Poudarek 1: gostovanje spletnega mesta, vaša prva zaščita

V uvodnem poglavju naše specialke o varnosti smo našteli številne koristne ukrepe za zaščito vašega podjetja pred napadi in nevarnostmi, ki so del omrežja. Zlonamerna programska oprema, krekerji, izguba podatkov zaradi manjkajočih varnostnih kopij: groženj je veliko in nenehno naraščajo, do te mere, da se je v zadnjih nekaj letih pojavila nova številka, odgovoren za tako imenovano kibernetsko varnost. Samoumevno je, da ni nujno, da greste iz ene skrajnosti v drugo in za vse (običajno visoke) stroške najamete strokovnjaka za kibernetsko varnost. Za običajne dejavnosti s predstavitvenim mestom ali e-trgovino zadošča, da sprejmemo ciljno usmerjene varnostne ukrepe, ki so bistveni za ohranjanje visoke »imunske obrambe« pred zunanjimi grožnjami.

V tem prvem fokusu bomo torej videli ključen korak bolj konkreten, in sicer izbiro gostovanja, torej storitve, ki ji bomo zaupali vsebino same strani (slike, besedilo, kodo itd.). Storitve gostovanja so postale zelo priljubljene z leti, zahvaljujoč pojavu spleta in eksponentni rasti števila spletnih mest v obtoku. Jasno pa je, da povečanje povpraševanja ne gre vedno z roko v roki z dvigom kakovosti storitev. Dejansko: z roko v roki z eksplozijo omrežja smo bili priča širjenju nizkocenovnih storitev gostovanja, ki so tako poceni, da ne zagotavljajo skladnost z minimalnimi varnostnimi zahtevami. Kako se torej premakniti, da ne postanemo lahek plen računalniških piratov, virusov ipd.?

IZBIRA STORITVE GOSTOVANJA NA VIŠINI

Da bi takoj razumeli, kakšne ogromne razlike obstajajo med eno in drugo storitvijo gostovanja, smo se odločili, da vam ponudimo izvleček iz članka, ki ga je na spletu objavil spletni strokovnjak. Iz očitnih razlogov zasebnosti in spletnega bontona izogibamo se imenovanju avtorja in gostovanja, vendar smo prepričani, da bo primer enako poučen:

Ni hitrosti, ni zanesljivosti in ni storitev za stranke. Sam sem nekaj časa poskušal s ***, pa sem trčil v menedžment, podoben državni birokraciji naše lepe dežele. Če ste kdaj imeli težave z napakami 404, veste, kako pomembna je služba za stranke, ki vam jih pomaga hitro odpraviti! Postopek za prenos domene postane tako enostaven kot pridobitev povračila od Equitalie. Ne rečem vam, da morate imeti spletno mesto delujoče. Upravljanje komunalnih storitev v centru za stranke je grozno. Na odgovor sem čakal 7 dni. In kaj mi pravijo? "Prinesi znova".

Od varnostnega vprašanja ne more pasti povsem v vaše roke, se morate zavedati pomena gostovanja, ki je sposobno zagotoviti kakovostno storitev, tudi v smislu pomoči. Kakovost ne pomeni nujno drage storitve, saj je poleg varnosti tu še zmogljivost (ki lahko bistveno vpliva na končno ceno gostovanja). Gotovo pa je, da morate za minimalno zaščito vsaj prebrati ocene, poslati e-pošto z zahtevo, da preizkusite hitrost odziva in natančno preveriti, kakšne so značilnosti ponujene storitve. In tu se pojavi drugo vprašanje v zvezi s funkcionalnost, ki jo privzeto zagotavlja gostovanje. 

OD POŽARNEGA ZIDA DO POŠTNEGA PROTIVIRUSA IN ANTIISPAMA

Komercialne politike ponudnikov gostovanja se včasih korenito spreminjajo od države do države in od storitve do storitve. So tisti, ki ne gredo pod določeno mejo, in so tisti, ki namesto tega ponujajo ekonomsko ceno, ki ji je mogoče dodati dodatne možnosti za optimalno konfiguracijo. Razlog za to povsem ekonomsko predpostavko je kmalu pojasnjen: pri iskanju varnega gostovanja naleteli boste na storitve, ki so že popolne (in bolj varne) in v manj popolnih storitvah, ki nimajo varnostnih standardov, ki jih zahteva trg (vendar v njihovem primeru neobvezne).  Med značilnostmi, ki si zaslužijo pozornost, omenjamo:

požarni zid

Kar zadeva osebni računalnik, obstajajo požarni zidovi za gostovanje, ki zlonamernim ljudem preprečujejo dostop do vašega spletnega mesta. Trenutno obstaja več varnostnih standardov, med katerimi je najpogostejši požarni zid L3. Če požarni zid ni predviden, vam svetujemo, da ga dodate s posebnimi vtičniki, kot je npr Vse v enem WP Varnost in požarni zid za WordPress.

Protivirusna in neželena pošta

Antivirus in antispam lahko na svoje spletno mesto ali v svoj e-poštni predal implementirate na različne načine, a če vam ponudnik (tj. ponudnik) že ponuja gostovanje z enim ali več teh sistemov, je to v redu. Kar zadeva filter neželene pošte, to velja za sporočila, ki jih prejmete na spletnem mestu (na primer iz kontaktnega obrazca ali komentarjev na članke), pa tudi za vaš e-poštni predal.

FTP dostop

Neverjetno, a resnično, nekatere storitve gostovanja vam ne dovoljujejo dostopa do map FTP, tj. do zakulisja vašega spletnega mesta. Z varnostnega vidika lahko ta omejitev postane velika težava, če je vaše spletno mesto ciljano poglobljeno, na primer z namestitvijo zavajajoče kode na posamezne strani ali posamezne liste izdelkov.

"PROTOKOL" HTTPS IN POVEZANI CERTIFIKATI

Poleg infrastrukture in sistemov za nadzor nad dostopom, vsiljeno pošto in virusi lahko razvijalci in agencije računamo na dodatna zaščita, ki prevzame ime protokola HTTPS. V resnici ne gre za protokol v pravem pomenu besede (dejanski protokol ostaja HTTP v kombinaciji s protokolom SSL/TLS), temveč za "oklepni" komunikacijski sistem, ki temelji na šifriranju protokola HTTP. Ne da bi se spuščali v preveč tehnične podrobnosti, si je koristno zapomniti tesno povezavo med HTTPS in potrdili avtoritete. Slednje včasih izdajo priznani organi, včasih ponudniki gostovanja in spletnih storitev sami (bodisi neposredno ali kot posredniki). Tehnologija se spreminja s svetlobno hitrostjo Certifikati se sčasoma razvijajo, od nizkoprofilnih modelov do varnejših in sodobnejših. 

Tukaj je kratek seznam referenčnih certifikatov:

Let's Encrypt

Je overitelj, ki avtomatizira brezplačno ustvarjanje, potrjevanje, izdajo in obnavljanje potrdil X.509 za protokol TLS. Ker temelji na brezplačni programski opremi, je certifikacijski sistem Let's Encrypt najmanj varen.

Hiter SSL

Certifikacijski organ Rapid SSL ponuja enega najcenejših certifikatov na trgu: za nekaj evrov na leto je mogoče takoj aktivirati svoj url, pred katerim sta začetnici https, in tako izkoristiti vstopno raven zaščite, ki velja za večino scenarijev.

Thawte SSL

Drug veljaven sistem certificiranja je tisti, ki ga ponuja Thawte, podjetje, ki se nahaja na pol poti med osnovnimi storitvami in vrhunskimi storitvami. Kar se v tem primeru spremeni, je tudi zavarovanje za morebitno škodo in krajo podatkov, ki se lahko povzpne tudi do 1,5 milijona dolarjev.

GeoTrust® True Business ID z EV

Certifikacijski organ Get GeoTrust® ponuja zaščito True BusinessID z razširjeno validacijo (EV), ki poleg povečane stopnje varnosti omogoča prikaz https z zelenim ozadjem, kar je tudi grafično privlačnejša rešitev za uporabnika. Cena je visoka, a za strukturirano e-trgovino se splača!

Zdaj, ko razumete pomen storitve gostovanja, moramo nadaljevati naslednje poglavje je namenjeno rednemu in izrednemu vzdrževanju vašega spletnega mesta. Ja, saj je stran kot avto, če zanjo ne skrbiš lahko vas dobesedno pusti na cedilu! Še naprej nas spremljajte in razložili vam bomo, kako to storiti.