Der var en tid, hvor folk og virksomheder slog op websteder med fuldstændig opgivelse, simpelthen i håb om, at ingen ville hacke indholdet eller installere malware på webstedet.
Disse dage er langt bag os, da antallet og hyppigheden af angreb betyder, at der er en konstant trussel - og jo mere vellykket et websted er, jo større er faren.
Så hvad er måderne, hvorpå du kan beskytte dit websted (via din webhosting-udbyder), og hvordan kan du reducere muligheden for, at siden er hacket og ændret ondskabsfuldt?
Før vi kommer til det, er vi dog nødt til at forstå det mest basale sikkerhedsniveau, der er ansvarlig for mange hackede websteder - selv dem, der hostes på sikre servere.
- Vi har valgt de bedste webhostingtjenester lige her
- Dette er de bedste gratis webhostingfirmaer rundt
- Og det er i øjeblikket de bedste webstedsbyggere
Den første forsvarslinje
Selvom nogle virksomheder insisterer på at være vært for deres egne websteder, er de fleste forretningsdomæner placeret på sikre servere, der er kontraheret til formålet.
Når du vælger hosting, skal du definere, hvilket operativsystem det system kører (Windows Server, Linux eller Unix), og som dikterer de nødvendige sikkerhedsprotokoller.
Den eller de personer, der har ansvaret for at administrere webstedet, har administratorrettigheder til at ændre filstrukturerne på det og ingen andre.
Hvor dette fra starten kan gå galt, er hvis for mange mennesker kender oplysninger om admin-kontoen, og adgangskoden ikke ændres regelmæssigt. Og der kræves kun en nøglelogger for at blive installeret på en af de maskiner, der bruges til at administrere, og adgangskoden afsløres for nøjagtigt den slags mennesker, du mindst ville have det.
Men hvis jeg er ærlig, hvor mange mennesker arbejder på et kontor, hvor adgangskoder regelmæssigt huskes med post-it-noter? Et par hænder gik der uden tvivl op.
At sikre disse adgangskoder er den første forsvarslinje, og uden det kan alt andet, du gør, let fortrydes.
Så der er to indledende lektioner, der skal læres om websidesikkerhed, nemlig at:
- Det er kun så godt som det netværk, hvor hjemmesiden blev bygget
- Sikkerhed forbedres sjældent ved at skrive adgangskoder ned og placere dem på et meget synligt sted
Sikkerhedsrevision
Udførelse af en sikkerhedsrevision på et websted er en relativt enkel øvelse, der kan udføres af it-personale ved hjælp af et udvalg af softwareværktøjer. Eller alternativt kan du indgå kontrakt med en tredjepart til at udføre scanningen for dig og give en liste over potentielle svagheder for at støtte op.
Hvis du køber en webhostingtjeneste, kan udbyderen muligvis også samle et sikkerhedsværktøj for at sikre, at du er rimelig sikker fra starten - men normalt ikke løbende.
Derudover tilbyder mange udbydere også en websitets sikkerhedspakke, hvor de lover en hurtig reaktion på trusler og afbødning af tjenestenektangreb. Medmindre du kun har en lille personlig blog, er disse en god investering.
Prisen på disse tjenester er ikke meget, når du overvejer, hvor dyrt at have et websted offline i en hvilken som helst periode, især for dem, der tilbyder e-handel.
Uanset hvilken tilgang du tager, er det vigtigt, at sikkerhedsscanninger udføres regelmæssigt for at identificere mulige nye trusler, når de opstår, og adressere dem med det samme.
Almindelige bekymringer
De mest almindelige former for angreb, som websteder støder på, er disse:
- Distribueret lammelsesangreb (DDoS) - Mange fjerncomputere, som regel inficeret med en trojan, handler unisont krævende websider gentagne gange til det punkt, hvor serverne ikke kan håndtere antallet af anmodninger.
- Malware-infektion - På en eller anden måde placeres filer, der indeholder en beskedne kode, på webstedet med det formål at uploade den til alle, der besøger.
- SQL-injektion - Ondsindet kode indsat i en form eller input, der derefter udføres af SQL Database på serveren. Denne kode kan muliggøre adgang til kundedata eller åbne maskinen for ekstern adgang.
- Råstyrke - Ofte tillader en fejl i operativsystemet, at et gentaget angreb forårsager en nulstilling, der kort åbner en port for et sekundært angreb. I betragtning af kompleksiteten i moderne operativsystemer findes nye sårbarheder regelmæssigt.
- Cross-site scripting - En hackingsmetode, hvor en browser kan omdirigeres til et andet sted eller erstatte indhold på offerets side uden at den besøgende er opmærksom på det.
- Hacket med 'nul dag' - Disse er nye og vanskelige at stoppe angreb, der bruger en svaghed, der ikke er offentlig viden. Tiden mellem, at sårbarheden bliver opdaget og patchet, er kritisk og kan kræve, at nogle serverfunktioner midlertidigt deaktiveres, indtil der findes en løsning.
Svagheder efter design
Mens mange websteder fungerer med følgende funktioner aktive, er de kilden til mange sikkerhedsproblemer af mange årsager:
- Formularer - Alt, hvad der behandler input på serveren, er et potentielt indgangspunkt for ondsindet kode, og det kan også udnyttes til at udtrække brugerdata.
- Fora - Placering af scripts og omdirigering af brugere til websteder, der udleverer malware, er blot nogle få af de potentielle problemer med brugergenererede fora.
- Login på sociale medier - Det er hurtigt og nemt at bruge din Facebook- eller Google-konto til at logge ind på et websted, men det kan også være en måde, hvorpå disse konti bliver hacket.
- E-handel - Kriminalitet følger pengene, og hackere vil bruge meget mere kræfter på at hacke et e-handelssted.
- Ureguleret indhold - Hvis du henter nyhedshistorier og artikler fra andre sider, er du afhængig af deres sikkerhedsforanstaltninger, uanset hvad de måtte være.
Fjernelse af alle disse funktioner fra et websted ville naturligvis gøre det til et meget mindre indbydende sted for besøgende. Der skal foretages et dømmekald om, hvilke elementer du er parat til at bruge, og hvordan du har til hensigt at afbøde de mulige sikkerhedsproblemer, der er forbundet med dem.
Passende beskyttelse
Der er kun én måde at garantere, at dit websted aldrig er hacket, og det er ikke at have en. I sidste ende er websidesikkerhed en afbødningsøvelse, hvor du gør nok for at gøre det meget mindre værd at prøve at hacke dit websted og også sikre, at det er hurtigere at komme sig efter enhver hændelse.
Det nøjagtige niveau af sikkerhedsindsats, der er foretaget, er et valg, som alle virksomheder skal kæmpe med, men for dem, der er involveret i onlinesalg, skal forpligtelsen være 100% for at sikre de personlige og økonomiske detaljer for dem, der handler med dig.
Talrige virksomheder og organisationer har fået stjålet alle deres kundedata og derefter brugt til svindel med identitetstyveri med dyre konsekvenser.
Uanset hvilket niveau af beskyttelse og overvågning du vælger, skal det være egnet til formålet. Endelig overvej at have bedre sikkerhed end du har brug for en minimal omkostningsimplikation, men at have mindre kan have enorme juridiske og kommercielle konsekvenser.