Kilka porad na temat zhakowanych stron

W ostatnich miesiącach zauważalnie zwiększyła się ilość zhakowanych stron. Jedną z przyczyn tego zjawiska jest coraz częstsze uciekanie się do łamania zabezpieczeń stron www, aby poszerzyć kanały dystrybucji dla wirusów lub spamować wyniki wyszukiwania. Abstrahując od tego, jest to dobry moment, żeby zapoznać się ze wskazówkami bezpieczeństwa dla webmasterów.

Konieczne zastrzeżenie: Zachęcamy do wypróbowania poniżej zebranych porad i wskazówek, aczkolwiek zaznaczmy, że nie jest to wyczerpująca lista gwarantująca bezpieczeństwo stron internetowych. Mamy nadzieję, że okaże się przydatna, jednak polecamy zasięgnięcie opinii z innych źródeł.
  • Sprawdź konfigurację swojego serwera.
Apache na swoich stronach ma kilka pomocnych wsazówek, podobnie Microsoft i jego baza dokumentacji o IIS. Niektóre z tych wskazówek dotyczą praw dostępu do katalogów, Server Side Includes, autentykacji i szyfrowania.
  • Regularnie aktualizuj oprogramowanie oraz pobieraj dostępne łatki.
Częstym błędem popełnianym przez webmasterów jest instalowanie forum czy blogu na swojej stronie i zapominanie o nim. Ważne jest, aby się upewnić, że posiadamy najnowsze aktualizacje dla każdego zainstalowanego programu. Dla zainteresowanych, blogger Mark Blair opublikował interesujące porady dotyczące dbania o bezpieczeństwo, wraz z metodą jak przygotować listę wszystkich oprogramowań i wtyczek wykorzystywanych na Twojej stronie oraz jak usprawnić monitorowanie wersji i aktualizacji. Mark zaleca także subskrybcje kanałów RSS na ten temat.
  • Regularnie przeglądaj logi.
Taki zwyczaj może zwiększyć poziom bezpieczeństwa. Niejeden webmaster został zaskoczony tym, co w nich zobaczył.
  • Sprawdź swoją stronę pod względem ogólnie znanych słabych punktów.
Unikaj katalogów z nieograniczonym dostępem. To jest prawie tak, jak zostawienie szeroko otwartych drzwi od domu, z wycieraczką, na której jest napisane 'Wejdź i obsłuż się sam!'. Poza tym sprawdź słabe punkty w XSS (cross-site scripting) oraz SQL. Na koniec wybieraj odpowiednie hasła. Centrum pomocy Gmail oferuje porady, które mogą być przydatne przy wybieraniu haseł.
  • Bądź ostrożny korzystając z rozwiązań oferowanych przez osoby trzecie.
Zachowaj należytą ostrożność, jeśli rozważasz instalację aplikacji dostarczonej przez osoby trzecie, takiej jak widget, licznik, reklamy czy usługi statystyczne. W sieci jest ogromna ilość świetnych rozwiązań, jednak zdarzają się aplikacje zawierające niebezpieczne skrypty, na które możesz narazić odwiedzających Twoja stronę. Upewnij się, że źródło, z którego aplikacja pochodzi cieszy się dobrą opinią. Sprawdź, czy posiada ona stronę z pomocą i informacjami kontaktowymi oraz czy inni webmasterzy korzystają z tego serwisu.
  • Zobacz, co jest zindeksowane, korzystając z operatora site: w Google.
Może się to wydawać zbyt oczywiste, ale jest to przeważnie przeoczane. Dobrym pomysłem jest sprawdzenie, czy wszystko w wynikach wyszukiwarki wygląda prawidłowo. Dla osób niezaznajomionych: operator site: pozwala na zawężenie wyszukiwania do konkretnej strony, np. wpisanie do Google site:googlepolska.blogspot.com/ pokaże rezultaty tylko z polskiego oficjalnego blogu Google.
Narzędzia te są bezpłatne i zawierają wybór różnych interesujących opcji, takich jak sprawdzenie statusu witryny lub narzędzia do zarządzania tym, jak Googlebot indeksuje Twoją stronę. Inną ważną właściwością jest to, że gdy Google wykryje, że Twoja strona została zhakowana i zawiera niebezpieczne skrypty, zobaczysz w konsoli dla webmasterów przykłady podejrzanych adresów url oraz dodatkowe informacje. Po usunięciu szkodliwego kodu, istnieje możliwość złożenia podania w narzędziach Google dla webmasterów o rozpatrzenie możliwości ponownego zamieszczenia strony w naszym indeksie.
  • Korzystaj z pewnych protokołów.
Do transferu danych powinno się używać protokołów SSH i SFTP, zamiast protokołów czysto tekstowych takich jak telnet czy FTP. SSH i SFTP wykorzystują szyfrowanie i są dużo bardziej bezpieczne. Zainteresowanym tym tematem polecamy stronę StopBadware.org, na której znajduje się więcej informacji o bezpieczeństwie witryn.
Znajdują się tam przydatne informacje o bezpieczeństwie w sieci oraz o wielu innych, cennych źródłach. Warto go dodać do Twojego Google Readera :)
  • Kontaktuj się ze swoją firmą hostingową, jeśli potrzebujesz pomocy.
Większość firm hostingowych posiada grupy pomocy. Jeśli myślisz, że coś może być nie tak lub po prostu chcesz zasięgnąć informacji, odwiedź ich stronę lub zadzwoń do nich.

Mamy nadzieję, że podane powyżej porady okażą się przydatne. Jeśli masz jakieś własne pomysły, którymi chciałbyś się podzielić, proszę zostaw komentarz poniżej lub rozpocznij dyskusję na forum grupy pomocy dla webmasterów.

Napisane przez: Nathan Johns, Search Quality Team (tłumaczenie: Kaspar Szymanski, Search Quality Team)