weboldalunk közt biztonságos, titkosított csatornán haladjanak az információk. A teljesség igénye nélkül, az SSL tanúsítvány megengedi, hogy a látogatóval oldalunk biztonságosabban kommunikáljon, az átadott információt nehezebb legyen ellopni vagy módosítani.

Ha a weboldalunk nem kezel semmilyen kritikusnak tűnő adatot (nem üzemeltetünk webshopot, nem kérünk be levelezési adatokat, stb.), akkor is szükség van SSL bizonyítványra. Egyrészt, az SSL mára teljesen bevetté vált, általánosan jó alap a jelenléte, része a normális, biztonságos böngészésnek. Másrészt, pontosan ezért az SSL bizonyítvánnyal nem rendelkező oldalakat a modern böngészők már azonnal gyanúsnak vagy kockázatosnak jelölik meg, ami elriasztja a potenciális látogatókat.

Szerencsére az SSL tanúsítványok mára már olcsón, vagy bizonyos szolgáltatóknál ingyen és gyorsan is beszerezhetőek.

Biztonsági pluginek

A fentiekben láthattuk, a mai világban milyen sokrétű fenyegetésnek van kitéve egy teljesen normális webhely az interneten – a gyorsabbnál gyorsabb, MI-vel feljavított támadóeszközök pedig ezen csak rontani fognak. Bár megtehetünk bizonyos lépéseket és lehetünk elővigyázatosak, azonban, hogy valóban átfogó védelmet adjunk oldalunknak, egy teljes biztonsági csapatra lenne szükség. WordPress-alapú webhelyeken ebben lehetnek segítségünkre a biztonsági pluginek, amelyek átgondolt, kipróbált, jól kialakított védelmi beállításokat adnak a felhasználónak. Így nem kell nekünk, vagy a fejlesztőnknek minden egyes rést egyesével betömni – helyette kapunk egy általánosan megbízható védelmet, és saját csapatunknak csak a különleges, ezen átjutó támadásokkal, illetve egyéni fejlesztéseik biztonságosan tartásával kell foglalkoznia.

Ezek sok, jól együttműködő funkcióval egészíthetik ki weboldalunk működését. A teljesség igénye nélkül:

Lehetővé teszik, hogy átnevezzük az alapértelmezett bejelentkezési oldalt, hogy azt botok nehezebben találják meg.
Bevezetnek bizonyos fokú védelmet brute – force támadások és spambotok ellen.
Tűzfalakkal élből kizárnak bizonyos támadásokat.
Megfigyelik és megállítják a fájlokban végbemenő gyanús módosításokat, így, ideális esetben, még azelőtt megfogják a rosszindulatú kódokat, hogy komoly kárt tehetnének.
Bizonyos biztonsági pluginek, mint például a Sucuri Security eszközöket adnak arra, hogy sikeres támadás után újra biztonságossá tegyük oldalunkat, lecseréljük biztonsági kulcsainkat, visszaállítsunk bármilyen módosítást, amely rosszindulatú behatolás eredményeként történt.

CAPTCHA bekötés

Az internet böngészése közben biztosan találkoztunk már CAPTCHA -kkal – kis üzenetekkel, amelyek megkértek minket, hogy pipáljunk ki egy dobozt, vagy jelöljük ki egy mozaikkép bizonyos darabjait valamilyen instrukció alapján. Bármilyen zavaróak is legyenek, a CAPTCHA-k mára elengedhetetlen részei egy webhely biztonságos működésének, tömérdeknyi spamüzenet és bot kiszűrésének.

Többször találkoztunk már a kérdéssel: melyik hülye nem tud átmenni egy ilyen captchán, hogy állít ez meg robotokat, ha csak egy dobozt kell kipipálni?
Bár ez az átlagfelhasználónak nem egyértelmű, sokszor maga a válasz kevesebbet számít, mint az, hogy hogyan töltöttük ki a captchát. Ahogy egy ember elolvassa és kipipálja a választ, vagy kiválasztja egy kép megfelelő részeit, alapvetően és egyértelműen elüt attól, ahogy egy sebességet maximalizáló robot tenné. Ezt automatizált eszközök észreveszik, és kizárják a gyanús felhasználót.

Szerencsére a támadókkal együtt a captchák is folyamatosan fejlődnek, így például a Google reCAPTCHA új verziói már nem traktálják a látogatókat idegesítő kérdésekkel és mozaikokkal, hanem a látogató viselkedéséből pontosan megítélik, robottal van-e dolguk.

Ha az oldalunkon van bármilyen interaktív elem – egy hírlevél feliratkozási felület, kapcsolatfelvételi űrlap, ajánlatkérő felület, bejelentkező felület, stb. – mindenképpen kössünk rá be megbízható CAPTCHA-t.

Folyamatos megfigyelés

Minden óvintézkedés ellenére is megeshet, hogy feltörik weboldalunkat, rosszindulatú kódot helyeznek el rajta, vásárlók becsapására használják, vagy egyszerűen túlterhelik, lekapcsolják. Ezért fontos, hogy folyamatosan megfelelő megfigyelés alatt tartsuk működését. Erre számos lehetőség van rendszerünktől és szolgáltatóinktól függően, a WordPress esetében pedig sok segítőkész bővítmény is rendelkezésünkre áll.

Konzultáljunk fejlesztőnkkel, hogy követjük-e jelenleg az oldal fájljainak változásait, a tartalomkezelő rendszerben végrehajtott lépéseket. Hosting szolgáltatónknál érdeklődjünk, van-e szolgáltatásuk a tárhely erőforrásainak megfigyelésére, a gyanús működések kimutatására. Valamint, helyezzünk működésbe egy online monitor szolgáltatást (pl.: UptimeRobot), amely azonnal riaszt minket, ha weboldalunk nem lenne elérhető.

Biztonságos online jelenlét

A technológia fejlődésével tömérdek, nehezen átlátható támadási vektor nyílt meg az interneten keresztül. Amint láthattuk azonban, jó hír, hogy nagyon sok segítőkész eszköz áll rendelkezésünkre, hogy jelenlétünket biztonságosan tartsuk, az esetleges támadásokat elhárítsuk, vagy hatásukat kijavítsuk.

A legfontosabb, hogy ne engedjük meg a hanyagságot – menjünk utána annak, hogy a szükséges biztonsági lépések megtörténtek-e az oldalunkon, a fejlesztőnkkel van-e megfelelő szerződésünk, és kellő figyelmet fordít-e webhelyünk helyes működésére és frissen tartására. Saját életünkben pedig működjünk éber odafigyeléssel – kezeljük az internetet olyan óvatossággal, mint egy szerződés aláírását, vagy a pénzünk kiadását a valóságban.