5 γρήγορες συμβουλές για ένα πιο ασφαλές website

Κάθε ιστοσελίδα, προκειμένου να είναι δημοσιευμένη στο internet, χρειάζεται έναν server να την φιλοξενεί (το ξακουστό web hosting). Οι servers, αν και φαντάζουν κάτι μαγικό σε πολλούς, είναι και αυτοί υπολογιστές που μπορεί να τρέχουν πολλών διαφορετικών ειδών λογισμικά, όπως για παράδειγμα Linux, Apache, PHP, MySQL, phpMydmin Plesk, Cpanel και πολλά άλλα. Αυτά, όπως και κάθε λογισμικό, μηδενός εξαιρουμένου, παρουσιάζουν κατά περιόδους σχεδιαστικά σφάλματα και κενά ασφαλείας, που εκμεταλλεύονται οι επιτιθέμενοι. Θα πρέπει λοιπόν οι εταιρείες φιλοξενίας να καλύπτουν άμεσα τα κενά αυτά με αναβαθμίσεις (updates).
 

Υπάρχουν γενικά δύο ειδών κατηγορίες υπηρεσιών hosting, οι shared και οι private. Τα shared πακέτα είναι τα πιο δημοφιλή, καθώς είναι τα πιο οικονομικά (κυμαίνονται συνήθως στις τάξεις των 50 με 200 ευρώ ετησίως). Σε αυτά οι χρήστες φιλοξενούνται μαζί με άλλους στον ίδιο server και δεν έχουν έλεγχο των προγραμμάτων που προαναφέραμε. Στις private υπηρεσίες (dedicated servers, cloud VPS κα), ο πελάτης έχει απόλυτη πρόσβαση και έλεγχο στο περιβάλλον φιλοξενίας, αλλά τα κόστη εδώ συγκριτικά είναι πολύ πιο υψηλά (από 50 ευρώ και άνω το μήνα για αξιοπρεπείς και σοβαρές λύσεις, με καλό support και management από την εταιρεία).

Αν λοιπόν διαπιστώσετε ότι τα updates και οι ελέγχοι ασφαλείας δεν πραγματοποιούνται τακτικά από τον πάροχο σας (ή και καθόλου), αναζητήστε άμεσα αλλού λύση. Αν έχετε το budget για private server, μην το διπλοσκέφτεστε, κάντε το.

Όσο ασφαλές και να είναι το ίδιο το site σας, αν τρέχει σε server “σουρωτήρι”, τότε οι κίνδυνοι είναι πολλοί και άμεσοι. Κοινώς πατάτε σε κινούμενη άμμο!

Τα περισσότερα σύγχρονα websites και eshops είναι φταγμένα με την βοήθεια λογισμικού τύπου CMS και e-commerce platforms, όπως για παράδειγμα Wordpress, Joomla, Drupal, Magento, Prestashop, CS-Cart, Open Cart και πολλά άλλα. Όλες αυτές είναι εκπληκτικές πλατφόρμες, ή κάθε μία με τα ιδιαίτερα χαρακτηριστικά της, οι οποίες αθροιστικά έχουν παράξει το μεγαλύτερο ποσοστό των ιστοσελίδων που βλέπουμε σήμερα στο Internet.

Η δημοτικότητα τους είναι ταυτόχρονα η αχίλλειος πτέρνα τους. Είναι αναμενόμενο ότι θα αποτελούν και στόχο των hackers. Λαμβάνοντας υπ’ όψη και το γεγονός ότι ο κώδικας τους είναι ανοιχτός (το ξέρω ότι αυτό είναι μεγάλη κουβέντα!), πολύ συχνά ανακαλύπτονται κενά ασφαλείας που πολύ γρήγορα γίνονται ευρύτερα γνωστά. Οι αντίστοιχες κοινότητες που τα υποστηρίζουν ναι μεν τα καλύπτουν άμεσα με updates, αλλά δυστυχώς η συντριπτική πλειοψηφία των ιδιοκτητών και διαχειριστών των websites δεν τα εφαρμόζουν, αφήντας τα εκτεθειμένα.

Η κύρια αιτία που τα websites χακάρονται είναι ότι τρέχουν σε παλιές (outdated) εκδόσεις. Έχοντας το το CMS ή το eshop σας πάντα αναβαθμισμένο στην τελευταία διαθέσιμη έκδοση σίγουρα ανεβάζετε κατά πολύ τον πήχη ασφαλείας!

Πέρα από την βασική λειτουργικότητα που μας δίνουν οι πλατφόρες CMS και e-commerce, οι περισσότερες από αυτές έχουν την δυνατότητα να επεκταθούν περαιτέρω μέσω των επιπρόσθετων εφαρμογών τρίτων κατασκευαστών (plugins). Ένας από τους λόγους που οι open source πλατφόρμες CMS (ειδικά το Wordpress και το Joomla) είναι τόσο δημοφιλείς είναι η τεράστια πληθώρα των plugins. Πλέον υπάρχει plugin σχεδόν για τα πάντα: banner carousels, newsletters, μικρές αγγελίες, social media, business κατάλογοι, χαμός!

Μέσα στον ... χαμό αυτό προσπαθούν πολλοί να εκμεταλλευτούν την κατάσταση και να αποκτήσουν πρόσβαση σε websites. Επειδή στις ερωτήσεις “Θα βάζατε ανταλλακτικό στο αυτοκίνητο σας από άγνωστο κατασκευαστή, αγνώστου προελεύσεως;” ή “Θα αγοράζατε κλειδαριές για το σπίτι σας από πλανόδιο που σας πέτυχε στο parking του super market;” η απάντηση θέλω να ελπίζω πως είναι όχι (!!), με παραπλήσια λογική δεν εγκαθιστάτε τυχαία plugins στο site σας.

Πολλές φορές τα plugins που θέλουμε να βάλουμε στο site μας δεν είναι δωρεάν και μάλιστα, είναι ακριβά. Το καταλαβαίνω. Οι καιροί είναι δύσκολοι. Μπαίνουμε στον πειρασμό να τα κατεβάσουμε “σπασμένα”. Θα προσπαθήσω να κάνω μια απλουστευμένη αναγωγή στην μη ψηφιακή καθημερινότητα μας. Ρωτώντας φίλους και γνωστούς μαθαίνετε ότι σε ένα πάρκο κοντά στο σπίτι σας μαζεύεται μια ομάδα ανθρώπων που φοράνε μάσκες και χαρίζουν iPhones. Όσα θέλετε. Είμαι σίγουρος ότι τουλάχιστον θα παραξενευτείτε.

Επειδή το hacking είναι μεγάλο business και αποφέρει πολλά χρήματα, οι επιτιθέμενοι προσπαθούν να βρουν τρόπους να αποκτήσουν πρόσβαση. Προσφέρουν δωρεάν plugins σε διάφορα forums και “τορεντάδικα”, έχοντας εισάγει μια πίσω πόρτα (backdoor) στον κώδικα τους, επιτρέποντας τους να μπουν στο site σας όποτε θελήσουν. Σενάριο επιστημονικής φαντασίας; Σίγουρα όχι. Συμβαίνει. Δεν ισχυρίζομαι ότι γίνεται παντού και πάντα, αλλά ναι, είναι μια πραγματικότητα και δεν αξίζει να πάρετε τέτοιο ρίσκο.

Και βέβαια ισχύει η ίδια λογική με τα προηγούμενα: έχουμε πάντα τα plugins μας αναβαθμισμένα! Αν τυχόν διαπιστώσετε ότι ο κατασκευαστής του plugin σας το … παράτησε και δεν ασχολείται άλλο, αντικαταστήστε το άμεσα με κάποιο άλλο.

Όπως φροντίζουμε ο server και το site μας να είναι απαλλαγμένα από κινδύνους, έτσι οφείλουμε να κάνουμε για τους υπολογιστές που συνδέονται στο site μας. Επειδή δεν θέλουμε με τίποτα να μεταδώσουμε ιούς και malware από τον υπολογιστή μας στο site, ακολουθούμε την εξής απλή συνταγή:

• Έχουμε εγκατεστημένο και ενεργό ένα καλό antivirus πρόγραμμα (ανεξάρτητα αν τρέχουμε Windows η MacOS).
• Αποφεύγουμε να εγκαθιστούμε σπασμένα προγράμματα και κάθε είδους σπαστήρια.
• Δεν πατάμε σε περίεργα banners στο Internet που υπόσχονται λεφτά, φήμη και σεξουαλικές επιδόσεις!
• Δεν “ψαρώνουμε” με emails που μας ζητούν να ακολουθήσουμε συνδέσμους και να κάνουμε logins είτε στο site μας, είτε σε τράπεζες, Paypal κλπ.
• Έχουμε πάντα το λειτουργικό μας σύστημα αναβαθμισμένο.
• Χρησιμοποιούμε σύγχρονους browsers (ναι, είναι καιρός τα Windows XP και τον Internet Explorer 6 να τα αφήσουμε να πάνε στην ευχή του Θεού!).
• Δεν κάνουμε ποτέ login στο site μας από δημόσια wi-fi δίκτυα. Κάποιος μπορεί πολύ εύκολα να “μυρίσει” τα πακέτα που κυκλοφορούν στο δίκτυο και να συνθέσει την πληροφορία, άρα και τα στοιχεία login σας.

Οι εποχές ανεμελιάς των “12345678” passwords έχουν τελειώσει! Πρέπει να επιλέγουμε κωδικούς που παράγονται τυχαία και δεν σχετίζονται με κάποια λογική της καθημερινότητας μας (όπως ημερομηνίες γέννησης, ονόματα κλπ). Μπορεί για παράδειγμα ο κωδικός “s3cur3p@ssw0rd” να φαίνεται δύσκολος αλλά δεν είναι. Με το ίδιο σκεπτικό που οδήγησε εσάς να τον σκεφτείτε, πολύ εύκολα μπορεί να κάνει και ο επιτιθέμενος. Αντ’ αυτού, χρησιμοποιούμε γεννήτριες κωδικών για να παράξουμε πραγματικά δύσκολους κωδικούς (όπως πχ k4(C,0^/_(_$|~g )

Υπάρχουν πολλά εργαλεία στην διάθεση των hackers για να σπάνε κωδικούς. Η πιο γνωστή μέθοδος είναι οι επιθέσεις Brute Force, όπου δοκιμάζονται πάρα πολλά passwords με παραλλαγές σε πολύ γρήγορους χρόνους. Θα εκπλαγείτε πόσο αποτελεσματικό είναι!

Επίσης, για να ισχυροποιήσουμε περισσότερο την θέση μας, ενεργοποιούμε στο site μας μεθόδους περαιτέρω αυθεντικοποίησης, όπως είναι η two factor authentication. Με την βοήθεια δωρεάν εφαρμογών σε smartphones (όπως το Google Authenticator), παράγονται εξτρά κωδικοί, μικρής χρονικής διάρκειας, που τους χρησιμοποιούμε πέρα από το username και password για να κάνουμε login.

Με έναν τυχαίο κωδικό κοιπόν και έναν two step authenticator, κάνουμε σχεδόν ανέφικτο για τους hackers να μπούνε στο site μας μαντεύοντας τους κωδικούς σας.