Zainfekowana strona może wpływać na Twój biznes. Nie trać potencjalnych klientów – zabezpiecz ją przed atakami

Dziś temat, o którym rzadko się mówi klientom (a może mi się tylko tak wydaje?). Bezpieczeństwo strony www. Wiesz, że wirus może zainfekować Ci Windowsa. Ale o tym, że może też zainfekować Twoją stronę pewnie nikt Ci jeszcze nie powiedział ;). Efekty wirusa mogą wpływać na stan Twojego portfela.

Co się może stać na skutek zainfekowania strony wirusem?

Kilka konkretów na początek, żebyś mógł samodzielnie stwierdzić, czy warto się tym interesować:

Spamowe treści na Twojej stronie www

Jeśli Twoja strona www zostanie zainfekowana, mogą się na niej pojawić treści, których Ty nie publikowałeś. Zazwyczaj są to akapity tekstu zawierającego w sobie odnośniki do innych stron. Dzięki odnośnikom właściciel wirusa pozycjonuje swoją stronę w Google.* Jest jak pasożyt, który żeruje na swoim żywicielu. Nie zniszczy Ci strony doszczętnie (choć do tego przejdziemy zaraz), ale będzie z niej wysysał „energię”.

Przykład zainfekowanej strony:

Strona internetowa Komendy Powiatowej Policji. Zaznaczyłem odnośniki w tekście (i zamazałem nazwy miejscowości, żeby nikomu nie robić złego pijaru). Takiego screena wrzucono na jedną z grup pozycjonerów na Facebooku.

Po wyglądzie strony widać, że jest stara. I to pewnie było przyczyną infekcji – nieaktualizowane oprogramowanie jest mocno zagrożone właśnie tym, że ktoś postanowi się na nie włamać. Gdy piszę ten tekst, strona została już zaktualizowana.

* Pozycjonowanie stron w Google polega właśnie na zdobywaniu odnośników z innych serwisów do Twojego. Tak w dużym skrócie.

Strona zgłoszona jako dokonująca ataków – komunikat o zainfekowaniu zamiast Twojego serwisu

Innym rezultatem infekcji wirusem może być komunikat taki jak ten:

To przykład, z którym miałem osobiście do czynienia. Przyczyna: nieaktualne (wręcz stare!) oprogramowanie strony internetowej. W każdej przeglądarce internetowej ten komunikat wygląda nieco inaczej, ten jest akurat z Firefoxa.

Gdy Twoja strona zostanie zainfekowana, internauci zamiast jej treści zobaczą właśnie taką informację. W ułamku sekundy ruch na stronie spadnie właściwie do zera. Oto screen ze statystyk oglądalności tej strony:

Zaznaczone miejsce to oczywiście dzień, w którym pojawił się powyższy komunikat o infekcji. Ruch na stronie spadł do zera.

Kolejny efekt infekcji: niższe pozycje w wynikach wyszukiwania Google

Strona może też spaść w wynikach wyszukiwania Google. Dzieje się tak z prostej przyczyny: Google wysoko wyświetla tylko wartościowe strony. Jeśli w Twoim serwisie znajdzie spamowe linki (jak w przykładzie ze stroną policji), uzna ją za zagrożenie dla internautów i niezbyt chętnie będzie ją pokazywać na wysokich pozycjach.

Spadek reputacji strony

A co pomyślą internauci, gdy zamiast Twojego serwisu zobaczą komunikat o infekcji? Czy będą mieli ochotę wejść na stronę jeszcze raz? Raczej nie. Zamiast tego, stracisz po prostu potencjalnych klientów.

Nie wirus, ale też groźne: awaria serwera

To jeszcze jedna przyczyna spadku ruchu na Twojej stronie www. Możesz mieć stronę zabezpieczoną jak więzienie San Quentin, a i tak strona przestanie działać. Dlaczego? Przez firmę hostingową.

Większość awarii hostingu nie trwa długo (od kilku minut do kilku godzin– może raz-dwa razy do roku). To normalne i należy się tego spodziewać. Zauważ, że żadna firma hostingowa nie obiecuje 100% działania swoich serwerów. Zwykle jest to 99,7% – 99,9% – ten parametr nazywają słowem uptime.

Jednak czasem zdarzają się awarie wręcz epickie. Jedna z nich zszokowała polską branżę hostingową nie tak dawno, na początku 2016 roku. Klienci stracili swoje całe strony www. Jeśli ktoś nie robił swoich kopii zapasowych, został bez strony www. Teoretycznie, firma hostingowa powinna wykonywać kopie bezpieczeństwa, ale zostały one usunięte przez włamywacza razem z pozostałą zawartością serwerów.

Nie chcę tu opisywać całej historii, ale łatwo przeczytasz o niej w Sieci. Zacznij choćby tu: http://www.spidersweb.pl/2016/04/adweb-koniec.html

Czy można się jakoś zabezpieczyć przed infekcjami?

W dużym stopniu można. 100% bezpieczeństwo nie jest natomiast możliwe. Trochę tak, jak na przykład z Windowsem w Twoim komputerze – nawet, jeśli masz antywirusa, może Ci się wkraść wirus. Nie wynaleziono 100% pewnych zabezpieczeń.

Istnieje organizacja o nazwie Sucuri (sucuri.net). Zajmują się właśnie bezpieczeństwem stron www, w tym bezpieczeństwem stron zbudowanych na WordPressie.

Napisałem do nich kiedyś e-mail z pytaniem: czy jest możliwe zabezpieczenie serwisu w 100%? Tak mi odpisał Josko Dzidic:

This is what our CEO once said: I can’t say you will never be hacked again, it’s impossible for us, or any security vendor, to make such a statement. If you gave us full control, hosted in our environment, we took all your permissions away, then, and only then, could I dream of making such a statement – but then it’d be our website, and not yours.. 🙂 The biggest issue with this kind of guarantee, as you might have noticed or know, is variability. There are just to many variables we can’t account for, specifically what you, the website owner, will and won’t do. Lastly, I encourage you to think about things a bit differently. Security is not about risk elimination, but about risk reduction. What I can guarantee is that the tools we offer you reduce your threat landscape so that only the more advanced attackers will want to spend time trying to penetrate your environment, that’s how we offer you peace of mind.

W moim luźnym tłumaczeniu:

Oto, co powiedział kiedyś nasz CEO: nie mogę obiecać, że twoja strona już nigdy nie zostanie zainfekowana, niemożliwe jest abyśmy my, ani jakikolwiek inny dostawca rozwiązań zabezpieczających to obiecali. Gdybyś dał nam pełną kontrolę nad swoją stroną, umieścił ją na naszych serwerach i zabralibyśmy ci wszystkie uprawnienia do niej, wtedy i tylko wtedy mógłbym marzyć o obiecaniu czegoś takiego – ale wtedy byłaby to nasza strona, a nie twoja 🙂 Największym problemem w tego typu gwarancjach jest zmienność. Jest po prostu zbyt wiele zmiennych na których nie możemy polegać, w szczególności co ty, jako właściciel strony, zrobisz albo czego nie zrobisz. Zachęcam cię do myślenia o bezpieczeństwie w kategoriach redukcji ryzyka, a nie jego całkowitej eliminacji. To, co mogę ci obiecać, to to, że nasze narzędzia zmniejszają ryzyko infekcji/włamania do takiego stopnia, że tylko najbardziej zaawansowani atakujący mogą chcieć poświęcić czas na złamanie twoich zabezpieczeń. W taki właśnie sposób oferujemy ci spokój umysłu.

W skrócie: obietnica 100% bezpieczeństwa nie jest możliwa, ponieważ nawet, jeśli stronę zabezpieczy się najlepszymi technikami, to i tak pozostaje tzw. czynnik ludzki. Może się okazać, że np. właściciel zapomni włączyć ochronę przed włamaniami. Albo ma nieaktualny antywirus. Albo firma hostingowa padnie ofiarą fizycznego włamania. Takich czynników może być mnóstwo.

Zmartwiony? Spokojnie. Można dużo zrobić, aby nie mieć problemów lub w razie ich wystąpienia szybko sobie z nimi poradzić.

Po pierwsze – zabezpieczenie strony. Nie chcę tu wchodzić w techniczne szczegóły, ale jest tak:

Wielu mniej doświadczonych twórców stron nie zabezpiecza swoich dzieł – po prostu jeszcze nie wiedzą, że trzeba to robić. A to prosta droga do tego, żeby taki serwis stał się łatwym celem ataku. To po pierwsze.

Po drugie: skoro nie można być w 100% pewnym jakichkolwiek zabezpieczeń, trzeba robić regularne kopie zapasowe. Tylko mając własne kopie strony, możemy być pewni, że w razie awarii/infekcji/innego losowego zdarzenia nie zostaniemy z niczym. Mając kopię, często można dość łatwo i szybko uruchomić serwis na nowo.

Mówi się w branży, że właściciele stron dzielą się na tych, którzy robią kopie zapasowe strony i na takich, którzy będą je robić.

Kopie zapasowe mogą wykonywać się automatycznie, choć zdecydowanie polecam wykonywanie ich ręcznie. Dlaczego? Bo automat też może zawieść. Zdarzyła mi się na przykład sytuacja, że akurat, gdy wtyczka wykonywała kopię zapasową serwisu… serwer przestał działać. Kopia się oczywiście nie wykonała, a gdy była potrzebna – nie było jej.

Słowo na koniec

Kilkakrotnie miałem taką sytuację: informowałem klienta o konieczności zabezpieczenia jego strony www. Po głosie w słuchawce domyśliłem się, że mi nie wierzy i myśli, że tylko chcę wyciągnąć od niego więcej pieniędzy. Jestem człowiekiem, który nie lubi się narzucać, więc nie drążyłem tematu i więcej nie wspominałem o zabezpieczeniach. Jak to się kończyło? Nie zawsze, ale w kilku przypadkach strona po jakimś czasie padała ofiarą ataku i trzeba było ją naprawiać, a w jednym przypadku nawet postawić na nowo. Dlatego zadbaj o to, żeby Twój serwis był zabezpieczony i zapewnij sobie możliwość wykonywania kopii zapasowych – nie licz na firmę hostingową.

Dodaj komentarz

Strony i reszta