logotype
Bezpečnost webu

Jak chránit web před napadením?

Prakticky každý webmaster se v určitou chvíli musel setkal s nějakou formou "hackingu". A je víceméně jedno, jestli bylo při vývoji použito hotové řešení v podobě redakčního systému nebo zcela vlastní. Na hosting se někdy dostane škodlivý kód a následují dva možné scénáře: buď si toho nikdo nevšimne a na pozadí se děje něco, nad čím nemá nikdo kontrolu a nebo začnou od rána chodit emaily a telefonáty od klienta, že jejich web nejede (pro webmastera noční můra). Přitom předcházet podobným situacím je relativně jednoduché a v tomto článku se podíváme jak na to.

V dnešní době je návštěvník webu dobře chráněn v porovnání s tím, jak to vypadlo ještě před pár lety.  Ačkoliv se sice počet uživatelů internetu zvyšuje a s tím logicky narůstá i množství dostupných služeb a potenciálních útočníků, rozhodně současná situace není taková, že bychom se v kyberprostoru museli nějak přehnaně bát. Jsou tady totiž velcí hráči, kteří neberou bezpečnost na lehkou váhu.

Jedním z nich je Google, který díky svému 90% podílu na trhu vyhledávání nemůže bezpečnost podceňovat. Google vyvinul vlastní algoritmy, které při hledání kontrolují obsah na miliardách URL adres. Pokud chce uživatel přejít na stránku, která je označena jako nebezpečná, Google jej varuje, že by jeho osobní údaje mohly být zcizeny, případně že hrozí instalace software, jehož prostřednictvím může být ovládán jeho počítač.

V zásadě tedy existují dva případy napadení webu:

  • Malware - na webu je kód, který návštěvníkům do počítačů nainstaluje školidvý software.
  • Phising - web se vydává za legitimní, aby návštěvníka přiměl k zadání uživatelského jména a hesla, případně poskytnutí jiných osobních údajů (např. weby vydávající se za známé banky a e-shopy).

Poměr mezi malwarem a phisingem se u napadených webů v průběhu let měnil. Jak je patrné z oficiálních dat Googlu. V dnešní době převládá spíše phising, který cílí na méně zkušené uživatele internetu a využívá jejich důvěřivost.

phising malware

Google je schopný detekovat škodlivý kód a v případě potřeby na něj upozornit návštěvníka. Pro samotné webmastery pak nabízí sadu nástrojů k detekci hrozeb a následné opravě, tzv. Search Console.

Search Console je ale určena k detailnější analýze webu než jenom bezpečnost. Webmaster je s její pomocí schopný zjistit počet stránek, které Google indexuje a zkontrolovat jejich dostupnost. Dále pak jak se stránky zobrazují ve výsledcích vyhledávání, nastavit správnou cestu k souboru sitemap a v neposlední řadě je zde právě možnost si nechat web otestovat na škodlivý kód. K rychlému testu stavu webu se dá také dostat přes tento odkaz, ale report není tak detailní jako v případě Search Console.

Google Google...ale co ti další?

Podobnou sadu nástrojů jako je Search Console nabízí i Microsoft. Bing Webmaster Tools má prakticky stejné možnosti, ale se zacílením na vyhledávač Bing. Nejrozšířenější webový vyhledávač v Rusku, Yandex, zase disponuje sadou Yandex Webmaster.  

Google, Microsoft i Yandex nabízejí tedy nástroje, které mají za cíl webmasterům pomoct v lepší optimalizaci webu a zlepšit jejich pozici ve výsledcích vyhledávání. Test na bezpečnost je tak jednou položkou z celého portfolia možností.

Pokud je hlavním cílem testování webu odhalit hrozby, je dobré využít i nástroje subjektů, kteří se počítačovou bezpečností živí. Jedním z nich je například Norton. Na webu https://safeweb.norton.com je možné si nechat otestovat web a zjistit rating, nakolik je daná stránka spolehlivá.

Norton Safe

Ostatní antivirové firmy nabízejí podobná řešení, případně jako součást jejich antivirové ochrany.

Co dál mohu dělat? Prevence není na škodu aneb pět pravidel bezpečnosti

Nejrozšířenější nástroje pro analýzu webu jsme si prošli. Spoléhat ale jen na ně nestačí. Na závěr si ještě řekněme pár tipů, jak nepříjemným situacím předcházet.

  1. Pravidelně zálohujte! Zní to jako banalita, ale z vlastní zkušenosti vím, že je to nejdůležitější, co je třeba dělat. Představte si situaci, že spravujete web klienta a najednou došlo k jeho výpadku, resp. k hacknutí. Analyzovat co se stalo a jak to opravit je nezbytné, ale určitě není na škodu mít k dispozici aktuální zálohu, kam je možné během pár minut přesměrovat doménu. Samotná oprava se totiž může protáhnout a mezitím Váš klient ztrácí díky nedostupnosti webu svůj zisk (typicky e-shop). 
  2. V případě redakčních systémů se vyhněte nadužívání přidavných komponent a pluginů. Spousta z nich nemusí být do budoucna podporována a otevírá se tak cesta pro jejich zneužití. Extrémním případem je pak například nekompatibilita verzí PHP na serveru a použitých metod v kódu. Nemožnost se přihlásit do administrace řešit nechcete... 
  3. Neuvádějte přihlašovací údaje do databáze s plnými právy ve vašich skriptech. Většina moderních databázových systémů umožňuje nastavení více přístupových údajů do jedné databáze s různým oprávněním. Za žádných okolností není žádoucí, aby byl někde k dispozici napsán účet s administrátorskými právy na smazání celých tabulek.
  4. Zablokujte si FTP přístup na hosting. Doma si taky zamykáte.
  5. Aktualizujte Váš software! A přidejte k tomu dva vykřičníky v případě krabicových řešení.

Bezpečnost je široké téma a jedním článkem se vše pokrýt nedá. Ačkoliv jsou náklady na prevenci relativně malé v porovnání s tím, co může nastat, spousta lidí toto stále nechápe. Domnívá se totiž, že náklady na software končí jeho vývojem a předáním klientovi. Tak to ale bohužel není a s určitým servisem se musí do budoucna vždy počítat.

2019  MIddleware.cz - blog nejen o informačních technologiích