4.0/5 rating 1 vote

Zásady bezpečnosti vašich internetových stránok

Tieto zásady sú určené pre klientov a týkajú sa hlavne ľudí, ktorí majú prístup do administrácie stránok alebo majú tiež prístup k FTP priestoru a k databázam.

Zásady boli vypracované z dôvodu minulých problémov na weboch cca 2-3 klientov, kde nebola niektorá zo zásad korektne dodržaná a vznikol nejaký z nižšie uvedených problémov. Odstránenie niektorých problémov môže byť dosť náročné a časovo a finančne nákladné.


zásady bezpečnosti vašich internetových stránok

Po dodržaní všetkých týchto "zásad" by mali byť vaše stránky v bezpečí a môžu slúžiť svojmu účelu. Pokiaľ niektorý z bodov nie je dostatočne zrozumiteľný, dopíšte požiadavku v komentároch pod článkom, aby som článok doplnil, prípadne upravil. Tento článok publikujem verejne na webe preto, aby mohol slúžiť aj ostatným ľuďom, ktorí pomáhajú pri spravovaní internetových stránok postavených na bežných redakčných systémoch.

Zásady bezpečnosti vašich internetových stránok pre administrátorov

1/ nepracujte v administrácii stránok z počítača, ktorý nie je chránený kvalitným a aktualizovaným antivírusovým programom

My používame dlhodobo NOD od spoločnosti ESET (http://www.eset.com/sk/), doteraz nám zachytil každú prípadnú hrozbu. Súčasťou našich počítačov je aj softvér Advanced System Care, ktorý optimalizuje počítač a napomáha riešiť aj bezpečnostné hrozby (http://www.iobit.com/), dá sa stiahnuť zdarma.

Najviac vírusov, malware atď. chodilo zo zdrojov, ktoré mali blízko k študentom pracujúcim na nechránených počítačoch v niektorých školách, kde sa to vírusmi len hemžilo. Niekoľko rokov som pracoval ako grafik v jednej sieťovej celoslovenskej firme, ktorá obsluhovala aj dosť študentov, vírusy boli na dennom poriadku.

2/ nepoužívajte na FTP pripojenie neoverené a staré programy

Pre pripojenie na server, kde je uložený web, používame buď Total Commander (http://www.ghisler.com/download.htm) najnovšej verzie alebo FileZilla najnovšej verzie (https://filezilla-project.org/). V minulosti sa stalo jednému nášmu brigádnikovi, ktorý používal na svojom počítači starý Total Commander, že mu nejaký malware z tohto zastaralého programu UKRADOL všetky mená a heslá k FTP stránkam, ktoré mal uložené v Total Commanderi a nevedome nám tak zavíril asi 5 dôležitých stránok. Bojovali sme s tým 2 týždne a bola to zúfalá práca.

3/ pravidelne stránky a databázu zálohujte

Stránky sú denne zálohované aj u hostingového partnera, ale je vždy lepšie, ak si v pravidelných intervaloch robíte aj vlastnú zálohu, z ktorej sa dajú stránky kedykoľvek v prípade ich padnutia obnoviť. Padnutie môže nastať aj v prípade nekorektnej doinštalácie nejakého doplnku, nesprávneho zmazania alebo odinštalovania nejakých softvérových častí webu, experimentovanie s neoverenými modulmi alebo komponentami.

Stránky sa zálohujú cez FTP, databáza sa zálohuje exportom cez MYSQL server. Týmito cestami sa dajú aj obnoviť.

4/ pravidelne aktualizujte softvér

Hlavný softvér, na ktorom stránky bežia je potrebné pravidelne aktualizovať. Rovnako je potrebné aktualizovať aj prípadné doplnky, ktoré boli do hlavných stránok doplnené neskôr (profesionálna šablóna, foto galéria, fórum a podobne...). Pred aktualizáciami odporúčame stránky aj databázu zálohovať.

5/ nikdy do stránok neinštalujte neoverený softvér

Nikdy do živých stránok neinštalujte neoverený softvér, ktorý môže byť potenciálne nebezpečný, napríklad bežne spoplatnený softvér stiahnutý zdarma z pochybných serverov. Môže mat v sebe úmyselne zakomponované tzv. "bezpečnostné diery" a na tie môže po čase naraziť nejaký skenovací vírusový robot, ktorý po nájdení takýchto "zadných dvierok" stránky zaindexuje (poznačí si ich) a môže ich po čase napadnúť a my len ťažko zistíme, kedy došlo k problému, kde v tisícoch súborov webu došlo k problému a môžeme mať stránky tak poškodené, že ich síce bude možné obnoviť zo zálohy, ale už aj s bezpečnostnou dierou, ktorá prišla s inštaláciou neovereného softvéru.

6/ nedávajte administrátorské prístupy do webu ďalším ľudom

Nedávajte prístupy do administrácie webu ďalším ľuďom, u ktorých nie je istota, že budú tieto zásady dodržiavať. Môžu vám vytvoriť problém, ktorý sa môže objaviť aj neskôr, keď už prípadne na stránkach pre vás ani nebudú robiť. Prístup do FTP a starostlivosť o zálohovanie a upgrade softvérov by mal mať na starosti len jeden zodpovedný človek, prístup do administrácie len úzka skupina hlavných administrátorov (napríklad dvaja alebo traja, kde niekto dopĺňa napríklad po podujatiach len fotografie do foto galérie, niekto iný dopĺňa články, niekto iný produkty a podobne...), ostatným prípadným adminom je možné dať napríklad editorský prístup, kedy majú možnosť editovať a dopĺňať len svoje články, ale nemajú prístup do hlavnej administrácie webu, či k článkom, ktoré vytvoril alebo má na starosti iný administrátor, či editor. Najjednoduchšou variantou je, že prístup do hlavnej administrácie má len jeden hlavný administrátor. V hlavnej administrácii sa upravujú veci, ktoré nie je možné meniť a dopĺňať z editorskými právami, napríklad pridávanie nových kategórií článkov, úprava položiek menu, úprava konfigurácií softvérov a podobne, čím sa bežný editor ani nepotrebuje zaťažovať.

7/ kvalita kódu

Ako doplnkovú zásadu pripájam informáciu, ktorá už súvisí viac so školením o kóde stránok a ich tvorbe. 100% stránok, ktoré v posledných rokoch vytvárame, robíme v čo najčistejšom HTML kóde tak, aby jeho súčasťou bolo čo najmenej zbytočného a nesprávneho kódu, ktorému hovoríme "balast". Napríklad pre grafické odlíšenie hlavných a vedľajších nadpisov používame zásadne nastavenia, ktoré sa realizujú hromadne cez CSS (kaskádové štýly), kde jednorazovo nastavíme, že chceme, aby sa napríklad hlavný nadpis článku zobrazoval modrou farbou a veľkosťou napríklad 16 pixelov a takto sa to potom naraz zmení na celom webe. Pokiaľ chceme tento nadpis po čase z nejakého dôvodu zmeniť napríklad na zelený, upravíme toto nastavenie len na jednom mieste v CSS a nápisy pri všetkých článkoch sa takto automaticky zmenia na zelené. Stačí, ak majú v kóde správnu značku. Rovnako by mal editor vedieť, že v článku by mal byť len jeden hlavný nadpis, pomáha to vyhľadávacím robotom, aby vaše stránky ľahšie našli, zaindexovali ich a aby ich po čase našli ľudia, ktorí hľadajú vaše služby alebo produkty.

Niekedy je v článkoch vložený špeciálny kód, ktorý napríklad naťahuje a zobrazuje informácie z iných webov - napríklad video z YouTube integrované do vašich stránok alebo živú Google mapu, prípadne audio alebo špeciálne zobrazenie obrázkov z galérie, či iného modulu. Pokiaľ editor alebo administrátor používa pre úpravu stránok WYSIWYG EDITOR (http://sk.wikipedia.org/wiki/WYSIWYG), nemusí takýto kód vôbec vidieť a po úprave článku a jeho uložení môže článok "poškodiť" a video sa prestane zobrazovať. Je to automatická ochrana softvéru pred nežiadúcim a potenciálne nebezpečným kódom tretích strán. Na to treba dať pozor, prípadne do takto hlavným adminom vytvorených článkov radšej ani nechodiť, alebo si pri ich prezeraní zapnúť pohľad cez HTML editor a upraviť ich takto.

About the Author

Daniel Blažko

Daniel Blažko

Rád slúžim zákazníkom, komunikujem s nimi, hľadám riešenia, vylepšenia, snažím sa čo najlepšie odprezentovať ich produkty alebo služby ich potenciálnym zákazníkom a pomáham zvyšovať dohľadateľnosť ich webstránok na internete.
  • Táto e-mailová adresa je chránená pred spamovacími robotmi. Na jej zobrazenie potrebujete mať nainštalovaný JavaScript.

Napísať komentár

Komentujete ako hosť.