sikkerhet

Slik kan du beskytte nettsiden din mot hacking

Hvorfor bør du beskytte nettsiden din mot hacking? En eventuell hacking kan resultere i svært ødeleggende konsekvenser for din bedrift. Det kan gå utover omdømmet og kundeforholdene deres, i tillegg til å gå utover bedriftens økonomi. Har får du vite hvordan noen hackerne går frem, og får 12 tips til hvilke grep du kan ta for å sikre bedriftens digitale tilstedeværelse.

Slik går hackerne frem for å få tilgang til din nettside

Hackere forsøker å oppnå tilgang til nettsider ved hjelp av flere metoder. Dette er noen av dem:

Phishing

Hackeren sender falsk E-post eller SMS til deg eller medarbeiderne dine for å lure til seg informasjon som gir de tilgang til nettsiden. E-posten eller SMS’en virker troverdig fordi den kan se ut til å komme fra internettleverandøren eller hostingtjenesten.

Distribuert Denial of Service

DDoS angriper krasjservere ved å sende millioner av forespørsler om nettstedtilgang via botnett eller «zombiedatamaskiner». Serveren som hoster nettstedet klarer ikke å håndtere den økte trafikken, og dermed blir nettstedet utilgjengelig. DDoS-angrep og løsepengekrav går ofte hånd i hånd.

Brute Force-angrep

Her bruker hackerne datamaskiner som forsøker å gjette riktig påloggingsinformasjon helt til de har gjettet riktig og får tilgang.

Dette er dessverre en enkel fremgangsmåte for hackere fordi mange bedrifters medarbeidere er for slepphendte med å lage sterke passord. En gjenganger er f eks «12345678» til passord.

Tiltak for å unngå at nettsiden blir hacket

1. Sørg for at nettsiden blir sikkerhetskopiert kontinuerlig

Sikkerhetskopier hindrer nødvendigvis ikke hacking, men det er en proaktiv handling som sikrer bedriften din mot tap av innhold dersom hackingen skulle skje.

Mange hostingtjenester tilbyr daglig sikkerhetskopi av nettsidens innhold og database, men for å være helt trygg mot tap av nettsidens innhold bør det gjøres jevnlige backup i tillegg til dette.

Når jeg lager nettsider på oppdrag for kunder, knytter jeg derfor nettsiden opp mot en ekstern tjeneste som kjører daglige backups av hele nettsidens innhold. Disse sikkerhetskopiene kommer da i tillegg til hostingtjenestens eventuelle sikkerhetskopier og byr på ekstra trygghet for bedriften som eier nettsiden.

Dersom din bedrift ønsker å gjøre backups til egne servere i tillegg, finnes det også muligheter for dette.

2.    Sørg for å bruke sikre passord

Sørg for at alle med tilgang til nettsiden bruker sterke passord, gjerne med to-trinns autentisering dersom det er mulig.

Dersom nettsiden din tilbyr innlogging for besøkende, kunder, og andre brukere, -sørg for at disse også velger gode og sterke passord.

3.    Unngå å bruke «admin» som brukernavn

Dersom et enkelt brukernavn brukes sammen med et dårlig passord, øker det risikoen for at Brute-Force Attacks lykkes med å gi hackeren tilgang.

Brukernavnet «Admin» kan komme som et ferdig-generert forslag når en ny WordPress-nettside lages, og derfor er det også mye brukt.  Dette brukernavnet regnes derfor som et veldig svakt brukernavn og frarådes på det sterkeste.

4.    Sørg for at kundedata er trygge

Dersom din bedrift f eks har nettbutikk , medlemssider eller online kurs, betyr det som oftest at brukerne legger igjen kontaktinformasjon på nettsiden din. Dette er informasjon hackere kan benytte seg av.

Krypter derfor kundedata og lagre dem separat fra nettstedets servere.

5.    Vær restriktiv med installasjoner

Det finnes utrygge plugins og tjenester for nettsider, akkurat slik det også finnes skadelige programvarer til data og Mac. Det er derfor lurt å sikre nettsiden mot at medarbeidere (og andre brukere med innlogging til nettsiden) har mulighet til å gjøre installasjoner og legge til utvidelser på nettsiden. Kun én person bør ha administrasjonstilgang.

6.    Begrens tilgang

Begrenset tilgang med tildelte roller

WordPress-baserte nettsider bør som nevnt i punktet ovenfor kun ha én bruker med administrasjonstilgang, og i mange tilfeller er dette den som står bak utformingen av nettsiden.

Dersom det er behov for at flere personer har administrasjonstilgang, bør dette være noen med generell kunnskap om nettsidens funksjoner og kunnskap om hvordan man unngår utrygge plugins. Personen bør også kunne bruke nettsiden uten at det påvirker designet som er blitt etablert.

På WordPress-baserte nettsider kan brukere tildeles forskjellige roller som gir forskjellig type tilgang. Gi kun den type tilgang som er nødvendig for brukerens oppgaver på siden og sørg for at alle brukere bruker sterke brukernavn og passord som ikke deles med andre.

Begrens IP-adresser med tilgang

Det er også mulig å begrense tilgangen til viktige områder i nettsidens struktur, som f eks wp-admin, ved å kontrollere hvilke IP-adresser som har tilgang. Dette kan gjøres gjennom nettstedets .htaccess-fil.

7.    Oppdater regelmessig

Sørg for at WordPress, Themes (temaene) og plugins alltid er oppdatert til de nyeste versjonene. Utviklerne bak disse elementene kommer ofte med sikkerhetsoppdateringer for å hindre sårbarheter.

Les dette innlegget om hvorfor og hvordan nettsidens elementer bør holdes oppdatert.

8.    Overvåk nettsiden

For økt sikkerhet kan du ta i bruk sikkerhetsplugins eller overvåkningsverktøy på nettsiden. Disse er laget for å oppdage uvanlige aktiviteter og potensielle sikkerhetsbrudd og varsler deg om mistenkelige loggføringer eller angrepsforsøk.

9.    Beskytt mot Brute Force-angrep

Begrens antall påloggingsforsøk, og implementer tiltak som CAPTCHA for å beskytte mot Brute Force-angrep.

10. Bruk HTTPS

Det er svært få nettsider som fortsatt bruker http:// da disse regnes som utrygge.

Når du ser at en nettsides URL (link) starter med https:// betyr det at det er blitt aktivert et SSL-sertifikat på siden. Dette sertifikatet krypterer dataoverføringen mellom brukerens nettleser og serveren.

Dette er spesielt viktig dersom nettstedet håndterer sensitiv informasjon.

11. Sørg for sikker filtilgang

Begrens filtilgangen gjennom .htaccess-filer for å hindre uautorisert tilgang til viktige systemfiler. Dette er vanligvis noe den som utformer nettsiden din kan hjelpe deg med.

12. Fjern unødvendige brukerkontoer

Hold brukerlisten ren ved å fjerne brukerkontoer som ikke lenger er nødvendige.

Dersom det har vært sikkerhetsbrudd på nettsiden din, kan det i tillegg ha blitt opprettet nye brukere der uten at du vet det. Derfor kan det være en fordel å gå gjennom oversikten over brukere jevnlig slik at du (eller admin/webdesigner) kan få rensket bort de som ikke bør ha tilgang.

Overvåkningsverktøy på nettsiden kan gjøre at du oppdager slike sikkerhetsbrudd tidligere, og jevnlig oppdatering av plugins reduserer risikoen for at hackeren får laget nye brukere.

Trenger du hjelp med å sikre nettsiden?

En ting er å få en liste som oppsummerer hvordan man sikrer nettsiden, -en helt annen ting er å gjøre jobben som kreves.

Dersom du ikke har en egen IT-spesialist eller webdesigner på huset, kan det være greit å vite at at dette er noe jeg kan hjelpe deg og din bedrift med. Har du spørsmål eller ønsker at jeg hjelper din bedrift med dette, er det bare å ta kontakt.

Flere innlegg: