Η ασφάλεια στο διαδίκτυο, και ειδικότερα σε μια δυναμική ιστοσελίδα, είναι η πρώτη προτεραιότητα για το διαχειριστή ενός δυναμικού site, όποιον δηλαδή υποστηρίζει, συντηρεί και διαχειρίζεται την δυναμική ιστοσελίδα μιας επιχείρισης. Στο κείμενο που ακολουθεί αναφέρουμε βασικές κατευθύνσεις για να είναι ασφαλής η δυναμική ιστοσελίδα και το ηλεκτρονικό κατάστημα.
Προτεραιότητα στην ασφάλεια της δυναμικής ιστοσελίδας. Γιατί;
Επειδή όλα τα επόμενα, ακολουθούν. Το σωστό περιεχόμενο, η όμορφη εμφάνιση, τα ελκυστικά μηνύματα, οι καλές τιμές στο ηλεκτρονικό κατάστημα, η καλή κατάταξη στις μηχανές αναζήτησης, είναι ασφαλώς εξαιρετικά σημαντικοί παράγοντες μιας επιτυχημένης και αποδοτικής δυναμικής ιστοσελίδας. Δεν έχουν καμιά σημασία, όταν η δυναμική ιστοσελίδα παραβιαστεί.
Η ασφάλεια του cms και του eshop που διατηρούμε είναι λοιπόν το πρώτο κριτήριο: τόσο για την επιλογή της εφαρμογής που θα χρησιμοποιήσουμε, όσο και για τις πρακτικές που πρέπει να υιοθετήσουμε και να εφαρμόζουμε στη διαχείριση, υποστήριξη και συντήρηση της ιστοσελίδας.
Ασφάλεια στο επίπεδο του χρήστη
Τι πρέπει να κάνει, ώστε να ενισχύσει την ασφάλεια της ιστοσελίδας ο χρήστης / διαχειριστής της εφαρμογής;
Ασφαλείς κωδικοί
Διαφορετικό Username
Πολλές φορές ξεχνάμε πως στην πραγματικότητα η διαδικασία σύνδεσης στη διαχείριση δεν είναι τίποτε άλλο από επιβεβαίωση ενός συνδυασμού δύο στοιχείων: username και password. Αν το ένα από τα δύο, το username είναι γνωστό, μειώνεται η ασφάλεια του συνδυασμού αυτού. Αποφύγετε λοιπόν username που είναι το email σας, το όνομά σας, ή κάτι όπως admin, administrator κλπ.
Two-factor authentication ή έλεγχος ταυτότητας δύο παραγόντων
O έλεγχος ταυτότητας δύο παραγόντων, η χρήση δηλαδή και ενός επιπλέον κωδικού, που συνήθως παράγεται μέσω της εφαρμογής ελέγχου ταυτότητας OTP (όπως το Google Authenticator για Android ή iOS) στο smartphone προσθέτει άλλο ένα επίπεδο ασφαλείας, και εκμηδενίζει τον κίνδυνο παραβίασης, ακόμη και αν έχουν υποκλαπεί τα σταθερά στοιχεία πρόσβασης (username/password).
Διαφορετικοί ρόλοι, άλλη ταυτότητα
Το ο ίδιος άνθρωπος μπορεί να είναι και super user σε μια δυναμική ιστοσελίδα, αλλά ταυτόχρονα και editor στα κείμενά της, δεν σημαίνει ότι πρέπει, και για τους δυο ρόλους να χρησιμοποιεί τα ίδια στοιχεία σύνδεσης. Από τη στιγμή που
Ασφάλεια στο επίπεδο της εφαρμογής
Πώς μπορεί να ενισχυθεί η ασφάλεια σε μια δυναμική ιστοσελίδα, στο επίπεδο της εφαρμογλης που χρησιμοποιεί;
Ασφαλείς συνδέσεις
Και στο δημόσιο τμήμα της ιστοσελίδας σας, και στη διαχείριση του cms πρέπει να χρησιμοποιείτε ασφαλείς ssl συνδέσεις. Εξασφαλίζετε με τον τρόπο αυτό την κρυπρογραφημένη μεταφορά στοιχείων και δεδομένων, δίνετε μια αίσθηση ασφάλειας στους επισκέπτες σας και αποφεύγετε τον “κακοχαρακτηρισμό” από τις μηχανές αναζήτησης.
Συνεχείς αναβαθμίσεις
Η εφαρμογή που χρησιμοποιείτε για τη δυναμική ιστοσελίδα και το ηλεκτρονικό κατάστημα πρέπει να είναι συνεχώς επικαιροποιημένη. Καμιά ολιγωρία ή καθυστέρηση δεν επιτρέπεται στο σημείο αυτό. Οι αναβαθμίσεις της εφαρμογής, και ιδιαίτερα οι αναβαθμίσεις που περιλαμβάνουν και επίλυση προβλημάτων ασφαλείας, είναι απαραίτητο να γίνονται άμεσα, με τη δημοσίευση μιας νέας έκδοσης.
Ο κανόνας αυτός δεν περιορίζεται στην εφαρμογή και μόνον, αλλά και σε όλες τις επεκτάσεις που έχουν εγκατασταθεί σε αυτήν. Δεν είναι, άλλωστε, λίγες οι φορές που τα κενά ασφαλείας και οι δυσλειτουργίες έχουν να κάνουν με τις επεκτάσεις μιας δυναμικής ιστοσελίδας.
Μόνον οι αναγκαίες επεκτάσεις
Αποφύγετε τον πειρασμό να εγκαταστήσετε (και να χρησιμοποιήσετε) ότι επέκταση πέφτει στην προσοχή σας. Σιγουρευτείτε καταρχήν ότι δεν μπορείτε να κάνετε το ίδιο πράγμα, χρησιμοποιώντας μόνον την εφαρμογή, εξαντλώντας δηλαδή τις δυνατότητές της. Στη συνέχεια, ελέγξτε την ποιότητα της επέκτασης, την αξιοπιστία του κατασκευαστή της.
Διαχείριση δικαιωμάτων χρηστών
Δημιουργήστε όσες ομάδες χρηστών χρειάζεστε, με διαφορετικά επίπεδα πρόσβασης σε για διακριτές λειτουργίες. Οι ασφαλείς εφαρμογές διαχείρισης περιεχομένου, δίνουν τη δυνατότητα δημιουργίας ομάδων χρηστών με διαφορετικά δικαιώματα σε κάθε κομμάτι της διαχείρισης.
Δημιουργία αντιγράφων ασφαλείας
Πάντα δημιουργείτε και διατηρείτε ένα αντίγραφο ασφαλείας που να είστε σίγουροι ότι είναι “καθαρό” και λειτουργικό. Σε δύσκολες περιπτώσεις, είναι εξαιρετικά χρήσιμο.
Προστατεύστε την περιοχή διαχείρισης στο cPanel
Δημιουργήστε ένα επιπλέον στάδιο πρόσβασης στην περιοχή διαχείρισης, κλειδώνοντας στο cPanel το administrator directory.
Ποιά εφαρμογή είναι ασφαλής;
Δεν είναι εύκολη η απάντηση στο ερώτημα αυτό. Γιατί, η ασφάλεια δεν είναι, όπως είδαμε θέμα απλώς της εφαρμογής, αλλά κυρίως είναι ζήτημα σωστής χρήσης και πρακτικής από όποιον τη διαχειρίζεται και τη συντηρεί.
Αν ωστόσο χρειάζεται να δικαιολογήσουμε, από την πλευρά της ασφάλειας, γιατί έχουμε επιλέξει το Joomla ως την εφαρμογή που χρησιμοποιούμε και υποστηρίζουμε, θα σημειώσουμε ότι όλα τα παραπάνω μπορούν να υλοποιηθούν με την εγκατάσταση της εφαρμογής, χωρίς ιδιαίτερα πρόθετα και επεκτάσεις.
Παρουσίαση με θέμα Βέλτιστες πρακτικές για Ασφαλή και Γρήγορη Δυναμική Ιστοσελίδα από το Workshop στο συνέδριο των κοινοτήτων ελεύθερου λογισμικού ανοικτού κώδικα Fosscomm2018, με ομιλητή τον Άρη Ντάτση στο Πανεπιστήμιο Κρήτης, Ηράκλειο, 13 Οκτωβρίου 2018.
Το υλικό της παρουσίασης εδώ