Zabezpieczenie strony WWW: kopie zapasowe, aktualizacje i bezpieczeństwo dla małych firm

Zhakowana lub niedostępna strona internetowa rzadko psuje się w dogodnym momencie. Najczęściej zauważasz problem dopiero wtedy, gdy dzwoni klient albo Google oznacza Twoją witrynę jako niebezpieczną. Dobra wiadomość: nie potrzebujesz własnego zespołu IT, by solidnie zabezpieczyć małą firmową stronę. Trzy elementy pokrywają większość ryzyka - kopie zapasowe, aktualizacje i kilka podstaw bezpieczeństwa. Sami prowadzimy w środowisku produkcyjnym siedem własnych marek i stosujemy dokładnie te procedury każdego dnia. Tutaj pokazujemy, co naprawdę się liczy, a na czym możesz spokojnie oszczędzić.

Kopie zapasowe: Twoja najważniejsza polisa ubezpieczeniowa

Kopia zapasowa to kompletna kopia Twojej strony - plików i bazy danych. Gdy coś pójdzie nie tak, przywracasz tę kopię i w ciągu kilku minut jesteś znów online. Bez kopii zapasowej w razie awarii musisz budować wszystko od nowa, często przez wiele dni i drogo.

Na co zwrócić uwagę przy kopiach zapasowych:

• Regularnie i automatycznie. O ręcznej kopii zapasowej, którą trzeba pamiętać, zwyczajnie się zapomina. Codzienna lub cotygodniowa automatyzacja to obowiązek - w zależności od tego, jak często zmieniają się treści.
• Przechowywane zewnętrznie. Kopia zapasowa na tym samym serwerze nic nie da, gdy serwer ulegnie awarii. Rozsądnie jest mieć kopię w drugim miejscu, na przykład w chmurze lub na innym serwerze.
• Przetestowane. Kopia zapasowa, której nie da się przywrócić, jest bezwartościowa. Wypróbuj proces przywracania przynajmniej raz, zanim naprawdę będziesz go potrzebować.
• Kilka wersji. Nie zachowuj wyłącznie ostatniej kopii. Jeśli błąd zostanie zauważony dopiero po kilku dniach, będziesz chciał wrócić do starszego, czystego stanu.

U większości dostawców kreatorów stron i firm hostingowych automatyczne kopie zapasowe są wliczone w usługę - sprawdź, czy Twój dostawca je oferuje i jak daleko sięgają wstecz. W przypadku stron hostowanych samodzielnie warto zastosować wtyczkę lub prosty skrypt serwerowy, który wykona kopię.

Aktualizacje: zamknij najczęstszą furtkę

Większość zhakowanych stron nie jest atakowana w sposób ukierunkowany, lecz automatycznie, przez znane luki w przestarzałym oprogramowaniu. Kto wgrywa aktualizacje, zamyka te furtki, zanim ktoś je wykorzysta.

W typowej stronie opartej na WordPressie lub innym CMS-ie dotyczy to trzech poziomów:

• Sam system - czyli WordPress, TYPO3 lub podobny.
• Wtyczki i rozszerzenia - często największa słabość, ponieważ wiele z nich jest instalowanych i rzadko aktualizowanych.
• Motyw - również Twój pakiet graficzny otrzymuje aktualizacje bezpieczeństwa.

Szczera rada: instaluj tylko te wtyczki, których naprawdę potrzebujesz. Każda dodatkowa wtyczka to kod, który trzeba utrzymywać. Usuń to, czego nie używasz. A przed większymi aktualizacjami zrób kopię zapasową - dzięki temu możesz się cofnąć, gdyby aktualizacja coś popsuła.

Podstawy bezpieczeństwa, które powinna mieć każda strona

Kilka podstaw kosztuje niewiele, a daje dużo:

• HTTPS dzięki certyfikatowi SSL. Szyfruje połączenie i jest dziś standardem. W przeciwnym razie przeglądarki ostrzegają przed Twoją stroną, a Google ocenia ją gorzej. Niemal u wszystkich firm hostingowych darmowy certyfikat (Let's Encrypt) jest już wbudowany.
• Silne, unikalne hasła. Szczególnie do dostępu administratora. Menedżer haseł zdejmie z Ciebie obowiązek ich zapamiętywania.
• Uwierzytelnianie dwuskładnikowe dla logowania administratora, wszędzie tam, gdzie to możliwe. Nawet skradzione hasło wtedy nie wystarczy.
• Żadnej standardowej nazwy użytkownika. Jeśli Twoje konto administratora wciąż nazywa się admin, atakujący ma już połowę roboty za sobą.
• Aktualna wersja PHP. Przestarzałe oprogramowanie serwera to cicha luka, którą wielu przeocza.

Firewall lub wtyczka zabezpieczająca może mieć sens, ale dla małej strony-wizytówki nie jest koniecznością. Ważniejsze jest, by podstawy były zadbane. Daruj sobie drogie pakiety bezpieczeństwa, dopóki chwieje się fundament.

Czego naprawdę potrzebujesz - a czego nie

Bądź wobec siebie szczery co do tego, jaki typ strony posiadasz. Czysto informacyjna witryna bez strefy logowania i bez danych klientów wiąże się ze znacznie mniejszym ryzykiem niż sklep lub narzędzie z kontami użytkowników. Nie musisz robić wszystkiego, co jest technicznie możliwe.

Dla małej firmowej strony zazwyczaj wystarczy:

• Automatyczne, przechowywane zewnętrznie kopie zapasowe
• Regularne aktualizacje systemu, wtyczek i motywu
• HTTPS, silne hasła i logowanie dwuskładnikowe

Jeśli zbierasz treści, obsługujesz płatności lub przechowujesz dane użytkowników, wymagania rosną - wtedy dochodzą tematy takie jak ochrona danych, logowanie zdarzeń i utwardzone serwery. To wykonalne, ale nie jest to projekt do majsterkowania przy okazji.

Zająć się tym samemu czy zlecić konserwację?

Kopie zapasowe, aktualizacje i bezpieczeństwo to nie jednorazowy projekt, lecz rutyna. Właśnie na tym potyka się wiele małych firm: nie na wiedzy, lecz na ciągłości w codziennej pracy. Jeśli chcesz przejąć te zadania samodzielnie, wpisz sobie stałe interwały do kalendarza i się ich trzymaj. Jeśli brakuje Ci czasu lub strona jest kluczowa dla biznesu, spokojniejszym rozwiązaniem jest konserwacja w ramach obsługi - wtedy wszystko dzieje się w tle, a w razie awarii dodzwonisz się do kogoś, kto wie, gdzie leży ostatnia czysta kopia zapasowa.