V roce 2022 jsme zaznamenali zvýšený nárůst útoků na webové stránky našich klientů. Počátkem roku 2023 se počet těchto útoků ztrojnásobil! Z toho důvodu jsme se rozhodli investovat do vývoje zabezpečení webu postavených na platformě WordPress a informovat všechny naše klienty, kteří tento oblíbený redakční systém používají, o možných hrozbách. Samozřejmě jsme nezapomněli ani na zabezpečení VPS (virtuálních privátních serverů), kde provozujeme a staráme se o webové stránky naších klientů.
Jak zabezpečit webové stránky
Zabezpečit webové stránky není snadný úkol a jde o obor sám o sobě. Zde je potřeba mít zkušenosti v oblasti zabezpečení webových stránek a nechat to na odbornících. Každá chyba může vést k průniku do webu, a to nikdo nechce.
Příklady útoku na webové stránky
Ukážeme vám na následujících obrázcích, jak takové útoky vypadají a jakým způsobem se jim bráníme. Bedlivým zkoumáním zmíněných útoků jsme posunuli zabezpečení webu za poslední rok na úplně jiný level. V tuto chvíli dokážeme nejen útočníka okamžitě odhalit, ale také ho zablokovat. I když tito útočníci využívají nástroje, díky kterým mohou v rámci sekund měnit IP adresy a útočit znovu, tak je dokážeme efektivně odrážet a blokovat. Ve chvíli, kdy bezpečnostní portál zaeviduje nějakou zranitelnost, přednostně nás informuje a my okamžitě konáme, abychom záplatovali vzniklou zranitelnost.
Útočíme sami na sebe formou penetračních testů
Jak zabezpečit webové stránky je to, oč tu běží. Abychom byli námi vytvořené webové stránky schopni ochránit, tak provádíme pravidelné penetrační testy a útoky na vlastní servery. K tomuto úkolu využíváme linuxové distribuce, které byly za tímto účelem vyvinuty. Naším oblíbeným operačním systémem pro odhalování zranitelností je KALI LINUX.
Typy útoků na webové stránky
WordPress je nejrozšířenější platforma pro tvorbu webových stránek. Jeho popularita ale zároveň přináší i rizika pro bezpečnost. Proto je nutné věnovat pozornost zabezpečení WordPressu, aby bylo možné chránit webové stránky a data před útoky.
Zde jsou některé typy útoků, které mohou hrozit WordPressu:
- SQL Injection: Útočník používá SQL dotazy k získání přístupu k databázím a k úpravě nebo odstranění dat.
- Cross-Site Scripting (XSS): XSS je typ útoku, kdy útočník vloží škodlivý kód do webových stránek, který může způsobit škodu uživatelům, kteří tyto stránky navštíví.
- Cross-Site Request Forgery (CSRF): Útočník může provést námi nechtěné akce na webových stránkách, jako je například úprava nebo smazání obsahu.
- Malware: Malware zahrnuje viry, trójské koně a jiný škodlivý kód, který může nakazit návštěvníky, způsobit škodu vašemu webu a vašim datům.
- Brute force attack (útok hrubou silou): Jedná se o typ útoku, při kterém útočník používá automatizovaný proces k opakovanému pokusu o získání přístupu k účtu nebo systému pomocí různých kombinací uživatelského jména a hesla. Útočník může použít slovníky hesla, generovat náhodné hesla nebo použít vlastní slova a fráze k pokusům o přihlášení. Tento typ útoku může být úspěšný, pokud uživatel používá slabé heslo.
Mezi další typy útoku patří: Phishing, Distributed Denial of Service (DDoS), Directory Traversal, Remote Code Execution, Clickjacking, Session Hijacking, Remote File Inclusion (RFI), Zero-Day Exploit, Man-in-the-Middle (MitM), Domain Name System (DNS) Spoofing, Watering Hole Attack, Drive-by Download, Amplification Attack a další.
Evidence útoků a řešení přes úřad kybernetické bezpečnosti
Pokud webová stránka disponuje ochranou proti útokům, tak se veškeré aktivity logují a blokují. Následně vše dále podáváme úřadům pro kybernetickou bezpečnost. V této věci vás nejsme schopni více informovat, abychom neodhalovali, jak dochází k procesu odhalení útočníků využívající vesměs operační systémy Linux (příkladem může být KALI Linux) PROXY servery a VPN služby, či síť TOR. Jak odhalit někoho za PROXY serverem, nebo VPN službou si necháme pro sebe. Účinně tak dokážeme řešit konkrétní případy útoků.
Podle našich záznamů a řešených případů se bohužel těmito útočníky v drtivém procentu stávají stále mladší uživatele, kteří si tímto krokem pokazí svou budoucnost. Nebudu říkat hackeři, protože jsou to jen obyčejní uživatelé, kteří si neuvědomují, že používání KALI Linuxu za účelem útoku je kybernetický zločin. V tuto chvíli se jedná o implementaci evropských zákonů postihující kybernetické zločiny přísnými postihy do naší legislativy. Tyto zákony budou, tak jako třeba v USA, postihovat i mladé uživatele, kteří si neuvědomují dopady. Kybernetické útoky v České republice legislativně spadají pod NŮKIB (Národní úřad pro kybernetickou a informační bezpečnost).
Níže je uvedena měsíční platba za zabezpečení jedné webové stránky. Licence je vázána k doméně. Veškeré ceny zde uvedené jsou bez DPH.
Typ zabezpečení
- Instalace zabezpečení a nastavení (jednorázově)
- Detekce útoku
- Podrobné logováni útoku
- Zabezpečení administrace skrytým odkazem
- Zabezpečení administrace formou Google Recaptcha
- Enforce SSL
- Automatické Blokováni útoku
- Ban IP adres útočníků
- Ochrana proti brute force attack
- Dvou faktorová autentifikace
- Magic links pro případ zablokování uživatele
- Ochrana proti malware
- Pravidelný scan webu na malware a viry
- Zapojení do sítě network Brute Force Protection
- Blokování nežádoucích robotů
- Real time detekce malware
- Ochrana souborů webu
- GEO blokováni
Základní
- 1 500 Kč
Premium
- 5 000 Kč
- Scan 1x týdně
LIVE PROTECT
- 14 900 Kč
- Scan 1x denně
Níže uvedené hodnoty se vztahují k začátku roku 2023, kdy jsme tyto čísla aktualizovali
V případě zájmu nás prosím neváhejte kontaktovat
Mohlo by vás zajímat: Vps vs webhosting co je lepší?