En hackerattack mot din sajt kan bli kostsamt.
En hackad sajt ger i bästa fall dålig PR, i värsta fall kommer kundregistret på drift tillsammans med användarnas inloggningsuppgifter och kreditkortsnummer. En sådan attack kommer att leda till kundflykt och kan sänka ett helt företag.
Vi har blivit vana med att stora kända företag som Aftonbladet och Tv3 hackas av hackergrupper som Vuxna Förbannade Hackare. När Bilddagboken hackades kom alla deras användares inloggningsuppgifter på drift. En katastrof med tanke på att användare ofta har samma inloggningsuppgifter på andra populära sajter som exempelvis Facebook och Gmail.
Hackerattacker kan även drabba mindre profilerade företag. I höstas angrep hackare i Turkiet och Kanada nästan 4000 svenska sajter i protest på Lars Vilks rondellhund. Dessa mindre professionella hackare ger sig främst på sajter med sämre säkerhet. Därför kan aldrig mindre sajtägare ignorera säkerhetsfrågor.
Ett ganska vanligt säkerhetshot är DoS-attacker, Denial of Service, där angriparna genom att samordna ett stort antal internetuppkopplade hackade datorer kan göra det omöjligt, eller mycket segt, för dina vanliga besökare att komma in på sajten.
Attacken behöver inte ens vara riktad mot din sajt för att drabba dig. Det räcker att du ligger på samma server som en utsatt sajt för att sajten ska gå ner. Om sajten känns som sirap ska du kontakta ditt webbhotell omgående så får deras supporttekniker filtrera bort trafiken från angripande datorer.
Den som använder sig av egna servrar, vilket hamnar utanför denna artikel, måste ha hög säkerhetskompetens. Allt annat är att be om problem.
Men även om de som har ett väl fungerande webbhotell kan ni inte helt överlåta säkerhetstänkandet till webbhotellet.
Dålig säkerhet kan leda till att:
> Alla filer på webbservern raderas
> Uppgifter på sajten kan ändras
> Hemliga kunduppgifter kan säljas till konkurrenter
> Kunders kreditkort kan länsas
> Din sajt kan fungera som bas för andra hackerattacker
> Din sajt kan infektera besökare med skadlig kod
Åtta metoder att säkra din sajt
1. Lösenord
Vad man kan lära sig av Aftonbladets säkerhetskollaps, hackarna knäckte deras mejlserver och fick den vägen tillgång till information om hur andra säkerhetsfilter fungerade, är att alltid ha riktiga säkra lösenord till e-post, webbsajtens administrationsgränssnitt, ftp-konton och så vidare. Det funkar inget bra med 855593, olof, pontus, eller lovesexy för att nämna några av Aftonbladschefernas lösenord.
Lösenord till e-post, webbsajtens administrationsgränssnitt, ftp-konton och så vidare måste ha hög säkerhet. Det innebär att lösenordet ska ha minst åtta tecken där gemener och versaler, specialtecken och siffror blandas. Att använda ditt eget namn, barnens eller hundens namn är ingen bra idé. Password är också Pett vanligt lösenord som naturligtvis är helt värdelöst.
Kravet på säkra lösenord gäller alla användare som har tillgång till webbservern då inget är hållbarare än den svagaste länken. Ge bara dem som verkligen behöver tillgång till webbservern inloggningsuppgifter och ta bort användare när de byter arbetsuppgifter.
Förvara sedan lösenordet på en säker plats. Säkrast är ett papper i en pärm. Det finns exempel på sajtägare som laddat upp en fil med lösenorden i en publik html-map hos sitt webbhotell – det är inte en bra lösning!
Hur jobbigt det än låter bör man inte heller använda samma lösenord till flera olika konton och webbtjänster. Vuxna Förbannade Hackare loggade in på Facebook med Aftonbladsanställdas e-post inloggningsuppgifter.
Post- och telestyrelsen har tagit fram en tjänst där du kan undersöka hur säkert ett lösenord är, www.testalosenord.se.
2. Backup
Även om ditt webbhotell gör backuper på allt innehåll så bör du regelbundet göra backuper av din webbsajt och tillhörande databaser. Det behöver faktiskt inte handla elaka hackers som raderar dina filer – det händer att mindre erfarna webbredaktörer raderar sina egna filer av misstag.
3. Val av webbhotell
Välj ett välkänt och väletablerat webbhotell framför mer hobbybetonade företag. Företaget bör ha funnits några år och ha flera anställda. Webbhotellet ska kunna svara på hur de arbetar för att skydda din säkerhet. Du vill också ha svar på hur ofta de gör backuper på sina kunders konton. Du kan läsa mer i Internetworlds senaste webbhotellstest.
4. Uppdatera
Uppdatera alltid ditt publiceringsverktyg när nya versioner släpps. Hackare utnyttjar ofta gamla säkerhetshål i verktyg som PhpBB, Wordpress och Joomla. Prenumerera på nyhetsbrev från dem som utvecklar ditt publiceringsverktyg för att inte missa nya versioner och säkershetspatchar. Detta gäller all programvara du har installerad på ditt webbhotellskonto.
Det finns också en lång rad program som t.ex. Testadatorn.se, som skannar dina servrar efter säkerhetshål.
5. Rätt rättighet
Det går att ge mapparna hos ditt webbhotell olika rättigheter: läsbar, skrivbar eller exekverbar. Rättigheterna ändrar du via webbhotellets filhanteringssystem eller ditt ftp-program med kommandot chmod, change mod. Sätt så begränsade rättigheter som möjligt för mapparna hos webbhotellet som är din webbplats. Problemet är att om du sätter för låga rättigheter kommer sajten inte att fungera. Men sätt aldrig rättigheten exekverbar i en mapp där besökarna kan ladda upp filer för då kan någon otäck typ smitta ner dina besökare med skadlig kod.
6.Skaffa SSL
Om användarna lämnar ifrån sig känslig information på sajten som exempelvis kreditkortsuppgifter bör trafiken mellan besökaren och sajten vara krypterad med SSL, Secure Sockets Layer. Som besökare känner du igen en säker anslutning via s:et i https:// i webbläsarens adressruta. De flesta webbhotell erbjuder SSL som tilläggstjänst.
7. Skydda mot SQL-injection
Om du byggt egna applikationer måste du skydda dig mot det vanligt förekommande säkerhetsproblemet SQL-injection. En oskyddad databas går att radera, ändra och hackern kan få ut all information i databasen. Angreppen kan komma från inloggningsformulär, sökformulär, länkar med data.Det finns flera sätt att skydda sig på och utrymmet här tillåter inte att gå igenom de olika metoderna. Läs mer här:
www.swesecure.com
www.aspkoll.se/ArticlesRead.asp?id=92
8. Val av webbserverprogram
Olika typer av webbserverprogram är olika säkra. Ju mer komplicerat ett program är och ju fler funktioner det har desto större är risken att det innehåller säkerhetshål som kan utnyttjas av hackare eller skriptungar. Med andra ord är en hemsida byggd i ren html utan några databasanrop säkrare än mer avancerade serverprogram.
– Öppna källkodslösningar som Joomla, Wordpress och phpBB, har haft många säkerhetsproblem, säger Anders Aleborg, som är vd på Binero och som själv har lång erfarenhet av system- och hemsidesutveckling. Även om det är öppet, enkelt och gratis så måste man tänka på att hålla sin lösning ständigt uppdaterad.
Inlägg
