SSL jest ważny… ale domena i tak narażona!

Z tekstu dowiesz się między innymi:

• SSL – co to jest?
• Jakie znaczenie mają certyfikaty SSL dla pozycji strony w Google?
• Certyfikat SSL – jaki wybrać dla sklepu internetowego?
• Certyfikaty SSL Let’s Encrypt
• Certyfikat SSL i gwarancje
• Przed czym nie chroni certyfikat SSL?
• Dlaczego warto wybrać certyfikat SSL dla e-sklepu?
• Jak często odnawia się certyfikat?

Czym tak naprawdę jest SSL

W 1994 roku przedsiębiorstwo Netscape stworzyło protokół o nazwie Secure Sockets Layer, który miał na celu zabezpieczenie transmisji danych. Przez kolejne lata technologia zabezpieczeń rozwijała się, a certyfikaty stały się coraz bezpieczniejsze i coraz bardziej powszechne. Dane, które chroni SSL są zabezpieczone kryptograficznie. Jak to działa?

Załóżmy, że klient kupuje coś w naszym sklepie. Gdy nie mamy certyfikatu, transmisja pomiędzy przeglądarką internetową klienta a serwerem sklepu może zostać „przejęta”, a przesyłane dane, które w tym przypadku są jawne, np. dane karty kredytowej, mogą zostać skradzione.

W chwili, gdy korzystamy z certyfikatu dane zostają zaszyfrowane jeszcze w przeglądarce, na urządzeniu kupującego i dopiero w taki, zakodowany sposób są przekazywane do serwera. Konieczność odszyfrowania treści utrudnia kradzież danych.

Rezygnacja z instalacji certyfikatu, np. dlatego, że chcemy oszczędzić rocznie sto złotych lub więcej, to błąd. Chodzi tu nie tylko o bezpieczeństwo, ale także o widoczność naszego sklepu w wyszukiwarce.

Certyfikat SSL a pozycja w Google

Posiadanie ważnego certyfikatu jest jednym z czynników rankingowych. Od dawna wiadomo, że Google bardziej promuje strony i sklepy internetowe, które są wyposażone w certyfikat SSL. Ba, Google Chrome, czyli najpopularniejsza przeglądarka internetowa, także „piętnuje” serwisy, które pozbawione są tego certyfikatu.

Specjaliści od SEO są raczej zgodni co to tego, że certyfikat to dziś konieczność. Istnieją jednak podzielone zdania na temat rodzaju certyfikatu SSL – rodzaje certyfikatów przedstawię dalej.

Certyfikaty możemy podzielić na kilka kategorii. Trzeba pamiętać, że poza szyfrowaniem mają one jeszcze jedną ważną zaletę, a mianowicie potwierdzają tożsamość właściciela domeny.

Certyfikat SSL – jaki wybrać dla sklepu internetowego?

Certyfikaty istotnie różnią się poziomem wiarygodności takiego potwierdzenia – mówi się w tym kontekście o metodzie walidacji. Z tego punktu widzenia rozróżniamy następujące rodzaje certyfikatów.

DV ‒ Domain Validation

To chyba najpopularniejsza forma zabezpieczenia domeny. Przy weryfikacji podaje się jedynie nazwę domeny, nie musimy podawać nazwy firmy, będącej jej właścicielem.

Jej koszt to kilkadziesiąt złotych, a podczas rejestracji należy mieć dostęp do skrzynki admina w domenie, do której będziemy instalować certyfikat. Chociaż nie jest to certyfikat o najwyższej wiarygodności, to samo szyfrowanie działa równie dobrze, jak przy certyfikatach wyższych poziomów. DV to dobre rozwiązanie dla początkujących ebiznesów.

OV ‒ Organization Validation

Jest to certyfikat o największej wiarygodności, ponieważ wnioskodawca musi potwierdzić swoją tożsamość, np. poprzez przesłanie dostawcy usługi umowy spółki. Niestety, odbija się to na cenie i czasie, jaki jest potrzebny na wdrożenie rozwiązania.

Jednocześnie ten certyfikat stanowi też najbardziej wiarygodne potwierdzenie, że odwiedzający trafił na właściwą stronę, a nie jej „podróbkę”. Na pasku z adresem URL domeny pojawia się ikonka tune. Strona i firma przechodzą szczegółową weryfikację. Ceny tego typu certyfikatów mogą dojść do kilku tysięcy złotych. Ten rodzaj zabezpieczenia stosuje się głównie w dużych sklepach internetowych i bankach.

EV ‒ Extended Validation

Na moment pisania tego artykułu z tego zabezpieczenia korzystały m.in. takie serwisy, jak Allegro czy Zalando, a więc marki związane z e-commerce, które z pewnością możemy uznać za wiarygodne:

Tak wygląda informacja o certyfikacie SSL dla Allegro

Tak wygląda informacja o certyfikacie SSL dla Zalando

Informację o certyfikacie SSL i jego szczegółach możesz uzyskać klikając w ikonę tune w pasku adresowym.

Warto na koniec wspomnieć jeszcze o certyfikatach Let’s Encrypt, czyli rozwiązaniach do samodzielnej instalacji. Do ich zalet, poza tym, że są one darmowe (jeśli instalujemy samodzielnie), możemy zaliczyć to, że certyfikaty te szyfrują dane tak samo dobrze, jak ich komercyjne odpowiedniki. Niestety mają one też wady, do których zaliczymy:

• konieczność odnawiania certyfikatu co 3 miesiące.
• to, że Let’s Encrypt opiera się na prostej walidacji DV,
• to, że nie oferuje on żadnej sumy gwarancyjnej, więc gdyby zawiódł, nie możemy oczekiwać odszkodowania od jego twórców.

Certyfikaty SSL Let’s Encrypt

Komercyjne certyfikaty SSL zapewniają gwarancję, czyli oferują odszkodowanie, kiedy klient kupi coś na naszej stronie chronionej certyfikatem i straci podczas płatności pieniądze. W większości wypadków suma gwarancyjna waha się od 10.000 do 100.000 USD. Mechanizm wypłaty odszkodowania polega przeważnie na zwrocie strat poniesionych przez użytkownika końcowego, do wysokości sumy gwarancyjnej.

Certyfikat SSL i gwarancje

Komercyjne certyfikaty SSL zapewniają gwarancję, czyli oferują odszkodowanie, kiedy klient kupi coś na naszej stronie chronionej certyfikatem i straci podczas płatności pieniądze. W większości wypadków suma gwarancyjna waha się od 10.000 do 100.000 USD. Mechanizm wypłaty odszkodowania polega przeważnie na zwrocie strat poniesionych przez użytkownika końcowego, do wysokości sumy gwarancyjnej.

Przed czym nie chroni certyfikat SSL?

Trzeba pamiętać, że żaden z certyfikatów nie zabezpieczy nas przed kradzieżą danych z naszego serwera. Aby spać spokojnie skorzystajmy w tym celu z szyfrowania baz danych. SSL nie zabezpiecza nas też przed włamaniem do naszego komputera, wykradzeniem zapisanych haseł z przeglądarek itp.

W tym przypadku na pomoc przychodzą antywirusy, odpowiednie hasła, zabezpieczenia. SSL nie zapewnia też ochrony przed rejestracją domen łudząco do naszej podobnych i podszywaniem się pod nasz sklep. Tu warto pomyśleć o zabezpieczeniu się poprzez wykupienie domen podobnie brzmiących, mających inne końcówki np. eu, org, net itd.

Dlaczego warto wybrać certyfikat SSL dla e-sklepu?

Możemy mówić o kilku najważniejszych zaletach posiadania tego typu zabezpieczenia. Są to:

• ochrona danych klienta na linii przeglądarka użytkownika ‒ serwer e-sklepu,
• wzbudzenie wiarygodności strony, co może przełożyć się na konwersję,
• poprawienie rankingu w Google, co docelowo również może przełożyć się na wskaźnik konwersji,
• brak budzącego niepokój klientów oznaczenia naszej strony przez przeglądarkę jako niebezpiecznej,
• wzbudzenie zaufania wśród osób kupujących.

Jak często odnawia się certyfikat?

Wszystko zależne jest od tego, na jaki okres wykupujemy usługę. Najkrótszy to dwanaście miesięcy, najdłuższy dziesięć lat. Oczywiście wszystko zależy od zasobności naszego portfela. Przeważnie dostawcy usługi informują nas o nadchodzącym terminie jej odnowienia.

Nawet największym markom zdarzało się zapomnieć o odnowieniu certyfikatu SSL – dotknęło to m.in. Microsoft i LinkedIn.

Warto nie pozostawiać tego na ostatnią chwilę i podobnie jak domenę, odnowić certyfikat kilka dni wcześniej. Chodzi przede wszystkim o to, że walidacja może wymagać od nas dodatkowych czynności, które mogą potrwać nawet kilka dni, a zanim ją przeprowadzimy, nasza strona pozbawiona będzie ochrony, przez co narażeni zostaną nasi klienci i pozycje w Google.

Certyfikat SSL dla sklepu – podsumowanie

Chociaż dla kupującego sama strona techniczna to często enigmatyczne zagadnienie, to jednak zielona kłódka oraz https:// przed nazwą strony dają poczucie bezpieczeństwa, które jest tak ważne podczas zakupów w internecie. Warto więc zainwestować w odpowiedni certyfikat dla naszego e-sklepu.

Jeśli prowadzisz duży sklep to rekomenduję certyfikat EV. W skali Twoich przychodów nie będzie to raczej istotny wydatek, a zdaniem niektórych specjalistów SEO będzie on lepiej sprzyjał Twojemu rankowaniu w Google.

Dla najmniejszych sklepów koszty takiego certyfikatu (co do rzędu, powiedzmy, ok. tysiąc zł rocznie) mogą być już odczuwalne – jeśli nie masz takiego budżetu, zacznij od tańszego certyfikatu z niższym poziomem walidacji, byle mieć jakikolwiek. Z pewnością odradzam Ci natomiast oszczędność polegającą na braku certyfikatu w ogóle.

W tym artykule, jakkolwiek odnoszącym się do bezpieczeństwa, ograniczam się do omówienia certyfikatów SSL, ale zwróć uwagę, że to nie jedyne zagrożenia, związane z Twoją nazwą domenową. We wpisie o bezpieczeństwie domen omawiam inne, równie ważne aspekty – warto tam zajrzeć!

Jeśli chcesz porozmawiać o tym wpisie, zapraszam do komentowania lub do bezpośredniego kontaktu ze mną, na przykład przez mój profil na LinkedIn.

Artykuł Jaki certyfikat SSL dla sklepu internetowego? pochodzi z serwisu cyber_Folks.

Z tego wpisu dowiesz się:

• Jakie zagrożenia czyhają na nazwy domenowe
• Co to jest cybersquatting i typosquatting?
• W jakim stopniu grozi Ci atak homograficzny?

Jak chronić domenę – typologia zagrożeń

Jako firma hostingowa często spotykamy się z szeroką skalą problemów z domenami. Z tego punktu widzenia podzieliłbym zagrożenia dla domen na kilka kategorii, które postaram się omówić dla Ciebie w poniższym artykule. Są to zagadnienia:

• prawne
• finansowe
• techniczne
• własnego postępowania
• niewygodnego towarzystwa
• techniczne
• cybersquatting
• typosquatting
• homograficzne
• „ataki z flanki”

Sporo? Tym bardziej nie ma na co czekać, zaczynajmy!

Zagadnienia prawne

Być może czytając ten akapit dziwisz się, że poruszam taki temat, jednak w praktyce co rusz zwracają się do nas osoby, które miały domenę i „przestała działać” – a okazuje się, że wcale nie były jej abonentem! Niedawno rozmawiałem na privie z panią, która zaczęła rozmowę o pytania, jak sprawdzić, kto jest abonentem domeny, a wkrótce okazało się, że straciła kontrolę nad domeną, a w danych WHOIS jako abonent wpisana jest inna osoba, która… robiła stronę www!

Dlatego zlecając stronę lub sklep – ZAWSZE upewnij się najpierw, że z prawnego punktu widzenia to Ty jesteś abonentem domeny oraz jest to odzwierciedlone w rejestrze WHOIS. W przeciwnym wypadku, w razie sporu, pozostanie Ci tylko długa batalia prawna z podmiotem lub osobą, która figuruje we WHOIS.

W dniu 2018-10-26, podczas trzeciego dnia konferencji I love marketing, Tomasz Palak wygłosił świetne wystąpienie, w którym także wskazał, że z prawnego punktu widzenia znacznie łatwiej jest od razu zarezerwować sobie prawo do danej domeny, niż później „odkręcać” sytuację, w której to ktoś inny jest jej abonentem. (Tomek gratuluję – to było świetne wystąpienie!) Dlatego zaczynając biznes pamiętaj, aby ta sprawa od początku była w pełni jasna – to Ty chcesz być wpisany jako abonent.

Zwróć uwagę, że nie „właściciel”, choć tak zwykło się mówić potocznie. Sam początkowo wpadłem w tę językową rutynę pisząc pierwotny tekst tego wpisu. Jest to dobre miejsce, aby przypomnieć, że domena internetowa nie jest Twoją własnością w rozumieniu prawnym. Rejestrując domenę zapewniasz sobie po prostu prawo do jej używania przez określony czas. Stąd też prawidłowo mówimy o abonencie domeny, podobnie jak o abonencie numeru telefonu – po zwolnieniu operator może go przecież przydzielić innej osobie – tak samo, jak nazwa domenowa może być później używana przez kogoś innego.

Zagadnienia finansowe

Druga przyczyna problemów to po prostu przegapienie terminu odnowienia domeny. Niemal każda firma hostingowa wysyła kilka przypomnień, jeśli jednak jesteś akurat na urlopie i postanowiłeś odciąć się od cywilizacji na dwa, trzy tygodnie – możesz to przegapić.

Aby uniknąć takich sytuacji przez dłuższymi wyjazdami pamiętaj, aby sprawdzić, czy domena w tym czasie nie ulegnie wygaśnięciu.

źródło: kppis.pl, 2018-11-13

Wspomniany już Tomasz Palak w swojej prezentacji ponownie wskazuje na świetny przykład. Niedopilnowana domena kppis.pl – Klubu Parlamentarnego Prawa i Sprawiedliwości – przeszła w ten sposób w ręce Klubu Przyjaciół Pieczywa i Sera… który to – co ciekawe- wciąż aktywnie prowadzi stronę o pieczywie i serze!

Aby uniknąć tego rodzaju problemów – porozmawiaj ze swoim dostawcą hostingu o rejestracji domeny od razu na dłuższy okres, a także zadbaj o wcześniejsze regulowanie opłat za kolejne okresy rozliczeniowe usług hostingowych. Serio, hosting czy domena to nie to samo, co prąd czy gaz. Jeśli nie zapłacisz w terminie rachunku za prąd i zostanie on odcięty, to po uregulowaniu sprawy otrzymasz ponownie taki sam prąd. Z domeną czy hostingiem to tak nie działa. Utracona domena może przejść w ręce kogoś trzeciego, a dane z nieopłaconego na czas konta mogą zostać skasowane bezpowrotnie.

Własne postępowanie

To najbardziej oczywista sprawa – pamiętaj, że domena będzie mieć taką reputację, na jaką sobie zasłuży Twoim własnym postępowaniem. Przestrzegaj zatem zasad, związanych z przetwarzaniem danych osobowych oraz świadczeniem usług drogą elektroniczną, a wysyłki poczty z Twojej domeny opieraj o zgody użytkowników. Każdy incydent, kiedy roześlesz niechciane informacje, może skończyć się zaraportowaniem Twojej domeny jako rozsyłającej spam.

Twoja domena to Twoja marka w oczach wielu serwisów oraz użytkowników. W niektórych wypadkach istnieje możliwość, że wygenerujesz subdomeny, czyli domeny niższego poziomu. Na przykład dla domeny sklep.pl może to być adres typu logowanie.sklep.pl. Póki to Ty kontrolujesz wszystko, co dzieje się w tych subdomenach – to wszystko w porządku.

Jeśli jednak subdomeny „oddajesz” innym, na przykład jakimś jednostkom biznesowym Twojej Bardzo Wielkiej Międzynarodowej Korporacji albo po prostu odsprzedajesz adresy w swojej domenie – to zwróć uwagę, że wszystko to, co dzieje się w subdomenach „pracuje” na reputację domeny nadrzędnej. Może się okazać, że reputacja takiej domeny jest bardzo trudna do odzyskania – sam spotkałem się z sytuacją, w której Facebook uparcie traktuje jedną z domen jako podejrzaną, wymagając za każdym razem, kiedy próbuje się do niej linkować – dowodu, że linkujący jest człowiekiem. Jest to właśnie następstwo „złego zachowania” osób posługujących się subdomenami w tej domenie.

Dobre towarzystwo

Korzystaj ze sprawdzonych firm i usług hostingowych. Spytaj operatora hostingu, jaka jest jego polityka w zakresie adresacji IP. Idealnie, jeśli masz własny adres IP, wówczas z Twoją domeną nie będą kojarzone działania innych użytkowników, posługujących się innymi domenami, ale podpiętymi pod to samo IP.

W razie ataku spamu adres IP może zostać wpisany na tzw. RBL’e. Są to listy wskazujące na serwery o niskiej reputacji, z których rozsyłano spam. Z tego rodzaju list korzystają operatorzy poczty na całym świecie. W obecnych czasach stanowią one jedną z istotnych technik ochrony Twojej skrzynki przed zalewem spamu. Kiedy jednak to Twój adres IP dostanie się na taką listę, to w efekcie stracisz możliwość skutecznego wysłania poczty. Fizycznie zostaną ona wysłana z Twojego serwera, ale serwer odbiorcy z bardzo wysokim prawdopodobieństwem ją po prostu odrzuci. Z technologii tej korzysta większość operatorów pocztowych.

W hostingu współdzielonym może sprawdzić się także stosowanie dedykowanych pakietów hostingowych, przeznaczonych do obsługi poczty. Istnieją takie rozwiązania, które zajmują się odpowiednią obsługą i rotowaniem adresów IP tak, żeby nawet w razie dostania się Twojego adresu na listy RBL zminimalizować skutki w ten sposób, że otrzymasz od razu, automatycznie, nowy adres.

Zabezpieczenia techniczne

To bardzo szeroka kategoria, więc w tym wpisie ograniczę się to trzech, najważniejszym moim zdaniem, zagadnień, jak: hasła, bezpieczeństwo strony oraz stosowanie bezpiecznych certyfikatów SSL.

Podstawą jest stosowanie odpowiednich haseł do wszystkiego, co funkcjonuje w Twojej domenie, od konta poczty, przez FTP, na logowaniu do kokpitu Twojej strony strony kończąc. Hasła powinny być unikane, odpowiednio złożone i trudne, najlepiej jeszcze często zmieniane. Poprzednio obowiązujące przepisy o ochronie danych osobowych wskazywały na konieczność stosowania haseł min. 8-znakowych, zawierających małe, wielkie litery oraz cyfry lub znaki specjalne. Haseł nie zapisuj w formie jawnej i nigdy, przenigdy nie ujawniaj swojego hasła innej osobie, bo nie masz pewności, czy omyłkowo nie zostanie ono ujawnione nawet, jeśli taka osoba nie ma wrogich intencji. Nie podawaj haseł w publicznych, niezabezpieczonych sieciach.

Drugi obszar, o którym trzeba tu powiedzieć, to luki w skryptach na stronie. Poprzez luki w oprogramowaniu, zwłaszcza popularnych CMS’ow jak WordPress i Joomla!, możliwe jest wrogie przejęcie kontroli nad Twoją stroną i użycie jej na przykład do rozesłania spamu bez Twojej zgody i wiedzy. Zazwyczaj problem leży nie tyle w samym rdzeniu CMS’a, co w instalowanych pluginach.

Trzeci obszar to certyfikaty SSL. Ich stosowanie jest dziś w zasadzie koniecznością. Zapewniają one szyfrowanie komunikacji między przeglądarką użytkownika a serwerem, dzięki czemu dane pozostają poufne w warstwie transmisji. Ogranicza to ryzyko ich przechwycenia i podsłuchania, co mogłoby prowadzić do tragicznego spadku zaufania do Twojej domeny.

Podsumowując – myśląc o bezpieczeństwie technicznym pamiętaj o:

1. Stosowaniu certyfikatu SSL
2. Stałym aktualizowaniu strony i jej wszystkich komponentów.
3. Wybieraniu wiarygodnych i dobrze opisanych pluginów.

Wiele osób sądzi, że instalacja pluginów wzmacniających bezpieczeństwo ochroni je przed atakami, ale często jest to złudne poczucie bezpieczeństwa. Istnieje mocno uargumentowany pogląd, że w większości takie wtyczki powodują dodatkowe obciążenie serwera i same stanowią potencjalne „wrota infekcji” dla strony www. Dlatego lepszym rozwiązaniem wydaje się ręcznie zastosowanie choćby kilku podstawowych kroków, albo zainwestowanie w usługę specjalisty, który może pomóc w przygotowaniu takiego zabezpieczenia.

Zabezpieczenia „kognitywne”. Co to jest typosquatting?

To wyszukane pojęcie oznacza po prostu, że ktoś inny może podszywać się skutecznie pod Twoją domenę, jeśli jej brzmienie jest bardzo podobne do Twojej domeny. Ze względu na nasze ograniczenia poznawcze, zwłaszcza w wypadku dłuższych nazw domenowych, możemy w pośpiechu nie odróżnić dwóch domen, różniących się jednym znakiem. Działania polecające na rejestracji nazwy łudząco podobnej do innej – w złej wierze, to własnie typosquatting. Przykład takiej domeny to gooogle.com – nazwa z nadmiarową literą „o”. Typosquatting wydaje się szczególnie groźny tam, gdzie w „prawidłowej” nazwie domenowej występują dwie takie same litery obok siebie.

Istnieje 900 000 domen, które wykorzystują literówki użytkowników chcących odwiedzić jedną z 3 264 najpopularniejszych stron z końcówką „.com”

https://tylermoore.ens.utulsa.edu/fc10typo.pdf

Co więcej – atakujący może mieć nawet prawidłowo działający certyfikat SSL, wydany oczywiście na swoją nazwę domenową! Jeśli nazwa jest łudząco podobna do Twojej – narażasz reputację Twojej domeny w sytuacji, kiedy atakujący spróbuje np. phisingu, czyli podszycia się pod Twoją stronę w celu wyłudzenia takich danych, jak hasła użytkowników. Tego rodzaju ataki są wymierzone głównie w banki, ale często także np. w firmy kurierskie, a zdarza się, że i hostingowe, choć w tym wypadku chodzi raczej o pobranie załącznika zawierającego złośliwe oprogramowanie instalowane w komputerze użytkownika.

Tak czy inaczej – zaufanie odbiorcy do marki może zostać nadszarpnięte.
W tym wypadku istnieją dwie linie działań, które może prowadzić, aby zredukować tego typu zagrożenia dla Twojej domeny.

• Wykupienie podobnych nazw domenowych tak, żeby nie mogli tego zrobić atakujący. (Bonus: – możesz przekierować ruch z takich domen na swoją, aby zgarniać także tych użytkowników, którzy się po prostu pomylili wpisując nazwę domenową. Skonsultuj się z Twoimi specjalistami od SEO, żeby zrobić to w sposób, który nie zaszkodzi pozycjom strony w wyszukiwarce).
• Mieć „włączony nasłuch” na wszelkie tego rodzaju próby w odniesieniu do Twojej marki (np. monitoring marki) i edukować klientów, wysyłając im ostrzeżenia mailowe, tworząc odpowiednie treści na swoim blogu, kanale video, w materiałach drukowanych etc. , – a nawet w SMS’ach. Jeśli roześlesz takie ostrzeżenia o próbach podszywania się pod Ciebie, Twoja marka będzie postrzegana jako troszcząca się o klienta i mimo tego rodzaju wrogich działań zaufanie do niej może pozostać na tym samym, a nawet – paradoksalnie – wyższym poziomie.

Co to jest cybersquatting?

Słowo „squatting” można rozumieć po prostu jako niepożądane, bezprawne „zamieszkanie”, czyli zajęcie określonego lokalu. Cybersquatting oznacza niepożądane zajęcie danej nazwy domenowej. Najczęściej pod tym pojęciem rozumie się sytuację, w której domena z prawidłowym „rdzeniem” zostaje zarejestrowana z inną końcówką. Tu nie ma mowy o literówkach, po prostu ktoś bierze nazwę Twojej firmy i rejestruje, np. w domenie .xxx albo .sucks… zresztą wystarczy, że zarejestruje Ci domenę .eu albo .com – to też skutecznie zepsuje Ci plany, jeśli myślałeś o rozszerzeniu biznesu poza granice Polski.

Dostałeś kiedykolwiek maila od zagranicznego registrara z informacją, że ktoś jest zainteresowany rejestracją nazwy domenowej o brzmieniu takim, jak Twoja nazwa firmy? Tego typu maile mogą być zwykłymi oszustwami, mającymi Cię skłonić do rejestracji nazwy i wydania pieniędzy… ale równie dobrze ktoś może NAPRAWDĘ właśnie taką nazwę rejestrować. Co więcej – tylko w tym celu, żeby domagać się później znacznej kwoty za przekazanie jej Tobie.

[ciekawostka source=”https://www.upcounsel.com/typosquatting”]63,8% wszystkich cybersquatterów zamieszkuje Stany Zjednoczone. Apple wygrał prawa do iTunes.co.uk po 12-letniej walce.[/ciekawostka]

Cybersquatting a domeny IDN. Atak homograficzny.

Ponieważ od pewnego czasu można rejestrować nazwy domenowe ze znakami diakrytycznymi, pojawiły się także nowe zagrożenia dla nazw domenowych. Wprawdzie po raz pierwszy o tym rodzaju zagrożenia usłyszałem w 2009 roku podczas konferencji World Hosting Days, jednak to już w 2001 roku Evgeniy Gabrilovich i Alex Gontmakher z Izraela opublikowali pierwsze studium na ten temat. Sami zarejestrowali domenę microsoft.com posługując się znakami z cyrlicy, udowadniając, że tego typu „atak” jest możliwy.

Dzieje się tak, ponieważ niektóre alfabety wyglądają podobnie do łacińskiego, a jednak zawierają litery pochodzące z całkowicie innego zestawu znaków. Przykładowo to, co w cyrylicy jest literą „t” wygląda przecież jak nasze „m”, a rosyjskie „p” to dla nas „r”… można więc sobie wyobrazić, że daje się przygotować nazwę z obcego alfabetu, która wygląda bardzo podobnie do słowa w innym alfabecie i jest praktycznie nie do rozróżnienia dla osoby postronnej. Osoba postronna nie ma szansy rozróżnić nazwy domenowej, napisanej cyrylicą, podanej w linku, mimo, że techniczne będzie to całkiem inna domena! Poza cyrylicą alfabetem wykorzystywanym w tego rodzaju atakach bywa często alfabet grecki.

Innym przykładem zagrożenia homograficznego jest zagrożenie tkwiące w samym podstawowym zestawie znaków ASCII. Chodzi tu o podobieństwo znaków lub par znaków. Przykładowo cyfra 0 („zero”) jest łudząco podobna do wielkiej litery O. Stąd w wielu czcionkach zero jest wyróżnione poprzez ukośną linię, jakby „przekreślenie”, które pozwala je odróżniać od litery „O”. Przykładów takich zagrożeń jest jednak więcej, popatrz na wielką literę „I” (jak w imieniu: „Irena”), jest ona bardzo podobna do „l” (jak w słowie „ławka”).

Aktualizacja z 2021-12-02 – realny przypadek ataku homograficznego na domenę

W dniu 29. listopada 2021 zespół CSIRT Komisji Nadzoru Finansowego opublikował ostrzeżenie o podróbce strony jednego z największych polskich banków – mBank S.A.:

Mimo, że od pierwszego opisania ataku homograficznego minęło 20 lat – jak widać temat wciąż jest istotny. Atakujący przygotowali perfekcyjną podróbkę strony banku, zastępując literę „a” – literą łudząco podobną, tylko z kropką pod spodem. Jest to bardzo trudne do wyłapania dla osoby postronnej, która nie spodziewa się tego rodzaju oszustwa i nie ma świadomości, że owa kropka to nie paproch na monitorze, ale realny znak.

Atakujący wykorzystali także certyfikat SSL, więc przeglądarka wyświetliła kłódkę dając ułudę bezpieczeństwa, co tym bardziej mogło zmylić użytkownika. W modelu walidacji DV certyfikat nie poświadcza w silny sposób tożsamości, a w praktyce pełni co najwyżej rolę kryptograficzną. Mimo, że wciąż skutecznie szyfruje komunikację między przeglądarką, a serwerem – to wprowadzone dane logowania wpadają na serwer przestępców, zamiast na prawdziwy serwer banku.

Aby ograniczyć ryzyko złapania się w taką pułapkę:

• nie wchodź na stronę banku z przesłanych linków
• adres banku najlepiej wpisz osobiście w pasek przeglądarki
• uważnie sprawdź, czy certyfikat potwierdza tożsamość podmiotu, na którego stronie chcesz być (banki używają certyfikatów EV, gdzie sprawdzana jest tożsamość właściciela)
• uważnie sprawdź, czy domena nie zawiera podejrzanych znaków (np. kropka nad lub pod jakąś literką, lekko nietypowy kształt jakiejś litery itp.)

Jak zatem widzisz, atak homograficzny to realne zagrożenie, które wciąż może rzutować na bezpieczeństwo użytkowników sieci – a także reputację właścicieli domen.

Atak z flanki. Cybersmearing.

Ostatnim rodzajem zagrożenia, o którym chciałbym Ci wspomnieć, jest zagrożenie związane mniej bezpośrednio z Twoją nazwą domenową. Skoro już jednak dotarłeś do tej części artykułu – lepiej Ci o tym wspomnę. Chodzi o sytuację, w której ktoś niezadowolony – bardzo niezadowolony – z Twoich usług, towarów albo poglądów, rejestruje nazwę domenową godzącą w Ciebie, a następnie umieszcza pod tym adresem treści, mające na celu zaszkodzenie Ci.

Hipotetyczny przykład: Masz, dajmy na to, domenę fryzjerabc.kalisz.pl i prowadzisz sobie zakład fryzjerski. Pojawia się bardzo niezadowolony klient, który postanawia oddać życie za to, żeby tylko Cię maksymalnie oczernić. No dobra, nie musi oddawać całego, wystarczy mu kilka godzin życia. Może on zarejestrować domenę w rodzaju „fryzjerabc-nie-polecam.kalisz.pl”, albo „najgorszyfryzjer.kalisz.pl” – i pod tym adresem umieścić dowolne treści… Nie wiem, czy już sobie wyobrażasz, jak mogłyby one wyglądać i jak bardzo byś się wściekał, czytając takie rzeczy o sobie albo o swojej marce.

Co gorsza, treści te mogą być nasycone słowami kluczowymi zbieżnymi z profilem Twojej działalności, a sam adres linkowany z kilku miejsc… w skrajnym wypadku, jeśli sprawa trafi do mediów… nie zdziw się, jeśli strona taka pojawi się w wynikach wyszukiwania wyżej niż Twoja, albo w jej bezpośredniej bliskości. Co wówczas robić?

1. Jeśli Twój przeciwnik naprawdę przesadza – w pierwszej kolejności proponuję Ci konsultację z prawnikiem. Zrób to jak najszybciej, bo kroki prawne po prostu potrwają i lepiej nadać im bieg od razu. Czasem wystarczy wezwanie do zaprzestania takich praktyk, czasem będzie koniecznie wytoczenie powództwa – w każdym wypadku jednak to prawnik podpowie Ci, jakie legalne kroki są możliwe w Twojej sytuacji.
2. Jeśli tego rodzaju strona pojawia się wysoko w wynikach wyszukiwania po istotnych i generujących ruch słowach kluczowych – pewną pomocą może okazać się kampania Google Ads, która pozwoli pozyskać Ci część ruchu, który trafiłby na oczerniającą Cię stronę. Wydaje się to rozwiązaniem kosztownym, natomiast ma jedną ważną zaletę: działa od razu. Sam musisz ocenić, co kosztuje Cię więcej – reklamy czy straty wizerunkowe
3. Działania pozycjonujące dla Twojej strony – jeśli w wynikach organicznych jesteś znacznie niżej niż strona niepożądana, to istnieje spora szansa, że pod kątem seo, zwłaszcza seo on-site, Twoja strona jest po prostu niedopracowana i istnieje tu duże pole do poprawy. W takim wypadku proponujemy Ci kontakt ze specjalistami z tej dziedziny. W wypadku większości naszych hostingów masz też możliwość bezpłatnego wykonania audytu strony, który szybko wskaże Ci najważniejsze błędy do poprawienia.
4. Działania depozycjonujące stronę niepożądaną – istnieją firmy świadczące tego rodzaj usługi, choć wg mnie działania tego rodzaju cechuje ograniczona skuteczność. Sporo zależy jednak od wykonawcy i jego umiejętności. Zwróć jednak uwagę, że korzystanie z tego typu pomocy, jeśli zostanie ujawnione, może jeszcze bardziej zaszkodzić Twojej marce. Zastanów się dwukrotnie, zanim skorzystasz z tego rodzaju usług.
5. Kontratak – ale nie polegający na oczernianiu strony niepożądanej, nie tędy droga. Chodzi mi o „zasypanie” niekorzystnej opinii opiniami pozytywnymi. Jeśli jesteś w stanie pozyskać opinie osób, które kochają Twoją markę, to możesz tak nagłośnić opinie pozytywne, że to one wygrają bitwę o wpływanie na decyzje Twoich potencjalnych klientów. Zagadnienie to – jakkolwiek w moim przekonaniu bardzo interesujące – wykracza jednak poza zagrożenia dla samej domeny. Należy je traktować raczej w kategorii zagrożenia dla biznesu i marki, zasługuje na pewno na szersze potraktowanie w innym artykule.

Twoja domena lepiej ochroniona

Jeśli doczytałeś do tego momentu – to gratuluję. Prawdopodobnie stałeś się bardziej świadomym użytkownikiem usług hostingowych i przedsiębiorcą bardziej dbającym o swoją markę i domenę. Można czuć, że poziom wiedzy o możliwych zagrożeniach i jednocześnie zacząć zastanawiać się, jakie kroki podjąć już dziś, aby ochronić się przed omawianymi tu zagadnieniami. Teraz, kiedy wiesz już to wszystko – możesz spojrzeć na nowo na takie zagadnienia jak certyfikaty SSL czy też zabezpieczanie różnych końcówek. Jeśli już zaczynasz o tym myśleć – to świetnie, to znaczy, że już robisz drugi krok w stronę poprawienia bezpieczeństwa Twojego biznesu (po pierwszym, którym było przeczytanie artykułu o bezpieczeństwie strony).

Korzystając z okazji – serdecznie dziękuję Ilonie Kuźniarz, która pomogła wyszperać kilka danych, ilustrujących omawiane zagadnienia.

To, w jakim środowisku biznesowym będziemy działać – zależy od nas wszystkich. Bezpieczeństwo w sieci wynika z postaw jej użytkowników. Zostań dobrą częścią tego systemu. Daj znać w komentarzu albo w socialach, które zagadnienie tego wpisu uważasz za najciekawsze?

Artykuł SSL jest ważny… ale domena i tak narażona! pochodzi z serwisu cyber_Folks.

Zabezpieczenia WordPress. Podstawy i dobre praktyki.

Długo się zastanawiałem, czy w ogóle ten temat poruszyć… jednakże codzienne obserwacje zachęcają do uwzględnienia podstaw. Choć specjaliści ds. bezpieczeństwa kierują uwagę użytkowników na ten problem, wielu wciąż upiera się przy stosowaniu łatwej kombinacji loginów i haseł (np. login: admin, hasło: Kolega12).

Niemal każdy z nas, chociaż raz w życiu posiadał proste hasło: jedno lub dwa słowa, bez znaków specjalnych. To normalne, że staramy się mieć hasło, które łatwo nam zapamiętać, ale… Skoro jest ono łatwe dla nas, z pewnością będzie proste do odgadnięcia także dla potencjalnego hakera. Ktoś inny jest w stanie zapamiętać nasze zabezpieczenia w bardzo prozaiczny sposób, np. podglądając nas zza ramienia, albo przy wykorzystaniu Brute-Force. Dana osoba może próbować odgadnąć hasło i w rezultacie trafi. Zabezpieczenia WordPress, które wprowadzisz, muszą przewidywać taką sytuację.

Chcesz w łatwy sposób stworzyć bezpieczne, silne hasło? Skorzystaj z naszego generatora haseł – kilka chwil i masz hasło nie do złamania!

Hasła i szyfrowanie połączeń jako elementy zabezpieczenia WordPress

Tylko oryginalne nazwy użytkownika i mocne hasła są w stanie podnieść poziom bezpieczeństwa. Nazwy typu: admin, administrator, webmaster, postmaster, <tutaj_nazwa_strony>, czy user powinien zostać wykluczone. Zadbajmy o to, bo inaczej ktoś szybko wykorzysta nasze niedopatrzenie.

Dodatkowo przypominam o szyfrowaniu połączeń. W czasach, gdy koszt certyfikatu to kilkanaście złotych, nie warto oszczędzać na sprawdzonych rozwiązaniach. Certyfikat SSL jest uwiarygodnieniem dla serwisu i zabezpieczeniem strony przed atakiem Man in the middle.

Certyfikat SSL to jedna z fundamentalnych spraw, kiedy myślisz o zabezpieczaniu formularza w WordPress. Nie ochroni wprawdzie przed spamem przez formularz, ale dzięki niemu dane podane w formularzu pozostają poufne „w trasie” między przeglądarką użytkownika a serwerem. Zabezpieczenia WordPress nie mogą być uznane za kompletne bez certyfikatu SSL!

Bogate i jednocześnie słabe wsparcie

Zacznijmy od początku… Jaki jest najczęstszy powód infekcji, które się pojawiają na WordPress’ie i na każdym popularnym systemie CMS (takim jak np.: Joomla)? Brak aktualizacji oraz korzystanie z dodatków (wtyczek), które zostały porzucone przez twórców.

W celu zobrazowania sytuacji, przyjrzyjmy się wtyczce: “Steam Widget”. Jak widać – wtyczka jest aktualna po instalacji. Zabezpieczenie, które WordPress’a rozumiane jako aktualizowanie wtyczek – jest spełnione, niby wszystko ok, trzeba jednak zwrócić uwagę na datę ostatniej aktualizacji:

Wtyczka została ostatni raz zaktualizowana ponad 3 lata temu. Dodatkowo na stronie wtyczki pojawia się wielki banner:

Jak widać – sam WordPress informuje, że wtyczka może być porzucona i nie wspierana. Twórca wtyczki nawet pewnie nie ukrywa faktu, że ta została porzucona. Mimo to nie została ona usunięta z bazy wtyczek, dodatkowo jest instalowana przez właścicieli wielu aplikacji – a to jedna z wielu dróg możliwego zainfekowania. Jak widać na powyższym przykładzie, by zabezpieczyć WordPress, nie wystarczy jedynie bieżąca aktualizacja. Istotny jest również rozważny dobór wtyczek.

Zabezpieczenia WordPress muszą zatem obejmować pilnowanie aktualności wtyczek. Ok, pilnujemy wtyczek – o czym jeszcze musimy pamiętać?

Automatyczne aktualizacje i ich rola w zabezpieczeniach WordPress

Zalecam zautomatyzować wszystko. Na początek może uruchomimy aktualizacje samego WordPress’a? Jest to bardzo proste, gdyż wystarczy w pliku wp-config.php dodać wpis:

 define( 'WP_AUTO_UPDATE_CORE’, true ); 

Można go dodać praktycznie w każdym miejscu, więc nie powinno to sprawiać problemu. Od teraz aktualizacje WordPress będą prowadzone automatycznie. Jedna czynność została już zautomatyzowana. Teraz zajmijmy się aktualizacjami wtyczek, stylów oraz tłumaczeń.

W folderze wp-content/mu-plugins/ tworzymy plik (może się nazywać np.: aktualizacja.php) i wrzucamy tam następujący wpis:

<?php
add_filter(’auto_update_plugin’, '__return_true’ );
add_filter(’auto_update_theme’, '__return_true’ );
add_filter(’auto_update_translation’, '__return_true’ );

MU Plugins pozwala dodać funkcjonalności, które zawsze muszą zostać wywołane i są niezależne od stylu lub wtyczki. Od momentu dodania tego pliku, wszystkie dodatki będą aktualizowane automatycznie i nie trzeba pilnować, by te aktualizacje były wykonywane. Ważnym też jest, by usuwać wtyczki, których nie wykorzystujemy. Pomimo ich “wyłączenia” w panelu strony, w formie kodu są dalej obecne i dalej mogą stanowić niebezpieczeństwo dla naszej strony WWW.

Dodatkowo ukryjmy wersję WordPress’a. Nawet jeśli z jakiegoś powodu aktualizacja nie zostanie wykonana, atakujący nie będzie do końca tego świadom.

Zabezpieczenia WordPress na wypadek awarii na serwerze

Mamy już automatyczne aktualizacje. Czy to oznacza, że nie musimy się już niczym martwić? Nic bardziej mylnego. Jest jeszcze wiele innych miejsc, gdzie może dojść do infekcji lub wycieku danych, np. w trakcie awarii. W sytuacji, gdy pojawi się awaria interpretera PHP, pliki mogą nie być wykonywane, a zwyczajnie wyświetlone. W takiej sytuacji każdy będzie miał dostęp do kodu strony z dowolnej przeglądarki. Zabezpieczenia WordPress powinny to zatem uwzględniać.

Tak się szczęśliwie składa, że hosting dla WordPress z naszej oferty bardzo dobrze odpowiada na tego rodzaju zagrożenia. Kopia zapasowa bazy, a więc tych danych, które zmieniają się najczęściej, jest wykonywana co 6 godzin, a kopia plików i poczty raz na dobę. Zdumiewające są także czasy przechowywania danych w kopii zapasowej – są one dostępne aż do 28 dni wstecz!

Backup WordPress

Istnieją co najmniej 3 powody, dla których warto wykonywać regularnie kopie bezpieczeństwa Twojego WordPress’a.

• Ryzyko uszkodzenia WordPress w wyniku ataku na stronę.
• Możliwość, że Ty popełnisz błąd i np. skasujesz albo nadpiszesz ważny plik.
• Niewielkie prawdopodibieństwo, że w firmie hostingowej dojdzie do awarii.

Dlatego właśnie gorąco zachęcam Cię do zapoznania się ze specjalistycznym artykułem Artura Pajkerta: Backup WordPress – jak robić to dobrze.

Dane logowania do bazy ochronione

To groźna sytuacja, choć jeszcze nie tragiczna. WordPress jak i wtyczki/style w repozytorium są dostępne dla każdego, więc w praktyce kod strony jest powszechnie znany. Jednak cenniejszym od samego kodu strony jest jej baza. Dane logowania do bazy w takiej sytuacji również mogą być dostępne dla każdego. Wtedy może dojść do wycieku, a wtedy… hasła, loginy, e-mail’e, dane klientów, koszyk, listy artykułów – wszystko będzie dostępne dla każdego.

Konieczne jest zabezpieczenie dostęp do pliku, gdzie przechowywane są wrażliwe dane dostępowe. Takim plikiem jest wp-config.php, który zawiera konfigurację WordPress’a. Dobrym rozwiązaniem będzie dodanie do pliku .htaccess wpisu:

<Files .htaccess wp-config.php>
order allow,deny
deny from all
</Files>

Powyższy wpis pozwoli na uniemożliwienie dostępu do pliku, nawet w razie awarii interpretera.

Wyłączanie edytora plików

Pilnowanie wtyczek, automatyczne aktualizacje i powoli nasza strona zaczyna być zabezpieczona, jednak nie warto spoczywać na laurach i zadbać o dodatkowe elementy. Załóżmy hipotetyczną sytuację, że nasze hasło w jakiś sposób wyciekło i aktualnie ktoś ma dostęp do strony. W zakładce Wygląd > Edytor posiadamy interesującą funkcjonalność, która polega na możliwości edytowania stylu strony (łącznie z kodem) z poziomu samego WordPress’a. To bardzo przydatne narzędzie, ale tylko podczas tworzenia strony. Na tzw. produkcji – tej funkcjonalności lepiej nie posiadać. Bezpieczniej zatem usunąć taką funkcję, tak aby ograniczyć możliwość manipulacji. W tym celu ponownie wracamy do pliku wp-config.php i dodajemy kolejny zapis (np.: pod naszym wpisem z aktualizacjami). Jest to prosty wpis: define(’DISALLOW_FILE_EDIT’, true);

Od tego momentu edytor jest wyłączony, bez ingerencji w główny trzon aplikacji. Nawet jeśli w przyszłości trzeba będzie coś zmienić, można za pomocą FTP edytować pliki (tutaj zalecam nie korzystać z samego FTP, ale z sFTP jeśli dostępny lub ewentualnie FTPS – szyfrowaną wersję FTP) bądź przygotować automatyczną aktualizacje stylu.

Zabezpieczanie WordPress – co z plikami?

Warto również pomyśleć o zabezpieczeniu innych plików, które nie są użyteczne dla standardowego użytkownika, a pozostają świetnym źródłem informacji dla ewentualnego włamywacza. Katalogi wp-includes i wp-admin/includes posiadają w sobie pliki, które warto zablokować, a robimy to za pomocą np.: poniższego wpisu w .htaccess:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>

Ochrona przed przesłanymi plikami jako element zabezpieczania WordPress

Kolejnym katalogiem gromadzącym pliki, które będzie można wykorzystać do zainfekowania naszej strony jest katalog, gdzie umieszczane są wszystkie przesłane pliki. Bardzo częstą praktyką jest posiadanie na stronie formularza. Niezależnie, czy jest to formularz zamówień, czy kontaktowy – możemy w nim umieścić możliwość wysyłki pliku. Może to być obrazek, może nawet jakiś dokument. Tylko, co się stanie, gdy ktoś wykorzysta formularz, w celu umieszczenia skryptu na serwerze?

Niestety, źle zabezpieczone formularze dopuszczają do takich sytuacji. Nawet te potencjalnie chronione – potrafią posiadać jakąś podatność. Możemy kombinować z formularzem, dodawać kolejne zabezpieczenia, weryfikację zawartości, typu MIME, skanować jakimś antywirusem, wykonywać naprawdę sporo czynności. Jednak to wymaga czasu, środków i świadomości problemu. Nawet największe firmy z branży IT mają na swoim koncie wpadki, zatem jak się skutecznie chronić?

Blokada wykonywania plików PHP

WordPress jest aplikacją stworzoną w języku PHP i tak samo – po stronie serwera –  wykonywany jest kod, który ostatecznie wyświetla nam stronę. Skoro PHP jest uruchamiane, to możemy wysłać plik PHP, który również można uruchomić na serwerze. Może warto zablokować wykonywanie plików PHP po stronie serwera? Przynajmniej dla plików przesłanych przez formularz?

<Files *.php>
deny from all
</Files>

Powyższy kod zablokuje wykonywanie plików o rozszerzeniu *.php na serwerze i taki plik .htaccess należy dodać do katalogu wp-content/uploads/. Teraz nawet w przypadku przesłania pliku PHP na serwer, atakujący nie wykona kodu. Co prawda, samo przesłanie pliku nie jest zbytnio wyrafinowanym atakiem. Łatwo go wykryć i stosunkowo łatwo się przed nim zabezpieczyć. Większym wyzwaniem jest zabezpieczenie przed tzw. Code injection. Tutaj trzeba się bardziej pilnować, ale jest rada, która częściowo pozwala na zabezpieczenie strony. Polecam ponownie udać się do naszego głównego pliku .htaccess w głównym katalogu strony i do niego dodać poniższy wpis:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Zabezpieczenie WordPress – blokada dostępu do panelu administracyjnego

Następne zabezpieczenie, to ochrona naszego panelu administracyjnego. Można sporo namieszać przez panel. Skoro i tak dostępu nie dajemy dla każdego, bo to nasz panel administracyjny – to po co go udostępniać na świat? Jest na to wiele sposobów, jednak dobrym pomysłem będzie zablokowanie dostępu tylko dla adresów IP z których my się łączymy. Jeśli mamy zmienne IP, zawsze możemy też dodać całą pulę adresową naszego dostawcy internetu. Przykładowy zapis:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin(\/)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin/$
RewriteCond %{REMOTE_ADDR} !^200\.200\.200\.200$
RewriteRule ^(.*)$ – [R=403,L]
</IfModule>

Oczywiście, trzeba ten zapis dostosować pod siebie, więc zalecam tą opcję jedynie dla doświadczonych webmasterów.

Wtyczki zapewniające bezpieczeństwo WordPress

Na sam koniec zostawiam temat wtyczek “zapewniających” bezpieczeństwo. Popularne wtyczki, takie jak WordFence nie mogą zagwarantować 100% bezpieczeństwa. Przecież same są przykładem miejsca, gdzie można się włamać. W końcu im więcej dodatków, tym więcej możliwych dróg nieautoryzowanego dostania się do strony. Oczywiście – ich celem jest zwiększenie bezpieczeństwa – i często spełniają swoją rolę. Sam mogę polecić wtyczki takie jak Cerber, czy Sucuri. Jednak nie warto na nich polegać w 100%, jako vademecum na wszystkie problemy bezpieczeństwa.

Zabezpieczenia WordPress – obsługa formularzy

Zabezpieczenia WordPress pod kątem formularzy częściowo poruszyłem już wcześniej, pod kątem certyfikatu SSL czy ochrony strony logowania. Natomiast pozostaje dość obszerne zagadnienie ochrony formularzy „normalnych”, przeznaczonych dla użytkowników, np. takich związanych z komentowaniem albo rejestracją w serwisie.

Pokrótce można powiedzieć, że tego typu formularze są narażone na wiele różnych czynników ryzyka:

• podanie niepełnych danych
• podanie fałszywych danych
• spamerskie komentarze w celu pozyskania linków
• floodowanie – zapchanie formularza przez boty wieloma zgłoszeniami w krótkim czasie
• spam mailowy, obniżający reputację Twojej domeny (jeśli formularz podłączyłeś pod wysyłkę mailową).

Jeśli interesuje cię zabezpieczenie formularzy WordPress, to polecam wpis Artura Pajkerta o bezpieczeństwie formularza WordPress, ponieważ jest to zagadnienie dość obszerne.

Zabezpieczenia WordPress wdrożone, a jednak udało się włamać, co teraz?

Nie wszystko da się przewidzieć i nie przed każdym zdarzeniem da się uchronić. Kopie bezpieczeństwa to kwestia priorytetowa. Kopia zapasowa ratuje nas, nie tylko przed konsekwencjami ewentualnej infekcji, ale również w przypadku problemów ze stroną.

Popularne powiedzenie mówi, że ludzie dzielą się na 3 grupy:

• tacy, którzy robią kopie zapasowe,
• co myślą, że robią kopie,
• którzy zaczną robić kopie.

W przypadku infekcji, dzięki regularnym backupom łatwo możemy ją przywrócić do stanu sprzed ataku. Usuwamy wszystko i przywracamy z kopii. Kopie można wykonywać także samodzielnie. Własne kopie zapasowe będą dodatkowym wsparciem dla zabezpieczeń oferowanych przez firmy hostingowe. Taka metoda usuwania wirusów ze strony WordPress jest bardzo skuteczna i można zlecić to firmie, która zajmuje się takimi usługami.

Wspominając też o hostingach – większość z nich prowadzi kopie zapasowe, ale nie wszystkie robią to równie dobrze, jak cyber_Folks. Dobry hosting dla WordPress zawsze dba też o bezpieczeństwo swoich klientów, co sporo upraszcza. Pamiętaj, aby stawiać na taki, który kopie wykonuje codziennie lub częściej i przechowuje je możliwie długo. Dobrze, jeśli kilka tygodni. Istotne jest też to, że możesz przywracać je samodzielnie, bez konieczności kontaktu ze wsparciem technicznym.

Mimo wszystko – zalecam tworzyć własne kopie. Tygodniowe, miesięczne, kwartalne i trzymać w domowym zaciszu, a najlepiej na zewnętrznym, szyfrowanym dysku. Może i to czasem na wyrost, ale jednak – przezorny zawsze ubezpieczony.

Dotarliśmy razem do końca wpisu. Mamy nadzieję, że uważasz tę wiedzę za przydatną. Będzie mi miło, jeśli się nią podzielisz w sieciach społecznościowych i zostawisz komentarz poniżej.

Artykuł Zabezpieczenia WordPress. A Ty – co zrobiłeś dla Twojej strony? pochodzi z serwisu cyber_Folks.

Ten artkuł powstał z myślą o:

• osobach planujących założenie własnej strony internetowej, sklepu e-commerce, potrzebujących podstawowej wiedzy o certyfikatach SSL, aby chronić dane klientów i budować zaufanie.
• Właścicielach sklepów internetowych, dla których bezpieczeństwo transakcji online i ochrona danych klientów są priorytetem.
• Indywidualnych użytkownikach, którzy prowadzą blogi lub strony hobbystyczne i chcą zapewnić bezpieczne przeglądanie dla swoich odwiedzających.

Certyfikaty SSL – co to znaczy?

Certyfikat SSL (Secure Socket Layer) zabezpiecza komunikację pomiędzy przeglądarką internetową użytkownika a serwerem, na którym znajduje się dana strona internetowa. SSL zapewnia szyfrowanie danych przesyłanych przez internet, co chroni je przed przechwyceniem i nieautoryzowanym dostępem.

Jak działają certyfikaty SSL?

1. Szyfrowanie danych
   Certyfikat SSL szyfruje dane przesyłane między użytkownikiem a serwerem, co uniemożliwia ich odczytanie przez niepowołane osoby.
2. Uwierzytelnianie
   Certyfikat SSL potwierdza tożsamość strony internetowej. Użytkownicy zyskują pewność, że komunikują się z właściwym serwerem, a nie z oszustem.
   
3. Integralność danych
   SSL zapewnia, że dane przesyłane między przeglądarką a serwerem nie zostały zmodyfikowane podczas transmisji.

Co oznacza obecność certyfikatu SSL?

Obecność certyfikatu SSL na stronie internetowej oznacza, że komunikacja między przeglądarką użytkownika a serwerem jest szyfrowana. To zapewnia bezpieczeństwo przesyłanych danych. Certyfikat SSL potwierdza również tożsamość strony internetowej, a to buduje zaufanie użytkowników i chroni przed atakami typu man-in-the-middle.

Obecność takiego certyfikatu jest symbolizowana przez ikonkę tune widoczną w pasku adresu przeglądarki oraz przez adres URL zaczynający się od „https://”.

1. Będziesz wiarygodny

Będąc właścicielem strony, na której dokonuje się transakcji lub wymagane jest podanie różnego rodzaju danych osobowych, brak odpowiedniego certyfikatu SSL może spowodować, że nie będziesz wiarygodny wobec klientów, czy użytkowników. Nie wyobrażamy sobie sytuacji, w której bank nie posiadałby certyfikatu SSL. Pomyśl, że dotyczy to wszystkich stron internetowych, które w pewien sposób dotykają finansów oraz danych osobowych.

Dlatego też certyfikat SSL jest niezbędny w sklepach internetowych, oczywiście nie muszą być nim objęte wszystkie podstrony. Ważne aby swoją ochroną certyfikat obejmował formularz danych oraz dokonywanie transakcji. Nie posiadając odpowiedniego zabezpieczenia możesz dużo stracić, przede wszystkim klientów, którzy poszukają konkurencji z działającym certyfikatem.

2. Certyfikat SSL jest niezawodny

Wiele zabezpieczeń jest do obejścia dla hakerów, certyfikaty SSL opierające się na protokole TLS 1.2, do tej pory nie zostały złamane, gdyż posiadają 256 bitowy klucz AES. Dodatkowo, jeśli nawet doszłoby do złamania szyfru, kupując odpowiedni certyfikat jesteś ubezpieczony na pewną kwotę (nawet do 1,5 mln dolarów). Wszystko zależy od tego, jaki certyfikat wykupisz.

3. Będziesz wyżej w pozycjach wyszukiwania

Cóż, jeśli chodzi o kwestie SEO to nie są one jednoznaczne, ale konkurując w wyszukiwarce Google ze stroną, która nie posiada certyfikatu SSL, będziesz wyżej od niej w wynikach wyszukiwania.

4. Obrońca przed phishingiem

Hakerzy często działają w ten sposób, iż tworzą strony łudząco podobne do tych oryginalnych. W ten sposób wyłudzają od użytkowników dane czy też pieniądze. W momencie, gdy posiadasz certyfikat SSL, Twoja strona jest oznaczona ikonką kłódki w pasku adresu, a użytkownik zauważa protokół https://, którego z pewnością nie będzie miała strona stworzona przez hakera.
Oczywiście zalet korzystania z certyfikatów SSL jest więcej, ale przejdźmy teraz do poziomów walidacji.

Walidacja certyfikatu SSL to poziom zagłębienia weryfikacji podmiotu np. sklepu internetowego, przez centrum certyfikujące. Poziomów walidacji istnieje wiele, zależy to przede wszystkim od tego, kto certyfikat SSL nadaje.

Certyfikaty SSL – poziomy walidacji

Ogółem można wyróżnić trzy podstawowe poziomy walidacji. Są to: DV, OV oraz EV, co oznaczają poszczególne poziomy walidacji?

1. Certyfikat DV, czyli Domain Validation to certyfikat, przy którym dochodzi jedynie do weryfikacji domeny. Walidacja odbywa się automatycznie. Obejmuje ona informacje, które system DNS zebrał dla domeny danego serwera, oraz dane podmiotu.. W weryfikacji nie dochodzi do sprawdzenia danych organizacji. Certyfikat DV zawiera informacje tylko o nazwie domeny, bez żadnych dodatkowych danych o podmiocie. Tego typu certyfikaty są najtańsze, a ich uzyskanie jest najszybsze, gdyż trwa do kilku minut. Walidacja domeny potwierdza bezpieczeństwo danej strony, ale nie daje użytkownikowi wglądu do wiedzy na temat wydawcy.
   
   
2. Certyfikaty OV, czyli Full Organization Validation jest certyfikatem, w którym centrum certyfikacyjne dokonuje weryfikacji właściciela strony. Dodatkowo wydawca certyfikatu waliduje sam podmiot, który ma zamiar otrzymać certyfikat. W ten sposób w certyfikacie SSL, użytkownik znajdzie nazwę i dane firmy, ale także potwierdzenie, że dany podmiot jest właścicielem serwisu. Ze względu na bardziej dogłębną walidację, certyfikat OV jest droższy niż DV. Generując certyfikat należy zapewnić pełną zgodność nazwy podmiotu wpisanego jako właściciel domeny i certyfikatu z danymi wynikającymi z dokumentów rejestrowych (KRS, CEIDG).
   
   
3. Certyfikat EV, czyli Extended Validation to poszerzona weryfikacja właściciela certyfikatu. Jest to najbardziej szczegółowy rodzaj walidacji, a zarazem najdroższy oraz trwający najdłużej. Podmiot, starający się o rozszerzoną walidację musi przejść przez trzy stopnie weryfikacji. Sprawdzane są: dane rejestrowe firmy, umowy spółki, a także prawo do posługiwania się daną domeną.

Czym się różni walidacja certyfikatów SSL?

Dane te można potwierdzić przez rozmowę telefoniczną, jeśli działalność firmy nie przekracza trzech lat to dodatkowej weryfikacji podlega rachunek bankowy. Najdokładniejsza weryfikacja tożsamości podmiotu podnosi poziom zaufania klientów, a strony zabezpieczone w ten sposób posiadają zielony pasek adresu w przeglądarce, który oznaczony jest dodatkowo nazwą firmy. Certyfikaty EV wybierają najczęściej banki, duże firmy oraz sklepy internetowe. Jego przyznanie trwa do 10 dni.

Główne różnice między powyższymi certyfikatami to: poziom wiarygodności, opinia na temat wydawcy, ilość informacji zawartych w certyfikacie, okres ważności, oznaczenie w przeglądarce, liczba domen objętych danym certyfikatem oraz gwarancja finansowa.

Certyfikat SSL nie jest zbędnym wydatkiem, a inwestycją, która z pewnością Ci się zwróci. Inwestując w bezpieczeństwo swojego sklepu internetowego, będziesz mieć większe zaufanie wśród klientów, a dzięki temu większe zyski i prestiż.

Artykuł Certyfikaty SSL – czym różni się walidacja DV/OV/EV? pochodzi z serwisu cyber_Folks.

Z tego artykułu dowiesz się:

• czym właściwie jest certyfikat SSL
• jak działa certyfikat SSL?
• poznasz korzyści wynikające z posiadania certyfikatu

1. Czym jest certyfikat SSL?

Certyfikat SSL powoduje, że informacje między użytkownikiem strony a serwerem przesyłane są w sposób tajny, czyli nikt poza uprawnionymi do tego osobami nie ma dostępu do danych użytkownika. Dzięki protokołowi SSL wszystkie hasła i poufne dane są tajne oraz nie mogą ulec zmianom w trakcie wysyłania. Pojedynczy certyfikat SSL może działać na jednej witrynie internetowej.

Jak działa certyfikat SSL?

Obecność certyfikatu SSL na stronie oznacza, że dane przesyłane pomiędzy przeglądarką a serwerem są zaszyfrowane – nikt nie zmieni jej w trakcie transmisji danych.

Działanie strony WWW chronionej certyfikatem SSL można opisać następująco:

1. Kiedy wpiszesz w przeglądarkę adres strony internetowej, wysyłana jest informacja do serwera.
   
   
2. Następnie serwer obsługujący stronę wysyła swoją odpowiedź wraz z certyfikatem.
   
   
3. W kolejnym etapie przeglądarka pobiera odpowiedź i weryfikuje, czy certyfikat SSL jest ważny oraz zgodny z zarejestrowaną domeną.
   
   
4. Ostatnie działanie to wygenerowanie przez klucz z serwera klucza odpowiedzi, który ponownie odsyłany jest do serwera.
   
   
   Kiedy te wszystkie czynności zostają zakończone, rozpoczyna się bezpieczna wymiana danych między serwerem a połączonym komputerem.

2. Kto powinien używać SSL?

Nie wiesz jeszcze, czy warto posiadać certyfikat SSL? To przede wszystkim bufor bezpieczeństwa użytkowników odwiedzających Twój serwis i element budujący wizerunek Twojej strony.

Jeżeli Twoja witryna internetowa gromadzi dane osobowe, to szyfrowanie danych w postaci protokołu SSL jest niezbędne.

Certyfikat SSL powinny posiadać strony internetowe takie jak:

• banki,
• sklepy internetowe lub inne serwisy umożliwiające płatności przez internet,
• urzędy i organy administracyjne, które pozwalają na nadsyłanie wszelkiego rodzaju danych osobowych – wniosków, deklaracji, dokumentów itp.,
• serwisy szkolne czy uniwersyteckie, np. USOS,
• strony internetowe bądź aplikacje obsługujące pocztę e-mail,
• witryny internetowe, na których użytkownicy mogą zakładać własne profile,
• strony www instytucji medycznych, które oferują rejestrację wizyty do lekarza czy e-kartę.

3. Bezpieczeństwo pod lupą Chrome

Od 2018 roku, z momentem aktualizacji przeglądarki Chrome do wersji 68, obowiązują wzmożone zasady bezpieczeństwa. Zmiany dotyczą głównie witryn, które nie posiadają certyfikatu SSL, czyli ich adresy mailowe rozpoczynają się od HTTP, a nie HTTPS. To oznacza, że wszystkie witryny z przedrostkiem protokołu w adresie HTTP wyświetlają się jako niebezpieczne, a co za tym idzie, dla potencjalnych klientów np. sklepów internetowych wzbudzasz zaufanie lub wręcz przeciwnie, zniechęcasz do skorzystania z proponowanych usług. Aktualizacje Google to efekt zmian, jakie w ostatnich latach przyniósł nam internet, ale również walka z wykradaniem danych.

4. Dlaczego warto posiadać certyfikat SSL?

Korzystanie z certyfikatów SSL ma niejedną zaletę. Twoją korzyścią jako posiadacza strony szyfrowanej SSL nie będzie jedynie bezpieczeństwo użytkowników.

Zyskasz również:

• dodatkowy czynnik rankingowy
  Posiadanie certyfikatu SSL jest jednym z wielu czynników, informujących użytkowników oraz roboty Google’a o poziomie zaufania jakim można darzyć daną witrynę. Dlatego też, w porównaniach witryna z SSL vs. witryna bez SSL – ta pierwsza, zawsze wypadnie korzystniej.
  
  
• wiarygodność
  Certyfikat SSL informuje o wiarygodności strony. Oznacza to, że dane przechwytywane przez system np. podczas logowania, nie dostaną się w ręce hakerów, ale zostaną przekazane do właściwego odbiorcy. Co więcej, dane, nie ulegną również modyfikacji na niekorzyść użytkownika.
  
  
• zaufanie
  Jak uaktualniona przeglądarka Chrome informuje użytkowników o niebezpiecznej witrynie? Czytelną adnotacją jest napis: „strona niezabezpieczona”. Trudno go nie zauważyć!
  Z SSL unikasz takiego szufladkowania. Z koloru czerwonego, przechodzisz na przyjazną w odbiorze zieleń i komunikat: BEZPIECZNY.
  
  
• autentyczność
  Czy wiesz, czym jest phishing? To metoda wykradania danych polegająca na umiejętnym podstawianiu pod oryginalną stronę witryny łudząco podobnej, na pierwszy rzut oka trudnej do odróżnienia. W przypadku zastosowania certyfikatu SSL, taki proceder jest właściwie niemożliwy.

Uwaga: Jeśli posiadasz stronę, która powinna być szyfrowana certyfikatem SSL, warto go zaimplementować. Tańsze certyfikaty działają np. jedynie w obrębie samej domeny, droższe obejmują również swoim zasięgiem subdomeny, dlatego sposób certyfikowania można dopasować do swoich możliwości finansowych.

Mamy nadzieję, że poznałeś wszystkie zalety zastosowania certyfikatu SSL. Jeśli masz dodatkowe pytania, umieść je poniżej w komentarzach! Nie obawiaj się, że nie poradzisz sobie z instalacją certyfikatu SSL. Co więcej, jeśli posiadasz hosting w cyberfolks.pl i zamówisz u nas certyfikat SSL, instalacja zostanie dokonana automatycznie po zamówieniu i opłaceniu usługi.

Artykuł Bezpieczna, niebezpieczna? Certyfikat SSL pochodzi z serwisu cyber_Folks.

1 SSL – dlaczego warto zdobyć go teraz?

Codziennie Google przeszukuje internet w poszukiwaniu niebezpiecznych witryn internetowych. Do niedawna przeglądarka Chrome informowała użytkowników dużym, czerwonym komunikatem o niebezpieczeństwie na stronach, które zostały zaatakowane lub przejęte przez osoby trzecie.

Aktualizacja Chrome (Chrome 56) to zmienia i wszystkie strony, które nie posiadają certyfikatu SSL, będą uważane przez przeglądarkę za potencjalnie niebezpieczne.

Wszystkie strony z protokołem HTTP, które zbierają dane użytkowników, od nowej aktualizacji będą oznaczane przez Chrome, jako niewystarczająco zabezpieczone. W ten sposób przeglądarka zacznie zawiadamiać użytkowników o braku certyfikatu SSL na odwiedzanej przez nich witrynie. Warto certyfikat SSL zdobyć jak najszybciej, tym bardziej, jeśli prowadzisz sklep internetowy, a odwiedzający nie będą przekonani wchodząc na witrynę określoną jako niezabezpieczoną stronę.

2 Czym jest szyfrowanie SSL?

Certyfikat SSL jest poświadczeniem wiarygodności strony internetowej, a dokładniej domeny. Dane przesyłane między użytkownikiem a serwerem z wykorzystaniem protokołu SSL są odpowiednio szyfrowane i bezpieczne, a gwarancji tego udziela wystawca certyfikatu. Do szyfrowania danych wykorzystuje się specjalne klucze bezpieczeństwa – obecnie w użyciu są klucze 128 i 256 bitowe.

3 HTTP a HTTPS

Protokół http jest niezwykle prostym sposobem przesyłania i odbierania informacji w sieci. Jego największą zaletą jest mała ilość wysyłanych informacji. Z kolei do wad protokołu http należałoby zaliczyć przede wszystkim nie wykorzystywanie szyfrowania SSL i brak zapamiętywania poprzednich sesji. Tymczasem https, wykorzystując protokół SSL, chroni dane użytkowników przed kradzieżą ze strony hakerów.

4 Rodzaje szyfrowania SSL

Istnieją 3 grupy certyfikatów SSL. Oferują one różny poziom ochrony użytkowników, a ich cena jest proporcjonalna do tego, jakie zabezpieczenie dany certyfikat jest w stanie zapewnić.

5 Certyfikat klasy DV (Domain Validation)

Rozwiązanie idealne dla małych sklepów internetowych, portali, blogów itp. Najprostsze certyfikaty tego typu posiadają jedynie informację o tym, że nazwa domeny została zweryfikowana. Certyfikat ten nie zawiera informacji o firmie, która go wykupiła, a ubezpieczenie ze strony wystawcy jest niskie.

6 Certyfikat klasy OV (Organisation Validation)

W tym przypadku, oprócz zweryfikowanej nazwy domeny, zapisana w certyfikacie zostaje nazwa firmy oraz jej lokalizacja. W momencie, kiedy użytkownik wchodzi na taką witrynę informowany jest o jej danych, a zatem wie, z kim ma do czynienia. Certyfikat tego typu zaleca się większym sklepom internetowym, organizacjom pozarządowym, jednostkom samorządów terytorialnych oraz urzędom.

7 Certyfikat klasy EV (Extended Validation)

To najsilniejsze możliwe uwierzytelnienie. Podczas weryfikacji sprawdzane są takie elementy jak status prawny firmy, jej obecność fizyczna, zgodność z danymi w urzędach, realne prowadzenie działalności oraz prawo firmy do posługiwania się domeną. Z tej klasy certyfikatów SSL korzystają firmy gromadzące wrażliwe dane użytkowników, m.in. instytucje finansowe.

8 Jaką wartość ma szyfrowanie SSL dla klientów?

Nie posiadasz certyfikatu SSL, a masz np. swój sklep internetowy? To spory błąd, szczególnie teraz, kiedy przeglądarka Chrome informuje nawet o potencjalnych zagrożeniach. Strach o wyciek prywatnych danych, dotyczy każdego.

Sklep internetowy bez odpowiedniej certyfikacji nie zachęca klientów do przeprowadzania w nich zakupów. Sklepów internetowych jest na tyle dużo, że jeśli klient zauważy, iż jest na niebezpiecznej witrynie, to szybko uda się do konkurencji. Dzięki certyfikatom SSL budujesz więc przede wszystkim swoją wiarygodność w stosunku do klientów, zwiększasz ich zaufanie, co przekłada się bezpośrednio na wzrost konwersji.

9 Protokół SSL a inne korzyści

Korzystanie z protokołu SSL oznacza nie tylko większe zaufanie użytkowników, ale również:
• wpływa pozytywnie na pozycjonowanie strony internetowej.
• chroni użytkowników Twojej strony przed phishingiem.

Ceny certyfikatów SSL w cyberfolks.pl.

[renderLineupSslCyber]

Artykuł Certyfikat SSL a Twoja relacja z klientem pochodzi z serwisu cyber_Folks.

Czytając o cyberprzestępczości raczej nie przychodzi Ci do głowy, że sam możesz paść jej ofiarą. A jednak, wbrew obiegowej opinii, ofiarą ataków hackerskich i wykradania danych stają się nie tylko największe serwisy, skupiające wokół siebie pokaźną społeczność, ale również prywatne, niewielkie witryny. Blogi, e-commerce’y, e-bankowość, witryny stron firmowych – skutki braku odpowiedniej ochrony może odczuć każdy, a te bywają często bardzo nieprzyjemne. Certyfikat SSL jest skutecznym, a przy tym stosunkowo niedrogim, sposobem na zapewnienie stronie bezpieczeństwa, wiarygodności oraz zaufania użytkowników.

64% użytkowników internetu zwraca uwagę na obecność certyfikatu SSL w przeglądarce.[1]

Jak działa certyfikat SSL?

Obecność certyfikatu SSL poświadcza wiarygodność domeny, bądź – zarówno domeny jak i jej właściciela. Jest potwierdzeniem bezpiecznego szyfrowania danych w komunikacji na linii użytkownik – serwer.

Z punktu widzenia użytkownika, o tym, że strona posiada certyfikat SSL informuje odpowiednie oznaczenie protokołu na pasku adresu. Jeśli w pasku przeglądarki przed adresem strony widoczny jest protokół https:// oraz ikonka tune (wcześniejsza kłódka), to znak, że witryna posiada SSL. Dla stron działających bez certyfikatu zobaczysz zarówno ostrzeżenie „strona jest niebezpieczna”, a widoczny protokół to http://.

Dlaczego warto przejść na SSL?

Przejście na SSL ma wiele korzyści, zarówno dla właścicieli stron internetowych, jak i dla użytkowników. Poznaj najważniejsze.

1. Ochrona przed łowieniem danych

12 lipca 2016 klienci banku ING masowo otrzymali e-maile z taką mniej więcej treścią:

Zdjęcie ze strony www.ingbank.pl

Wiadomość była dziełem internetowych przestępców, specjalistów od wyłudzania danych.
Wchodząc na stronę, podaną w treści wiadomości, bardzo szybko można było zorientować się, że oto mamy do czynienia z internetowym przestępcą.

Pierwsza część adresu witryny rozpoczynała się od frazy http. Kiedy mamy do czynienia z połączeniem szyfrowanym przy pomocy SSL, powinna ona brzmieć https. Dodatkowo, o niezabezpieczonym połączeniu czy tak zwanej niezabezpieczonej stronie świadczył także brak charakterystycznego dla protokołu https – ówczesnego symbolu kłódki (obecnie ikonka tune) umieszczonego – w zależności od typu przeglądarki – u góry (Internet Explorer), u dołu ekranu (Mozilla Firefox), na pasku adresu (Chrome).

2. Ochrona płatności kartą

Podczas internetowych transakcji, w niepowołane ręce może dostać się przecież szereg poufnych informacji, takich jak loginy, hasła czy numery kart kredytowych.

Certyfikat SSL pomoże ochronić kluczowe dane kupujących i zapobiegnie ich wyciekowi.

Kiedy potencjalny klient zobaczy, że strona jest chroniona certyfikatem bezpieczeństwa, a jego dane nie trafią w niepowołane ręce, chętniej wypełni formularz kontaktowy, dokona zakupów lub zapisze się do newslettera.

Choć wielu internautów nie do końca wie w jaki sposób działa ochrona SSL, coraz częściej wypatrują w serwisach sprzedażowych ikony tune. Jest ona bowiem dla nich symbolem bezpieczeństwa. Zwłaszcza doświadczeni i bardziej świadomi użytkownicy nie skorzystają z zakupów w e-sklepie bez certyfikatu SSL.

ikona tune

3. Lepsza pozycja w Google

Co ciekawe, https to także jeden z czynników rankingowych dla wyszukiwarki Google. Choć dzięki niemu Twoja strona nie wskoczy automatycznie do TOP10, certyfikat SSL może dać jej przewagę nad firmą konkurencyjną, która certyfikatu nie posiada. Póki co nie jest to może najbardziej kluczowy czynnik decydującym o pozycji witryny w organicznych wynikach wyszukiwania, jednak całkowicie spójny z filozofią i jakością dostarczaną przez Google. Nie od dziś wiadomo, że kładzie on mocny nacisk na bezpieczeństwo danych dostępnych w Internecie.

Przypomnijmy, że od lipca 2018 roku wszystkie nieposiadające certyfikatu SSL strony w Chrome zostają oznaczane jako „niebezpieczne”. To było jedno z ważniejszych posunięć w kierunku promowania bezpieczeństwa w Internecie. Oznaczenie stron jako „niebezpiecznych” ma na celu zwiększenie świadomości użytkowników na temat ryzyka korzystania z niezabezpieczonych połączeń, które mogły być podatne na przechwytywanie danych przez osoby trzecie.

4. Wyeliminowanie strat finansowych

Jeśli jesteś właścicielem sklepu internetowego, certyfikat SSL pozwoli Ci na wyeliminowanie dotkliwych strat finansowych i konsekwencji prawnych, wynikających z ataków hackerskich. To narzędzie stanowi dość istotne utrudnienie dla wirtualnych przestępców. Odpowiednie zabezpieczenie strony oraz danych osobowych zapobiegnie ich wyciekowi.

Zdjęcie ze strony www.memy.pl

W 2021 r. RiskIQ oszacowało, że firmy na całym świecie tracą 1 797 945 USD za minutę z powodu cyberprzestępczości – a przeciętne naruszenie kosztuje firmę 7,2 USD za minutę.[2]

5. SSL – gwarancja wiarygodności

Certyfikat SSL jest nie tylko strażnikiem danych, ale również gwarancją wiarygodności i odpowiedzialności firmy. Wykupienie takiej ochrony pokazuje Twoim kontrahentom, jak dużą wagę przywiązujesz do zasad bezpieczeństwa i poufności danych. W ich oczach Twoja witryna staje się godną zaufania

6. Uwierzytelnienie

Oprócz szyfrowania danych, certyfikat SSL zapewnia również uwierzytelnianie. Dzięki tej funkcji możesz mieć pewność, że przesyłasz informacje do właściwego serwera, a nie do serwera przestępcy. Współczesne przeglądarki sprawdzają certyfikaty SSL i, gdy widzą zagrożenie, ostrzegają internautów, że korzystanie z danej witryny wiąże się z ryzykiem.

Warto, żebyś na wybór i adekwatne dopasowanie certyfikatu poświęcił trochę czasu. Na rynku dostępnych jest naprawdę wiele, często bardzo korzystnych finansowo rozwiązań, co pozwoli Ci bez problemu dobrać pasujące do Twoich potrzeb. A zaoszczędzone pieniądze możesz zainwestować w rozwój.

źródło:
[1] pap.pl
[2] tessian.com

Artykuł 5 powodów, dla których warto przejść na SSL pochodzi z serwisu cyber_Folks.