Det fanns en tid då människor och företag chuckade upp webbplatser med helt övergivande, helt enkelt i hopp om att ingen skulle hacka innehållet eller installera skadlig kod på webbplatsen.
Dessa dagar är långt bakom oss, eftersom antalet och frekvensen av attacker innebär att det finns ett konstant hot - och ju mer framgångsrik en webbplats är, desto större är risken.
Så vilka sätt kan du skydda din webbplats (via din webbhotellleverantör), och hur kan du minska risken för att webbplatsen hackas och ändras?
Innan vi kommer till det måste vi dock förstå den mest grundläggande säkerhetsnivån som är ansvarig för många hackade webbplatser - även de som finns på säkra servrar.
- Vi har valt de bästa webbhotellstjänsterna här
- Dessa är de bästa gratis webbhotell företagen runt
- Och de är för närvarande de bästa webbplatsbyggarna
Den första försvarslinjen
Även om vissa företag insisterar på att vara värd för sina egna webbplatser, ligger de flesta affärsdomäner på säkra servrar som är kontrakterade för ändamålet.
När du väljer värd får du definiera vilket operativsystem det systemet kör (Windows Server, Linux eller Unix) och vilket dikterar de säkerhetsprotokoll som krävs.
Personen eller personerna med ansvaret för att administrera webbplatsen har administratörsrättigheter att ändra filstrukturerna på den, och ingen annan.
Där detta kan gå fel från början är om alltför många känner till administratörskontouppgifterna och lösenordet inte ändras regelbundet. Och det krävs bara en keylogger för att installeras på en av de maskiner som används för att göra admin, och lösenordet avslöjas för exakt den typ av personer du minst vill ha det.
Men för att vara ärlig, hur många människor arbetar på ett kontor där lösenord regelbundet kommer ihåg med post-it-anteckningar? Några händer gick upp utan tvekan.
Att säkra dessa lösenord är den första försvarslinjen, och utan det kan allt annat du gör lätt ångras.
Så det finns två inledande lektioner att lära sig om webbplatsens säkerhet, nämligen att:
- Det är bara lika bra som nätverket där webbplatsen byggdes
- Säkerheten förbättras sällan genom att skriva ned lösenord och placera dem på en mycket synlig plats
Säkerhetsgranskning
Att utföra en säkerhetsgranskning på en webbplats är en relativt enkel övning som IT-personal kan göra med ett urval av programverktyg. Eller alternativt kan du kontrakta en tredje part för att utföra genomsökningen åt dig och tillhandahålla en lista över potentiella svagheter för att stöta upp.
Om du köper en webbhotell kan leverantören också samla ett säkerhetsverktyg för att se till att du är ganska säker från början - men vanligtvis inte fortlöpande.
Utöver det erbjuder många leverantörer också ett säkerhetspaket för webbplatser, där de lovar ett snabbt svar på hot och motverkande av tjänsteförnekelser. Såvida du inte bara har en liten personlig blogg är det en bra investering.
Priset på dessa tjänster är inte mycket när man tänker på hur dyrt det är att ha en webbplats offline under en viss tidsperiod, särskilt för dem som erbjuder e-handel.
Oavsett vilken metod du tar är det viktigt att säkerhetsskanningar utförs regelbundet för att identifiera eventuella nya hot när de uppstår och ta itu med dem omedelbart.
Vanliga problem
De vanligaste formerna av attacker som webbplatser stöter på är dessa:
- Distribuerad denial of service (DDoS) - Många fjärrdatorer, vanligtvis infekterade med en trojan, agerar i samförstånd krävande webbsidor upprepade gånger till den punkt där servrarna inte kan hantera mängden förfrågningar.
- Infektion med skadlig programvara - På något sätt placeras filer som innehåller en otrevlig kod på webbplatsen med avsikt att ladda upp den till alla som besöker.
- SQL-injektion - Skadlig kod infogad i en form eller inmatning som sedan körs av SQL-databasen på servern. Denna kod kan göra det möjligt att komma åt kunddata eller öppna maskinen för extern åtkomst.
- Råstyrka - Ofta tillåter en brist i operativsystemet att en upprepad attack orsakar en återställning som kort öppnar en port för ett sekundärt angrepp. Med tanke på komplexiteten i moderna operativsystem finns nya sårbarheter regelbundet.
- Cross-site scripting - En hackingsmetod där en webbläsare kan omdirigeras till en annan webbplats eller ersätta innehåll på offrets webbplats utan att besökaren är medveten om det.
- Hacket "zero day" - Dessa är nya och svåra att stoppa attacker som använder en svaghet som inte är allmän kunskap. Tiden mellan att sårbarheten upptäcks och korrigeras är kritisk och kan kräva att vissa serverfunktioner tillfälligt inaktiveras tills en fix hittats.
Svagheter efter design
Medan många webbplatser fungerar med följande funktioner aktiva, är de källan till många säkerhetsproblem av många skäl:
- Formulär - Allt som bearbetar inmatning på servern är en potentiell ingångspunkt för skadlig kod, och den kan också utnyttjas för att extrahera användardata.
- Forum - Placering av skript och omdirigering av användare till webbplatser som dispenserar skadlig kod är bara några få av de potentiella problemen med användargenererade forum.
- Inloggning på sociala medier - Att använda ditt Facebook- eller Google-konto för att logga in på en webbplats är snabbt och enkelt, men det kan också vara ett sätt att dessa konton blir hackade.
- E-handel - Brott följer pengarna, och hackare kommer att lägga mycket mer ansträngningar på att hacka en e-handelswebbplats.
- Oreglerat innehåll - Om du hämtar nyheter och artiklar från andra webbplatser är du beroende av deras säkerhetsåtgärder, oavsett vad de kan vara.
Att avlägsna alla dessa funktioner från en webbplats skulle självklart göra det till en mycket mindre inbjudande plats för besökare. En bedömning måste göras om vilka element du är beredd att använda och hur du tänker mildra eventuella säkerhetsproblem som är förknippade med dem.
Lämpligt skydd
Det finns bara ett sätt att garantera att din webbplats aldrig hackas, och det är inte att ha en. I slutändan är webbplatsens säkerhet en lindringsövning där du gör tillräckligt för att göra det mycket mindre värt att försöka hacka din webbplats och se till att det är snabbare att återhämta sig från alla händelser.
Den exakta säkerhetsnivån som görs är ett val som alla företag måste brottas med, men för dem som är involverade i onlineförsäljning måste åtagandet vara 100% för att säkra de personliga och ekonomiska detaljerna för dem som handlar med dig.
Många företag och organisationer har fått all sin kunddata stulen och sedan använts för identitetsstöldbedrägerier, med dyra konsekvenser.
Oavsett vilken skyddsnivå och övervakning du väljer måste den vara lämplig för ändamålet. Slutligen, överväga att ha bättre säkerhet än du behöver har en minimal kostnadskonsekvens, men att ha mindre kan ha enorma juridiska och kommersiella konsekvenser.
