W jaki sposób zabezpieczyć serwis przed awarią, włamaniem?

Poleć:
Informacje o artykule: Poziom trudności: 2/42-4-80 Dostęp: Silver 

 

securiteW tym poradniku omówimy działania, jakie możemy (a wręcz powinniśmy) podjąć, aby zminimalizować ryzyko poniesienia strat w wyniku awarii, włamania lub samej próby, nieudanej instalacji lub aktualizacji, itp. przypadków. W przypadku serwisu WWW obowiązuje bowiem dokładnie taka sama zasada, jak w każdym innym: prewencja i ubezpieczenie są zazwyczaj tańsze i łatwiejsze od potencjalnych szkód. Tym bardziej, że nie musimy ponosić żadnych dużych kosztów, poza naszą pracą i czasem.

Pierwsza rzecz, o którą powinniśmy zadbać, to uruchomienie automatu do tworzenia kopii zapasowych naszego serwisu. Niezależnie bowiem, co będzie przyczyną poniesionych szkód oraz jaki będą miały one rozmiar, w pewnym momencie staniemy przed zadaniem przywrócenia naszego serwisu do stanu oczekiwanego. Wówczas będziemy mogli zrobić tylko dwie rzeczy:

  • wszystko stworzyć od samego początku (instalacje, konfiguracje, treści, itd.),
  • przywrócić serwis kilkoma kliknięciami, wykorzystując ostatnią kopię sprawnego serwisu.

Wybór wydaje się oczywisty. Jedną z popularniejszych i najlepszych wtyczek, realizujących tego typu zadania jest ’UpdraftPlus Backup and Restoration’. Proces instalacji został omówiony w tym poradniku, więc tutaj skupimy się jedynie na kilku dodatkowych aspektach.

Po pierwsze musimy zdecydować jak często nasza wtyczka będzie wykonywała kopie zapasowe. W wielu przypadkach wystarczy ustawienie wskazane w w/w poradniku, czyli 1/tydzień. W przypadku serwisów, w których jakiekolwiek zmiany wykonywane są nie częściej, niż raz w miesiącu, również wykonywanie kopii można ustawić w takich odstępach. Istnieją jednak serwisy, dla których częstotliwość tworzenia kopii powinna wynosić 1/dzień, a czasem nawet co kilka godzin (np. w przypadku platform, na których dokonywanych jest wiele transakcji). Podejmując tę decyzję odpowiedzmy sobie na proste pytanie: „na utracenie jakiej historii mojego serwisu mogę sobie pozwolić, jeśli dojdzie do najgorszego?”.

Po drugie warto dobrze przemyśleć kwestię przechowywania kopii zapasowych. Co prawda wtyczka automatycznie zapisuje na serwerze kilka ostatnich kopii (tę wartość możemy ustawić), ale co, jeżeli utracimy dostęp do tych plików? Tutaj mamy co najmniej dwie możliwości:

  • ustawiamy automatyczne przesyłanie plików kopii na inny serwer,
  • pamiętamy, aby co jakiś czas pobrać pliki z kopiami np. na dysk swojego komputera.

Jeszcze jedna opcja, to tworzenie kopii serwisu bezpośrednio na serwerze. Taką usługę zapewnia wielu dobrych dostawców usług hostingowych (m.in. omawiany w naszych poradnikach home.pl), więc również warto wziąć ją pod uwagę.

Automatyczne przesyłanie plików możemy skonfigurować w ustawieniach wtyczki:

bezpieczenstwo-01

Mamy do dyspozycji naprawdę wiele możliwości (przesyłanie na e-maila, na serwer FTP, na serwery typu Google, Amazon, itp.) i każdy znajdzie odpowiadającą własnym potrzebom.

Pobieranie plików ręcznie również jest nieskomplikowane, więc jeśli tylko wystarczy nam taka opcja (i będziemy o tym pamiętać!), wówczas wystarczy:

  • wejść na zakładkę 'Istniejące kopie zapasowe’ naszej wtyczki,
  • w linii z interesującą nas datą kliknąć po kolei w każdy przycisk: 'Baza danych’, 'Wtyczki’, 'Motywy’, 'Przesłane’, 'Inne’,
  • zaczekać kilka chwil na stworzenie plików do pobrania,
  • przy każdym z elementów kliknąć 'Pobierz na komputer’, a następnie zapisać na dysku swojego komputera:

bezpieczenstwo-02

Kolejny element dbania o bezpieczeństwo może wyda się banalny, jednak jakże często go ignorujemy. Chodzi mianowicie o hasło, a właściwie jego odporność na złamanie. Pamiętajmy, że ogromny procent kradzieży polega na wykorzystywaniu ludzkiej słabości do bagatelizowania tej kwestii. Pominiemy tutaj skrajność w postaci ujawniania swojego hasła osobom nieupoważnionym, skupimy się natomiast na problemie haseł łatwych do odgadnięcia. W celu zobrazowania problemu wystarczy wyobrazić sobie, że dobry program do łamania haseł potrafi wykorzystać bazę prawie wszystkich słów, we wszystkich językach świata i w stosunkowo niedługim czasie zestawiać je w różnych kombinacjach. Tak długo, aż trafi na nasze hasło, np. w rodzaju 'imię+data’. Dlatego upewnij, że:

  • Twoje hasło jest wystarczająco silne (najlepiej: minimum 8-10 znaków, w tym co najmniej: 1 mała i 1 duża litera, 1 cyfra, 1 znak specjalny),
  • zmieniasz hasło przynajmniej raz na kilka miesięcy (a najlepiej częściej).

Przy okazji hasła warto poruszyć jeszcze jedno. Otóż, większość prób złamania haseł wykorzystuje najczęściej stosowane loginy administratorów. W WordPressie domyślnym loginem jest 'admin’, warto więc zmienić login konta administracyjnego na swój własny. Minimum to np. imię, ale najlepiej stworzyć coś nieszablonowego.

Następna kwestia to zabezpieczenie naszego serwisu przed próbą przesyłania formularzy przez automaty. Co prawda jest to ten element, który czasem potrafi nas drażnić:

bezpieczenstwo-03

ale właściwie nie ma wyboru, należy go zainstalować. Wtyczek tego typu jest wiele (’Wtyczki’ -> 'Dodaj nową’ -> hasło: 'captcha’), tutaj omówimy ’Advanced noCaptcha’. Konfiguracja sprowadza się do trzech głównych kroków:

  • wpisania kluczy systemu Google reCaptcha (darmowa rejestracja),
  • ustawienia kilku rzeczy związanych z wyglądem (wedle uznania),
  • określenia stron, na których ma pojawiać się zabezpieczenie:

bezpieczenstwo-04

Kolejne działanie: sprawdzaj okresowo, czy Twoja wersja WordPress, doinstalowanych wtyczek oraz motywu (szablonu graficznego) są aktualne, a w razie potrzeby nie zapominaj o aktualizacjach. Większość pojawiających się aktualizacji zawiera również poprawki wykrytych luk bezpieczeństwa, więc w bardzo istotny sposób wpływają na bezpieczeństwo Twojego serwisu:

bezpieczenstwo-05

Ostatnim krokiem jest instalacja i odpowiednia konfiguracja jednej z wtyczek bezpieczeństwa, na przykład ’iThemes Security’ lub ’Wordfence Security’. Jest to jednak na tyle duże zagadnienie, że omówimy je w jednym z kolejnych poradników: 'Kombajny bezpieczeństwa dla WordPress’.

Udostępnij:

Dodaj komentarz

Zgoda na cookies. (info)

Aby zapewnić Tobie najwyższy poziom realizacji usługi, opcje ciasteczek na tej stronie są ustawione na "zezwalaj na pliki cookies". Kontynuując przeglądanie strony bez zmiany ustawień lub klikając przycisk "Akceptuję" zgadzasz się na ich wykorzystanie.

Zamknij