Διατηρήστε ενημερωμένο το λογισμικό σας

Μπορεί να φαίνεται προφανές, αλλά η διασφάλιση ότι διατηρείτε ενημερωμένο όλο το λογισμικό είναι ζωτικής σημασίας για τη διατήρηση της ασφάλειας του ιστότοπού σας. Αυτό ισχύει τόσο για το λειτουργικό σύστημα διακομιστή όσο και για οποιοδήποτε λογισμικό που χρησιμοποιείτε στον ιστότοπό σας, όπως CMS ή φόρουμ. Όταν εντοπίζονται τρύπες ασφαλείας ιστότοπου σε λογισμικό, οι χάκερ προσπαθούν γρήγορα να τους κάνουν κατάχρηση.

Εάν χρησιμοποιείτε μια διαχειριζόμενη λύση φιλοξενίας (managed hosting), τότε δεν χρειάζεται να ανησυχείτε πολύ για την εφαρμογή ενημερώσεων ασφαλείας για το λειτουργικό σύστημα, καθώς η εταιρεία φιλοξενίας θα πρέπει να το φροντίσει..

Εάν χρησιμοποιείτε λογισμικό τρίτων στον ιστότοπό σας, όπως ένα CMS ή ένα φόρουμ, θα πρέπει να διασφαλίσετε ότι θα εφαρμόσετε γρήγορα τυχόν ενημερώσεις ασφαλείας. Οι περισσότεροι προμηθευτές έχουν μια λίστα αλληλογραφίας ή μια ροή RSS που περιγράφει λεπτομερώς τυχόν προβλήματα ασφάλειας του ιστότοπου. Το WordPress, το Umbraco και πολλά άλλα CMS σας ενημερώνουν για τις διαθέσιμες ενημερώσεις συστήματος όταν συνδέεστε.

Πολλοί προγραμματιστές χρησιμοποιούν εργαλεία όπως το Composer, το npm ή το RubyGems για τη διαχείριση των εξαρτήσεων λογισμικού τους και οι ευπάθειες ασφαλείας που εμφανίζονται σε ένα πακέτο στο οποίο βασίζεστε, αλλά αν δεν προσέχετε είναι ένας από τους ευκολότερους τρόπους να σας δημιουργηθούν προβλήματα. Βεβαιωθείτε ότι διατηρείτε ενημερωμένες τις εξαρτήσεις σας και χρησιμοποιείτε εργαλεία όπως το Gemnasium για να λαμβάνετε αυτόματες ειδοποιήσεις όταν ανακοινώνεται μια ευπάθεια σε ένα από τα στοιχεία σας.

 

Ελέγξτε τους κωδικούς πρόσβασης

Όλοι γνωρίζουν ότι πρέπει να χρησιμοποιούν σύνθετους κωδικούς πρόσβασης, αλλά αυτό δεν σημαίνει ότι χρησιμοποιούν πάντα. Είναι ζωτικής σημασίας να χρησιμοποιείτε ισχυρούς κωδικούς πρόσβασης στην περιοχή διαχειριστή του διακομιστή και του ιστότοπού σας, αλλά εξίσου σημαντικό είναι επίσης να επιμείνετε σε ορθές πρακτικές κωδικού πρόσβασης για τους χρήστες σας για την προστασία της ασφάλειας των λογαριασμών τους.

 

Όσο και αν δεν τους αρέσει στους χρήστες, η επιβολή απαιτήσεων κωδικού πρόσβασης, όπως τουλάχιστον οκτώ χαρακτήρων, συμπεριλαμβανομένου ενός κεφαλαίου γράμματος και αριθμού θα συμβάλει στην προστασία των πληροφοριών τους μακροπρόθεσμα.

 

Οι κωδικοί πρόσβασης πρέπει πάντα να αποθηκεύονται ως κρυπτογραφημένες τιμές, κατά προτίμηση χρησιμοποιώντας έναν μονόδρομο αλγόριθμο κατακερματισμού όπως το SHA. Η χρήση αυτής της μεθόδου σημαίνει ότι όταν κάνετε έλεγχο ταυτότητας χρηστών συγκρίνετε μόνο κρυπτογραφημένες τιμές. Για επιπλέον ασφάλεια ιστότοπου, είναι καλή ιδέα να αφαιρέσετε τους κωδικούς πρόσβασης, χρησιμοποιώντας ένα νέο αλάτι ανά κωδικό πρόσβασης.

 

Σε περίπτωση που κάποιος παραβιάσει και κλέψει τους κωδικούς πρόσβασής σας, η χρήση κατακερματισμένων κωδικών πρόσβασης θα μπορούσε να βοηθήσει στον περιορισμό των ζημιών, καθώς δεν είναι δυνατή η αποκρυπτογράφηση τους. Το καλύτερο που μπορεί να κάνει κάποιος είναι μια επίθεση με λεξικό (dictionary attack) ή μια επίθεση brute force, βασικά μαντεύοντας κάθε συνδυασμό μέχρι να βρει έναν αντίστοιχο κωδικό. Όταν χρησιμοποιείτε κωδικοποιημένους κωδικούς πρόσβασης, η διαδικασία διάσπασης ενός μεγάλου αριθμού κωδικών πρόσβασης είναι ακόμη πιο αργή, καθώς κάθε εικασία πρέπει να κατακερματίζεται ξεχωριστά για κάθε ζευγάρι κωδικών πρόσβασης που είναι υπολογιστικά πολύ ακριβό.

 

Ευτυχώς, πολλά CMS παρέχουν στη διαχείριση των χρηστών έξω από το κουτί πολλές ενσωματωμένες από αυτές τις δυνατότητες ασφάλειας του ιστότοπου. Εάν χρησιμοποιείτε .NET, τότε αξίζει να χρησιμοποιήσετε παρόχους συνδρομής, καθώς είναι πολύ διαμορφώσιμοι, παρέχετε ενσωματωμένη ασφάλεια ιστότοπου και συμπεριλάβετε έτοιμα στοιχεία ελέγχου για σύνδεση και επαναφορά κωδικού πρόσβασης

 

Χρήση HTTPS

HTTPS είναι ένα πρωτόκολλο που χρησιμοποιείται για την παροχή ασφάλειας μέσω του Διαδικτύου. Το HTTPS εγγυάται ότι οι χρήστες μιλούν στον διακομιστή που περιμένουν και ότι κανείς άλλος δεν μπορεί να υποκλέψει ή να αλλάξει το περιεχόμενο που βλέπουν κατά τη μεταφορά.

 

Αν έχετε κάτι που οι χρήστες σας μπορεί να θέλουν ιδιωτικά, συνιστάται να χρησιμοποιείτε μόνο HTTPS για να το παραδώσετε. Πχ πιστωτικές κάρτες και σελίδες σύνδεσης (και τις διευθύνσεις URL στις οποίες υποβάλλουν), αλλά συνήθως και πολύ περισσότερο από τον ιστότοπό σας. Μια φόρμα σύνδεσης θα ορίζει συχνά ένα cookie, για παράδειγμα, το οποίο αποστέλλεται με κάθε άλλο αίτημα στον ιστότοπό σας που κάνει ένας συνδεδεμένος χρήστης και χρησιμοποιείται για τον έλεγχο ταυτότητας αυτών των αιτημάτων. Ένας εισβολέας που κλέβει αυτό θα μπορούσε να μιμηθεί τέλεια έναν χρήστη και να αναλάβει τη συνεδρία σύνδεσης. Για να νικήσετε τέτοιου είδους επιθέσεις, σχεδόν πάντα θέλετε να χρησιμοποιήσετε το HTTPS για ολόκληρο τον ιστότοπό σας.

 

Συγκεκριμένα, η Google έχει ανακοινώσει ότι θα σας ανεβάσει στην κατάταξη αναζήτησης εάν χρησιμοποιείτε HTTPS, δίνοντας αυτό και ένα πλεονέκτημα SEO. Το μη ασφαλές HTTP έχει ξεκινήσει και τώρα είναι η ώρα για αναβάθμιση.

Χρησιμοποιείτε ήδη HTTPS παντού; Προχωρήστε περαιτέρω και δείτε τη ρύθμιση HTTP Strict Transport Security (HSTS), μια εύκολη κεφαλίδα που μπορείτε να προσθέσετε στις απαντήσεις του διακομιστή σας για να απαγορεύσετε το μη ασφαλές HTTP για ολόκληρο τον τομέα σας.