Protect and serve, czyli wszystko w imię ochrony www – cz.II

18 listopada, 2017 | by B. Grabarczyk

Skleroza, skleroza i jeszcze raz skleroza. To na nią zrzuciliśmy całą winę, związaną z ewentualnymi włamaniami na Wasze strony. W bardzo prosty sposób możemy to wytłumaczyć, ograniczając się do dwóch sytuacji, które są zdecydowanie najbardziej typowe.

Znając siebie i swe tendencje do zapominania haseł dostępu – ustalacie naprawdę banalne hasła. Dostępny w Cpanel webd generator haseł, bardziej przeraża, niż zachęca do skorzystania. „Nie potrzebuje hasła na 15 znaków”, „kto spamięta te literki z dużej i z małej, do tego jeszcze cyferki?”. Ostateczny efekt – admin123 czy qwerty. Nie!- błagamy smiley Takie ułatwianie sobie życia na starcie, kończy się tragedią w przyszłości, wierzcie nam. Wspominaliśmy w poprzednim wpisie o botach, tutaj też odgrywają główną rolę. Uruchomiliśmy na serwerach system sprawdzający częstotliwość logowania się na Wasze WordPressy czy Joomle i… złapaliśmy się za głowę. Mechanizmy uruchomione specjalnie po to, by złamać Wasze hasło do zaplecza strony i wykraść z nich całą esencję były aktywne – zbyt aktywne. Nie zastanawiając się długo – wprowadziliśmy zabezpieczenie polegające na nałożeniu drugiego logowania, dla ochrony Waszych stron i odciążenia ilości zapytań do serwera. Niektórzy z Was mieli już przyjemność przed zalogowaniem do WordPressa wpisywać niemal sławne już „webd” „webd” jako login i hasło, tylko po to by zaraz logować się ponownie, już swoim dostępem. Tak, wiemy, że jest to troszkę bardziej czasochłonne, ale przecież nie robimy tego złośliwie wink Blokujemy dostęp botów do Waszego zaplecza jeszcze przed próbą jakiegokolwiek logowania, a czymże dla Was jest wpisanie nazwy naszego serwisu dwukrotnie? Niczym, uwierzcie, gdyż to w imię bezpieczeństwa! Skrobnęliśmy o tym w POMOCY na stronie, nie powinniście mieć absolutnie żadnych problemów w obejściu tego logowania. Możemy oczywiście administracyjnie je zdjąć, ale w sposób równie oczywisty to odradzamy.

Skleroza #2? Już podajemy na tacy. Bardzo często zdarza się, że tworzycie strony dla Klientów. Jeszcze częściej – pracujecie w tym zawodzie od 15 lat, zaczynaliście zaraz po piaskownicy i okazało się to strzałem w dziesiątkę. Nic, tylko pogratulować. Niemniej strona zbudowana dla Klienta w poprzednim stuleciu niestety nie spełnia wymogów bezpieczeństwa – od czegóż są aktualizacje ? Dodatkowo wprowadźmy założenie, że Klient zrezygnował, ale stronę zostawiacie na serwerze na wieczne „zobaczymy, może się przyda”. O tak, przydaje się. Nie Wam, nie nam, hakerom, botom i wszelkiej ciemnej stronie sieci. Wystarczy, że z 10 stron, jedna jest nieaktualizowana – crash! boom! bang! Akurat ona zaczyna wysyłać spam z formularza, zamienia się w bota czy atakuje inne strony użytkowników sieci. W takiej chwili – staramy się blokować wszelkie połączenia wychodzące z tej strony, czasem zmuszeni jesteśmy blokować samą stronę. Bardzo często okazuje się, że strona nie jest już Wam potrzebna, więc usuwacie ją samodzielnie. A co, gdyby robić to od razu ? Tak, dla bezpieczeństwa? Zarchiwizować pliki lokalnie na tenże przykład? wink

Podsumowując – tylko generator hasła i systematyczność / porządek na koncie hostingowym Was uratuje. Od strony administracyjnej wszelkie monitoringi, antywirusy serwerowe i skany nie pomogą, jeśli błąd leży w samym zarodku. Dbajcie o swe konta, jak i my o nie dbamy. Choć webd.pl  kopie zapasowe i backupy ma, lepiej przecież dmuchać na zimne wink

Nasi partnerzy.

Monitoring 24/7.

Całodobowy monitoring serwerów
pozwala Ci komfortowo korzystać
z usług WEBD.pl!