A biztonság terén rengeteg hanyagsággal és hozzánemértéssel lehet találkozni. Egyszerűen leellenőrízhető egy weboldalon, hogy legalább az alap biztonsági intézkedéseket elvégezték e rajta. Végeztem néhány vizsgálatot a keresők találatában szereplő weboldal készítők egy jó nagy csoportjának munkáiból. Sajnos az a szomorú eredmény jött ki, hogy szinte senki nem foglalkozik a biztonsággal. Pedig egy 5 perces beállítással nagyon sok kellemetlenséget, de akár súlyos összegek elvesztését lehetne megelőzni.
A biztonság jóval fontosabb kérdés, mint sokan gondolnák. Alapvetően mindenkinek az ugrik be elsőre, ha mondjuk feltörik az oldalát, hogy milyen adatokat szerezhetnek meg a hackerek, esetleg eltérítik a fizetést más számlára. Talán valóban ez a legkellemetlenebb helyzet, de rengeteg más módon is megkárosíthatnak közvetlenül vagy közvetetten!
De nézzük a legrosszabb esetet, ha mondjuk egy webshopod van és eltérítik a fizetéseket egy másik számlára. Sajnos ez jóval egyszerűbb mint gondolnád! Pusztán annyi kell, hogy bejussanak a webshopod admin felületére. Éppen ezért én egy webshopnál nem is engedélyezem az admin felületére való belépést 2 faktoros azonosítás nélkül! Szívem szerint a vásárlóknak sem engedném, de megértem, hogy ezt egy webshop tulajdonos nem szeretné beállítani. Nagyon alul vagyunk edukálva digitális téren! Webshopoknál eleve tanácsos inkább valamelyik nagy bank kártyás fizetési lehetőségét használni, mint egy paypalt vagy stripe-ot. Bariont sem annyira preferálom, de legalább van magyar ügyfélszolgálatuk, lehet velük kommunikálni, Egy paypal-nál, ha megtörténik a baj, arra a veszteségre végleg keresztet lehet vetni, anélkül, hogy bármi büntetőeljárás indulna! Teljesen más, ha egy valódi banknál vezetett bankszámla van hozzárendelve a kártyás fizetéshez mint egy nem túl nehezen létrehozható névtelen paypal számla. A nagy bankoknál szerencsére még nem annyira elterjedt az online számlanyitás, de ha lehetséges is, jóval szigorúbb, mint egy kifejezetten online fizetésekre létrehozott fizetőrendszernél. De térjünk vissza miért is annyira egyszerű eltéríteni a fizetést? Gondolj bele, mit csinálsz amikor bankot váltasz a cégeddel és ezt a webshopodon is módosítani kell? Egyszerűen módosítod a bankszámlát. Ennyi. Na most ebből látható, hogy, ha valaki hozzáférést szerez az admin felületedhez, akkor Ő is módosíthatja a saját számlájára. Jó esetben hamar észreveszed, mert mondjuk minden terméket csak akkor szállítod ki, amikor a pénz megérkezett a számládra. De mi van, ha mondjuk valami digitális terméket árulsz ami letölthető? Mondjuk ebook-ot? Valószínűleg jóval később veszed csak észre.
De van más kockázat is, nem csak a közvetlen anyagi kár.
Egy webshopnál eleve tárolva vannak a vásárlók adatai. Szerencsére a fizetési információkért a fizetési rendszert szolgáltató cég a felelős, úgyhogy bankkártya adatokat soha nem fogsz tárolni. Viszont ez nem jelenti azt, hogy ne tudnának a Te oldaladon keresztül egy-egy bankkártya adatot ellopni. Ha már hozzáférnek az admin felületedhez simán fel tudnak telepíteni egy kártevőt, ami mondjuk elment minden billentyű leütést és továbbítja a támadónak. Ezzel akár bankkártyaadatokat vagy személyes adatokat is ellophatnak. Felhasználói szemmel ezért lehet érdemes használni olyan funkciókat a böngészőkben amik elmentik a felhasználó adatait. Például a google chrome-ban elmentett bankkártyaadatokat egy listából kell kiválasztani, ekkor nincs billentyűzet leütés, max a CVV kódhoz. Persze ilyenkor is első alkalommal fel kell vinni, és ez általában egy vásárláskor szokott történni. Érdemes alapból felvinni, nem pedig egy weboldalon.
Ilyen esetben nem csak az a kellemetlenség, hogy kiszivárognak felhasználók adatai, hanem a hatóságok is megbüntethetnek érte, hogy nem tettél megfelelő lépéseket az oldalad biztonságáért. Persze egy kis cég esetén egyáltalán nem biztos, hogy megbüntetnek, de bizony nem is olyan régen 10 milliós bírsággal büntették az egyik nagy magyarországi webshopot, mert sem a megelőzésre nem figyeltek kellőképpen, és még a hackelés után is nagyon rosszul álltak hozzá az esethez. Ezért nagyon fontos, hogy legalább valami ingyenes biztonsági kiegészítő legyen telepítve az oldaladon. Erős jelszó és 2 faktoros autentikáció legyen használva az admin felület elérése során! Ezen kívül még egy sor biztonsági lépést lehet tenni, hogy a lehető legbiztonságosabb legyen az oldalad. Soha nem lesz annyira biztonságos, hogy képtelenség legyen feltörni! Nyilván egy kisvállalkozásnak nincs arra kerete, és nem is éri meg neki olyan biztonsági eszközöket használni, mint amit a nagyvállalatok használnak, de egyszerű módszerekkel kellően biztonságossá tehető bármilyen weboldal. Akár a weboldal szintjén, akár a szerverén.
Az előbbi példák talán a legrosszabb eshetőségek, de ezen kívül sajnos más kellemetlenség is érhet a gyenge biztonság miatt. Bármilyen egyszerű weboldalt feltörhetnek különböző illegális pénzszerzési lehetőségek miatt.
Egyik népszerű ilyen pénzszerzés a crypto pénzek bányászata. Nagyon észre sem veszed, esetleg csak szokatlanul lelassul az oldalad, vagy valamilyen funkciója hibásan működik, ami előtte jól üzemelt. Ilyenkor simán előfordulhat, hogy a te oldaladon keresztül férnek hozzá a tárhelyhez amin a Te oldalad is fut. Egyszerűen csak elindítanak egy crypto bányász programot és ezzel a többi weboldalt is lelassítják, akikkel osztozkodsz a tárhelyen.
Másik tipikus oka a hackelésnek a spam szerver beállítása. Ekkor is csak annyi történik, hogy a te IP címedről küldenek ki több tízezernyi csaló emailt, vagy reklámot. Ez már azért is kellemetlen lehet, mert az IP címed meg lesz jelölve (akár a domained is) és a keresőoptimalizálás rosszabb esetben teljesen ellehetetlenül. Mire visszaszerzed a keresőkben elért helyed újra, arra egy éved is rámehet.
Ennél még sokkal kellemetlenebb lehet, ha akár csak az IP címed, de akár a domained-del létrehozott, vagy konkrétan a Te e-maileddel bűncselekményhez kapcsolható levelezést folytatnak.
Még lehetne sorolni mi mindenre lehet használni egy feltört weboldalt, de azt hiszem ennyi is épp elég. Bizonyára azt gondolnád, hogy ki akarná a Te oldalad feltörni. Elárulom, hogy onnantól kezdve, hogy elérhetővé válik a honlapod, robotok százai kezdik el támadni! Szerencsére ezeknek a robotoknak a dolgát már egy erősebb jelszó is megnehezíti, de meglepődnél, hogy mennyien használják az admin / admin felhasználó / jelszó párost
Nagyon egyszerűen le tudod ellenőrizni a kiválasztott weboldal készítőt, hogy legalább az alapvető biztonsági előírásokra odafigyel e.
Látogass el a következő oldalra: https://securityheaders.com/
másold be egyik referencia munkájának a címét (www.valami.hu) és nézd meg az eredményt. Ha piros F -et mutat, akkor még csak az alapvető beállításokat sem végezték el az oldalon. Ennek az eredménynek egyértelműen zölnek A vagy A+ -nak kell lennie. Persze érdemes több referenciát (és a fejlesztő saját weboldalát is) leellenőrízni, mert egy eredmény nem feltétlenül jelent még rosszat vagy jót. De ha egyik sem zöld, vagy legalábbis arányaiban jóval kevesebb a zöld, akkor érdemes mást keresni.
Másold be egyik referencia munkájának a címét (www.valami.hu) és nézd meg az eredményt. Ha piros F -et mutat, akkor még csak az alapvető beállításokat sem végezték el az oldalon. Ennek az eredménynek egyértelműen zöldnek A vagy A+ -nak kell lennie. Persze érdemes több referenciát (és a fejlesztő saját weboldalát is) leellenőrizni, mert egy eredmény nem feltétlenül jelent még rosszat vagy jót. De ha egyik sem zöld, vagy legalábbis arányaiban jóval kevesebb a zöld, akkor érdemes mást keresni.