Στις 24 Νοέμβρη 2014, η Sony Pictures έγινε στόχος κακόβουλων χρηστών, με αποτέλεσμα ένα τεράστιο οικονομικό κόστος για την εταιρία. Οι εισβολείς απέκτησαν παράνομη πρόσβαση σε terabytes ιδιωτικών δεδομένων, διέγραψαν τα πρωτότυπα αρχεία από τους υπολογιστές της εταιρείας, άφησαν εμπιστευτικές πληροφορίες να διαρρεύσουν στο internet και διέθεσαν παράνομα 4 νέες ταινίες σε file sharing sites!
Εάν αναρωτιέσαι τι σχέση μπορεί να έχουν όλα αυτά με το δικό σου site ή blog, σκέψου ότι δεν έχει σημασία ο κλάδος που δραστηριοποιείσαι ή το μέγεθος του site ή blog σου. Σύμφωνα με άρθρο του CNBC το 2014 σημειώθηκαν περισσότερες από 1 δις. hacking επιθέσεις. Ένα συνηθισμένο site μπορεί να έχει εκατοντάδες έως και χιλιάδες πιθανά κενά ασφάλειας και ο χρήστης που το επισκέπτεται και μοιράζεται μαζί σου τις προσωπικές του πληροφορίες (email, passwords, στοιχεία πιστωτικής κάρτας, κ.α.) ενδέχεται να βρίσκεται σε κίνδυνο.
Το ζήτημα της online ασφάλειας είναι πιο επίκαιρο από ποτέ! Ειδικά για τους Έλληνες καταναλωτές, σύμφωνα με έρευνα του ELTRUN, ο ασφαλής τρόπος πληρωμής αποτελεί το Νο 1 λόγο για τον οποίο εμπιστεύονται και αγοράζουν από ένα site. Επομένως, είναι πολύ σημαντικό να προσφέρεις στους χρήστες την προστασία που χρειάζονται. Ακολούθησε 3 βασικά web security tips για να ασφαλίσεις το site σου από επιθέσεις:
1. Φρόντισε το software να είναι πάντα updated
Είτε δημιούργησες το site σου από το μηδέν με την βοήθεια ενός web developer είτε επέλεξες μια third-party πλατφόρμα, ως ιδιοκτήτης του θα πρέπει να βεβαιωθείς ότι κάθε κομμάτι του λογισμικού του είναι πάντα ενημερωμένο.
Διάφοροι CMS providers, όπως είναι το WordPress, το Joomla και άλλες πλατφόμες, προσπαθούν να καλύψουν τις “τρύπες” στα συστήματά τους ενημερώνοντας συνεχώς το λογισμικό τους με στόχο να το κάνουν λιγότερο ευάλωτο στις online επιθέσεις. Βεβαιώσου ότι εκτελείς αυτές τις ενημερώσεις και ότι το site σου “τρέχει” στην πιο πρόσφατη έκδοση. Επίσης, εάν στο site σου “τρέχουν” third party plugins, φρόντισε να παρακολουθείς τις ενημερώσεις τους και να αφαιρείς τυχόν παλιά και μη ενημερωμένα plugins, καθώς μπορεί να γίνουν η πύλη εισόδου για hackers/crackers.
2. Άλλαξε από HTTP σε ασφαλή σύνδεση “HTTPS”
Το HTTPS αποτελεί την ασφαλή έκδοση του HTTP, του πρωτόκολλου μέσω του οποίου ανταλλάσσονται πληροφορίες μεταξύ του browser σου και των website που επισκέπτεσαι. Το “S” στο τέλος αντιπροσωπεύει το “Secure” και σημαίνει ότι η μεταφορά πληροφοριών ανάμεσα στον browser σου και σε ένα website πραγματοποιείται με ασφάλεια.
Για να ανοίγει με HTTPS και όχι με απλό HTTP το δικό σου site, θα πρέπει να ενεργοποιήσεις ένα SSL (Secure Sockets Layer) ή TLS (Transport Layer Security) πρωτόκολλο ασφαλείας, το οποίο κρυπτογραφεί τις πληροφορίες που ανταλλάσσονται, κάνοντας τα δεδομένα των χρηστών και τα δικά σου εξαιρετικά ασφαλή από hacking απόπειρες. Ταυτόχρονα, ο επισκέπτης του site σου βλέπει διάφορες ενδείξεις ασφάλειας (πχ. λουκέτο και https:// στη γραμμή διευθύνσεων του browser), οπότε γνωρίζει ότι οι πληροφορίες που θα καταχωρήσει θα παραμείνουν ασφαλείς και προστατευμένες. Άρα, μπορεί να σε εμπιστευθεί!
Aς πούμε ότι ο τρόπος με τον οποίο λειτουργεί ένα SSL, θυμίζει “μυστικό πράκτορα”. Χρησιμοποιεί ένα δημόσιο κλειδί κρυπτογράφησης και ένα ιδιωτικό κλειδί (private key) για να αποκωδικοποιεί τις πληροφορίες. Η παρακάτω εικόνα σου εξηγεί με απλό τρόπο πώς λειτουργεί:
Στα περισσότερα sites το HTTPS χρησιμοποιείται κυρίως σε σελίδες online συναλλαγών, ενώ το υπόλοιπο site είναι σε HTTP. Ωστόσο, ύστερα από την πρόσφατη ανακοίνωση της Google αυτή η τακτική αναμένεται να αλλάξει καθώς η ασφάλεια θα υπολογίζεται ως ένας ακόμη παράγοντας κατάταξης στα αποτελέσματα αναζήτησης (ranking factor).
3. Χρησιμοποίησε ισχυρά passwords
Ακόμη ένα σημαντικό σημείο! Τα τελευταία χρόνια έχουν πολλαπλασιαστεί οι επιθέσεις που προσπαθούν να μαντέψουν και να αποκρυπτογραφήσουν συνδυασμούς από usernames & passwords. Για να περιορίσεις σημαντικά τις επιθέσεις στο site σου φρόντισε να χρησιμοποιείς ισχυρά admin, website server και database passwords και απέφυγε την χρήση γνωστών λέξεων ή φράσεων, που είναι εύκολο να μαντέψει κάποιος, όπως πχ. admin123, iloveyou, abc123, qwerty, κ.α. Κάθε χρόνο η SplashData δημοσιεύει τα χειρότερα passwords. Ρίξε μια ματιά στη λίστα για το 2014 κι αν τα passwords που χρησιμοποιείς βρίσκονται μέσα, νομίζω πως ήρθε η στιγμή να τα αλλάξεις..
Την επόμενη φορά που θα χρειαστεί να σκεφτείς ένα νέο password έχε στο νου τα παρακάτω 4 tips:
– Σκέψου μια φράση που είναι εύκολο να θυμάσαι, όπως > Green Apples With Yogurt Is My Favorite Brunch
Απομόνωσε το 1ο γράμμα κάθε λέξης > G A W Y I M F B
Μετέτρεψε κάποια γράμματα σε αριθμούς ή σύμβολα > G @ W Y @ M 5 B
Πρόσθεσε μερικά θαυμαστικά > G @ W Y @ ! M 5 B !
Και είσαι έτοιμος!
– Χρησιμοποίησε τα πιο ισχυρά και δύσκολα passwords για τις πιο ευαίσθητες πληροφορίες σου, όπως πχ. το webmail account σου ή το ebanking account login.
– Ενεργοποίησε Two-factor authentication, το οποίο με τη σειρά του ενεργοποιεί ένα δεύτερο layer ασφάλειας μετά το password σου.
– Χρησιμοποίησε κάποιο Password Manager system. Αυτό δημιουργεί ένα νέο, τυχαίο password για κάθε site που επισκέπτεσαι και αποθηκεύει τους κωδικούς ώστε να μη χρειαστεί να τους θυμάσαι κάθε φορά. Κάποιες καλές επιλογές password managers είναι το LastPass, 1Password, Dashlane και λειτουργούν το ίδιο καλά σε όλες τις συσκευές (desktop & mobile).
Εσύ, έχεις να προτείνεις κι άλλα σημαντικά web security tips; Μοιράσου τις συμβουλές σου στα σχόλια παρακάτω και ας φροντίσουμε όλοι μαζί να κάνουμε τον online κόσμο μας ασφαλέστερο. ;)
Μπες στη συζήτηση