Tieto zásady sú určené pre klientov a týkajú sa hlavne ľudí, ktorí majú prístup do administrácie stránok alebo majú tiež prístup k FTP priestoru a k databázam.
1/ nepracujte v administrácii stránok z počítača, ktorý nie je chránený kvalitným a aktualizovaným antivírusovým programom
2/ nepoužívajte na FTP pripojenie neoverené a staré programy
3/ pravidelne stránky a databázu zálohujte
4/ pravidelne aktualizujte softvér
5/ nikdy do stránok neinštalujte neoverený softvér
6/ nedávajte administrátorské prístupy do webu ďalším ľudom
7/ kvalita kódu
Zásady boli vypracované z dôvodu minulých problémov na weboch cca 2-3 klientov, kde nebola niektorá zo zásad korektne dodržaná a vznikol nejaký z nižšie uvedených problémov. Odstránenie niektorých problémov môže byť dosť náročné a časovo a finančne nákladné.
Po dodržaní všetkých týchto „zásad“ by mali byť vaše stránky v bezpečí a môžu dlhodobo slúžiť svojmu účelu. Pokiaľ niektorý z bodov nie je dostatočne zrozumiteľný, napíšte mi, aby som článok doplnil, prípadne upravil. Tento článok publikujem preto, aby mohol slúžiť aj ostatným ľuďom, ktorí pomáhajú pri spravovaní internetových stránok postavených na najpoužívanejších redakčných systémoch.
Zásady bezpečnosti vašich internetových stránok pre administrátorov
1/ nepracujte v administrácii stránok z počítača, ktorý nie je chránený kvalitným a aktualizovaným antivírusovým programom
My používame dlhodobo NOD od spoločnosti ESET (http://www.eset.com/sk/), doteraz nám zachytil každú prípadnú hrozbu. Súčasťou našich počítačov je aj softvér Advanced System Care, ktorý optimalizuje počítač a napomáha riešiť aj bezpečnostné hrozby (https://www.iobit.com/), dá sa stiahnuť zdarma. Od roku 2020 odporúčame aj silný nástroj proti malvéru, Malwarebytes (www.malwarebytes.com), ktorý hrozby skenuje v reálnom čase, dokáže zamedziť neoprávneným úpravám registra, rôznym trójskym koňom, či počítačovým červom...
Najviac vírusov, malware atď. chodilo zo zdrojov, ktoré mali blízko k študentom pracujúcim na nechránených počítačoch v niektorých školách, kde sa to vírusmi len hemžilo. Niekoľko rokov som pracoval ako grafik v jednej sieťovej celoslovenskej firme, ktorá obsluhovala aj dosť študentov, vírusy boli na dennom poriadku.
2/ nepoužívajte na FTP pripojenie neoverené a staré programy
Pre pripojenie na server, kde je uložený web, používame buď Total Commander (www.ghisler.com) najnovšej verzie alebo FileZilla najnovšej verzie (www.filezilla-project.org). V minulosti sa stalo jednému nášmu brigádnikovi, ktorý používal na svojom počítači starý Total Commander, že mu malware z tohto zastaralého programu UKRADOL všetky mená a heslá k FTP stránkam, ktoré mal uložené v Total Commanderi a nevedome nám tak zavíril asi 5 dôležitých stránok. Bojovali sme s tým 2 týždne a bola to zúfalá práca.
3/ pravidelne stránky a databázu zálohujte
Stránky sú denne zálohované aj u hostingového partnera, ale je vždy lepšie, ak si v pravidelných intervaloch robíte aj vlastnú zálohu, z ktorej sa dajú stránky kedykoľvek v prípade ich padnutia obnoviť. Padnutie môže nastať aj v prípade nekorektnej doinštalácie nejakého doplnku, nesprávneho zmazania alebo odinštalovania nejakých softvérových častí webu, experimentovanie s neoverenými modulmi alebo komponentami.
Stránky sa zálohujú cez FTP, databáza sa zálohuje exportom cez MYSQL server. Týmito cestami sa dajú aj obnoviť.
4/ pravidelne aktualizujte softvér
Hlavný softvér, na ktorom stránky bežia je potrebné pravidelne aktualizovať. Rovnako je potrebné aktualizovať aj prípadné doplnky, ktoré boli do hlavných stránok doplnené neskôr (profesionálna šablóna, foto galéria, fórum a podobne...). Pred aktualizáciami odporúčame stránky aj databázu zálohovať. xxx
„Lepšie je byť pripravený ako prekvapený.“
5/ nikdy do stránok neinštalujte neoverený softvér
Nikdy do živých stránok neinštalujte neoverený softvér, ktorý môže byť potenciálne nebezpečný, napríklad bežne spoplatnený softvér stiahnutý zdarma z pochybných serverov. Môže mat v sebe úmyselne zakomponované tzv. "bezpečnostné diery" a na tie môže po čase naraziť nejaký skenovací vírusový robot, ktorý po nájdení takýchto "zadných dvierok" stránky zaindexuje (poznačí si ich) a môže ich po čase napadnúť a my len ťažko zistíme, kedy došlo k problému, kde v tisícoch súborov webu došlo k problému a môžeme mať stránky tak poškodené, že ich síce bude možné obnoviť zo zálohy, ale už aj s bezpečnostnou dierou, ktorá prišla s inštaláciou neovereného softvéru.
6/ nedávajte administrátorské prístupy do webu ďalším ľudom
Nedávajte prístupy do administrácie webu ďalším ľuďom, u ktorých nie je istota, že budú tieto zásady dodržiavať. Môžu vám vytvoriť problém, ktorý sa môže objaviť aj neskôr, keď už prípadne na stránkach pre vás ani nebudú robiť. Prístup do FTP a starostlivosť o zálohovanie a upgrade softvérov by mal mať na starosti len jeden zodpovedný človek, prístup do administrácie len úzka skupina hlavných administrátorov (napríklad dvaja alebo traja, kde niekto dopĺňa napríklad po podujatiach len fotografie do foto galérie, niekto iný dopĺňa články, niekto iný produkty a podobne...), ostatným prípadným adminom je možné dať napríklad editorský prístup, kedy majú možnosť editovať a dopĺňať len svoje články, ale nemajú prístup do hlavnej administrácie webu, či k článkom, ktoré vytvoril alebo má na starosti iný administrátor, či editor. Najjednoduchšou variantou je, že prístup do hlavnej administrácie má len jeden hlavný administrátor. V hlavnej administrácii sa upravujú veci, ktoré nie je možné meniť a dopĺňať z editorskými právami, napríklad pridávanie nových kategórií článkov, úprava položiek menu, úprava konfigurácií softvérov a podobne, čím sa bežný editor ani nepotrebuje zaťažovať.
7/ kvalita kódu
Ako doplnkovú zásadu pripájam informáciu, ktorá už súvisí viac so školením o kóde stránok a ich tvorbe. 100% stránok, ktoré v posledných rokoch vytvárame, robíme v čo najčistejšom HTML kóde tak, aby jeho súčasťou bolo čo najmenej zbytočného a nesprávneho kódu, ktorému hovoríme "balast". Napríklad pre grafické odlíšenie hlavných a vedľajších nadpisov používame zásadne nastavenia, ktoré sa realizujú hromadne cez CSS (kaskádové štýly), kde jednorazovo nastavíme, že chceme, aby sa napríklad hlavný nadpis článku zobrazoval modrou farbou a veľkosťou napríklad 16 pixelov a takto sa to potom naraz zmení na celom webe. Pokiaľ chceme tento nadpis po čase z nejakého dôvodu zmeniť napríklad na zelený, upravíme toto nastavenie len na jednom mieste v CSS a nápisy pri všetkých článkoch sa takto automaticky zmenia na zelené. Stačí, ak majú v kóde správnu značku. Rovnako by mal editor vedieť, že v článku by mal byť len jeden hlavný nadpis, pomáha to vyhľadávacím robotom, aby vaše stránky ľahšie našli, zaindexovali ich a aby ich po čase našli ľudia, ktorí hľadajú vaše služby alebo produkty.
Niekedy je v článkoch vložený špeciálny kód, ktorý napríklad naťahuje a zobrazuje informácie z iných webov - napríklad video z YouTube integrované do vašich stránok alebo živú Google mapu, prípadne audio alebo špeciálne zobrazenie obrázkov z galérie, či iného modulu. Pokiaľ editor alebo administrátor používa pre úpravu stránok tzv. vizuálny editor (https://sk.wikipedia.org/wiki/WYSIWYG), nemusí takýto kód vôbec vidieť a po úprave článku a jeho uložení môže článok „poškodiť“ a video sa prestane zobrazovať. Je to automatická ochrana softvéru pred nežiadúcim a potenciálne nebezpečným kódom tretích strán. Na to treba dať pozor, prípadne do takto hlavným adminom vytvorených článkov radšej ani nechodiť, alebo si pri ich prezeraní zapnúť pohľad cez HTML editor a upraviť ich takto.
