Zapobieganie zainfekowaniu witryny złośliwym oprogramowaniem

Ceną wolności od złośliwego oprogramowania jest stała i nieprzerwana czujność. Ten artykuł zawiera porady i wskazówki, które pomogą zapobiegać infekcjom złośliwym oprogramowaniem. Nie wyczerpuje on jednak tematu, a Google zachęca webmasterów do prowadzenia bardziej rozległych analiz w tej dziedzinie.

Monitorowanie kondycji witryny

Wiele funkcji Search Console może pomóc w identyfikowaniu potencjalnych problemów. Na przykład:

  • Użyj wyszukiwania z operatorem site: w Google, by zobaczyć, co w witrynie zostało zindeksowane. Dobrze jest robić to okresowo, by sprawdzać, czy ktoś niepostrzeżenie nie dołączył stron lub treści do Twojej witryny. Jeśli znajdziesz w niej nieznane strony lub tematy, których nie jesteś autorem, mogło dojść do ataku hakera. Jeśli nie znasz jeszcze operatora wyszukiwania site:, warto wiedzieć, że umożliwia on ograniczenie wyszukiwania do konkretnej witryny. Na przykład wyszukiwanie site:googleblog.blogspot.com zwróci wyłącznie wyniki z oficjalnego bloga Google.
  • Raport Problemy dotyczące bezpieczeństwa wskazuje strony w witrynie zidentyfikowane przez Google jako zaatakowane i podaje instrukcje rozwiązania takiego problemu.
  • Jeśli wykryjemy w Twojej witrynie złośliwe oprogramowanie, poinformujemy Cię o tym na stronie głównej Search Console oraz w Centrum wiadomości. Aby mieć pewność, że powiadomienia będą do Ciebie szybko docierać, możesz ustawić przekazywanie wiadomości z Centrum wiadomości na swoje konto e-mail.

Lista kontrolna zabezpieczeń

Oprócz regularnego monitorowania swojej witryny zalecamy również następujące działania:

Wszyscy webmasterzy

  • Stosuj silne hasła. Pomogą Ci w tym wskazówki dotyczące konta Google.
  • Uważnie wybieraj zewnętrznych dostawców treści. Jeśli rozważasz instalację aplikacji (widżetu, licznika czy sieci reklamowej) dostarczonej przez firmę zewnętrzną, dokładnie ją sprawdź. Obszar reklamowy jest często udostępniany innym stronom, nieznanym właścicielowi witryny. Chociaż w internecie można znaleźć dużo dobrych treści dostarczanych przez firmy zewnętrzne, dostawcy mogą również wykorzystywać takie aplikacje do przesyłania Twoim użytkownikom programów wykorzystujących luki w zabezpieczeniach, np. niebezpiecznych skryptów. Upewnij się, że aplikacja pochodzi z renomowanego źródła. Czy dana firma ma oficjalną witrynę z działem wsparcia i informacjami kontaktowymi? Czy z usługi korzystali już inni webmasterzy?
  • Kontaktuj się z przedstawicielami swojej firmy hostingowej lub platformy do publikacji, by uzyskać pomoc. Większość firm ma pomocne i stale gotowe grupy obsługi klienta lub strony o bezpieczeństwie. Jeśli strona lub witryna o bezpieczeństwie ma kanał RSS, zasubskrybuj go, by na bieżąco otrzymywać aktualne informacje.
  • Dbaj o bezpieczeństwo wszystkich swoich komputerów. Szczególnie przy pracy nad witryną upewnij się, że na lokalnej stacji roboczej zainstalowane jest aktualne oprogramowanie, jest ona wolna od wirusów, koni trojańskich lub innego złośliwego oprogramowania, a także ma zainstalowane niedawno zaktualizowane oprogramowanie antywirusowe.

Webmasterzy z dostępem do serwera

  • Sprawdź konfigurację serwera. Na stronie serwera Apache jest kilka wskazówek na temat konfiguracji jego zabezpieczeń, a Microsoft udostępnia w swoim centrum technologicznym materiały o serwerze IIS. Niektóre z tych porad zawierają informacje na temat pozwoleń do katalogów, kodu włączanego po stronie serwera, uwierzytelniania i szyfrowania.
  • Twórz kopie zapasowe pliku .htaccess (lub innych mechanizmów kontroli dostępu w zależności od używanej platformy witryny). Skorzystaj z pliku kopii zapasowej w celu odtworzenia konfiguracji, jeśli zawiodą inne sposoby. Pamiętaj o usunięciu pliku kopii zapasowej po zakończeniu.
  • Na bieżąco sprawdzaj dostępność najnowszych aktualizacji i poprawek oprogramowania. Istnieje wiele narzędzi, które ułatwiają tworzenie witryn, jednak każde stwarza ryzyko wykorzystania luk w jego zabezpieczeniach. Częstym błędem wielu webmasterów jest zainstalowanie w swojej witrynie forum lub bloga, o którym potem zapominają. Podobnie jak w przypadku samochodu, który trzeba poddawać przeglądom, ważne jest, by upewnić się, że posiada się wszystkie najnowsze aktualizacje dla każdego zainstalowanego programu. Sporządź listę całego oprogramowania i wtyczek używanych w witrynie i śledź numery ich wersji oraz aktualizacje. Nawet jeśli z uwagą aktualizujesz wszystkie komponenty swojej witryny, wciąż może ona być podatna na ataki, jeśli Twoja firma hostingowa nie zainstalowała najnowszych poprawek systemu operacyjnego. To nie jest problem dotyczący wyłącznie małych witryn; tego typu ostrzeżenia otrzymują witryny banków, zespołów sportowych, a także witryny firm i administracji publicznej.
  • Przeglądaj pliki dziennika. Wyrobienie w sobie takiego nawyku daje wiele korzyści – jedną z nich jest zwiększone bezpieczeństwo. Na przykład nieznane parametry adresu URL (takie jak „=http:” czy „=//”) lub wzrost ruchu w przekierowaniach w witrynie może oznaczać, że haker wykorzystuje otwarte przekierowania. Pamiętaj też, że hakerzy często próbują modyfikować pliki dziennika. Podejmij działania mające na celu ochronę tych plików przed atakami. Możesz na przykład przenieść je z domyślnej lokalizacji, utrudniając hakerom ich odnalezienie.
  • Sprawdzaj witrynę pod kątem znanych luk w zabezpieczeniach. Unikaj pozostawiania katalogów z otwartymi uprawnieniami. To zupełnie jak pozostawienie otwartych na oścież frontowych drzwi domu.

    Szukaj również wszelkich luk związanych ze skryptami XSS (skrypty między witrynami) i wstawkami SQL.

  • Korzystaj z bezpiecznych protokołów. Do przesyłania danych Google zaleca protokoły SSH i SFTP zamiast protokołów tekstowych, takich jak telnet czy FTP. Protokoły SSH i SFTP korzystają z szyfrowania i są znacznie bezpieczniejsze. Te oraz wiele innych przydatnych wskazówek znajdziesz w artykule Tips for Cleaning and Securing Your Website (Porady na temat czyszczenia i zabezpieczania witryny) dostępnym na StopBadware.org.
  • Stale śledź najnowsze informacje z dziedziny bezpieczeństwa. Blog Google o bezpieczeństwie online zawiera przydatne informacje o zabezpieczeniach stosowanych w internecie oraz linki do innych materiałów. Rządowa witryna US-CERT (United States Computer Emergency Readiness Team) zawiera techniczne alerty i porady związane z bezpieczeństwem.
Czy to było pomocne?
Jak możemy ją poprawić?