Az alábbiakban összegyűjtöttem a weboldal készítés hibák közül azokat, amelyek elkövetése a weboldal biztonságát veszélyeztethetik. Ne kövesse el ezeket!
Az alábbi lista nem teljes, nem fontossági sorrendben tartalmazza a hibákat, és időnként bővül.
- Biztonsági frissítések mellőzése [#198]
- A webes jelszavak szétszórása [#150]
- A backup (biztonsági mentés) hiánya [#10]
- Gyenge jelszót használ [#7]
- Nem csak a weboldalához tartozó fájlokat tárol a szerverén, és/vagy szabadon böngészhetőek a weboldala könyvtárai [#9]
- Total Commanderben tárolja az FTP jelszavát [#8]
- A weboldal készítés hibák teljes tartalomjegyzéke
- Szeretne egy profi, hibamentes weboldalt? Észrevétele van?
- Könyvajánló: A sikeres online vállalkozás építőelemei [312 oldal]
Biztonsági frissítések mellőzése [#198]
Mi a tanulsága a 197-es hibánál említett NAIH határozatnak?
A tartalomkezelő rendszerekkel készült weboldalakat (is) rendszeresen karban kell tartani, különösen a biztonsági frissítések telepítését illetően.
A NAIH/2020/1160/10 határozatából idézve, hogy miért releváns az előző mondat:
“Az Ügyfél megsértette az általános adatvédelmi rendelet 32. cikk (1)-(2) bekezdéseit, így
nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő
technikai és szervezési intézkedéseket, azzal, hogy
az általa használt tartalomkezelő ([…]) egy több mint 9 éve ismert, megfelelő
eszközökkel egyébként detektálható és javítható sérülékenységét kihasználva lehetett
hozzáférni a nyilvánosan elérhető ********.hu weboldalon keresztül az incidenssel érintett
adatbázisokhoz;
az adatvédelmi incidenssel érintett személyes adatok tekintetében ([…]) nem
alkalmazott titkosítást, amely így az incidensből fakadó kockázatokat nagy mértékben
megnövelte.
Ezen intézkedések hiánya közvetlenül lehetővé tette, hogy az adatbázisokban tárolt ügyféladatok hozzáférhetővé váltak a támadást végrehajtó etikus hacker által is feltárt sérülékenységen keresztül.”
Valószínűleg Drupal az oldal mögötti tartalomkezelő rendszer:
Mivel nem WordPress rendszer volt érintett, ezért is fontosnak tartani ezt tisztázni. WordPress alapon nem tudok hasonló esetről. Persze ez nem azt jelenti, hogy a WordPress weboldalak karbantartása megúszható, hiszen pont ez védi meg a rendszert a hasonló bakiktól.
Források:
Európai Unió bírósága – Az ítélet letöltése
NAIH Határozat
A webes jelszavak szétszórása [#150]
Tudja ön, hogy egy vállalkozásnak – az internetes jelenlétnek köszönhetően – mennyi jelszót kell megjegyeznie? Elárulom: rengeteget.
Nem elég egyet, és mindenhol azt használom?
Ezt felejtse el, ha egy jelszót több helyen is használ, az hatalmas biztonsági rés!
Amikor weboldalt készítek, és az ügyfélnek már van tárhelye, akkor el kell kérnem tőle a legfontosabb adatokat: FTP adatok, MySQL adatok. Olykor hosszasan kell levelezni a szolgáltatójával, mert ezeket már elkeverte. Számtalanszor – amikor személyesen oktatom a WordPress használatát – azért tudunk csak 5-60 perccel a kezdés után nekiállni a tényleges munkának, mert az ügyfélnek nincsenek egy helyen a legfontosabb webes jelszavai. Holott személyes oktatáskor minden esetben előre jelzem, hogy milyen adatokra lesz szükség, hogy hatékonyan tudjuk felhasználni a kifizetett órákat.
Mi a megoldás?
Gyűjtse össze webes jelszavait egy helyre.
=== Hogyan? ===
Ha az előre elkészített mintámat letölti, csak ki kell töltenie az adatokat, és máris egy helyen vannak a legfontosabb jelszavai. Természetesen a lista tetszőlegesen bővíthető.
Letöltés
pdf verzió | doc verzió
Biztonságos egy helyen tárolni a jelszavakat?
Igen, ha ezt a fájlt megfelelően megvédi. Pl.: TrueCrypt-es tárolóba teszi, amit megfelelően erős jelszóval véd.
A backup (biztonsági mentés) hiánya [#10]
Miért hiba? Ha a gyenge jelszó pontban lévő hibát el is követi, vagy bármit elront az oldalon, és nincs backupja az oldalról vagy adatbázisról, akkor az összes addigi munkát kezdheti elölről. Ha van biztonsági mentése az oldalról, akkor lényegesen könnyebb az oldal tartalmát helyreállítani. Jó esetben így elég csak a backup fájlt visszatölteni az admin felületen keresztül, és újból működik az oldal.
A következő cikkemben bemutatom az adatmentés egyik, általam is használt struktúráját. Ezt használva minimálisra csökkenthető az adatvesztés: Adatmentési szabályzat és hierarchia.
Gyenge jelszót használ [#7]
Miért hiba? A tárhelyének, adatbázisának és ha van az oldalához admin felület, akkor ezeknek ne admin-admin legyen a felhasználónév-jelszó párosa. Miért? Gondolom nem hiányzik Önnek, hogy amikor már fél éve megy a blogja, akkor az összes addigi bejegyzést és hozzászólást töröljék…
Olvassa el az alábbi két cikkemet a témában:
Nem csak a weboldalához tartozó fájlokat tárol a szerverén, és/vagy szabadon böngészhetőek a weboldala könyvtárai [#9]
Miért hiba? Lehet, hogy vannak olyan fájlok is a szerverén, amelyeket nem szívesen oszt meg másokkal. Ha ezeket illetéktelenek megnézhetik, akár kára is származhat belőle.
A megoldás három lépése
1. hozzon létre egy robots.txt fájlt a domain neve root könyvtárában, és helyezze el az alábbi két sort (a valami.html tetszőlegesen kicserélhető más fájlra vagy könyvtárra):
User-Agent: *
Disallow: /valami.html
2. A képeket és egyéb fájlokat tartalmazó könyvtárakba tegyen egy index.php-t, amely legyen vagy üres, vagy tartalmazzon egy olyan kódot, amely a látogatót egyből átdobja a főoldalára.
3. Egy ún. .htpasswd fájl létrehozása, amely segítségével felhasználónévvel és jelszóval lehet levédeni egy könyvtárat vagy fájlt.
Total Commanderben tárolja az FTP jelszavát [#8]
Miért hiba? A Total Commander a Program Filesban található mappájában, a “wcx_ftp.ini” fájlban tárolja a jelszavakat. Vannak olyan programok, amelyek képesek a titkosított adatokat kiolvasni ebből a fájlból.
Mi a megoldás? Minden FTP-re történő csatlakozás után törölje ki a belépési adatait a Total Commanderből. Még jobb opció az, ha Total Commander helyett FileZilla-t használ erre a célra.
A weboldal készítés hibák teljes tartalomjegyzéke
- Bevezető
- Domain névvel, tárhellyel kapcsolatban elkövethető webes hibák
- Technikai felépítéssel kapcsolatos webfejlesztői hibák
- Felhasználói élményt csökkentő weblap hibák
- Megjelenített tartalmakkal kapcsolatos hibák a weboldalakon
- Keresőoptimalizálással kapcsolatos főbb hibák a honlapokon
- Online marketing hibák, értékesítést nehezítő weboldal hibák
- Jogi jellegű weboldal hibák
- Weboldal biztonságával kapcsolatos hibák
- Webáruház üzemeltetés során elkövethető hibák gyűjteménye
Ha tetszik a cikksorozat, kérem mondja el a véleményét róla, és küldje tovább a barátainak, ismerőseinek és partnereinek. Ha nem tetszett, küldje el a konkurenseinek!
Szeretne egy profi, hibamentes weboldalt? Észrevétele van?
Ha a cikksorozatomat tanulmányozva rájött, hogy az Ön weboldalán is található (vagy leendő oldalán nem szeretne hibákat) egy vagy több hiba – és szeretné javítani őket – forduljon hozzám bizalommal, és segítek Önnek, hogy egy hatékonyabb és ügyfélközpontú weboldala legyen!
Szűcs Ádám
WordPress weboldal fejlesztő
Telefonszám: +36 70 623 8822
E-mail cím: info@szucsadam.hu
Ajánlatkérést, vagy bármilyen más visszajelzést is szívesen veszek!
Könyvajánló: A sikeres online vállalkozás építőelemei [312 oldal]
Küldetésemnek érzem, hogy minél többen építsenek sikeres vállalkozást, azaz kitörhessenek az alkalmazotti létből, és egyéni vállalkozóként, vagy egy kis cég tulajdonosaként érjenek el sikereket, valamint stabil egzisztenciát. Ha el szeretnél indulni a siker felé vezető úton, engedd meg, hogy útitársadul szegődjek! Ha könnyebb életet szeretnél, és ehhez online vállalkozáson keresztül akarsz eljutni, akkor neked szól a könyvem!
Az online sikerekhez három tényezőt kell párhuzamosan fejleszteni. Rendelkezni kell a modern kor követelményeinek megfelelő weboldallal, amelyet keresőbarát módon kell elkészíteni, majd tartalommal megtölteni.