Фокус 1: хостирање на страница, ваша прва заштита

Во воведното поглавје од нашиот специјален посветен на безбедноста наведовме голем број на корисни мерки за заштита на вашиот бизнис од напади и опасности својствени за мрежата. Малициозен софтвер, крекери, загуба на податоци поради недостиг на резервни копии: заканите се многу и постојано се зголемуваат, до тој степен што во последните години се појави нова бројка, одговорен за таканаречената сајбер безбедност. Се подразбира дека не мора нужно да одите од една крајност во друга и да ангажирате експерт за сајбер безбедност по секоја цена (обично висока). За нормални активности со витрина или локација за е-трговија, доволно е да се усвојат насочени мерки на претпазливост, кои се од суштинско значење за одржување на висока „имуна одбрана“ од надворешни закани.

Затоа, во овој прв фокус поконкретно ќе го разгледаме клучниот чекор, имено изборот на хостинг, односно услугата на која ќе се довериме содржината на самата страница (слики, текстови, код, итн.). Услугите за хостирање станаа многу популарни со текот на годините, благодарение на појавата на веб и експоненцијалниот раст на бројот на локации во оптек. Сепак, јасно е дека зголемувањето на побарувачката не е секогаш придружено со зголемување на квалитетот на услугите. Навистина: рака под рака со експлозијата на интернетот, сведоци сме на пролиферација на евтини хостинг услуги, толку евтини што не го гарантираат усогласеност со минималните безбедносни барања. Па, како да се движите за да избегнете да станете лесна цел за компјутерските пирати, вирусите и така натаму?

ИЗБОР НА КРАЈНА ХОСТИНГ УСЛУГА

За веднаш да ги разберете огромните разлики помеѓу една услуга за хостирање и друга, избравме да ви донесеме извадок од статија објавена на интернет од веб-експерт. Од очигледни причини за приватност и нетрпение избегнуваме да го именуваме авторот и услугата за хостирање, но сигурни сме дека примерот ќе биде подеднакво просветлен:

Нема брзина, нема сигурност и отсуствува услугата за корисници. Се обидов да се *** извесно време, но наидов на управување слично на државната бирократија на нашата убава земја. Ако некогаш сте имале проблеми со грешките 404, знаете колку е важна услугата за клиенти за да ви помогне брзо да ги решите! За пренос на домен, процесот станува лесно како да се добие поврат на пари од Equitalia. Не ти кажувам да имаш место и да работиш. Управувањето со комуналните услуги во центарот за корисници е страшно. Чекав 7 дена за одговор. И што ми кажуваат? „Прашај повторно“.

Имајќи предвид дека безбедносното прашање не може целосно да падне во ваши раце, мора да бидете свесни за важноста на хостинг способен да обезбеди квалитетна услуга, исто така и во смисла на помош. Квалитетот не мора да значи скапа услуга, бидејќи покрај безбедноста има и перформанси (што може да има значително влијание врз крајната цена на хостингот). Она што е сигурно е дека за да имате минимум заштита, мора барем да ги прочитате прегледите, да испратите е-пошта за барање за да ја тестирате брзината на одговор и внимателно да ги проверите карактеристиките на понудената услуга. И тука се поставува второто прашање поврзано со карактеристики обезбедени стандардно од хостингот. 

ОД FIREWALL ДО АНТИВИРУСИ И АНТИСПЕМ ПО ПОШТА

Комерцијалните политики на давателите на хостинг понекогаш радикално се менуваат од земја до земја и од услуга до услуга. Има такви кои не одат под одреден праг, а има и такви кои наместо тоа нудат економична цена на која може да се додадат дополнителни опции за оптимална конфигурација. Причината за оваа чисто економска премиса е лесно да се каже: во вашето пребарување за безбеден хостинг ќе наидете на услуги кои се веќе комплетни (и побезбедни) и помалку комплетни услуги кои немаат безбедносни стандарди што ги бара пазарот (но во нивниот случај опционални).  Меѓу карактеристиките што заслужуваат внимание, се сеќаваме:

Firewall

Како и кај компјутерот, има и заштитни ѕидови за хостирање кои ги спречуваат напаѓачите да пристапат до вашата страница. Во моментов постојат неколку безбедносни стандарди, од кои најчест е заштитниот ѕид L3. Ако не е обезбеден заштитен ѕид, препорачуваме да го додадете со специфични приклучоци како на пр Безбедност и заштитен allид на сите WP за WordPress.

Антивирус и антиспам

Антивирусот и антиспам може да се имплементираат на различни начини на вашата страница или во вашето сандаче за е-пошта, но ако давателот (т.е. добавувачот) веќе ви нуди хостирање со еден или повеќе од овие системи, нека биде така. Што се однесува до филтерот за спам, ова се однесува на пораките што ги добивате на страницата (на пример од формуларот за контакт или од коментарите на статијата), но исто така и за вашето сандаче за е-пошта.

FTP пристап

Неверојатно, но вистинито, некои хостинг услуги не ви дозволуваат пристап до FTP папките, односно зад сцената на вашата страница. Ова ограничување, од безбедносна перспектива, може да стане голем проблем до степен до кој вашиот сајт е таргетиран во длабочина, на пример со инсталирање на измамен код на поединечни страници или поединечни листови со производи.

HTTPS „ПРОТОКОЛ“ И ПОВРЗАНИ СЕРТИФИКАЦИИ

Покрај инфраструктурата и системите за одржување на пристапот, спамовите и вирусите под контрола, ние програмерите и агенциите можеме да сметаме на дополнителна заштита која се нарекува протокол HTTPS. Во реалноста тоа не е протокол во автентична смисла на зборот (вистинскиот протокол останува HTTP, во комбинација со протоколот SSL/TLS), туку „оклопен“ комуникациски систем базиран на шифрирање на протоколот HTTP. Без да навлегуваме во премногу технички детали, корисно е да се запамети блиската врска помеѓу HTTPS и сертификатите за овластување. Последниве понекогаш се издаваат од признати тела, понекогаш од самите даватели на хостинг и веб-услуги (или директно или како посредници). Како што технологијата се менува со брзина на светлината, така се менува Сертификациите се развиваат со текот на времето, почнувајќи од модели со низок профил до побезбедни и посовремени. 

Подолу е краток список на референтни сертификати:

Ајде да шифрираме

Тоа е орган за сертификација кој бесплатно го автоматизира создавањето, валидацијата, издавањето и обновувањето на сертификатите X.509 за протоколот TLS. Заснован на слободен софтвер, системот за сертификација Let's Encrypt е најмалку безбеден.

Рапид SSL

Телото за сертификација Rapid SSL нуди една од најевтините сертификати на пазарот: за неколку евра годишно можете веднаш да ја активирате вашата URL-адреса на која му претходи акронимот https, со што ќе имате корист од заштитата на почетно ниво валидна за повеќето сценарија.

Thawte SSL

Друг валиден систем за сертификација е оној што го нуди Thawte, компанија која се позиционира на половина пат помеѓу услугите на почетно ниво и премиум услугите. Она што исто така се менува во овој случај е осигурувањето предвидено за евентуална штета и кражба на податоци, кое може да достигне и до 1,5 милиони долари.

GeoTrust® True BusinessID со EV

Телото за сертификација Get GeoTrust® нуди вистинска заштита на BusinessID со продолжена валидација (EV), која покрај зголемувањето на нивото на безбедност ви овозможува да гледате https со зелена позадина, што е графички попривлечно решение и за корисникот. Цената е висока, но за структурирана е-трговија вреди!

Сега кога ја разбирате важноста на услугата за хостирање, сè што треба да направиме е да продолжиме следното поглавје посветено на обичното и вонредното одржување на вашата страница. Да, затоа што страницата е како машина ако не се грижите за неа буквално може да ве остави на цедило! Продолжете да не следите и ние ќе ви објасниме како да го направиме тоа.