Bezpieczeństwo stron WWW: Jak dbają o nie hostingi?

19 03 2021

Kwestia odpowiedniego zabezpieczenia stron WWW leży jest w interesie każdego administratora e-sklepu, bloga czy innego serwisu internetowego. Zobacz, w jaki sposób wybór hostingu może wpłynąć na kwestie bezpieczeństwa witryny.

Hosting ma kluczowy wpływ na zabezpieczenie Twojej strony. W końcu to właśnie na serwerze przechowujesz swoją witrynę (wraz ze wszystkimi plikami multimedialnymi potrzebnymi do jej poprawnego wyświetlenia) oraz – bardzo często – także konto poczty elektronicznej. Jakikolwiek problem z hostingiem może wiązać się z trudnościami z dostępem do strony.

Powierzasz hostingowi dane swoje oraz swoich użytkowników, więc temat ten w dużej mierze zahacza także o RODO – czyli Ogólne Rozporządzenie o Ochronie Danych Osobowych. W związku z tym bezpieczeństwo serwera to nie tylko kwestia komfortu administrowania stronami. To także Twój obowiązek, którego nieprzestrzeganie może doprowadzić do dotkliwych kar finansowych.

Chciałbym przedstawić Ci kilka kluczowych kwestii związanych z bezpieczeństwem hostingu. Przyjrzyj się im podczas wyboru usługi.

Backupy

W przypadku błędu, awarii lub cyberataku możesz nagle stracić dostęp do swojej strony internetowej – a dokładniej do przechowywanych danych. Niestety takie sytuacje się zdarzają. Dlatego też tak ważne jest regularne przygotowywanie i przechowywanie kopii zapasowych. To właśnie dzięki nim możesz szybko przywrócić usunięte pliki – a dzięki temu doprowadzić stronę do prawidłowego stanu.

Hostingi mają różne podejście do kopii zapasowych. Dobrze, aby kopie zapasowe były:

  • wykonywane przynajmniej raz na 24 godziny;
  • przechowywane przynajmniej przez 7 dni;
  • wygodnie dostępne – bez konieczności kontaktu z biurem obsługi klienta.

Choć to hosting powinien dbać o to, aby wykonywać kopie zapasowe, to jednak nie w pełni neutralizuje to ryzyka utraty plików. Dlaczego? Otóż, jeżeli backup będzie przechowywany na hostingu, który ulegnie większej awarii – to nie będziesz mieć dostępu do kopii zapasowych. W związku z tym wykonuj backupy także na własną rękę – i przechowuj je np. na swoim komputerze.

Certyfikaty SSL

Certyfikat SSL – przeznaczony do uwierzytelniania domeny oraz szyfrowania danych – jest już obecnie standardem. Jednak to właśnie od dostawcy usługi hostingowej zależy, w jaki sposób zastosowanie takiego zabezpieczenia wygląda w praktyce.

Zielona kłódka oraz adres strony rozpoczynający się od https jest dla odwiedzającego znakiem, że dane są chronione przed nieautoryzowanym dostępem podczas wysyłania/odbierania między serwerem a przeglądarką użytkownika.

Jednak nie każdy wie o tym, że certyfikat SSL może być darmowy. Nie musisz płacić kilkudziesięciu lub kilkuset złotych rocznie za dostarczenie certyfikatów w wersjach przeznaczonych np. dla banków czy instytucji finansowych. Spokojnie możesz korzystać z wersji darmowej – ważne, aby hosting udostępnił Ci taką możliwość.

Pamiętaj przy tym, że certyfikat SSL to nie tylko bezpieczeństwo. To także lepsza ocena strony przez wyszukiwarkę oraz ograniczenie możliwości, w której odwiedzającemu zamiast witryny wyświetli się komunikat o nieszyfrowanym połączeniu.

Zabezpieczenie DNS

DNS czyli Domain Name System to “książka telefoniczna” dla domen. Tłumaczy ona konkretny adres IP na adres serwisu. Dzięki niej możliwe jest korzystanie z domen w formie słownych nazw zamiast trudnych do zapamiętania ciągów cyfr.

Cyberatak może doprowadzić np. do przekierowania strony na inną witrynę. W ten sposób użytkownik wpisujący adres Twojej strony mógłby być przekierowany na witrynę służącą np. do wyłudzania danych.

Przed powyższymi atakami chroni DNSSEC. To rozwiązanie jest wykorzystywane w celu uwierzytelnienia adresu IP. Jeżeli między domeną w formie słownej a adresem IP w formie cyfrowej pojawi się jakakolwiek niezgodność, użytkownikowi wyświetli się monit z ostrzeżeniem.

Z kolei przed awarią serwerów DNS chroni DNS Anycast oferowana przez niektórych dostawców usług hostingowych. Jak to działa? Funkcja ta polega na utrzymywaniu serwerów DNS w różnych miejscach na świecie. Dzięki temu w przypadku awarii jednego serwera, zostanie wykorzystany inny – dzięki czemu nie dojdzie do opóźnień w ładowaniu strony.

Bezpieczeństwo poczty elektronicznej

Twoja poczta elektroniczna może być wykorzystana w celu wysyłania nieautoryzowanych wiadomości. Takie e-maile mogą mieć charakter phishingowy – czyli być wysyłane w celu wyłudzenia danych lub pieniędzy, podszywając się pod Ciebie.

To wszystko może się stać, jeżeli Twój hosting nie jest odpowiednio zabezpieczony. Żeby się przed tym uchronić stosuje się 3 równocześnie funkcjonujące systemy:

  • SPF (Sender Policy Framework) – uwierzytelnia IP i domenę przed pocztą elektroniczna odbiorcy. Dzięki temu wiadomość nie trafi do SPAMu;
  • DKIM (DomainKeys Identified Mail) – to cyfrowy podpis wiadomości, poświadczający, że nikt nie ingerował w jej treść;
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance) – to system oparty na SPF i DKIM. Wskazuje on serwerowi odbiorcy, jakie działanie ma podjąć, jeżeli zostanie wykryta ingerencja w wysyłaną wiadomość.

Powyższe technologie to absolutny standard, gdy chodzi o ochronę poczty elektronicznej. Jeżeli nie chcesz sobie psuć opinii poprzez niedostateczne zabezpieczenie swojego konta e-mail, to koniecznie wybierz hosting oferujący takie rozwiązania.

Zgodność z RODO

RODO wymaga zachowania szczególnej ostrożności podczas przetwarzania danych osobowych. Prowadząc blog lub sklep internetowy, ale także mając zwykłą stronę z opublikowanym formularzem kontaktowym – często stajesz się administratorem takich danych.

Musisz jednak pamiętać, że wszystkie te dane są przechowywane na serwerze. W związku z tym wybierając hosting musisz podpisać z dostawcą usługi umowę o przetwarzanie danych osobowych. Niekiedy wiąże się to z podpisaniem umowy w formie pisemnej, czasem wystarczy odpowiedni zapis w regulaminie.

Pamiętaj, żeby zadbać o dopilnowanie tej sprawy, ponieważ tak naprawdę odpowiedzialność za ich bezpieczne przechowywanie spoczywa właśnie na Tobie.

Separacja stron

Separacja stron WWW to kolejne rozwiązanie będące w stanie zapewnić większe bezpieczeństwo witryny. Jest to szczególnie istotne, jeżeli na jednym hostingu utrzymujesz kilka serwisów.

Dzięki separacji możliwe jest rozdzielenie przestrzeni dyskowej pomiędzy poszczególne strony – bez możliwości łatwego przejścia pomiędzy poszczególnymi domenami. Korzystając np. z WordPressa często słyszy się o różnego rodzaju lukach bezpieczeństwa w popularnych wtyczkach. Nawet plugin odpowiedzialny za formularz kontaktowy może doprowadzić do zainfekowania całej strony. Korzystając z separacji – podczas cyberataku wirus będzie miał zdecydowanie utrudnioną możliwość rozprzestrzeniania się.

Firewall aplikacji webowych

Kolejna kwestia związana z bezpieczeństwem hostingu odnosi się do tematu WAF (czyli Web Application Firewall). Jego zadaniem jest blokowanie podejrzanych treści wysyłanych z wykorzystaniem protokołu HTTP.

Technologia ta zabezpiecza np. przed zainfekowaniem baz danych SQL czy samego kodu źródłowego strony, co mogłoby prowadzić do wykonania różnego rodzaju niepożądanych akcji.

Taki firewall działa w tle – nie musisz go konfigurować. Jednak w różnego rodzaju sytuacjach – np. kiedy pojawią się wspomniane luki bezpieczeństwa w różnego rodzaju wtyczkach – możesz liczyć na skuteczną ochronę.

WAF wyłapuje nieautoryzowane zapytania chroniąc serwer i Twoją stronę internetową
WAF wyłapuje nieautoryzowane zapytania chroniąc serwer i Twoją stronę internetową.

Bezpieczeństwo panelu hostingowego

Ostatnia kwestia odnosi się do bezpieczeństwa samego panelu hostingowego. Musisz mieć świadomość, że jeżeli ktoś będzie chciał zaszkodzić Twojej stronie internetowej, to sforsowanie dostępu do panelu hostingowego da mu pełen dostęp do niemal wszystkich kwestii związanych z Twoją stroną. Wówczas możliwa będzie np. podmiana baz danych, usunięcie plików poprzez FTP czy nawet dostęp do poczty elektronicznej.

Dobrym rozwiązaniem, które może uchronić Cię przed tego typu sytuacjami jest logowanie dwuskładnikowe – w którym do zalogowania nie wystarczy samo hasło, ale potrzebna jest też dodatkowa weryfikacja (np. poprzez SMS kul lepiej – klucz U2F). Dzięki temu samo złamanie hasła przez cyberprzestępcę nie doprowadzi jeszcze do uzyskania pełnej kontroli nad hostingiem. Bez dostępu do Twojego telefonu, nie będzie on w stanie się zalogować.

Widzisz, że hostingi dbają o bezpieczeństwo na wiele sposobów. To naprawdę istotny aspekt, mający wpływ na popularność i stabilność działania Twojej strony – a także na przechowywane dane Ciebie i Twoich klientów.

Czynniki dotyczące bezpieczeństwa przeważnie nie są eksponowane w opisach pakietów hostingowych – tam nacisk kładziony jest przede wszystkim na pojemność oraz limity. Jednak, jeżeli oczekujesz bezproblemowego funkcjonowania strony, koniecznie przyjrzyj się tym kwestiom podczas wyboru pakietu hostingowego.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Mateusz Mazurek
Wydawca i autor blogów. Edukuje z zakresu wyboru najlepszego hostingu stron WWW w na stronie Jak Wybrać Hosting, gdzie testuje, sprawdza i recenzuje usługi hostingowe. Od niedawna pisze także prostym językiem o podstawach z zakresu bezpieczeństwa internetowego na blogu Kwestia Bezpieczeństwa.
guest
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

Porównanie rozwiązań ochronnych

DLA GOSPODARSTWA DOMOWEGO I MIKRO FIRMY

Dlaczego korzystamy z dHosting?

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

RAPORT
Cyberbezpieczeństwo:
Trendy 2021

Już dostępny!

Dlaczego korzystamy
z dHosting?

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone