Jak zapobiegać zainfekowaniu witryny złośliwym oprogramowaniem

Ceną wolności od złośliwego oprogramowania jest stała i nieprzerwana czujność. Ten artykuł zawiera porady i wskazówki, które pomogą zapobiegać infekcjom złośliwym oprogramowaniem. Nie wyczerpuje on jednak tematu, a Google zachęca właścicieli witryn do prowadzenia bardziej rozległych analiz w tej dziedzinie.

Monitorowanie kondycji witryny

Wiele funkcji Search Console może pomóc w identyfikowaniu potencjalnych problemów. Przykład:

  • Użyj wyszukiwania z operatorem site: w Google, by zobaczyć, co w witrynie zostało zindeksowane. Dobrze jest robić to okresowo, by sprawdzać, czy ktoś niepostrzeżenie nie dołączył do Twojej witryny stron lub treści. Jeśli znajdziesz w witrynie nieznane strony lub tematy, których nie jesteś autorem, może to oznaczać, że doszło do ataku hakera. Jeśli nie znasz jeszcze operatora wyszukiwania site:, warto wiedzieć, że umożliwia on ograniczenie wyszukiwania do konkretnej witryny. Na przykład wyszukiwanie site:developers.google.com zwróci tylko wyniki z witryny Google Developers.
  • Raport Problemy dotyczące bezpieczeństwa wskazuje strony w witrynie rozpoznane przez Google jako zaatakowane i podaje rozwiązania takiego problemu.
  • Jeśli Google wykryje w Twojej witrynie złośliwe oprogramowanie, zobaczysz powiadomienie w panelu wiadomości w Search Console. Aby mieć pewność, że powiadomienia będą do Ciebie szybko docierać, możesz ustawić przekazywanie wiadomości na swoje konto e-mail.

Lista kontrolna zabezpieczeń

Oprócz regularnego monitorowania witryny zalecamy również te działania:

Wszyscy właściciele witryny

  • Stosuj silne hasła. Pomogą Ci w tym wskazówki dotyczące konta Google.
  • Uważnie wybieraj zewnętrznych dostawców treści. Upewnij się, że aplikacje i reklamy innych firm w Twojej witrynie pochodzą z zaufanych i legalnych źródeł. Zaufane i legalne źródło udostępnia w swojej witrynie pomoc i podaje informacje kontaktowe.
  • Proś o pomoc przedstawicieli swojej firmy hostingowej lub platformy do publikacji. Większość firm ma pomocne i stale gotowe zespoły obsługi klienta lub strony o bezpieczeństwie. Jeśli strona lub witryna o bezpieczeństwie ma kanał RSS, zasubskrybuj go, by na bieżąco otrzymywać aktualne informacje.
  • Dbaj o bezpieczeństwo wszystkich swoich komputerów. Szczególnie przy pracy nad witryną upewnij się, że na lokalnej stacji roboczej zainstalowane jest aktualne oprogramowanie, jest ona wolna od wirusów, koni trojańskich i innego złośliwego oprogramowania, a także ma zainstalowane niedawno zaktualizowane oprogramowanie antywirusowe.

Właściciele witryny z dostępem do serwera

  • Sprawdź konfigurację serwera. Na stronie serwera Apache jest kilka wskazówek na temat konfiguracji jego zabezpieczeń, a Microsoft udostępnia w swoim centrum technologicznym materiały o serwerze IIS. Niektóre z tych porad zawierają informacje na temat uwierzytelniania, szyfrowania, kodu SSI (Server Side Includes) oraz uprawnień do katalogów.
  • Twórz kopie zapasowe pliku .htaccess (lub innych mechanizmów kontroli dostępu w zależności od używanej platformy). Skorzystaj z pliku kopii zapasowej w celu odtworzenia konfiguracji, jeśli zawiodą inne sposoby. Pamiętaj, żeby na koniec usunąć plik kopii zapasowej.
  • Na bieżąco sprawdzaj dostępność najnowszych aktualizacji i poprawek oprogramowania. Istnieje wiele narzędzi, które ułatwiają tworzenie witryn, jednak z każdym wiąże się ryzyko wykorzystania luk w jego zabezpieczeniach. Częstym błędem wielu właścicieli witryn jest umieszczenie w swojej witrynie forum lub bloga, o którym potem zapominają. Podobnie jak w przypadku samochodu, który trzeba poddawać przeglądom, ważne jest sprawdzanie, czy masz wszystkie najnowsze aktualizacje całego zainstalowanego oprogramowania. Sporządź listę wszystkich programów oraz wtyczek używanych w witrynie i śledź numery ich wersji oraz aktualizacje. Nawet jeśli z uwagą aktualizujesz wszystkie komponenty swojej witryny, wciąż może ona być podatna na ataki, jeśli Twoja firma hostingowa nie zainstalowała najnowszych poprawek systemu operacyjnego. Ten problem dotyczy nie tylko małych witryn. Tego typu ostrzeżenia otrzymują witryny banków, zespołów sportowych, a także witryny firm i administracji publicznej.
  • Przeglądaj pliki dziennika. Wyrobienie w sobie takiego nawyku daje wiele korzyści – jedną z nich jest zwiększone bezpieczeństwo. Na przykład nieznane parametry adresu URL (takie jak =http: czy =//) lub wzrost ruchu w przekierowaniach w witrynie może oznaczać, że haker wykorzystuje otwarte przekierowania. Pamiętaj też, że hakerzy często próbują modyfikować pliki dziennika. Podejmij odpowiednie działania, by chronić je przed atakami. Możesz na przykład przenieść te pliki z domyślnej lokalizacji, utrudniając hakerom ich odnalezienie.
  • Sprawdzaj witrynę pod kątem znanych luk w zabezpieczeniach. Unikaj pozostawiania katalogów z otwartymi uprawnieniami. To jakby zostawić otwarte na oścież drzwi do domu.

    Szukaj również wszelkich luk związanych z atakami XSS (cross-site scripting) i wstrzykniętym kodem SQL.

  • Korzystaj z bezpiecznych protokołów. Na potrzeby przesyłania danych Google zaleca korzystanie z protokołów SSH oraz SFTP, a nie protokołów tekstowych, takich jak telnet czy FTP. W protokołach SSH i SFTP stosowane jest szyfrowanie i są one dużo bezpieczniejsze.
  • Stale śledź najnowsze informacje z dziedziny bezpieczeństwa. Blog Google o bezpieczeństwie w sieci zawiera przydatne informacje o zabezpieczeniach stosowanych w internecie oraz linki do innych materiałów. Strona instytucji US-CERT zawiera techniczne alerty i porady związane z bezpieczeństwem.

Jeśli korzystasz z Search Console, a w Twojej witrynie występują powtarzające się lub niemożliwe do usunięcia problemy dotyczące bezpieczeństwa, skontaktuj się z nami.

Zgłoś problem dotyczący bezpieczeństwa