Zaměření 1: hostování webu, vaše první ochrana

V úvodní kapitole našeho bezpečnostního speciálu jsme uvedli řadu užitečná opatření k ochraně vašeho podnikání před útoky a nebezpečími, která jsou vlastní síti. Malware, crackery, ztráta dat kvůli chybějícím zálohám: hrozeb je mnoho a neustále se zvyšují, až do té míry, že se v posledních několika letech objevil nový údaj, zodpovědný za tzv. kybernetickou bezpečnost. Je samozřejmé, že nemusíte nutně jít z jednoho extrému do druhého a najmout si odborníka na kybernetickou bezpečnost za všechny (obvykle vysoké) náklady. Pro běžné aktivity s vitrínou nebo elektronickým obchodem stačí přijmout cílená opatření, která jsou nezbytná pro udržení vysoké "imunitní obrany" proti vnějším hrozbám.

V tomto prvním zaměření tedy uvidíme zásadní krok konkrétněji, a to volbu hostingu, tedy služby, které svěříme obsah samotného webu (obrázky, text, kód atd.). Hostingové služby se staly velmi populární v průběhu let, díky nástupu webu a exponenciálnímu růstu počtu stránek v oběhu. Je však zřejmé, že ne vždy jde růst poptávky ruku v ruce se zvyšováním kvality služeb. Skutečně: ruku v ruce s explozí sítě jsme byli svědky šíření levných hostingových služeb, tak levných, že nezaručovaly dodržování minimálních bezpečnostních požadavků. Jak se tedy pohybovat, abyste se nestali snadnou kořistí počítačových pirátů, virů a tak dále?

VÝBĚR HOSTINGOVÉ SLUŽBY NA VÝŠCE

Abyste okamžitě pochopili, jaké obrovské rozdíly existují mezi jednou a druhou hostingovou službou, rozhodli jsme se vám přinést výňatek z článku zveřejněného online odborníkem na web. Ze zřejmých důvodů ochrany soukromí a netikety vyhýbáme se uvádění autora a hostingové služby, ale jsme si jisti, že příklad bude stejně poučný:

Neexistuje žádná rychlost, žádná spolehlivost a žádný zákaznický servis. Sám jsem nějakou dobu zkoušel ***, ale srazil jsem se s vedením podobným státní byrokracii naší krásné země. Pokud jste někdy měli problémy s chybami 404, víte, jak důležitý je zákaznický servis, který vám pomůže je rychle opravit! V případě převodu domény se proces stává stejně snadným jako vrácení peněz od společnosti Equitalia. Neříkám vám, abyste měli web v provozu. Správa inženýrských sítí v zákaznickém centru je hrozná. Na odpověď jsem čekal 7 dní. A co mi říkají? "Přines to znovu."

Od bezpečnostního problému nemůže zcela padnout do vašich rukou, musíte si být vědomi důležitosti hostingu schopného poskytovat kvalitní služby, a to i z hlediska asistence. Kvalita nemusí nutně znamenat drahou službu, protože kromě bezpečnosti je tu i výkon (který může výrazně ovlivnit výslednou cenu hostingu). Jisté je, že pro minimální ochranu si musíte alespoň přečíst recenze, odeslat e-mail s žádostí otestovat rychlost odezvy a pečlivě zkontrolovat, jaké jsou vlastnosti nabízené služby. A přichází druhá otázka, která se k tomu vztahuje funkce standardně poskytované hostingem. 

OD FIREWALLU K MAIL ANTIVIRUS A ANTISPAMU

Obchodní politika poskytovatelů hostingu se někdy radikálně mění v závislosti na zemi a od služby ke službě. Jsou tací, kteří nejdou pod určitou hranici, a jsou tací, kteří místo toho nabízejí ekonomickou cenu, ke které lze přidat další možnosti pro optimální konfiguraci. Důvod tohoto čistě ekonomického předpokladu je brzy vysvětlen: při hledání bezpečného hostingu narazíte na služby již kompletní (a bezpečnější) a na méně kompletní služby, které postrádají bezpečnostní standardy vyžadované trhem (v jejich případě však volitelné).  Mezi funkce, které si zaslouží pozornost, zmíníme:

Firewall

Pokud jde o PC, existují firewally pro hosting, které zabraňují škodlivým lidem v přístupu na vaše stránky. V současné době existuje několik bezpečnostních standardů, z nichž nejběžnější je L3 firewall. Pokud se nepředpokládá žádný firewall, doporučujeme vám jej přidat pomocí speciálních zásuvných modulů, jako je např Zabezpečení a brána firewall vše v jednom pro WordPress.

Antivirus a antispam

Antivirus a antispam lze na vaše stránky nebo do vaší e-mailové schránky implementovat různými způsoby, ale pokud vám poskytovatel (tedy dodavatel) již nabízí hosting s jedním nebo více z těchto systémů, je to v pořádku. Co se spamového filtru týče, týká se to zpráv, které dostáváte na stránky (například z kontaktního formuláře nebo komentářů k článku), ale také vaší e-mailové schránky.

FTP přístup

Neuvěřitelné, ale pravda, některé hostingové služby vám neumožňují přístup ke složkám FTP, tedy do zákulisí vašeho webu. Z hlediska bezpečnosti se tento limit může stát velkým problémem do té míry, že je váš web cílen do hloubky, například instalací klamavého kódu na jednotlivé stránky nebo jednotlivé produktové listy.

„PROTOKOL“ HTTPS A SOUVISEJÍCÍ CERTIFIKACE

Kromě infrastruktury a systémů pro udržení přístupu, spamu a virů pod kontrolou se my vývojáři a agentury můžeme spolehnout na jeden další ochrana, která přebírá název protokolu HTTPS. Ve skutečnosti se nejedná o protokol v pravém slova smyslu (vlastním protokolem zůstává HTTP v kombinaci s protokolem SSL/TLS), ale o „obrněný“ komunikační systém založený na šifrování protokolu HTTP. Aniž bychom zabíhali do příliš technických detailů, je užitečné pamatovat si úzkou vazbu mezi HTTPS a autoritními certifikáty. Ty jsou někdy vydávány uznávanými orgány, někdy samotnými poskytovateli hostingu a webových služeb (buď přímo, nebo jako zprostředkovatelé). Jak se technologie mění rychlostí světla, tak také Certifikace se časem vyvíjejí, od nízkoprofilových modelů po bezpečnější a modernější. 

Zde je stručný seznam referenčních certifikací:

Zašifrujeme

Jedná se o certifikační autoritu, která automatizuje bezplatné vytváření, ověřování, vydávání a obnovování certifikátů X.509 pro protokol TLS. Certifikační systém Let's Encrypt je založen na svobodném softwaru a je nejméně bezpečný.

Rychlé SSL

Certifikační orgán Rapid SSL nabízí jednu z nejlevnějších certifikací na trhu: za pár eur ročně je možné okamžitě aktivovat svou url před zkratkou https a využít tak základní ochranu platnou pro většinu scénářů.

Thawte SSL

Dalším platným certifikačním systémem je systém, který nabízí Thawte, společnost na půli cesty mezi službami základní úrovně a prémiovými službami. Co se v tomto případě mění, je také poskytované pojištění pro případ poškození a krádeže dat, které se může vyšplhat až na 1,5 milionu dolarů.

GeoTrust® True Business ID s EV

Certifikační orgán Get GeoTrust® nabízí ochranu True BusinessID s Extended Validation (EV), která kromě zvýšení úrovně zabezpečení umožňuje zobrazovat https se zeleným pozadím, což je graficky atraktivnější řešení i pro uživatele. Cena je vysoká, ale za strukturovaný elektronický obchod to stojí za to!

Nyní, když chápete důležitost hostingové služby, musíme přejít k tomu další kapitola věnovaná běžné a mimořádné údržbě vašeho webu. Ano, protože web je jako auto, pokud se o něj nestaráte mohlo by vás to doslova nechat ve štychu! Sledujte nás i nadále a my vám vysvětlíme, jak na to.