Slik sjekker du sikkerheten til dine hjemmesider og webhotell


nettsted-sikkerhet

I disse tider hvor antall hackerangrep mot nettsteder stadig øker, blir det stadig mer viktig å forsikre seg om at man har valgt en trygt webhotell leverandør og gjort alt man selv kan gjøre for å sikre egne nettsider. I denne artikkelen prøver jeg å beskrive det viktigste.

Valg av webhotell plattform

Ingen webhotell plattformer er sikrere enn andre, men de har alle hver sine utfordringer. Linux som er basert på en åpen kildekode er de systemene som det er enklest å lage hacker koder til siden hele kildekoden er kjent, men på den andre side gjør de samme kodene at absolutt alle kan lage fikser til de sikkerhetshullene som oppdages. Antall sikkerhetsprodukter til Linux plattformen er derfor langt større enn for Windows plattformen.

Vanskeligere er det å lage hackerkoder til Windows som er basert på proporitære koder, men siden det også bare er Microsoft som kan tette sikkerhetshullene tar det normalt lengre tid før de blir klar over sine egne sikkerhetshull og klarer å komme opp med gode fiks på disse sikkerhetshullene.

På grunn av Windows plattformens størrelse og kompleksitet har denne plattformen historisk sett hatt flere sikkerhetshull enn Windows plattformen. På den annen side er sjansene for å bli utsatt for et hacker angrep større hvis du velger å gå for Linux plattformen fremfor Windows, da antall servere og nettsteder som kjører på Linux er langt større enn for Windows. Hacker pleier normalt å gå etter de serverne og teknologiene som har de største brukermassene og de mest sensitive dataene, og dette er i dag utvilsomt Linux plattformen.

Les også: – Hvilken webhotell plattform bør jeg velge? Linux eller Windows?

Hvilken informasjon gir web serveren fra seg?

Jo mer hackerne vet om nettstedet ditt og serveren du benytter, jo enklere er det å hacke nettstedet og/eller serveren. Det gjelder derfor å gi fra seg mist mulig informasjon, men å stenge for alle «unødvendige» forespørsler går igjen utover nettsidenes rangering i søkemotorene, så dette blir alltid en balansegang som leverandøren av det webhotellet du leier må gjøre.

En god regel er å sørge for at web serveren ikke gir ut hvilken versjonsnummer av operativsystemet og webserveren som benyttes, dette for å unngå å fortelle hackerne hvilke potensielle sårbarheter serveren har. Hvilken informasjon nettsiden din gir ut når noen spør etter den kan du sjekke ved å angi ditt domenenavn i boksen under. Alternativt kan du kjøre PhpInfo kommandoen for mer informasjon.

 

Hvilke porter er åpne på web serveren?

Enhver åpen port på serveren er en potensiell vei inn for hackerne. Det gjelder derfor å stenge alle porter som ikke er i bruk og ikke åpne for unødvendige porter. Hvilke porter som er åpne på ditt nettsted kan du sjekke ved å skrive inn ditt domene i boksen under.

Start med å finne ut hvilken IP-adresse din web server har. Det gjøres ved å skrive inn ditt domenenavn i boksen under:


Tast deretter inn IP-adressen til din web server i boksen under for å sjekke hvilke porter på serveren som er oppe. IP-adressen skriver du etter «scan:»


Ta kontakt med din webhotell leverandør og spør om hvorfor porter du anser som unødvendige er åpne. Du kan selv ikke stenge porter på serveren, da disse får konsekvenser for alle brukerne og må derfor gjøres av den som har administrator rettigheter på serveren.

Hvilken brannmur og sikkerhetsystemer benytter webhotellet?

Brannmurens oppgave er å hindre uautorisert tilgang til serveren og et bestemt nettsted, men siden dette er en system ressurs er dette noe du selv ikke har kontroll over. Å ta kontakt med webhotell leverandøren vil normalt heller ikke gi deg gode svar, da ingen ønsker å gå ut med konkrete opplysninger om konfigurasjonen av sine sikkerhetsystemer av frykt for å avsløre sårbarheter for potensielle hackere. Du kan imidlertid få en indikasjon om hvor seriøst de tar forholdet ved å ta kontakt med dem.

Sett opp din egen brannmur og brute-force protection av ditt nettsted

Ute på Internett finnes det store mengder programvare baserte brannmurer du kan laste ned og installere som en del av ditt nettsted for å beskytte nettstedet mot brute-force angrep, SQL-injections, IP-facking og lignende, med mulighet til å automatisk svarteliste angripere for kortere eller lengre tid. Mange CRM-systemer (publiseringsløsninger) som f.eks. WordPress og Joomla! tilbyr en mengde gratis plug-ins som du gratis kan laste ned og installere som en del av CRM-systemet ditt for å beskytte det mot cyberangrep.

Slik programmer og plug-ins er i dag en nødvendighet for å ha et sikkert nettsted. Ta kontakt med din leverandør av nettsidene dine for nærmere informasjon om hvilke muligheter som finnes for din plattform.

Hvilken versjon av operativsystemet og kjerneteknologiene benyttes?

Sårbarheter i operativsystemet, Java, php, mySQL, ASP.NET, Flash og alle tilleggsprogrammene serveren benytter seg av oppdages hele tiden og utviklerne av disse programmene utvikler kontinuerlig nye oppdateringer av programvaren som skal tette disse sårbarhetene, men dette hjelper lite hvis systemansvarlig for de ulike serverne ikke oppdaterer operativsystemet og alle de programmene serveren benytter kontinuerlig.

Sjekk med webhotell leverandøren hvilke rutiner de har for systemoppdateringer før du velger leverandør. Sørg for at leverandøren du velger minimum kjører en daglig oppdatering av alle deler av systemet for å være sikker på at det bruker de siste versjonene av alle programmer systemet er avhengig av.

Oppdater ditt eget CRM system ukentlig!

Det er ikke bare leverandørens web server som må være oppdatert til enhver tid. Det samme gjelder for ditt eget CRM-system og alle de plug-ins dette systemet måtte bruke. De fleste hackerangrep skjer med at de klarer å utnytte en sårbarhet i en brukers CRM-system og ikke en svakhet på servernivå.

Alle CRM-systemer har et innebygd system for å oppdatere det med siste versjon av programvaren og alle de plug-ins som benyttes. Benytter du f.eks. WordPress får du beskjed om at det er tilgjengelige oppdateringer hver gang du logger deg inn på ditt Dashbord.

Gjør det som en regel at du sjekker om det finnes noen oppdateringer til ditt CRM-system eller dets plug-ins en gang i uken, så er du sikker på at nettstedet ditt til enhver tid er oppdatert med den siste programvaren.

Sørg for å ha et sikkert passord som byttes regelmessig

Å sette opp lytteposter på utvalgte porter som skal snappe opp brukernavnet og passordet og annen sensitiv informasjon som sendes mellom serveren og klienten (brukeren) og gjennomføre brute-force angrep gjennom et botnet for å tippe brukernavnet og passordet er de to vanligste fremgangsmåtene hackere i dag benytter for å få tak i ditt brukernavn og passord.

Slurver du her og bruker et enkelt passord som aldri byttes er du en tidsinnstilt bombe som bare venter på å bli rammet av et hackerangrep. Passordet må ikke bare være trygt, men det må også byttes regelmessig. bruk heller aldri det samme passordet over alt. Med et trygt passord menes:

  • Et passord som består av minimum 8 tegn
  • Består av både tegn, store og små bokstaver, samt minst ett spesialtegn,
  • Et passord som ikke står i noen ordbøker eller leksikon, uansett språk

Siden dette er et så viktig tema, ber vi deg lese: – Ikke bruk disse passordene – følg disse passordreglene!

Sørg for sikker pålogging overalt (https og ikke http;)?

Logg aldri på et nettsted med et brukernavn og passord eller oppgi sensitive opplysninger som ikke er beskyttes at et SSL-sertifikat. Er nettsiden beskyttet av et godkjent SSL-sertifikat er linjen såkalt «sikker». Det vil si at det ikke er mulig for noen å sette opp lytteposter og snappe opp informasjonen som sendes mellom serveren og deg, uten å kjenne SSL-serfikatets krypteringsnøkkel.

Om en nettside er beskyttet av et SSL-sertifikat kan du se på URL-en til nettsiden. Starter adressen med https:// og ikke http:// er den beskyttet av et SSL-sertifikat.

Tilbyr webhotell leverandøren deg innlogginssider til dine tjenester som ikke er beskyttet av et SSL-sertifikat er det bare en ting å gjøre – bytt leverandør på dagen.

Ligger alle sensitive data på et sikkert område?

Hva med dine egne data? Er de beskyttet av et SSL sertifikat? Alle sider som inneholder sensitive data eller hvor brukerne blir bedt om å oppgi sensitive data bør beskyttet av et SSL-sertifikat. F.eks. sider hvor kundene blir bedt om å oppgi kundeopplysninger, kortinformasjon og lignende.

Benyttes hjemmesidene av ansatte for å kunne utføre jobben sin, bør disse sidene også være beskyttet av et SSL-sertifikat som gjør det umulig for andre å sette opp lytteposter som skal prøve å snappe opp informasjonen som sendes.

De rimeligste SSL-sertifikatene koster fra 200 kroner og oppover, og kan normalt installeres på nettstedet ditt gjennom kontrollpanelet som følger med webhotellet ditt. Sjekk hvilke muligheter du har for å installere et SSL-sertifikat med din webhotell leverandør.

Sjekk rettighetene på alle mapper og filer – bruk aldri 777 rettigheter.

Sammen med et svakt passord, er 777-rettigheter på en mappe eller fil den vanligste sikkerhetsfeilen folk flest gjør. Setter du 777-rettigheter på en mappe eller fil, betyr dette at absolutt alle som besøker nettstedet ditt kan laste opp egne filer til denne mappen eller endre eksisterende filer. Har du satt slike rettigheter på en mappe eller fil, er sikkerheten tilsvarende null! Sett derfor aldri slike rettigheter på en fil eller mappe.

Mange programmer krever at det settes 777-rettigheter på en mappe for at løsningen skal fungere. Krever et program eller plug-ins som du har installert på ditt nettsted slike rettigheter, bør du kutte ut dette programmet eller denne plug-insen. Det finnes alltid andre løsninger som ikke krever slike rettigheter. Faktisk er slike løsninger kun et bevis på hvor dårlig programmert denne løsningen er.

Gjør det til en regel at du alltid sjekker rettighetene på alle dine mapper hver gang du installerer et program eller en plug-ins på ditt nettsted. Hvis du er usikker på hvordan du skal angi rettighetene, kan du benytte verktøyet under:

Sett CAPTHA sjekk på alle kontaktskjemaer

For å unngå at spammere poster noe til ditt nettsted eller benytter dine kontaktskjemaer til å generere spam epost som sendes via konaktskjemaet, anbefaler vi at du alltid setter en CAPTHA-sjekk på alle dine skjemaer. Det vil si at brukerne får beskjed om å oppgi en sikkerhetskode som står oppgitt på et tilfeldig generert bilde for å verifisere at de er et menneske og ikke en spam robot.

Alle CRM-systemer har muligheten til å sette inn slike CAPHA sjekker. I tillegg finnes det store mengder ulike løsninger ute på Internett som du kan laste ned og installere som en del av ditt nettsted. Noen av dem er tilogmed gratis.

Benytter du f.eks. WordPress som ditt CRM-system, finnes det en hav av ulike plug-ins du kan installere som en del av WordPress hvis ditt kontaktskjema ikke allerede har støtte for CAPTHA.

Sjekk om det er mulig å sette opp en open-relay eller proxy-server på ditt webhotell?

Open relay er et program som gjør det mulig for alle å sende epost via en SMTP-server uten bruk av et brukernavn og passord. Slike programmer brukes først og fremst av spammere til å sende ut spam. Sjekk om det er mulig å installere et open-relay program som en del av ditt nettsted. Hvis dette er mulig bør du vurdere å bytte webhotell leverandør eller ta kontakt med din eksisterende leverandør og be dem blokkere denne muligheten. Dette for å unngå at hackere skal klare å laste opp programvare som gjør webhotellet ditt til en «open-relay» for dem. Sender nettstedet ditt ut store mengder spam, blir ikke bare all annen epost fra ditt nettsted blokkert, men du blir også svartelistet for en kortere eller lengre periode som en spammer. Noe som ødelegger ditt eget navn og rykte ute på Internett.

Det samme ressonemanget gjelder for proxy-server. en proxy-server er et lite program som gjør det mulig for andre å utgi seg for å være deg gjennom å bruke samme IP-adresse som deg eller ditt nettsted. Er det mulig å installere slike programmer på ditt webhotell, kan alle hackere bruke nettstedet ditt til å skjule sine egne spor når de angriper andre mål.

Optimaliser din .htaccess fil

Har du et Linux webhotell kan du angi hvem som skal ha tilgang til nettstedet ditt i din .htaccess fil. I denne filen kan du samtidig angi en rekke andre sikkerhetsinnstillinger.

Blokker IP-adresser, trafikk fra et domene eller hotlinking

F.eks. kan du blokkere alle IP-adresser du ikke ønsker skal kunne se dine sider. Dette gjøres ved hjelp av kodene til scriptet under. Scriptet gjør det også mulig å blokkere all trafikk fra et bestemt domene eller ip-adresse, samt gjøre det mulig å lage «hotlinks» til bilder på ditt nettsted. Det eneste du trenger å gjøre er å lime kodene inn i din .htaccess fil som ligger på root på ditt webområde (/public_html)

Passordbeskytt en mappe eller fil ved hjelp av disse kodene i din .htaccess fil

På samme måte kan du passordbeskytte en mappe eller en fil ved å klikke på linken under for å generere koder du limer inn i din .htaccess.

Kort om IKTnytt.noTips ossSøk i offentlige registre

Kort om IKTnytt.no

IKTnytt.no

Ansvarlig redaktør:
Kjetil Sander

E-post:
redaksjonen@iktnytt.no

Facebook:
http://facebook.com/iktnytt/

IKTnytt.no er en nettavis for utviklere, markedsførere og ledere som ønsker å holde seg oppdatert om hva som skjer i IKT-verden - innenlands og utenlands.

Målgruppen er ikke privatpersoner som er interessert i forbruker-elektronikk, men profesjonelle brukere som er involvert i utviklingen, drift og markedsføringen av eget nettsted og mobile applikasjoner.

IKTnytt.no er utviklet og drives på hobbybasis av ansvarlig redaktør Kjetil Sander, som også står bak våre søsterportaler:

Kunnskapssenteret.com Aksjemarkedet.com

IKTnytt.no er også kundeavis for webbyrådet og hosting-selskapet OnNet AS som Kjetil er daglig leder i.

Tips oss om en nyhet!

For å sørge for at vi har de nyeste og beste IKT nyhetene trenger vi hjelp fra våre lesere.
Vi inviterer derfor nå alle våre lesere til å tipse oss om nyheter - små og store - fra nært og fjernt. Fortell oss gjerne om hva som skjer i din bedrift, hvilke problemer og utfordringer dere møter, og hvordan dere tenker å løse dem.
Fyll ut skjemaet under for å tipse oss om en nyhet.

Ditt navn (obligatorisk)

E-post (obligatorisk)

Skriv tipset ditt under i form av en overskrift ("emne"), med nærmere informasjon ("melding").

Emne

Melding

Vedlegg
Last opp vedlegg i form av bilde, logo e.l.

Svar på spørsmålet under for å bekrefte at du er et menneske og ikke en spam-robot.

Søk offentlige registre

Søk i lover, forskrifter og dommer:

 

Søk i NAV.no:

 

Søk i Foretaksregisteret:

 

Søk etter heftelser på motorvogn:

 



Søk etter reservasjon mot reklame:

 

Firmasøk i Proff.no:

 

Søk i Statistisk Sentralbyrå: