Hlavní navigace

Jak uchránit firemní web před hackery? Přečtěte si konkrétní rady a tipy

23. 6. 2022
Doba čtení: 8 minut

Sdílet

 Autor: Depositphotos.com, podle licence: Rights Managed
Kybernetické útoky se nevyhýbají ani webovým stránkám podnikatelů a firem a mohou mít na jejich byznys neblahé dopady. Na co si tedy dát pozor?

Bezpečnost a zabezpečení v kyberprostoru se stále vyvíjí a například u útoků dochází stále k jejich zlepšování. Nestačí proto jen dodržovat přesné kroky a postupy, ale je potřeba se bezpečností zabývat komplexně.

Podnikatelé a firmy musí chtít bezpečnost řešit

Webdesigner Petr Plíšek na úvod popisuje, že podnikatelé nebo vedení společnosti si musí říci, zda chtějí bezpečnost vůbec řešit a kolik na to vyčlení prostředků (od osob, přes peníze po kompetence). Pokud se jim toto povede a řeknou si, že je to pro jejich klienty a hlavně pro ně samotné, tak by měli v prvé řadě najít někoho, kdo jim s tím pomůže. Ten někdo může být znalý webmaster, konzultant informační bezpečnosti, pověřenec pro ochranu osobních údajů (DPO, ne právník firmy), etický hacker nebo externí firma s podobným zaměřením. 

Dalším krokem je vytvoření týmu, kde velení bude mít na starosti tato vybraná osoba a bude mít k tomu vedením udělené pravomoci. Dále zde bude stávající webmaster webových stránek, firemní právník, někdo z vedení společnosti, plus další lidé, kteří budou potřeba ke spolupráci. Toto nelze nikdy říci dopředu, kdo to bude, popisuje Petr Plíšek s tím, že se následně vytvoří analýza rizik pro webové stránky, která se stane součástí širší dokumentace celé firmy buď v rámci GDPR, popřípadě může popisovat i další chráněná data v rámci firmy – bezpečnostní dokumentace. Z analýzy rizik vyplyne, kde jsou z pohledu zabezpečení webových stránek největší problémy, a poté se stanoví harmonogram nápravy stavu, kde jsou trhliny a co se s tím může dělat a jak se zmírní rizika. Posléze se provádí náprava stavu a po roce je vhodné zpětně hodnotit, co se povedlo a co nikoliv.

Michal Němec z Němec IT v této souvislosti dodává, že technologie jdou rychle dopředu a vznikají zranitelnosti, které se objevují každým dnem. Na to je třeba reagovat a záplaty co nejrychleji nasadit ještě předtím, než se o nich útočník dozví a využije je ve svůj prospěch. Všechny tyto věci předpokládají určitou technickou znalost v oboru a tak je přinejmenším naivní myslet si, že si vytvoříte webové stránky a necháte je tak roky bez jediného zásahu, zdůrazňuje.

Na co si v rámci webů dát pozor?

Podle Daniela Križáka, CEO Webu s úsměvem, by podnikatelé v první řadě měli mít kvalitního poskytovatele webhostingu. Nezdá se to, ale dobrý webhosting může mnohé ovlivnit. Webhostingoví poskytovatelé mají nástroje, kterými odrážejí útoky, případně skenují kód webu, jestli je v pořádku, a situaci řeší s majitelem webu. Dan Kresa za platformu KYBEZ říká, že ať už organizace používají open source řešení, předem vytvořené šablony nebo disponují vlastním unikátním řešením webových stránek, zůstává stále nejcitlivějším místem otázka přihlašování a přidělování uživatelských práv. Pořád se objevují organizace, které pro přihlášení do administrátorského rozhraní používají velice jednoduchá hesla, která prolomí každý školák.

Druhý, a ne tak častý, problém představují zranitelnosti v samotném kódu stránky, které útočníci mohou využít k útokům typu SQL Injection či Cross Site Scripting, doplňuje Dan Kresa. Dochází k nim, když web až příliš důvěřuje vstupním datům, což může vést ke vzdálenému spuštění škodlivého kódu, úniku dat či odcizení účtu. Jakákoli vstupní data je třeba považovat za nebezpečná, je třeba je ověřovat a filtrovat či používat bezpečná rozhraní API a frameworky, vysvětluje Vladimir Martyanov, malwarový analytik v Avastu.

Michal Němec doporučuje využívat dvoufázové ověřování pro přihlášení do WordPress, webhostingu a všech dalších klíčových služeb spojených s vaší identitou a podnikáním. Dále připomíná, že by na internetu neměly být webové stránky s absencí šifrované komunikace mezi klientem a serverem, tedy samotnými webovkami. Pozná se to tak, že se nahoře v prohlížeči zobrazí zelená ikona nebo symbol zámečku, značící šifrovanou komunikaci pomocí protokolu HTTPS. Nezabezpečená komunikace přes HTTP umožňuje potencionálně důvěrné informace odposlouchávat a díky tomu mohou být zneužity.

Nejzranitelnější je lidský faktor

Statistiky říkají, že nejzranitelnější je lidský faktor = zaměstnanci a případně externí spolupracovníci. Proto je důležité správně nastavit práva uživatelů webu a systém přihlašování. V KYBEZ doporučují co nejvíce využít vícefaktorovou autentizaci a proškolit všechny zaměstnance v základech kybernetické bezpečnosti, aby znali rizika spojená s jejím narušení. Podle Petra Plíška je problém především v tom, že se zabezpečení neděje systematicky, ale nahodile. Firmy také hledají nějakou cestu, aby to nemusely řešit a aby je to moc nestálo. Chybuje se už při výběru dodavatele webových stránek, kdy by se měly firmy pídit po nějakých zkušenostech se zabezpečením a ptát se dodavatelů, jak to řeší. Firmy také často nemají podepsané zpracovatelské smlouvy s dodavateli těchto technologií. Další chybou je, že ve firmě nejsou ostře vymezené kompetence, málo lidí na moc práce. Chápu, proč to tak je, ale ty kompetence musí být definované a dodržované. Jinak je celé zabezpečení k ničemu, dodává Petr Plíšek.

Vladimir Martyanov by jako příklad časté chyby uvedl adresář „.git“ v kořenovém adresáři webu. Tento adresář vytváří systém správy verzí Git. Tzv. repozitář Git obsahuje strukturu souborů a adresářů projektu a může obsahovat i samotné soubory. Jednou jsem analýzou názvů souborů extrahovaných z adresáře .git objevil soubor protokolu velký 240 Mb s podrobnostmi o zakázkách (jména, telefony atd.). Takový únik může mít pro firmu katastrofální následky, a přitom mu lze velmi snadno zabránit, popisuje své zkušenosti s tím, že majitelé stránek také nezřídka ponechávají citlivé údaje (osobní údaje, přihlašovací jména a hesla) v nechráněných souborech, takže k nim může mít přístup kdokoli. Při používání redakčních systémů je třeba myslet na to, jakými přihlašovacími údaji se do webu dostanete, a neměli byste používat univerzální jméno, jako je „admin“ nebo „administrator“, a mít silné heslo. Redakční systémy se neustále vyvíjejí a některé verze mohou obsahovat bezpečnostní díry, proto bychom software webu měli pravidelně aktualizovat, připomíná Daniel Križák,

Důsledků špatného zabezpečení je mnoho

Michal Němec uvádí, že se webové stránky často stanou tzv. botnetem a prostřednictvím nich útočníci nasazují další malware. Malware pak může způsobit cizí reklamy, markantní zpomalení nebo kompletní odstavení celého webu. Napadení hackerem může být nenápadné tím, že vloží do webu reklamu. Ale může být i velmi komplikované, kdy přes web běží nějaká aplikace a vytěžuje server, až po devastující, a to smazání webu a jeho přesměrování jinam. Čistit napadený web je komplikované a drahé, proto je lepší tomuto předcházet. Když už dojde k nejhoršímu, tak pro tyto účely byste měli mít pravidelně zálohovaný web na více místech. Zjistěte si, jak jej zálohuje váš poskytovatel webhostingu, a také si jej zálohujte čas od času pro jistotu sami, doporučuje Daniel Križák.

Největším rizikem, kromě špatné reputace a ztráty jména, jsou pak ukradené citlivé údaje z webu. Můžete si například představit databázi uniklých jmen a s ním spojené údaje jako adresa, telefon, email, čísla kreditních karet apod., dodává Michal Němec. Pomocí ukradené databáze mohou útočníci napadnout či vydírat vaše zákazníky. Zároveň vydá vaše organizace peníze na nápravná technická opatření, zaplacení sankce, kterou vyměří dozorový orgán, a taktéž na odškodnění subjektů, jejichž data od vás unikla. To vše nehledě na pošramocení pověsti vaší organizace, přidává Dan Kresa.

Řešením je prevence

Michal Němec radí v první řadě hlídat si hesla pro přístup do klíčových služeb webových stránek. Další možností prevence proti útokům je podle něj blokování komunikace z určitých zemí, kdy můžete například zakázat návštěvu vašich stránek ze zemí, jako je Rusko nebo Čína, nebo naopak povolit jen konkrétní země a ostatní explicitně zakázat. Dobré je také nasadit software osvědčeného dodavatele antivirového řešení. Antivirová řešení nasazená na web nabízí pravidelné bezpečnostní audity a skeny na aktuální hrozby, včetně následných akcí, jako je záplatování konkrétní zranitelnosti nebo blokování známých IP adres. To však vyžaduje nemalé náklady, které si většina uživatelů nemůže dovolit, a tak vznikají slabá místa k průniku škodlivého kódu, vysvětluje. 

Podle Dana Kresy mezi preventivní kroky patří testování zabezpečení webových stránek, správné nastavení uživatelských práv a systému přihlašování, vzdělávání zaměstnanců a sestavení i otestování krizového plánu pro případ nefunkčnosti nebo napadení webu či dalších bezpečnostních problémů. Doporučujeme si také zřídit rezervní fond na způsob pojištění, ze kterého pokryjete náklady mimořádných bezpečnostních opatření, radí dále.

Jak si nechat zkontrolovat web?

Petr Plíšek vyjmenovává jako možnosti zkontrolování webu etického hackera, seniorního programátora webových stránek nebo konzultanta kybernetické bezpečnosti. Podobně v KYBEZu webové stránky doporučují testovat prostřednictvím penetračního testování či etického hackingu s tím, že tyto služby nabízí spousta bezpečnostních firem. „Zajímavé a efektivní řešení představuje vypsání vlastního “bug bounty programu”. To znamená, že lidé (uživatelé) nahlásí organizaci bezpečnostní chybu, a ta je odmění podle závažnosti nalezené zranitelnosti,“ uvádí Dan Kresa. 

Daniel Križák zdůrazňuje, že je potřeba si uvědomit, že většina útoků není individuálních, ale jsou hromadné. To znamená, že hacker najde díru v zabezpečení a pak hromadným útokem zkouší, na kterém webu se nachází. Nebo nasadí robota, který zkouší různé přihlašovací údaje do administrace stránek.

Zkontrolovat byste tak podle něj měli:

  • přihlašovací jméno do administrace webu, jestli není obecně používané,
  • sílu hesla,
  • na jaké URL adrese je přihlášení do administrace a případně ji změnit na individuální, kterou roboti neznají,
  • nainstalovat blokaci, pokud někdo zadá několikrát špatné přihlášení, aby robot nemohl opakovaně zkoušet různá přihlášení,
  • aktivovat si dvoufázové ověření tak, jak jej známe u bankovnictví,
  • zkontrolovat aktualizace softwaru webu, jestli jede vše na nejnovějších verzích, 
  • dát si pozor na to, co do webu doinstalováváte.

Podle Michala Němce by si měl každý v první řadě ověřit, zda jeho stránky využívají šifrovanou komunikaci HTTPS s platným certifikátem a u správce domény ověřit, zda doména využívá DNSSEC, a že hosting, na kterém máte webové stránky, používá poslední verze webového serveru Apache či nginx. Zkontrolujte také poslední produkční verzi operačního systémů a dostupné aktualizace skriptovacího programovacího jazyka PHP, databáze MySQL, MariaDB, na němž převážná většina webových stránek běží, včetně všech posledních verzí pluginů v případě oblíbeného redakčního systému WordPress, vyjmenovává s tím, že pokud není v možnostech podnikatele tyto věci pohlídat, je lepší svěřit správu webových stránek profesionálovi, který se kyberbezpečnosti každodenně věnuje a pravidelně se v této oblasti vzdělává. 

Tento člověk také ušetří spoustu času a případných nákladů v momentě, kdy stránky přestanou fungovat. Většinou má smluveny výhodnější ceny webhostingu, domén a nabízí kompletní správu webu, včetně zmíněných aktualizací. Nezřídka disponuje systémem pro hromadnou správu webových stránek, jenž implementuje pravidelné zálohování, kontrolu dostupnosti stránek a antivirový systém, který v reálném čase kontroluje zmiňované zranitelnosti a dlouhodobě pečuje o stránky, uzavírá.

Nové články do mailu

Odesíláme každý den nebo každý týden. Odebírejte i zcela nový newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).