Securitatea Website-ului: Drumul de la vulnerabilitate la soluție

Securitatea Website-ului este un subiect delicat necesitând atât o implementare tehnică cât și o abordare zilnică. Dezvoltarea acerbă internetului și a spațiului web înseamnă că poți găsi orice îți dorești online. Mai înseamnă că poți cu ușurință să îți creezi o identitate digitală și să începi să îți comercializezi produsele și serviciile. Dar ce se întâmplă atunci când un utilizator rău intenționat începe să îți bage bețe-n roate?

Cine vrea să îți compromită securitatea website-ului?

Este foarte ușor să ne gândim că nouă nu ni se poate întâmpla asta. Până la urmă cine sunt eu? Un simplu vânzător din România sau orice altă țară, cu un număr modest de vizitatori zilnici. Cu siguranță nu sunt o țintă vrednică de timpul lor nu? GREȘIT. Hackerii nu discriminează și nici nu analizează brand-ul, regiunea sau popularitatea.

Cine îți vrea răul? Pornim de la prezumția că toată lumea îți vrea răul în mediul online. Mai ales dacă ai parte și de o cantitate bună de trafic. Succesul tău este așchia din ochii concurenței. Poți fi atacat dintr-un număr foarte mare de surse neidentificabile. Principalii suspecți ce pot atenta la securitatea website-ului tău sunt concurența și liberii profesioniști. Posibil ca în timpul unei promoții precum Black Friday să ai oferte prea bune. Caz în care website-ul tău trebuie să dispară. Sau se poate să ai ghinionul să pici în vizorul unui hacker cu timp liber care să se joace cu tine din amuzament. Mai există și atacatorii care urmăresc să îți folosească website-ul și traficul. Îți inserează reclame, viruși sau redirecționări către website-urilor lor. Scopul este de a extrage bani de la vizitatorii tăi.

Indiferent de sursă și motiv, imaginea ta este afectată. Unde mai pui că în cazul unui magazin online atâta timp cât website-ul tău este incesibil pierzi sume semnificative de bani. Este o situație foarte neplăcută ce poate fi evitată cu succes și relativă ușurință.

Ce este Securitatea unui Website

Hai să discutăm foarte pe scurt despre ce înseamnă securitatea în cazul website-ului tău. Cuvântul securitate înseamnă, conform DEX-ului, a fi la adăpost de orice pericol, un sentiment de încredere și de liniște pe care îl dă cuiva absența oricărui pericol. De asemenea, înseamnă protecție, apărare. Definiția securității depinde de contextul în care este menționată. În cazul de față, securitatea website-ului presupune următoarele elemente:

• Confidențialitatea: Implică împiedicarea divulgării neautorizate a datelor private către terți. Aceste date pot fi parole de administrare a platformei sau a bazei de date, informații despre vizitatori, statistici de utilizare, articole și pagini nepublicate, date personale colectate utilizând formularele de pe website, etc.
• Integritatea: Implică împiedicarea modificării neautorizate a fișierelor, a bazei de date sau conținutului website-ului. Astfel veridicitatea conținutului prezent pe website nu poate fi pusă la îndoială.
• Criptarea datelor: Este o tehnică de protejare a confidențialității informației, de către interceptori. Petru securitatea website-ului tău, aceasta presupune criptarea datelor transmise de către administratori sau vizitatori.
• Autentificarea: Presupune identificarea corectă a utilizatorilor autorizați să se conecteze la platformă și să efectueze modificări asupra conținutului.
• Disponibilitatea: Presupune ca website-ul să fie disponibil tuturor utilizatorilor indiferent de regiune sau de momentul zilei.

Vulnerabilitățile platformei și a limbajelor utilizate

Chiar dacă că utilizezi un sistem CMS precum WordPress, Drupal sau Joomla a căror teme și module vin cu o serie de măsuri de securitate implementate și sunt protejate de majoritatea vulnerabilităților cunoscute, există câteva tipuri de atac ce pot avea loc dacă nu se implementează metode de protecție suplimentare. Securitatea website-ului este pusă în pericol în următoarele feluri:

• Cross-site Scripting (XSS) – Are loc când o persoană rău intenționată injectează cod malițios în website. De obicei, acest tip de atac este aplicat asupra formularelor de contact, asupra paginii de autentificare sau a căsuței de căutare. Orice câmp în care utilizatorul poate scrie text este vulnerabil și predispus la acest tip de atac.
• Cross-Site Request Forgery (CSRF) – Porțiuni de cod sunt inserate și executate din adresa URL a website-ului.
• Brute Force – Reprezintă tentativele de ghicire a parolei de administrare a platformei prin încercarea de variante până la găsirea celei corecte.
• Denial of Service (DoS) – Încercarea de suprasolicitare a resurselor serverului printr-un flux constant accesări venit din partea unui server dedicat. Numărul de solicitări pe secundă fiind foarte mare, website-ul devine nefuncțional pentru restul utilizatorilor.
• Distributed Denial of Service (DDoS) – Similar cu atacul DoS, diferența aflându-se în faptul că atacatorul trimite trafic din mai multe surse precum calculatoare, servere sau routere infectate. Traficul venind de pe o adrese IP diferite la fiecare accesare, devine foarte dificil de blocat.
• Open Redirect – Are loc prin exploatarea unei vulnerabilități și presupune redirecționarea utilizatorilor către un website ales de către hacker. Acesta este de multe ori rău intenționat și conține cod malițios.
• Phishing (Furt de identitate) – Un website creat de către un hacker arată și se comportă identic cu website-ul original, dar este folosi pentru a fura date de la vizitatori sau a păcălii utilizatorii autorizați să își introducă datele de autentificare în website-ul fals.
• Malware – Un program sau cod malițios care are scopul de a infecta website-ul sau serverul gazdă.
• Local File Inclusion (LFI) – Un atacator poate controla ce fișier este executat la un anumit moment de către platforma website-ului.
• Eliminarea autentificării – O breșă în securitatea website-ului ce permite unei persoane neautorizate să aibă acces la panoul de control al platformei fără a se autentifica mai întâi.
• Full Path Disclosure (FPD) – Când calea către directorul rădăcină al serverului este descoperită și sunt expuse directoarele, fișierele și erorile.
• Enumerarea Utilizatorilor – Atunci când un atacator are posibilitate de a determina un nume de utilizator acreditat și îl poate folosit în atacuri de tip Brute Force pentru a afla parola. Acest atac are loc prin adăugarea de parametri la sfârșitul adresei unui website (de regulă WordPress) pentru a cere ID-ul utilizatorului cu ajutorul căruia se poate cere numele de utilizator.
• XML External Entity (XXE) – Are loc atunci când un flux de date XML este accesat dintr-o sursă externă și folosit pentru a exploata vulnerabilitățile procesorului XML.
• Eliminare securității – Similar cu eliminarea autentificării, cu diferența că hacker-ul sare peste un sistem de securitate existent pentru a primi acces la porțiuni din website.
• Remote Code Execution (RCE) – O persoană neautorizată are posibilitate de a executa cod pe serverul gazdă din altă sursă precum un server sau un website.
• Remote File Inclusion (RFI) – Exploatarea unei referințe la o porțiune de cod ce este preluată dintr-o sursă externă cu scopul de a încărca viruși pe website dintr-o sursă total diferită.
• Server Side Request Forgery (SSRF) – Când un hacker preia controlul unui server parțial sau total și îl folosește pentru a executa cod de la distanță.
• Directory Traversal – Cazuri în care protocolul HTTP poate fi exploatat pentru a accesa directoarele website-ului și a executa cod din afara directorului rădăcină al serverului.

Cum să întărești Securitatea Website-ului

Lista vulnerabilităților este foarte lungă și se schimbă frecvent. Nu există un website 100%! Securizarea este o luptă continuă ce are loc în cadrul procesului de Mentenanță Lunară. Dacă am enumerat problemele, este cazul să enumerăm și soluțiile. Nu vom înșira linii de cod și elemente tehnice ci doar concepte ușor de înțeles și aplicat de către oricine.

Efectuează copii de rezervă cât de des posibil. Copiile de rezervă sunt chiar copii ale website-ului tău. Le restaurezi atunci când a avut loc o breșă în securitatea website-ului sau doar o eroare de funcționare. Stochează copiile într-un loc sigur, eventual într-un sistem cloud precum Dropbox. Copiază fișierele website-ului săptămânal iar baza de date în fiecare seară.

Actualizează platformele și tehnologiile. Fie că folosești un sistem CMS sau o platformă personalizată, temele, modulele și tehnologiile trebuie actualizate constant. Aceste actualizări vin cu soluții pentru vulnerabilitățile noi, implementări de securitate și astupări are breșelor de securitate.

Utilizează un sistem Firewall. Acest sistem poate fi implementat la nivel de aplicație sau la nivel de server. Ajută la identificarea secțiunilor compromise și a atacurilor de tip Brute-Force și DoS/DDoS. Un sistem avansat poate întării securitatea website-ului chiar și împotriva executării codului malițios.

Ascunde versiunea platformei. Valabil doar pentru soluțiile CMS precum WordPress. Deoarece există o scurtă perioadă de timp între descoperirea unei vulnerabilități și lansarea unei actualizări de securitate, persoanele rău intenționate încearcă mai întâi să obțină versiunea platformei pentru a lansa atacuri specializate. Ascunderea versiuni îngreunează mult încercările atacatorilor de a crea breșe de securitate.

Nu permite accesul în directoarele website-ului. Atunci când nu există un fișier index.html sau index.php, browser-ul afișează structura de fișiere a website-ului.

Configurează corect serverul. Cele mai periculoase vulnerabilități pot fi rezolvate doar prin configurarea serverului. Oprește accesul la fișierele importante și nu permite executarea codului în zonele sensibile precum directoarele de imagini sau încărcări.

Utilizează un certificat SSL. Este atât o cerință SEO cât și una de securitate a website-ului. Criptarea SSL nu permite nimănui să intercepteze datele trimise de către vizitatori spre website-ul tău. Acesta pot fi foarte importante precum carduri bancare, parole, CNP, etc. Fără un certificat SSL valid, multe browsere îți vor bloca website-ul începând cu 2020.

Utilizează un user și o parolă puternică. Nu folosi numele de utilizator admin. Este evident și ușurează mult procesul de spargere a parolei. Parolele trebuie să fie complexe și lungi. Folosește simboluri, diacritice, numere, litere mici și mari. Este recomandat să schimbi parola cel târziu la 90 de zile.

Folosește un sistem captcha pentru formulare. Aceste sisteme blochează roboții din start.

Alege un hosting bun. Marele pericol atunci când ai un abonament shared hosting este că dacă unul din website-urile găzduite pe acel server se infectează, se poate infecta și al tău. peste 40% din atacurile recente au avut loc din cauza unei breșe de securitate la providerul de hosting.

Acestea sunt doar o parte din soluțiile pentru securitatea website-ului. Restul necesitând cunoștințe avansate de programare și dezvoltare.

Cum știu dacă website-ul a fost compromis

Un website spart este destul de ușor de identificat. Acesta prezintă una sau mai multe caracteristici precum:

• Conținutul este modificat.
• Redirecționează către alte website-uri.
• Are foarte multe comentarii SPAM cu link-uri.
• Descarcă fișiere la accesare.
• Se încarcă mult prea greu.
• Are reclame de care nu știai.
• Prezintă popup-uri dubioase.
• Nu se mai funcționează deloc.
• Nu te mai poți conecta sau nu îl mai poți modifica.

Dacă ai citit acest articol și nu te simți în siguranță, te invităm la o discuție. Îți identificăm și îți rezolvăm toate problemele legate de securitate website-ului chiar dacă acesta a fost compromis.