Фокус 1: хостването на сайт, вашата първа защита

В уводната глава на нашата специална безопасност изброихме редица полезни мерки за защита на вашия бизнес от атаки и опасности, присъщи на мрежата. Злонамерен софтуер, кракери, загуба на данни поради липсващи резервни копия: заплахите са много и непрекъснато нарастват до такава степен, че през последните няколко години се появи нова фигура, отговарящ за така наречената киберсигурност. От само себе си се разбира, че не е задължително да отивате от едната крайност в другата и да наемате експерт по киберсигурност на всякакви (обикновено високи) разходи. За нормални дейности с демонстрационен сайт или електронна търговия е достатъчно да се приемат целенасочени предпазни мерки, които са от съществено значение за поддържане на „имунната защита“ висока срещу външни заплахи.

Следователно в този първи фокус ще видим решаваща стъпка в по-конкретни термини, а именно изборът на хостинг, т.е. услугата, на която да поверите съдържанието на самия сайт (изображения, текст, код и т.н.). Хостинг услугите станаха много популярни през годините, благодарение на появата на мрежата и експоненциалния растеж на броя на сайтовете в обращение. Ясно е обаче, че увеличаването на търсенето не винаги върви ръка за ръка с повишаване на качеството на услугите. Наистина: ръка за ръка с експлозията на мрежата, станахме свидетели на разпространението на евтини хостинг услуги, толкова евтини, че не гарантират съответствие с минималните изисквания за безопасност. И така, как да се движим, за да не станем лесна плячка за компютърни пирати, вируси и така нататък?

ИЗБОРЪТ НА ХОСТИНГ УСЛУГА НА ВИСОТА

За да разберете незабавно какви огромни разлики съществуват между една хостинг услуга и друга, избрахме да ви представим откъс от статия, публикувана онлайн от уеб експерт. По очевидни причини за поверителност и неетикет избягваме да посочваме автора и хостинг услугата, но сме сигурни, че примерът ще бъде също толкова поучителен:

Няма бързина, надеждност и обслужване на клиенти. Самият аз се бях пробвал да *** известно време, но се сблъсках с управление, подобно на държавната бюрокрация на нашата прекрасна страна. Ако някога сте имали проблеми с грешки 404, знаете колко важно е обслужването на клиентите, за да ви помогне да ги коригирате бързо! За прехвърляне на домейн процесът става толкова лесен, колкото получаването на възстановяване от Equitalia. Не ви казвам да имате работещ сайт. Управлението на комуналните услуги в центъра за клиенти е ужасно. Чаках 7 дни преди отговор. И какво ми казват? „Донесете го отново“.

Тъй като проблемът със сигурността не може да попадне изцяло във вашите ръце, трябва да сте наясно с важността на хостинг, способен да предостави качествена услуга, включително по отношение на помощ. Качеството не означава непременно скъпа услуга, защото освен сигурността има и производителност (която може значително да повлияе на крайната цена на един хостинг). Сигурното е, че за да имате минимална защита, трябва поне да прочетете ревютата, да изпратите имейл със заявка, за да тествате скоростта на реакция и да проверите внимателно какви са характеристиките на предлаганата услуга. И тук идва вторият въпрос, свързан с функционалност, предоставена по подразбиране от хостинга. 

ОТ ЗАЩИТНА СТЕНА ДО АНТИВИРУС ЗА ПОЩА И АНТИСПАМ

Търговските политики на хостинг доставчиците понякога се променят радикално от страна на държава и от услуга на услуга. Има такива, които не минават под определен праг и има такива, които вместо това предлагат икономична цена, към която могат да се добавят всякакви допълнителни опции за оптимална конфигурация. Причината за тази чисто икономическа предпоставка скоро се обяснява: в търсенето на сигурен хостинг ще срещнете услуги, които вече са завършени (и по-сигурни) и в по-малко завършени услуги, на които липсват стандартите за сигурност, изисквани от пазара (но в техния случай незадължителни).  Сред функциите, които заслужават внимание, ние споменаваме:

Firewall

Що се отнася до компютъра, има защитни стени за хостинг, които предотвратяват достъпа на злонамерени хора до вашия сайт. В момента има няколко стандарта за сигурност, най-разпространеният от които е защитната стена L3. Ако не е предвидена защитна стена, съветваме ви да я добавите със специални добавки като напр Всичко в едно WP Сигурност и защитна стена за WordPress.

Антивирусна и антиспам

Антивирусът и антиспамът могат да бъдат внедрени по различни начини на вашия сайт или във вашата електронна поща, но ако доставчикът (т.е. доставчикът) вече ви предлага хостинг с една или повече от тези системи, това е добре. Що се отнася до филтъра за нежелана поща, това се отнася за съобщенията, които получавате на сайта (например от формуляра за контакт или коментари към статия), но също и за вашата електронна поща.

FTP достъп

Невероятно, но факт, някои хостинг услуги не ви позволяват достъп до FTP папки, т.е. зад кулисите на вашия сайт. От гледна точка на сигурността това ограничение може да се превърне в голям проблем до степента, в която вашият сайт е насочен в дълбочина, например с инсталиране на измамен код на отделни страници или отделни продуктови листове.

HTTPS "ПРОТОКОЛ" И СВЪРЗАНИ СЕРТИФИКАТИ

В допълнение към инфраструктурата и системите за поддържане на достъпа, спама и вирусите под контрол, ние разработчиците и агенциите можем да разчитаме на един допълнителна защита, която приема името на HTTPS протокол. В действителност това не е протокол в истинския смисъл на думата (действителният протокол остава HTTP, комбиниран с протокола SSL/TLS), а "бронирана" комуникационна система, базирана на криптиране на HTTP протокол. Без да навлизаме в твърде технически подробности, е полезно да запомните тясната връзка между HTTPS и сертификатите за авторитет. Последните понякога се издават от признати органи, понякога от самите доставчици на хостинг и уеб услуги (директно или като посредници). Както технологията се променя със скоростта на светлината, така и Сертификатите се развиват с времето, вариращи от модели с нисък профил до по-безопасни и по-актуални. 

Ето кратък списък на референтните сертификати:

Нека да шифроваме

Това е сертифициращ орган, който автоматизира безплатното създаване, валидиране, издаване и подновяване на X.509 сертификати за протокола TLS. Тъй като се основава на безплатен софтуер, сертификационната система Let's Encrypt е най-малко сигурната.

Бърз SSL

Сертифициращият орган Rapid SSL предлага едни от най-евтините сертификати на пазара: срещу няколко евро на година е възможно незабавно да активирате нечий url адрес, предшестван от акронима https, като по този начин се възползвате от защита от начално ниво, валидна за повечето сценарии.

Thawte SSL

Друга валидна система за сертифициране е тази, предлагана от Thawte, компания, позиционирана по средата между услугите от начално ниво и първокласните услуги. Това, което се променя в случая, е и предоставената застраховка за щети и кражба на данни, която може да достигне до 1,5 милиона долара.

GeoTrust® True Business ID с EV

Сертифициращият орган Get GeoTrust® предлага защита True BusinessID с разширено валидиране (EV), което в допълнение към повишаването на нивото на сигурност ви позволява да показвате https на зелен фон, по-привлекателно графично решение за потребителя. Цената е висока, но за структурирана електронна търговия си заслужава!

Сега, когато разбирате важността на хостинг услугата, просто трябва да преминем към следващата глава, посветена на обикновената и извънредна поддръжка на вашия сайт. Да, защото сайтът е като кола, ако не се грижите за него може буквално да ви остави в безизходица! Продължете да ни следвате и ние ще ви обясним как да го направите.