Βελτίωση Ασφάλειας Ιστοσελίδων
Top Security!
Αν έχει τύχει να δεχτείτε επίθεση hacking γνωρίζετε καλά το συναίσθημα… αν ακόμα δεν σας έχει τύχει, σας εγγυόμαστε ότι δεν θα σας αρέσει καθόλου!
Η FIRSTIDEA εξειδικεύεται στη βελτιστοποίηση ιστοσελίδων και έχει ξενυχτίσει ατελείωτα βράδια, προσπαθώντας να λύσει προβλήματα του παρελθόντος και με την μεγάλη της εμπειρία πλέον, σας παρέχει μια σειρά από βελτιώσεις στον τομέα της ασφάλειας της ιστοσελίδας σας, για να σας βοηθήσουμε να προστατεύεστε την σκληρή δουλειά που έχετε κάνει στην ιστοσελίδα σας. Μπορούμε να την θωρακίζουμε σε σημείο που θα είναι πρακτικά σχεδόν αδύνατο να διαπεραστεί!
Σύμφωνα με στατιστικά και έρευνες που έχουν διεξαχθεί:
Θέλετε να θωρακίσετε την ιστοσελίδα σας προληπτικά ή σας την έχουν ήδη hackάρει;
Θέλετε να Βελτιώσουμε την Ασφάλεια της Ιστοσελίδας σας;
Διενέργεια 'File Scan'
Η πρώτη ενέργεια που κάνουμε όταν μας παραδίδετε την ιστοσελίδα σας για βελτιστοποίηση ασφάλειας, είναι να πραγματοποιήσουμε έλεγχο – scan όλων των αρχείων της για να εντοπίσουμε αν τυχόν υπάρχει κάποιο ίχνος hacking. Αν εντοπιστεί κάτι, εξετάζουμε πιθανούς τρόπους αποκατάστασης και σας ενημερώνουμε. Αν δεν εντοπιστεί, προχωράμε στα επόμενα βήματα.
Έλεγχος για ευάλωτα extensions (Vulnerabilities)
Ελέγχουμε αν τα extensions που χρησιμοποιούνται στην σελίδα έχουν κάποιο ιστορικό vulnerability και εξετάζουμε αν πρέπει να αναβαθμιστεί στην πιο πρόσφατη έκδοση του (αν έχει επιδιορθωθεί) ή αν πρέπει να αφαιρεθεί και να αντικατασταθεί από κάποιο άλλο αντίστοιχο.
Ρύθμιση 'File Permissions'
Όπως είναι γνωστό σε όλους τους administrators, τα permissions των αρχείων και των φακέλων που απαρτίζουν το website σας, είναι οι πρώτοι θυροφύλακες ενάντια στους επίδοξους hackers. Είναι άκρως απαραίτητο λοιπόν, να είναι σωστά ρυθμισμένα σε 755 για τους φακέλους και 644 για τα αρχεία. Αυτό παρέχει το πρώτο επίπεδο ασφάλειας που επιθυμούμε.
Προσθήκη έξτρα κωδικών για τη διαχείριση
Όλες οι δημοφιλείς πλατφόρμες είναι πολύ συχνός στόχος κακόβουλων επιθέσεων. Είναι πολύ εύκολο για τα “ρομποτάκια” του κάθε hacker να επισκεφτούν την σελίδα login της διαχείρισης και να αρχίσουν να spamάρουν με κωδικούς έτσι ώστε να καταφέρουν να αποκτήσουν πρόσβαση. Αυτό εμείς το αντιμετωπίζουμε με 2 τρόπους:
- Αλλάζουμε το administrator Login URL σε κάτι εντελώς προσωπικό σας, έτσι ώστε να μην μπορεί κανείς πλέον να το επισκεφτεί εκτός από εσάς, καθώς δεν θα γνωρίζει την διεύθυνση.
- Σε περίπτωση που παρ’ όλα αυτά κάποιος βρει το Login URL σας, πριν του επιτραπεί η πρόσβαση για να περάσει τους κεντρικούς κωδικούς σας, του θέτουμε έναν προκαταρκτικό κωδικό τον οποίο πρέπει επίσης να γνωρίζει.
Σε περίπτωση αποτυχημένων προσπαθειών Login, ενημερώνεστε αυτόματα με e-mail, για να κάνετε τις απαραίτητες ενέργειες ασφαλείας.
Δημιουργία αρχείου '.htaccess'
Το αρχείο .htaccess είναι υπεύθυνο για πολλές ρυθμίσεις σε επίπεδο server, όπως ο αποκλεισμός πρόσβασης σε αρχεία του συτήματος που δεν πρέπει να είναι προσβάσιμα από το web, η ανακατεύθυνση μεταξύ σελίδων με βάση custom κριτήρια, ή ακόμα και η βελτιστοποίηση απόδοσης της ιστοσελίδας. Εμείς κατασκευάζουμε ένα τέτοιο αρχείο για εσάς και με αυτό επιτυγχάνουμε μεγάλη αύξηση της ασφάλειας:
- Απόκρυψη directories: Γράφουμε τις απαραίτητες εντολές έτσι ώστε να μην είναι προσβάσιμοι οι φάκελοι της ιστοσελίδας σας από το web.
- Αποκλεισμός File injections: Πολλοί χρήστες προσπαθούν να εκμεταλλευτούν αδυναμίες των extension της ιστοσελίδας σας, και να τις ξεγελάσουν ώστε να συμπεριλάβουν κακόβουλο κώδικα που φιλοξενείται στον server του επιτιθέμενου. Περνώντας τις κατάλληλες εντολές στο αρχείο htaccess, αποκλείουμε τέτοιου είδους επιθέσεις.
- Αποκλεισμός ‘PHP easter eggs’: Τα ‘PHP easter eggs’ είναι ένας τρόπος για τον επίδοξο hacker να δει την έκδοση PHP που χρησιμοποιεί η ιστοσελίδα σας και να εξαπολύσει εξειδικευμένη επίθεση για την συγκεκριμένη έκδοση. Με τις κατάλληλες ρυθμίσεις λοιπόν, απενεργοποιούμε αυτή τη δυνατότητα.
- Αποκλεισμός συγκεκριμένων robots: Με τις κατάλληλες εντολές, αποκλείουμε εντελώς την πρόσβαση στην ιστοσελίδα σας, συγκεκριμένων user agents που χρησιμοποιούνται κακόβουλα. Με την λίστα αποκλεισμού που φτιάχνουμε, μειώνεται αισθητά ο αριθμός τον ανεπιθύμητων επισκέψεων στην ιστοσελίδα σας.
- Βελτιστοποίηση απόδοσης: Στο αρχείο htaccess υπάρχει η δυνατότητα να συμπεριληφθούν εντολές βελτιστοποίησης της ταχύτητας αλλά και εντολές που βοηθούν στο SEO (κατάταξη google). Είναι μια έξτρα υπηρεσία μας που παρέχουμε εφόσον μας ζητηθεί.
Προσθήκη και ρύθμιση Firewall
Με την προσθήκη Firewall (τοίχους προστασίας) επιτυγχάνουμε πολύ μεγάλη αύξηση της ασφάλειας της ιστοσελίδας σας και σας προστατεύουμε από τους περισσότερους πιθανούς κινδύνους:
- IP Blacklist και Whitelist: Παρακολουθείται 24/7 η επισκεψιμότητα στο website σας, και οι διευθύνσεις IP που εμφανίζουν συχνές προσπάθειες παραβίασης της ιστολίδας σας τοποθετούνται αυτόματα σε Blacklist απαγορεύοντας την πρόσβαση στο website σας. Αντίθετα, αν χρησιμοποιείτε συγκεκριμένες διευθύνσεις IP για να διαχειρίζεστε το website σας, μπορούμε να θέσουμε αυτές τις διευθύνσεις σε Whitelist και να έχουν μόνο αυτές πρόσβαση στην διαχείριση της σελίδας σας.
- Αποκλεισμός SQL injections: Τα SQL injections είναι μέθοδος επίθεσης στην βάση δεδομένων σας, μέσω εισαγωγής κακόβουλου κώδικα SQL. Το firewall σας προστατεύει από τέτοιου είδους επιθέσεις οι οποίες ανήκουν στο top10 των συχνότερων διαδικτυακών επιθέσεων.
- Anti-Spam: Σε κάθε φόρμα εγγραφής ή επικοινωνίας, εισάγεται ένα κρυφό πεδίο, το οποίο δεν φαίνεται στο γυμνό μάτι, παρά μόνο στον κώδικα. Με αυτό τον τρόπο, όταν κάποιο robot προσπαθήσει να συμπληρώσει αυτή τη φόρμα, θα συμπληρώσει και αυτό το πεδίο, το οποίο θα καταδείξει ότι δεν πρόκειται για άνθρωπο αλλά για bot, και θα αποκλειστεί από το firewall. Επίσης, αν μας ζητηθεί, κατασκευάζουμε μια λίστα με “κακές” λέξεις που συνήθως συνοδεύουν τα spam, όπως φαρμακευτικές ορολογίες κλπ., και όποτε εντοπίζεται μια από αυτές, αυτομάτως μπλοκάρεται.
- Upload Scanner: Κάθε αρχείο που προσπαθεί να γίνει upload, ελέγχεται από το firewall. Αν περιέχει έστω και μια γραμμή κώδικα PHP, μπλοκάρεται.
Ενσωμάτωση στο 'Project Honeypot'
Το Project Honeypot είναι μια ομαδική προσπάθεια συλλογής στοιχείων spammers και κατάταξης τους σε μια λίστα επικινδυνότητας ανάλογα με την δραστηριότητα τους. Έτσι λοιπόν, όταν κάποιος έχει συγκεντρώσει αρκετούς “πόντους” κακής συμπεριφοράς, μπλοκάρεται αυτόματα από όλα τα websites που συμμετέχουν στο project Honeypot. Με αυτό τον τρόπο, μπλοκάρουμε τους κακούς χρήστες πριν καν τους δοθεί η ευκαιρία να επιδείξουν κακή συμπεριφορά και στο δικό σας website.
Προσθήκη ασφάλειας CDN (Content Delivery Network)
Εκτός από την αύξηση ταχύτητας, ένα σωστό CDN παρέχει και αύξηση της ασφάλειας της ιστοσελίδας σας. Εμείς σας παρέχουμε δωρεάν CDN (Content Delivery Network) μέσω του οποίου θα κερδίσετε μια basic βελτιστοποίηση του κώδικά σας, μία έξτρα λειτουργία caching για μεγαλύτερες ταχύτητες καθώς και αξιοποίηση του firewall του CDN ως μια έξτρα προστασία – φίλτρο, μεταξύ του website σας και των επισκεπτών.
Προσθήκη anti-spam reCAPTCHA
Σε περίπτωση που παρά τα παραπάνω, εξακολουθείτε να έχετε πρόβλημα με spamming bots, εγκαθιστούμε την εφαρμογή reCAPTCHA της Google. Δηλαδή σε κάθε φόρμα επικοινωνίας, εγγραφής, comment κλπ θα εμφανίζεται κάποιο test στο οποίο ο χρήστης θα πρέπει να απαντήσει ή να δράσει σωστά για να προχωρήσει παρακάτω.
Αλλαγή - απόκρυψη του 'Generator Meta Tag'
Το generator meta tag, είναι η πληροφορία που περιέχεται στον πηγαίο κώδικα της ιστοσελίδας σας και δείχνει με τι εργαλείο είναι κατασκευασμένη η ιστοσελίδα, πχ Joomla! ή WordPress. Όλες οι μεγάλες και δημοφιλείς πλατφόρμες όπως οι 2 που αναφέραμε προηγουμένως, γίνονται συχνά στόχος hackers που τυχαίνει να έχουν εντοπίσει μια αδυναμία της πλατφόρμας και στέλνουν τα robots τους να τους βρουν υποψήφια θύματα! Κρύβοντας λοιπόν ή παραποιώντας αυτή την πληροφορία, μπερδεύουμε τα robots που scannάρουν την σελίδα σας ψάχνοντας για αδυναμίες και δεν τους επιτρέπουμε να εξαπολύσουν την στοχευμένη επίθεση τους.
Προαιρετική μεταφορά σας σε ασφαλή Server
Η Firstidea συνεργάζεται με την Siteground και σας παρέχει άριστες υπηρεσίες φιλοξενίας οι οποίες θα σας απαλάξουν από κάθε ανησυχία θα βελτιώσουν την ιστοσελίδα σας σε ασφάλεια και ταχύτητα. Διαβάστε περισσότερα εδώ: Υπηρεσίες Φιλοξενίας ιστοσελίδων.
Εφαρμόζουμε πρακτικές οι οποίες θωρακίζουν την ιστοσελίδα σας από τις γνωστές επιθέσεις του διαδυκτίου, κάνοντας την άμυνα της εξαιρετικά δυνατή.