Hosting musi być szybki i wydajny – ale to jednak bezpieczeństwo serwera stanowi jedną z podstaw funkcjonowania Twojej strony internetowej. Jak wybór hostingu może wpłynąć na bezpieczeństwo Twojej witryny (oraz skrzynki e-mailowej)? Przekonaj się!
Samo uruchomienie witryny to dopiero pierwszy krok. Jako administrator strony internetowej, musisz zadbać o jej odpowiednie zabezpieczenie.
Bez tego może być Ci trudno zachęcić odwiedzającego do zakupu na stronie.
Może być Ci ciężko uzyskać dobrą pozycję w Google – w końcu algorytmy podczas ratingu premiują strony, które umożliwiają “safe browsing” (czyli brak wirusów czy szkodliwego oprogramowania na stronie).
Może być także nieprzyjemnie, kiedy przyjdzie Ci się tłumaczyć z zawirusowanej strony czy nieautoryzowanych wiadomości wysyłanych z Twojej skrzynki mailowej.
Jaka jest w tym wszystkim rola serwera? Przyjrzyj się 12 elementom, na które musisz zwrócić szczególną uwagę wybierając bezpieczny hosting.
Ochrona antywirusowa
Wirusy stanowią poważne zagrożenie dla strony internetowej. Zainfekowanie witryny niestety bardzo często jest wynikiem zaniedbań ze strony jej administratora. Niekorzystanie z dostępnych mechanizmów zabezpieczających sprawia, że wirus w takim środowisku nie natrafia na żadne bariery.
Ochrona antywirusowa hostingu to jedno z podstawowych narzędzi, które mogą pomóc w ograniczeniu rozprzestrzeniania się szkodliwego oprogramowania na serwerze. Gdy dostawca na swoich dyskach ma zainstalowany program antywirusowy, takie oprogramowanie na bieżąco monitoruje dyski w poszukiwaniu zainfekowanych plików. Jeżeli taki się pojawi – zostanie on usunięty lub skierowany na kwarantannę.
Dlatego, jeżeli zależy Ci na dobrze zabezpieczonej stronie internetowej, warto wybrać hosting, który oferuje różnego rodzaju pakiety bezpieczeństwa oparte na oprogramowaniu chroniącym przed wirusami czy malware’em (szkodliwym oprogramowaniem).
Pamiętaj przy tym, że programy antywirusowe swoją ochronę rozpościerają nie tylko nad plikami strony internetowej, ale także pocztą elektroniczną, która utrzymywana jest na serwerze.
Separacja stron internetowych
Jednak oprogramowanie antywirusowe to tylko jeden z elementów bezpiecznej strony internetowej. W celu zapewnienia bezpiecznego funkcjonowania stron internetowych, konieczne jest korzystanie także z innych zabezpieczeń.
Kolejnym z nich jest separacja stron internetowych. To rozwiązanie ma na celu uniemożliwienie rozprzestrzeniania się wirusa na serwerze. Gdy strona zostanie zainfekowana, wirusy mogą pojawić się w wielu katalogach na serwerze. Jednak – gdy foldery te są od siebie odseparowane – możliwości swobodnego przejścia pomiędzy poszczególnymi katalogami stają się mocno ograniczone.
Co z tego wynika – otóż, jedna zainfekowana strona nie musi oznaczać blokady całego serwera. Łatwiej jest zdusić infekcję w jednym katalogu – a nie, gdy wirus rozprzestrzeni się na inne strony. Wtedy może już być za późno.
WAF
Kolejnym elementem, który ma bardzo istotny wpływ na bezpieczeństwo strony internetowej jest WAF. Pod tym skrótem kryje się Web Application Firewall – a więc jest to zapora chroniąca aplikacje internetowe przed rozmaitymi cyberatakami. Takie aplikacje to np. Twoja strona zbudowana na WordPressie lub innym systemie CMS.
Schemat działania WAF (microsoft.com).
WAF działa w tle i na bieżąco wykrywa wszelkiego rodzaju podejrzane aktywności, które mogłyby zakłócić funkcjonowanie strony. A zatem – Ty nie musisz robić nic, a strona jest chroniona przed cyberatakami – oczywiście, jeżeli zdecydujesz się na hosting, który oferuje takie zabezpieczenie.
Wsparcie klienta
Dobry support może przydać się częściej niż myślisz. Kontaktując się z Biurem Obsługi Klienta będziesz w stanie szybko rozwiązać problem, który pojawił się na Twoim serwerze. Możesz też ekspresowo przywrócić kopię zapasowe czy poinformować dostawcę usług o awarii.
Jednak – żeby było to możliwe – potrzebne jest wsparcie klienta przez 24 godziny i przez 7 dni w tygodniu. Przecież nie możesz dopuścić do sytuacji, że z Twoją zainfekowaną stroną nikt nic nie zrobi przez weekend – tylko dlatego, że za późno zgłosisz usterkę do dostawcy usług hostingowych.
A jak poznać dobre wsparcie klienta? Model 24/7 to tylko jeden z elementów. Istotne są także kanały komunikacji. Dobrze jest mieć możliwość kontaktu nie tylko mailowego, ale również telefonicznego czy nawet przez czat. Sprawdź także, jakie są opinie na temat supportu danego dostawcy – bez trudu znajdziesz takie informacje np. na forach czy w grupach na Facebooku.
Kopie bezpieczeństwa
Kopie bezpieczeństwa zostały już przywołane przy okazji obsługi klienta. Backup jest bowiem jednym z filarów bezpieczeństwa strony internetowej. Jakikolwiek atak, pojawienie się wirusa, problem z aktualizacją czy po prostu zwykła pomyłka – wszystko to sprawia, że Twoja strona może ulec poważnej awarii i być niedostępna dla odwiedzających.
Dobrze jest mieć możliwość zrobienia (i pobrania) kopii zapasowej z poziomu panelu hostingowego.
Jednak, jeżeli masz dostęp do “świeżej” kopii zapasowej, wystarczy ją przywrócić, aby strona zaczęła działać z powrotem. Żeby jednak było to możliwe, hosting powinien:
- wykonywać kopię zapasowe przynajmniej raz dziennie,
- przechowywać backup przez przynajmniej tydzień,
- umożliwiać szybkie przywrócenie kopii – zarówno z poziomu panelu, jak i poprzez kontakt z supportem.
Jeżeli zdecydujesz się na serwer, w którym możesz liczyć na takie rozwiązania – wówczas nawet w przypadku poważnej awarii lub cyberataku, stronę uda Ci się szybko przywrócić do stanu używalności.
Aktualne PHP i HTTP
Aktualność wykorzystywanych technologii to jeden z kluczy do bezpieczeństwa strony. Każdy update – czy to oprogramowania serwerowego, czy używanych przez Ciebie wtyczek i widgetów – oferuje nie tylko rozmaite poprawki dotyczące wydajności i szybkości, ale także liczne poprawki w zakresie bezpieczeństwa.
PHP to język, który jest wykorzystywany przez zdecydowaną większość stron internetowych. To on odpowiada m.in. za komunikację z bazami danych – pozyskując w ten sposób treści, które są wyświetlane w witrynie.
Język PHP zmienia się na przestrzeni lat. Wypuszczane są nowe wersje i generacje. W momencie wypuszczenia najnowszej odsłony, poprzednie wersje są wspierane tylko przez jakiś czas. Wygląda to mniej więcej tak, że po wprowadzeniu generacji PHP jest ona aktywnie wspierana przez ok. 2 lata. Następnie przez rok otrzymuje ona niezbędne łatki bezpieczeństwa. Po tym czasie jest ona uznawana za przestarzałą.
Gdy hosting korzysta z niewspieranej wersji PHP – to nie dość, że jest on mniej wydajny, to także pozostawia wiele luk bezpieczeństwa, które mogą zostać wykorzystane podczas cyberataku.
Z kolei HTTP to protokół wykorzystywany do nawiązania połączenia pomiędzy przeglądarką użytkownika a serwerem. Dzięki niemu możliwa jest wymiana danych potrzebnych do wyświetlenia witryny na urządzeniu odwiedzającego. Także HTTP ma swoje wersje i generacje. Najnowsza odsłona HTTP/3 cechuje się znacznie większym bezpieczeństwem od swoich poprzedników, ponieważ jest oparta na TLS czyli rozwiązaniu zapewniającym integralność przesyłanych danych.
W związku z tym, wybierając hosting warto zadbać o to, aby korzystał on z jak najbardziej aktualnych technologii. Najnowsza wersja PHP oraz generacja HTTP od razu pokażą, jaki jest stosunek dostawcy usług hostingowych do “bycia na bieżąco”.
Ochrona DNS (DNSSEC i DNS ANYCAST)
Dla funkcjonowania stron internetowych niezwykle istotne są serwery DNS. To właśnie one tłumaczą adres IP na adres strony zapisany słownie.
Jednak funkcjonowanie DNS może także zostać zakłócone w następstwie cyberataku. Przed skutkami takich zdarzeń chronią systemy takie jak:
- DNSSEC – ta technologia sprawdza zgodność adresu IP z domeną zapisaną słownie. Dzięki temu użytkownik po wpisaniu adresu faktycznie zobaczy witrynę, jakiej szuka – a nie jej makietę stworzoną w celu wyłudzenia danych;
- DNS Anycast – polega na utrzymywaniu serwerów DNS w różnych miejscach na świecie. Dzięki takiemu rozwiązaniu awaria jednego serwera nie prowadzi do problemów z wyświetleniem Twojej witryny.
Ochrona Anty-DDoS
Popularnym typem cyberataków na strony internetowe jest DDoS. Nazwa ta odnosi się do masowego wywołania strony, celem jej zablokowania. W związku z ogromną ilością zapytań przesyłanych w jednej chwili, serwer po prostu traci moce przerobowe, co kończy się tym, że strona przestaje się prawidłowo wyświetlać.
Schemat ataku DDOS. (xantaro.com)
Bardzo dobrą ochroną anty-DDOS jest… wydajny serwer. Oprogramowanie takie jak LiteSpeed może oczywiście zmniejszać obciążenie hostingu (szczególnie w kontekście PHP), co także minimalizuje ryzyko zablokowania się strony.
Jednak niektóre firmy hostingowe oferują także specjalne systemy, które na bieżąco monitorują ruch na serwerze i są w stanie odfiltrować podejrzany ruch (pochodzący od botów) od tego pochodzącego od “prawdziwych” użytkowników. A po takim filtrowaniu, ruch jest przekierowany – chroniąc przed nadmiernym zużyciem zasobów serwera.
Ochrona poczty e-mail (SPF, DKIM, DMARC)
Gdy mowa o bezpiecznym hostingu, musisz wiedzieć, że jest to zagadnienie istotne nie tylko dla stron internetowych, ale także w kontekście poczty e-mail. W końcu to właśnie na serwerze przechowywane są pliki poczty elektronicznej.
Swoje konto e-mailowe warto zabezpieczyć na dwa sposoby. Z jednej strony chodzi o wszelkiego rodzaju filtry antyspamowe – czyli automatyczne odsiewanie wiadomości-śmieci. W takim wypadku Ty, jako odbiorca, chronisz się przed potencjalnie groźnymi wiadomościami.
Jednak konto poczty elektronicznej należy zabezpieczyć także w kontekście poczty wychodzącej. Musisz wiedzieć o tym, że z Twojej domeny mogą być wysyłane rozmaite nieautoryzowane wiadomości, które mogą mieć na celu np. wyłudzenie danych czy płatności. Choć Ty formalnie nie będziesz mieć z tym wiele wspólnego, to jednak może to mieć dla Ciebie spore konsekwencje. W końcu to z Twoim nazwiskiem będzie kojarzona próba wyłudzenia.
Aby zabezpieczyć pocztę w kontekście wiadomości wychodzących, skorzystaj z następujących technologii:
- SPF – Sender Policy Framework – czyli protokół weryfikujący adres IP nadawcy wiadomości z rekordami zapisanymi w DNS;
- DKIM – DomainKeys Identified Mail – czyli protokół weryfikujący podpis cyfrowy (zawarty w wysyłanej wiadomości) z kluczem publicznym (zamieszczonym na serwerze DNS)
- DMARC – Domain-based Message Authentication, Reporting and Conformance – to system, który odpowiada za politykę dotyczącą pożądanych działań w przypadku otrzymania nieautoryzowanej wiadomości (czego skutkiem jest np. usunięcie czy wprowadzenie do kwarantanny), a także za raportowanie o tego typu nieautoryzowanych zdarzeniach
SSL
Certyfikat SSL to jeden z kluczowych składników bezpiecznej strony internetowej. Jest on wykorzystywany w celu weryfikacji strony w przeglądarce użytkownika. Dzięki niemu odwiedzającemu wyświetla się informacja, że z daną stroną wszystko jest w porządku, w związku z tym możliwe jest nawiązanie bezpiecznego połączenia – czyli takiego, które jest chronione przed ingerencją osób z zewnątrz. Z kolei, gdy strona nie zostanie pozytywnie zweryfikowana – użytkownikowi wyświetli się monit bezpieczeństwa.
Certyfikat SSL jest dostępny w wersjach płatnych, jednak z jego pełnej funkcjonalności możesz skorzystać także w wersji bezpłatnej. W praktyce jedyna różnica polega na tym, że certyfikat wydawany jest na 3 a nie na 12 miesięcy, jednak jeżeli hosting wspiera taką technologię, to będzie on automatycznie przedłużany.
Taki monit może wyświetlić się odwiedzającym Twoją stronę, jeżeli nie korzystasz z SSL.
Strona z certyfikatem SSL nie tylko daje poczucie bezpieczeństwa użytkownikowi – który widząc zamkniętą kłódkę i przedrostek HTTPS przy adresie nie ma oporów przed pozostawieniem danych na stronie. Taki certyfikat jest także niezwykle istotny dla pozycji strony w indeksach wyszukiwania.
Google podczas ratingu strony zwraca uwagę na to, aby strona posiadała SSL. Strony, które umożliwiają łączenie z wykorzystaniem HTTPS będą mieć lepsze wyniki w indeksach wyszukiwania.
Bezpieczeństwo danych osobowych
Gdy mowa o bezpiecznym hostingu, nie można pominąć tematu ochrony danych osobowych. RODO nakłada na każdego administratora stron internetowych mnóstwo obowiązków związanych z przetwarzaniem danych osobowych klientów.
Jeżeli Twoja strona internetowa np.:
- śledzi ruch użytkowników,
- ma formularz kontaktowy,
- umożliwia zapisanie do newslettera.
to dochodzi do przetwarzania danych osobowych. A jeżeli stronę utrzymujesz na hostingu – to powierzasz te dane firmie utrzymującej serwery.
W związku z tym musisz zadbać o odpowiednią umowę z dostawcą usług. Umowa o powierzenie danych osobowych staje się powoli standardem podczas zakupu hostingu. Upewnij się, że tak samo jest w przypadku oferty, z której korzystasz.
Bezpieczne logowanie
Bezpieczeństwo hostingu zależy także od Twojego podejścia do takich spraw. Strzeżenie haseł dostępowych przed dostępem osób niepowołanych jest oczywiście więcej niż wskazane. Wylogowywanie się z panelu hostingowego po zakończeniu wprowadzania zmian – to także bardzo dobra praktyka.
Jednak przezorny zawsze ubezpieczony – dlatego warto zdecydować się na hosting z dwuskładnikowym logowaniem. W takim wypadku nie wystarczy wprowadzić nazwy użytkownika oraz hasła, żeby dostać się do panelu. Konieczne jest także np. wpisanie kodu otrzymanego na SMS. W takim wypadku podczas cyberataku zdecydowanie trudniej jest sforsować dostęp do ustawień Twojego serwera.
Nie każdy hosting oferuje taką możliwość – nieraz trzeba ją samodzielnie włączyć w panelu hostingowym. Jednak prawda jest taka – że warto to zrobić, bo dla cyberprzestępcy może to być przeszkoda trudna do przeskoczenia.
Hosting ma ogromny wpływ na bezpieczeństwo strony internetowej – w końcu to na nim przechowujesz pliki potrzebne do wyświetlenia witryny. Jak widzisz – przyglądając się parametrom serwera możesz szybko sprawdzić, jak w praktyce wygląda podejście danej firmy hostingowej do tematu bezpieczeństwa.
Naprawdę warto się o to zatroszczyć – zwłaszcza, że jeżeli wybierzesz dobrze, to duża część kwestii zabezpieczeń spadnie z Twoich barków – a zostanie przejęta przez firmę hostingową.