Προστασία Ιστοσελίδας από Ιούς, Hackers και Malware

/ / Κατασκευή Ιστοσελίδων

Ένα από τα σημαντικότερα προβλήματα που αντιμετωπίζουν οι κάτοχοι ιστοσελίδων σήμερα, είναι αυτά που σχετίζονται με την ασφάλεια ιστοσελίδας. Είναι σύνηθες φαινόμενο, κυρίως δυναμικές ιστοσελίδες (WordPress, Drupal, Joomla) να πλήττονται από επιθέσεις διαφόρων μορφών. Αυτές οι επιθέσεις στην πλειονότητά τους δεν στοχοποιούν μια συγκεκριμένη ιστοσελίδα και τις περισσότερες φορές ο επιτιθέμενος ενεργεί χωρίς να έχει όφελος από την επίθεση.

Ποια είναι τα είδη επιθέσεων ;

Οι επιθέσεις που πραγματοποιούνται στις ιστοσελίδες χωρίζονται κυρίως σε δυο κατηγορίες. Σε αυτές που στοχεύουν τις υποδομές της ιστοσελίδας όπως τον server φιλοξενίας και σε αυτές που στοχεύουν την ίδια την ιστοσελίδα σε επίπεδο κώδικα. Οι κακόβουλες επιθέσεις που σχετίζονται με τις υποδομές τις ιστοσελίδας, τις περισσότερες φορές αντιμετωπίζονται αποτελεσματικά από τον πάροχο υπηρεσιών φιλοξενίας (hosting provider). Από την άλλη, οι επιθέσεις που προσβάλουν την ίδια την ιστοσελίδα σε επίπεδο κώδικα, δεν αποτελούν ευθύνη των παρόχων και δεν παρέχεται καμία υποστήριξη επιδιόρθωσης ή καθαρισμού.

Πώς προσβάλλεται μια ιστοσελίδα από Hackers ή Malware ;

Οι σύγχρονες δυναμικές ιστοσελίδες όπως το WordPress, αποτελούνται από την κύρια πλατφόρμα της ιστοσελίδας και από μικρές εφαρμογές οι οποίες είναι υπεύθυνες για την εκτέλεση διαφόρων λειτουργιών όπως τα στατιστικά στοιχεία, η σύνδεση με τα social media, οι φόρμες επικοινωνίας, κ.α. Τόσο η ίδια η πλατφόρμα, όσο και οι πρόσθετες εφαρμογές, παρουσιάζουν κενά ασφαλείας τα οποία διορθώνονται από τους δημιουργούς των εφαρμογών μόλις αυτά εντοπιστούν. Αυτά τα κενά εκμεταλλεύονται κάποιοι και πλήττουν τις ιστοσελίδες. Ακόμα, άλλες αιτίες είναι η ελλιπής γνώση των κατόχων ιστοσελίδων, οι οποίοι πολλές φορές ευθύνονται για κενά ασφαλείας όπως η χρήση μη ισχυρών κωδικών σε FTP και πίνακα ελέγχου ιστοσελίδας, όπως και σε φακέλους/αρχεία με λανθασμένα δικαιώματα.

Ποιες είναι οι συνέπειες μια επίθεσης από Hackers ή Malware ;

Οι συνέπειες μιας επίθεσης μπορεί να είναι από μηδαμινές έως ολέθριες. Η προσβολή μιας ιστοσελίδας από hackers ή malware μπορεί να οδήγησει σε πλήρη διαγραφή του περιεχομένου της, έως και σε διαγραφή της από τα αποτελέσματα της μηχανής αναζήτησης Google.

Πως αντιμετωπίζεται μια επίθεση ;

Ως πρώτη ενέργεια, θα πρέπει να επικοινωνήσετε με τον πάροχο υπηρεσιών φιλοξενίας, μήπως και η τεχνική υποστήριξη μπορέσει και διορθώσει το πρόβλημα. Συνήθως οι Ελληνικές εταιρίες φιλοξενίας ιστοσελίδων δεν παρέχουν υποστήριξη σε θέματα ασφάλειας. Επόμενη ενέργεια είναι να επαναφέρετε την ιστοσελίδα σας από backup. Σε περίπτωση που δεν έχετε backup της ιστοσελίδας, τότε θα πρέπει να αναζητήσετε σε ποια σημεία της ιστοσελίδας σας έχει προστεθεί κακόβουλο λογισμικό και να το διαγράψετε.

Ακολουθεί μήνυμα υποστήριξης Ελληνικής Εταιρείας Hosting :

Αγαπητέ πελάτη,

Θα πρέπει να επιλύσετε το πρόβλημα στον κώδικα του site σας. Υπεύθυνος γι αυτό είναι συνήθως ο προγραμματιστής που σας το δημιούργησε. Από την πλευρά μας σας στέλνουμε κάποιες γενικές οδηγίες που μπορείτε να ακολουθήσετε:

1) Nα σιγουρευτείτε ότι δεν υπάρχει κάποιο κενό ασφαλείας στον κώδικά σας προχωρώντας σε βελτιστοποίηση του ή κάνοντας update στην τελευταία έκδοση κάποιας εφαρμογής που μπορεί να χρησιμοποιείτε (Joomla, wordpress, …). Ειδικά για το joomla βεβαιωθείτε ότι είναι στην τελευταία δυνατή έκδοση (2.5.x, 3.x) και αν έχετε εγκατεστημένο το com_jce (Joomla Content Editor) θα πρέπει και αυτό να αναβαθμιστεί οπωσδήποτε στην τελευταία του έκδοση.
2) Αποφεύγετε να ορίζετε δικαιώματα full ή 777 σε αρχεία του site σας, καθώς θεωρείται από τα μεγαλύτερα κενά ασφαλείας.
3) Αλλάξτε το κωδικό του FTP λογαριασμού σας σε πιο σύνθετο που να εμπεριέχει αλφαριθμητικά σύμβολα.
4) Επιβεβαιώστε ότι δεν υπάρχει εγκατεστημένο κάποιο κακόβουλο λογισμικό στον υπολογιστή σας.
5) Να γίνει έλεγχος σε υπολογιστές που συνδέονται μέσω ftp στο site σας, για την ύπαρξη κακόβουλου λογισμικού, ώστε να αποκλείσουμε ότι δεν έχει γίνει υποκλοπή κωδικών.
6) Μπορείτε να ακολουθήσετε security tips τα οποία δίνουν όλες αυτές οι εφαρμογές και σας εξασφαλίζουν ακόμη περισσότερη ασφάλεια.
7) Αποφεύγετε να χρησιμοποιείτε παράνομο και «σπασμένο» λογισμικό στον υπολογιστή σας, διότι σε πολλές περιπτώσεις τα προγράμματα που χρησιμοποιούνται για το «σπάσιμο» της εφαρμογής, περιέχουν κακόβουλο λογισμικό το οποίο ευθύνεται και για υποκλοπές κωδικών. Παρακαλώ μελετήστε τα δεδομένα που σας απέστειλα και επικοινωνήστε μαζί μας για όποια άλλη απορία τυχόν έχετε.

Με εκτίμηση

Ποια προληπτικά μέτρα προστασίας πρέπει παρθούν;

  1. Πρέπει απαραιτήτως να διατηρούνται αντίγραφα ασφαλείας του συνόλου της ιστοσελίδας (αρχεία και βάση δεδομένων). Για ιστοσελίδες που ενημερώνονται συχνά, τα αντίγραφα θα πρέπει να δημιουργούνται σε ημερήσια βάση, ενώ για ιστοσελίδες με χαμηλότερη συχνότητα ενημερώσεων σε εβδομαδιαία βάση. Το εύρος των αντιγράφων θα πρέπει να καλύπτει τουλάχιστον 3 παρελθοντικούς μήνες από την τρέχουσα ημερομηνία.
  2. Να εφαρμόζονται ενημερώσεις τόσο στην πλατφόρμα, όσο και στις πρόσθετες εφαρμογές άμεσα, κατά την κυκλοφορία των νέων εκδόσεων.
  3. Θα πρέπει να παρακολουθούνται σε πραγματικό χρόνο αλλαγές που συμβαίνουν στο πίνακα ελέγχου της ιστοσελίδας, η πρόσβαση των χρηστών στον πίνακα ελέγχου όπως και τυχόν προσωρινή διακοπή λειτουργίας ιστοσελίδας (downtime).
  4. Θα πρέπει με ειδικές εφαρμογές να ορισθούν επιπλέον παράμετροι ασφαλείας για τις λειτουργίες εγγραφής και ανάκτησης χαμένου κωδικού από τους χρήστες.
  5. Θα πρέπει με ειδικές εφαρμογές να εντοπίζονται αλλαγές στον κώδικα της ιστοσελίδας.
  6. Κατάργηση του ρόλου ως διαχειριστή των ονομάτων χρήστη admin και administrator
  7. Οι κωδικοί πρόσβασης σε FTP και πίνακα διαχείρισης θα πρέπει να είναι τουλάχιστον 12ψήφιοι και να περιλαμβάνουν γράμματα, σύμβολα και αριθμούς.

Η διασφάλιση της καλής λειτουργίας μιας ιστοσελίδας είναι μια δύσκολη και χρονοβόρα διαδικασία που απαιτεί ειδικές γνώσεις. Σε περίπτωση που δεν διαθέτετε το απαραίτητο υπόβαθρο για αυτή την εργασία αναθέστε την σε κάποιον ειδικό. Σε καμία περίπτωση μην αφήσετε την ιστοσελίδα σας εκτεθειμένη σε επιθέσεις, ελπίζοντας ότι δεν θα σας βρει αυτό το κακό. Πιστέψτε με, από την εμπειρία μου σας λέω ότι αργά ή γρήγορα το κακό θα σας βρει και ελπίζω να είσαστε καλά προστατευμένοι.

Σημείωση: Το Creative Shop παρέχει την υπηρεσία Managed WordPress η οποία εξασφαλίζει ασφάλεια και ταχύτητα στην WordPress ιστοσελίδα σας.

Follow me

Ντίνος Κρεούζης

Web Designer & SEO Professional at Creative Shop
Υπεύθυνος κατασκευής ιστοσελίδων και internet marketing στο Creative Shop, ειδικός σε θέματα SEO, Social Media Marketing και διαφήμισης PPC, συγγραφέας του βιβλίου SEO Master Using the Power of WordPress
140 σελίδων στο οποίο εξηγεί πως μια ιστοσελίδας μπορεί να εμφανίζεται στις πρώτες σελίδες του Google. Το βιβλίο διατίθεται από τα μεγαλύτερα ηλεκτρονικά βιβλιοπωλεία όπως το Amazon, iBookstore, Barnes & Noble, Kobo, Google Books, Sony Books.
Follow me
TOP