Hvordan sikre ditt nettsted mot angrep fra hackere


OPPLEVER DU PROBLEMER MED VÅRE TJENESTER? KJØR DIAGNOSE FØRST FOR Å SPARE DIN OG VÅR TID

Lagt til: 10.03.2014 23:26:29     Sist oppdatert: 29.09.2016 13:19:16

Vi ser til stadighet at nettsteder hackes. De fleste av disse tilfellene kunne vært unngått ved å følge punktene under. Vi anbefaler at du til enhver tid følger disse punktene for unngå å bli hacket.

  1. Oppdater skripter straks ny versjon foreligger
    Dersom ny versjon foreligger av et skript du har tatt i bruk på ditt nettsted så bør du snarest oppdatere det til siste versjon.  Utdaterte skripter er svært ofte årsak til at nettsteder blir hacket. I disse tilfellene får som regel hackeren tilgang til alle filer på din konto så det er svært viktig å holde skripter oppdatert.

    HUSK: Dette gjelder også komponenter/moduler til skripter. Et typiske skript som har slikt er Joomla. Dersom en komponent/modul er utdatert så kan det få (og det får det som regel) like alvorlige konsekvenser som dersom skriptet er utdatert.

    TIPS: Dersom leverandøren av skriptet har en epostliste for når det foreligger nye versjoner bør du melde deg opp på denne.
     
  2. Avinstaller ubrukte skripter/komponenter/moduler
    Det du ikke bruker bør du ikke ha installert. Det utgjør da bare en sikkerhetsrisiko. Spesielt dersom du ikke holdet det oppdatert.
     
  3. Vær kritisk til hva du installerer
    Skripter/komponenter/moduler som:
    - ikke er i bruk av mange
    - ser ut til å ha få eller ingen oppdateringer på lang tid
    - er nylig utgitt
    - virker useriøse

    bør ikke installeres. Disse innholder ofte usikker (og dårlig) kode.
     
  4. Installer sikkerhetskomponenter/moduler
    Noen av de mest kjente skriptene har komponenter/moduler som kan styrke eller sjekke sikkerheten på nettstedet ditt. Installering av dette kan bedre den totale sikkerheten til nettstedet ditt.
     
  5. Ikke bruk standardverdier ved installasjon/bruk av skript
    Når du installerer et skript er det gjerne satt standardverdier for slikt som brukernavn til administrator og prefiks til databasetabeller. I stedet for admin som brukernavn bør du sette noe annet som for eksempel ditt fornavn/kallenavn.

    Dersom du setter en annen prefiks enn det som er vanlig på dine databasetabeller så vil det stoppe mange angrep. Prefiks er en tekst som da vil komme først i navnet på samtlige databasenavn. Dersom du oppgav prefiks_ som en prefiks så vil tabellnavn bli prefiks_tabell.
     
  6. Sett på CloudFlare dersom du ikke benytter https på ditt nettsted
    CloudFlare stopper en mengde angrep automatisk, i tillegg til en rekke andre forbedringer den kan medføre for nettstedet ditt. Guiden Benytte CloudFlare på ditt domene via cPanel viser hvordan du setter CloudFlare på. Pro versjonen av CloudFlare gir mer beskyttelse og vil minske sannsynligheten for at du blir hacket, men denne versjonen koster penger og du vil måtte oppgradere til denne versjonen via nettsidene til CloudFlare.

    Vær oppmerksom på at du må ha Pro versjonen av CloudFlare dersom du benytter eget SSL sertifikat og https.
     
  7. Bruk passord på minst 8 tegn som inneholder både små og store bokstaver, tall og spesialtegn
    Dersom du følger punktet over vil det være liten sannsynlighet for at noen kan gjette seg til passordet eller finne det ved angrep.

    Dette punktet og punktene under gjelder for samtlige passord du måtte ha i forbindelse med tjenester hos oss (som for eksempel epostadresser og cPanel).
     
  8. Ikke la passord ligge i klartekst på din PC, epost eller fysisk på papir
    Dersom maskinen du selv sitter på blir hacket og du har passord liggende i klartekst til enhver tid vil du bli hacket gjentatte ganger dersom hackeren har funnet ut dette. Det samme gjelder om du har passordet liggende på papir slik at andre kan lese det. Det beste er å lære seg passordet utenat.
     
  9. Skift passord regelmessig
    Det vil gjøre det vanskeligere for hackere, og dersom uvedkommende har fått tak i det vil de da miste tilgang til nettsiden.
     
  10. Ikke sett for høye rettigheter på filer/mapper
    Dersom du setter for høye rettigheter på filer/mapper kan du også bli hacket. I tilnærmet 99% av tilfellene skal filer ha rettighetene 644 og mapper 755 på våre servere.

    Installasjonsveiledninger for skripter nevner ofte at filer/mapper skal ha 777. Dette er ikke tilfelle for våre servere. Du må sette rettighetene som nevnt over.
     
  11. Ha tilstrekkelig beskyttelse på din PCen du benytter selv
    Dersom din egen PC blir hacket eller utsatt for virus så kan det medføre at:
    - passord i forbindelse med våre tjenester fanges opp
    - filer som lastes opp via FTP er infisert av virus eller kode som vil angripe nettleseren til besøkende til ditt nettsted

    Du bør ha nødvendig beskyttelse i form av antivirusprogram og brannmur på din PC eller nettverket du befinner deg på.
     
  12. Passordbeskytt områder av nettstedet som besøkende ikke skal ha tilgang til
    De delene av ditt nettsted som besøkende ikke skal ha tilgang til kan passordbeskyttes for økt sikkerhet. Dette kan gjøre som vist i guiden Passord beskytte mappe i cPanel.
     
  13. Sperr tilgang til viktige filer
    Filer som for eksempel php.ini som kan inneholde informasjon som vil gjøre det lettere å hacke ditt nettsted bør man ikke ha tilgang til via nettet. Du bør sperre tilgangen til slike filer ved bruk av .htaccess fil. For å sperre tilgangen til php.ini i en mappe kan du legge følgende kode i .htaccess filen:

    deny from all