W większości przypadków my jako specjaliści SEO, nie przejmujemy się nadmiernie cyberbezpieczeństwem. Oczywiście pilnujemy, aby strony miały zainstalowane certyfikaty bezpieczeństwa, wczytywały się z SSL i ogólnie nie miały wycieków danych. Tylko czy to jest naprawdę wystarczające?
Czy integracje i wtyczki od firm trzecich są groźne?
Jednym z najpopularniejszych systemów CMS, WordPress, posiada ponad 50 000 wtyczek, i jest używany na ponad 40% stron www. Dla hakerów jest to istna żyła złota z racji braku sztywnych regulacji dotyczących sprawdzania wtyczek pod kątem złośliwego kodu. W związku z tym można relatywnie łatwo dodać takie, które mają na celu szkodzenie użytkownikom. Mniej biegłe technicznie osoby, instalują je, często w większej ilości niż potrzebują, i poprzez brak odpowiednich umiejętności nie są w stanie zweryfikować czy są one faktycznie bezpieczne. Z drugiej strony, nawet te, które cieszą się dobrą opinią, mogą zostać przejęte i wykorzystane do zmiany naszej strony w część botnetu (sieci przejętych stron i urządzeń używanych potem do przeprowadzania ataków).
Tak samo jak z każdą technologią czy kodem na stronę, zawsze starajmy się sprawdzić, czy zainstalowane pluginy są zaktualizowane, mają dobrą reputację, a wszelkie włamy i luki bezpieczeństwa są szybko łatane. Świetnym pomysłem jest zlecenie sprawdzenie wtyczek, jak i całej strony, w ramach audytu SEO, w trakcie którego przeanalizujemy, czy faktycznie wszystkie pięć wtyczek od formularzy jest niezbędnych do prawidłowego działania strony.
Zwykle, w wyniku audytu SEO, wskazujemy, które wtyczki i integracje zewnętrzne są potencjalnie słabymi ogniwami i pomagamy je usunąć, aby wzmocnić bezpieczeństwo strony. Dla hakerów nie ma znaczenia czy jesteście wielką korporacją, czy też prywatnym blogiem o życiu waszych kotów. Najczęściej starają się przejąć strony, aby móc je wykorzystać do budowania sieci botów i ataków.
Reasumując: najlepszą praktyką jest używanie minimum wtyczek oraz wyrobienie sobie nawyku sprawdzania, czy są zaktualizowane (najlepiej co tydzień).
Bardzo ważne jest również bezpieczeństwo w e-commerce, ze względu na proces pozycjonowania sklepu internetowego. Włamanie może oznaczać zaprzepaszczenie efektów działań wielu mc lub lat.
Jak dochodzi do wycieku danych?
Zasada najniższego poziomu dostępu (ang. principle of least privilege,PoLP) to jedna z najlepszych metod zapobiegania wyciekom danych i utrzymania bezpieczeństwa. Najprościej rzecz ujmując, każdy użytkownik powinien mieć tylko taki poziom dostępu, jaki jest niezbędny do wykonywania obowiązków. To znaczy, że osoby z marketingu nie powinny mieć, w większości przypadków, dostępu do serwera oraz że kiedy dana osoba przestaje współpracować z firmą, to wszelkie nadane dostępy muszą zostać usunięte.
W drugim przykładzie, nawet zakładając, że dana osoba nie ma złych intencji, to odbierając jej dostęp, minimalizujemy ryzyko: jeśli jej konto padnie ofiarą hakera to dostęp do naszych danych również. Regularne sprawdzanie, czy każda osoba posiada odpowiednie narzędzia oraz poziom dostępu, pozwala zachować bezpieczeństwo danych oraz zredukować koszty, choćby poprzez wiedzę ile licencji jest potrzebnych. Dzięki temu nie będziesz płacił/a za te, które nie są już wykorzystywane.
Dobrym pomysłem jest również zapisanie się do newsletterów stron, które informują o wyciekach haseł i adresów mailowych oraz sprawdzanie, czy adresy z naszej firmy (oraz prywatne) nie znajdują się na takiej liście. Regularna (najlepiej co dwa tygodnie) zmiana haseł i wykorzystywanie różnych haseł do różnych stron znacznie redukuje ryzyko, że jeśli jedna usługa zostanie shakowana, to narazimy pozostałe. Dobry manager haseł znacznie ułatwia zarządzanie. Dwuskładnikowe uwierzytelnianie doda dodatkową warstwę bezpieczeństwa, więc warto to zaimplementować.
Czemu warto się tym przejmować?
Ręczne działania wobec strony lub bycie oznaczonym jako strona skompromitowana czy niebezpieczna po prostu zabija większość naszego ruchu organicznego. Większość współczesnych przeglądarek informuje o tym użytkownika za pomocą czerwonej planszy, co również nie wpływa dobrze na ruch na stronie. Odbudowanie ruchu zajmie często miesiące – to oznacza konkretne straty, czasowe i finansowe. Jeśli zaś działamy w branży związanej ze zdrowiem lub finansami, to dodatkowo reputacja może być zszargana na lata.
Powyższe przykłady są podstawami i planujemy rozwinąć ten temat w cykl notek, abyśmy wspólnie mogli zadbać zarówno o bezpieczeństwo nas samych jak i naszych klientów.