Poměrně často se můžeme dočíst na různých diskuzních fórech jak byl něčí web napadnutý. Ve většině případů se nejedná o případ, kdy hacker najde slabinu redakčního systému a následně se do něj dostane. Převážně se jedná o útok robota, který má jasně nadefinované slabiny konkrétních redakčních systémů a ty zkouší. Majitel který podcení nebezpečí se pak může těšit na odstraňování skrytého malware anebo rovnou odstavení svého hostingu u poskytovatele, protože jej někdo zneužívá například k DoS útokům. Přitom stačí udělat pár věcí pro bezpečnost webu.
Nikdy nestahujte komponent s warez webů
Piráti se nespecializují jen na filmy, hry a hudbu. Ve velkém se mohou na warez webech nacházet i plné verze pluginů anebo drahé šablony do redakčních systémů. Přitom mnoho lidí ani nenapadne, že je daleko jednodušší do nich vložit škodlivý kód než virus do počítačové hry.
Pokud takovouto šablonu použijete, často si do vašeho webu nainstalujete i zadní vrátka, přes které může útočník zneužívat váš web a malér je na světě.
U důležitých projektů se vyplatí dvojnásobná ochrana
Dvoustupňovou autorizaci určitě znáte. Používají jí banky k ověření finančních transakcí. Nestačí znát jen heslo, ale musíte přespat i kód z SMS. Obdobně to jde u dělat i u přihlašování na váš web. Samozřejmě pro běžného uživatele to může být zbytečně nákladné. Jako alternativu můžeme použít například email, na který dorazí ověřující kód. Ale proč se zdržovat když to jde i jednodušeji?
Dvojnásobnou ochranu si můžete zajistit i tím, že zamezíte přístup do administrace jen určitým IP adresám. Pokud se připojujete pouze z domova a vaše IP adresa se nemění, tak proč toho nevyužít? Přitom aplikace whitelistu pro redakční systémy nemusí být vůbec složitá. Pokud je uložena v určitém adresáři, což má většina redakčních systémů, stačí do adresáře přidat .htaccess s whitelistem pouze vaší IP adresy.
Sledujte co se děje s vašim webem
Většina webmástrů si zvykla dát na stránky Google Analytics a tím to končí. Jenomže Google Analytics slouží pouze k monitorování návštěvnosti a funguje jen na stránkách, kde se nachází kód. V případě brute force útoku, který může na vytíženějších webech bez většího povšimnutí probíhat i týdny, vám nic Google Analytics nezaznamená.
Na toto je potřeba mít měření postavení na skriptovacím jazyce anebo ideální serverovu. Oblíbený je například AwStats. Existuje také software, který vyčte vše podstatné z access log.
Takovýmto způsobem už zjistíte, kam se roboti pokouší dostat a jak to dělají. Při déle trvajícím útoku můžete zareagovat například zabanovaním IP adres útočníka.
Nejslabší článek nemusí být váš web
Je třeba si uvědomit, že útok nemusí probíhat čistě na váš web. Někdy je jednodušší dostat se na email, protože na rozdíl od moderních webových aplikací jim často chybí základní bezpečnostní preference. Například nemusí mít vůbec nastavenou minimální délku hesla anebo omezení na počtu pokusů o přihlášení. Přitom dopad může být daleko horší než jen změna administrátorského hesla, protože přijdete o možnost si jej pak poslat na email.
Ochraně svého emailu nepodceňujte minimálně stejně jako bezpečnost vašeho webu. Samozřejmě asi nemá cenu zmiňovat, že je dobré nikdy nepoužívat stejná hesla.
