Sikkerhet for nettsider – hvordan gjøre nettsiden sikker
Skrevet av: Trond Olav Ånesen

Å ivareta sikkerheten på nett er ikke på noen måte noe nytt. Mange tenker gjerne kun sikkerhet som besøkende på en nettside, men som eier må man også tenke sikkerhet. Det har ingen betydning hvilken type nettside du har. Enten det er en enkel informasjonsside, en blogg, en nettavis, en nettbutikk eller hva som helst.

Sikkerheten er viktig både for deg som eier og driver siden, og for de som besøker og bruker nettsiden. I denne artikkelen ser vi på hvordan man opprettholder grunnleggende sikkerhet og hva man kan/må gjøre hvis noe inntreffer.

Sikkerhet på nettsiden din handler om:

  • Det skal være trygt for alle å besøke nettsiden
  • Nettsiden skal ikke være infisert med skadelig kode som kan infisere besøkende
  • Nettsiden skal ikke videresende til sider med skadelig kode
  • Informasjonen som utveksles mellom besøkende og nettside/server skal ikke kunne fanges opp av uvedkommende

I en artikkel som dette har vi ikke anledning til å gå i dybden på alt, men vi fokuserer på det viktigste; Det skal være trygt å besøke nettsiden din!

sikkerhet for nettsider

Sørg for at nettsiden ikke er eller kan bli infisert

Når en nettside er åpen på nett er den et potensielt mål for en hacker. Hackeren er ikke nødvendigvis en kar i svart hettejakke som bor i en klam kjeller. I de aller fleste tilfellene er en hacker bare en automatisert «Bot» (Robot). Slike «Boter» står kontinuerlig og skanner både kjente og ukjente nettsider etter sårbarheter som kan utnyttes. Sårbarhetene eksisterer i koden man kjører, direkte, eller i tillegg, utvidelser og annet. Et klassisk eksempel er en nettside laget i WordPress, med eget tema og en håndfull plugins installert. Vi tar utgangspunkt i nettopp dette eksempelet videre i denne artikkelen.

Siden WordPress er så utbredt som det er, så er det populært å lete etter svakheter i denne type installasjoner. Klarer man å infisere 1 nettside, kan man potensielt gjøre det samme med mange tusen flere nettsider.

Motivet bak det å infisere en nettside kan være forskjellig; en hacker ønsker å spre sitt eget budskap, de ønsker å sende ut spam fra din konto, de ønsker å fange opp sensitiv informasjon fra besøkende, de ønsker å videresende besøkende til andre lumske sider, de ønsker å bruke ressursene til konto i andre angrep osv. Dette er noe man selvsagt ønsker å unngå. Som regel er det ikke deg direkte de ønsker å ta.

Sjekkliste for å unngå at din nettside blir infisert

  • Alt må være oppdatert, alltid
    Siden WordPress (og andre lignende systemer) er såpass populært, kommer det også oppdateringer så snart sårbarheter blir funnet, og utbedringer blir laget. Man må følge med slik at man får med seg oppdateringer og implementere disse i egen installasjon. Så snart en sårbarhet er oppdaget og kjent, er det kun et tidsspørsmål før nettsider som ikke er oppdatert blir angrepet. Det samme gjelder for alt av tillegg som er installert.I eksempelet vårt kjøres et eget tema og en del plugins. Disse kan også inneholde sårbarheter og utviklerne kommer da jevnlig med oppdateringer som retter dette. Derfor er det like viktig at dette holdes oppdatert som selve installasjonen.
  • Alt som ikke er i bruk på webhotellet bør fjernes
    Alle temaer og utvidelser/plugins som ikke er i bruk bør slettes/fjernes. Selv om man deaktiverer en utvidelse/plugin eller tema så er ikke alltid alt faktisk borte. Filer ligger ofte igjen og kan da potensielt misbrukes. Altså; kun det som er nødvendig for å ha nettsiden fungerende optimalt skal være åpent tilgjengelig. Alt annet må enten slettes eller flyttes til et område hvor det ikke kan nås.
  • Bruk captcha i skjemaer
    Skjemaer; da av typen kontaktskjemaer, bestillingsskjemaer osv, må sikres slik at de ikke kan fylles ut automatisk. Slike «Boter» som vi nevnte i sted kan også brukes til å misbruke slike skjemaer, når de finnes, og da eksempelvis sende ut spam fra nettside/konto. Dette går ut over de besøkende på to måter:
    1. Ved at ressurser på webhotellet kan bli brukt til kun dette, slik at besøkende ikke får lastet siden.
    2. Ved at misbruket er av en slik karakter at konto må suspenderes for å unngå videre problemer. Da blir siden i praksis tatt ned. På alt av skjemaer og annet hvor besøkende kan fylle ut info, bør man ha en ekstra sjekk på plass. Captcha er den mest brukte (og anbefalte) metoden for dette.

sikkerhet for nettsider

  • Passord som benyttes må være sikre
    Et sikkert passord er langt og satt sammen av både tall, små og store bokstaver og ander tegn. Lange passord kan også være setninger eller fraser sammen med tilfeldige tall/tegn som kan være enklere å huske. Passord er relevant både på kundesider hos oss, på webhotell, på epostkontoer og på selve nettsiden/installasjonen. De passordene som brukes mest er også de som er mest sårbare. Man bør bytte passord minst et par ganger i løpet av er år. Det bør heller ikke brukes samme passord noe sted.
  • Implementer ekstra sikkerhet hvor det er mulig
    For mange CMSer (WordPress/Joomla/Drupal) utvikles det egne plugins som fokuserer kun på sikkerhet. Her bør man undersøke litt hvilke behov man har, og installere det man mener passer best. Det finnes flere gratis alternativer som er gode nok, men har man en stor side som genererer mye trafikk kan det være verdt å betale for ekstra sikkerhet. Eksempel på en aktør med godt rykte rundt dette, som også tilbyr gratis plugin, er Sucuri.

sikkerhet for nettside

  • Sørg for å alltid ha backup (sikkerhetskopi) av innholdet
    Man bør alltid sørge for at man har backup (sikkerhetskopi) av innholdet. Kunder av PRO ISP har inkludert en av de beste løsningene som er i markedet for backup. Denne løsningen har de tilgang til direkte via webhotellets kontrollpanel (cPanel). PRO ISP tar backup av all data 1 gang pr døgn, og backupen beholdes i 30 dager. Selv om man har svært god backup inkludert i webhotellet hos PRO ISP så anbefales det alltid å ha en ekstra kopi lagret eksternt. Slik backup kan da være av typen tatt 1 gang pr måned, 1 gang pr kvartal osv, litt avhengig av hvor kritisk det er og hvor mye endringer man er villige til å miste.

Nettsiden er allerede blitt infisert, hva gjør man?

Hva om skaden alt er skjedd? Hva om kontoen din har blitt suspendert av oss? Mange kan oppleve dette, og det oppleves i de fleste tilfellene som svært urettferdig.

Alle hostingselskaper operer på samme måte når det gjelder webhoteller; mange webhoteller deler ressurser på samme server. Det er naturlig nok litt av opphavet til navnet; Serveren er hotellet, kundenes kontoer er hotellrom på dette hotellet.

Når en webhotelleverandør opplever at ressurser misbrukes må dette stoppes for å unngå at det går ut over alle andre på samme hotell. Tenk for eksempel at et hotellrom blir ekstremt mye besøkt, så mye at ingen andre hotellgjester kommer seg verken inn eller ut av sine rom. Da må det rommet som skaper problemer stenges for å unngå nettopp dette.
Det er ikke alltid at en konto stenges ned, men ser vi tegn til hacking/misbruk så kan vi gi beskjed direkte om dette slik at det kan utbedres.

Det viktigste i slike tilfeller er; Følg de instrukser som gis, og spør om tips/råd/veiledning dersom man er usikker.

Dersom vi oppdager hacking/misbruk, og enten gir beskjed om det eller suspenderer konto, så gir vi alltid beskjed om hva som må gjøres.
I de fleste tilfeller er hackingen såpass ny at man kan benytte seg av backupen som er inkludert i webhotellet. Prosedyren er da forholdsvis enkel:

  • Slett innhold på webhotellet som er relatert til nettsiden.
  • Gjenopprett innholdet fra en dato FØR hacking fant sted (evt den eldste tilgjengelige backup, ved usikkerhet)
  • Gjennomgå punktene over for å hindre videre hacking/misbruk, altså oppdater alt, slett alt som er unødveding, sikre alle skjemaer, bytt alle passord og implementer ekstra sikkerhet

Gjør man det som blir anbefalt, og sørger for å skjerpe rutinene med alle nevnte punkter, så er man så sikker man kan få blitt. Da vil både du som eier nettsiden, de som besøker nettsiden, og vi som serverer den fra våre servere være fornøyd.

Sikre informasjon mellom besøkende og server (SSL sertifikat)

Sikkerhetssertifikat er noe som blir mer og mer aktuelt å snakke om, og høyst aktuelt når det gjelder sikkerhet for nettsider. Vi har tidligere hatt innlegg både om «Hvordan velge riktig SSL sertifikat» og hvordan de store leverandørene planlegger å «tvinge» mer og bedre bruk av dette for å opprettholde sikkerheten på nettet («Google advarer: Sikre nettsiden din»).

Nå blir det noen litt tekniske ord og uttrykk her, men litt teknisk må vi bli for å forklare:
SSL* er en krypteringsprotokoll, eller et sett med regler som forteller en server/klient (nettsiden og besøkende) om hvordan kryptering av data skal foregå. Kryptering er da prosessen med å gjøre noe uleselig eller uforståelig for andre.

* I praksis er det TLS som benyttes, men SSL og SSL sertifikater benyttes i dagligtalen, så derfor også her.

Målet med SSL er altså at kun den som besøker nettstedet, og serveren/nettstedet, skal kunne lese data som sendes mellom disse. Det er da spesielt viktig når det er personlig eller sensitiv informasjon som utveksles, så som telefonnr, brukernavn, passord, epostadresser, kredittkortinformasjon og lignende; for vi ønsker IKKE at slik info skal kunne ses av andre.

sikkerhet for nettside

For å få til denne krypteringen bruker vi såkalte «nøkler», og når både den besøkende og serveren/nettsiden har samme type «nøkkel», er det kun de som kan lese, og kryptere, informasjonen. Et SSL sertifikat er da et sertifikat som bekrefter eierskapet til disse nøklene, og at de er autentiske og gyldige. Hvor nøyaktig og grundig den bekreftelsen er kommer an på sertifikatet, les mer om dette i «Hvordan velge riktig SSL». I praksis bekreftes at sertifikatet er utstedt av en gyldig utsteder, for det nettstedet man besøker, og at det er gyldig for nettopp dette.
Du som besøkende kan se dette ved at man får opp en hengelås i adressefeltet og at nettleseren rapporterer om at nettstedet er å anse som «sikkert».

Som vi nevnte i «Google advarer: Sikre nettsiden din» så er kryptering av informasjon høyst aktuelt siden det snart blir et krav. Man kan selvsagt unngå bruk av SSL sertifikater, men da vil besøkende bli advart når de går til siden din. Denne advarselen kan sammenlignes med å rope til kundene: «Jeg tar ikke sikkerhet på alvor». For de som ikke har fått nettsiden sin over på https er tiden definitivt inne for å ta grep!

Har du flere spørsmål etter å ha lest innlegget?

Som nevnt innledningsvis er sikkerhet et såpass stort tema man ikke kan dekke alt i en enkel artikkel. Likevel, følger man de råd som er gitt her, og har sikkerhet litt mer i «bakhodet» har man kommet et langt stykke på vei.

Leser du innlegget og sitter igjen som et spørsmålstegn? Er det ting du lurer på som ikke ble forklart eller besvart her? Eller ønsker du bare råd og veiledning? Ikke nøl med å ta kontakt med oss.

Epost: support@proisp.no
Facebook: https://www.facebook.com/proisp/

Please follow and like us: