GDPR: Uistite sa, že je vaša stránka zabezpečená
V nadväznosti na nové všeobecné pravidlá ochrany údajov (GDPR) údaje ukazujú, že viac ako 70% webových stránok na Slovensku je ohrozených nedostatkami.
Vďaka GDPR, ktorá už pomaly klope na dvere sa podniky v celej Európe pripravujú na potencionálne jeden z najväčších posunov v zákonoch o ochrane osobných údajov od zákona CAN-SPAM z roku 2003.
Podniky budú čeliť pokutám až do výšky 20 miliónov EUR. Táto zmena konečne prinesie používateľom kontrolu nad tým kto, ako a kde nakladá s ich osobnými údajmi.
Kľúčovou súčasťou GDPR je zodpovednosť podnikov za zabezpečenie údajov zákazníkov a webových stránok. Hlavným dôvodom je aby sa zabránilo narušeniu údajov, phishingu a iným formám škodlivých aktivít online.
Odhaduje sa, že WordPress používa 25-40% webov, v závislosti od toho, ktorý zdroj ste si prečítali a vzhľadom na jeho rozšírenú popularitu a využitie je hlavným cieľom hackerov.
Niektoré z najčastejších známych zraniteľností naskenovaných pre zahrnuté skriptovanie medzi sieťami (XSS), SQL injection, cross-site forgery (CSRF) a problémy s certifikátmi SSL.
Zabezpečenie vašej webovej stránky WordPress
Existuje viac ako 100 000 známych zraniteľností, ktoré môžu hackeri zneužiť. Existujú rôzne druhy ale medzi najrozšírenejšie patria software na získanie údajov o zákazníkoch, nainštalovanie software na ťažbu kryptomien alebo nastavenie skrytých polí na ukradnutie informácií o kreditných kartách.
Neexistuje žiaden magický plášť na zabezpečenie vašej webovej stránky WordPress. Ale existujú kroky, ktoré všetci správcovia WordPress môžu uskutočniť na zabezpečenie bežne využívaných oblastí platformy.
Brute force útoky
Brute force útok je metóda používaná hackermi na získanie prihlasovacích informácií na webové stránky. Jedná sa hlavne o užívateľské mená, heslá, PINy atd. Zvyčajne sa vykonáva pomocou automatizovaného software. Takýto útok generuje veľký objem po sebe nasledujúcich odhadov do polí používaných na prihlasovanie.
Zatiaľ čo silné heslo môže vzbudzovať rešpekt, samo o sebe nemusí stačiť, aby zabránilo útoku brute force. Existuje však niekoľko vecí, ktoré môžete urobiť, aby ste minimalizovali toto riziko.
Prispôsobte adresy URL prihlasovacej stránky
Všeobecne platí, že adresa URL prihlasovacej stránky pre webovú stránku programu WordPress je /wp-login.php a automatizovaný softvér to dokáže odhadnúť. Tým, že premenujete URL na niečo jedinečnejšie, automatizovaný softvér nemusí byť schopný nájsť stránku na začiatok útoku na prvom mieste.
Obmedziť pokusy o prihlásenie
Spoločnou črtou webových stránok WordPress (a všetkých webových stránok) je obmedzenie pokusov o prihlásenie.
Existuje niekoľko bezplatných doplnkov (ako sú napríklad WP Limit Login Attempts), ktoré umožňujú jednoduchú implementáciu pre správcov webu a môžu pomôcť chrániť vaše stránky.
Povoľte dvojstupňové overenie
Toto sa stáva postupne bežnejším vo všetkých webových aplikáciách, ktoré vyžadujú heslo a môžu byť relatívne ľahko implementované na webovej lokalite WordPress (a prostredníctvom doplnku Google Authenticator – Authentication Two Factor).
To vyžaduje, aby používateľ nainštaloval aplikáciu do svojho telefónu a keď sa chce prihlásiť na webových stránkach, bude musieť prejsť do aplikácie. Tam dostane náhodne vygenerovaný kód na dokončenie prihlasovacieho procesu.
Použite SSL na šifrovanie dát v tranzite
Zatiaľ čo SSL a TLS úplne nezaisťujú webové stránky, zabezpečujú používateľské dáta, ktoré prechádzajú medzi prehliadačom používateľa a webovým serverom.
Opäť to môže byť inštalované pomerne ľahko cez Cloudflare WordPress integrácie a jeho SSL ponuku.
Spoločnosť Google tiež považuje protokol HTTPS za základný bezpečnostný krok, ktorý musia webové stránky vykonať s cieľom chrániť používateľov.
Zabezpečenie databázy
Bez ohľadu na to, ako je bezpečná webová stránka, udržiavanie pravidelných záloh databázy je základnou osvedčenou praxou, ktorá by mala byť súčasťou procesov webmastera.
Existuje množstvo bezplatných a prémiových riešení od VaultPress, BlogVault a Backup Buddy, ktoré sú životaschopnými možnosťami a zvolené riešenie by malo byť primerané obchodným potrebám.
Pravidelné upratovanie a aktualizácie
Témy a pluginy sú chrbticou všetkých webových stránok WordPress, ale môžu sa ľahko stať bezpečnostnými hrozbami, ak nie sú pravidelne aktualizované a udržiavané.
Neaktualizovanie motívov a doplnkov môže znamenať vážne problémy. Mnoho hackerov sa spolieha na samotnú skutočnosť, že ľudia sa neobťažujú aktualizovať svoje pluginy a motívy. Najčastejšie títo hackeri využívajú chyby, ktoré už boli odstránené.
Neaktualizovanie vášho motívu a doplnkov môže viesť k ľahkému zadnému skenovaniu a zneužitiu. Mnohí hackeri sa spoliehajú na túto skutočnosť a dávajú pozor práve na to.
Tiež sa odporúča odstrániť číslo verzie WordPress, pretože je verejne viditeľné vo vašom zdrojovom kóde. Niektoré historické verzie programu WordPress vyvinuli väčší počet zraniteľných miest ako iné, takže by to mohlo byť ako reklama pre hackerov, ktorí sa pokúsia o niekoľko už známych bezpečnostných problémov.