Przypominamy o konieczności przestrzegania następujących zasad bezpieczeństwa. Ich nieprzestrzeganie może doprowadzić do uzyskania dostępu do konta przez osoby niepożądane, umieszczenie szkodliwego oprogramowania, co może doprowadzić w ostateczności do zablokowania konta. Polecamy dokładną lekturę tego dokumentu zarówno początkującym jak i zaawansowanym użytkownikom naszych serwerów.
Hasła trudne do odgadnięcia i bezpieczne ich przechowywanie
Używanie konta hostingowego wiąże się z koniecznością stosowania wielu haseł. Hasło główne do konta, hasła do kont FTP, hasła do poczty, baz danych, paneli administracyjnych strony. Wiele z tych haseł ustawiamy raz i zapominamy o nich (np. hasło bazy danych), ustawmy więc dla nich długie i trudne hasła. W pozostałych przypadkach starajmy się używać różnych haseł do różnych usług, łatwych do odgadnięcia wyłącznie przez nas samych. Kombinacja małych i dużych liter plus cyfr zapewnia bardzo wysoki poziom ochrony.
Przykłady dobrych haseł: KrAkt101, 02jaBlko, 5551estr3D.
Przykłady złych haseł: test12345, qwerty, komputer, jankowalski.
Nie należy nigdy wysyłać haseł w korespondencji e-mail, gdyż domyślnie przesyłana jest ona w formie niezaszyfrowanej i może być podsłuchana w trakcie przesyłu. Nie należy również nigdy przesyłać haseł w zapytaniach do pomocy technicznej - do zdiagnozowania ewentualnych problemów nigdy nie jest nam potrzebne hasło użytkownika. Również nasi pracownicy nigdy nie wysyłają do Państwa próśb o udostępnienie haseł. Wiadomość z taką prośbą z całą pewnością będzie pochodzić z nieautoryzowanego źródła i nie należy na nią odpowiadać.
Bezpieczny komputer, z którego logujemy się do usług
Oprogramowanie antywirusowe z aktualną bazą wirusów to absolutna podstawa. Podobnie jak instalowanie nowego oprogramowania wyłącznie z zaufanych źródeł oraz nieotwieranie podejrzanych załączników do poczty, pochodzących od osób, których nie znamy. Proszę również pamiętać, iż zapisywanie haseł w programach typu Firefox czy Total Commander nie jest bezpieczne - hasła takie łatwo odszyfrować, jeżeli komputer zostanie zainfekowany przez szkodliwe oprogramowanie.
Unikajmy również korzystania z niezabezpieczonych sieci WiFi oraz zawsze logujmy się do usług z wykorzystaniem protokołu SSL (w przypadku stron internetowych rozpoznamy szyfrowanie, jeśli adres strony rozpoczyna się od https://).
Ochrona kont pocztowych
Wszystkie powyższe zasady obowiązują również dla kont pocztowych. Należy je więc stosować, aby uniknąć sytuacji, w której po wycieku hasła z naszego adresu e-mail byłby rozsyłany spam bądź inna szkodliwa zawartość przez niepowołane osoby. Prosimy w szczególności pamiętać o korzystaniu z połączenia szyfrowanego SSL w konfiguracji klienta poczty.
Aktualizacje oprogramowania Open Source
Oprogramowanie typu Joomla czy WordPress jest bardzo proste w instalacji, ma ogromne możliwości i jest używane przez miliony osób na całym świecie. Właśnie dlatego jest również bardzo częstym celem ataków. Wydawcy oprogramowania doskonale zdają sobie z tego sprawę, stąd regularnie wydawane są nowe wersje. Zawierają one nie tylko nowe funkcje ale przede wszystkim łatają zauważone błędy i luki bezpieczeństwa.
Na naszych serwerach obserwujemy często instalacje oprogramowania Joomla lub WordPress nieaktualizowane przez wiele lat. Uzyskanie nieautoryzowanego dostępu np. do panelu administracyjnego serwisu jest wówczas często bardzo proste. Przestępca może wówczas modyfikować treść Państwa serwisów, umieścić szkodliwe oprogramowanie bądź rozsyłać spam. W przypadku wykrycia takich działań jesteśmy często zmuszeni do blokady Państwa konta do czasu rozwiązania problemu.
Oprogramowanie należy regularnie aktualizować, pobierając nowe wersje z autoryzowanych stron wydawców. Podobnie należy postępować ze wszystkimi dodatkami typu motywy graficzne, wtyczki, rozszerzenia, gdyż również bardzo często uzyskanie nieautoryzowanego dostępu do konta odbywa się przy wykorzystaniu luk właśnie w nich, nawet jeśli główne oprogramowanie jest aktualne. Aktualizacje często są możliwe z poziomu panelu administracyjnego danego serwisu i zajmują tylko chwilę czasu, powinny być jednak wykonywane regularnie.
Nie należy instalować rozszerzeń, wtyczek bądź motywów graficznych pochodzących z nieznanych źródeł. Wszelkie zainstalowane dodatki należy również regularnie aktualizować, gdyż również one mogą służyć do uzyskania nieautoryzowanego dostępu przez osobę trzecią. Te, z których przestajemy korzystać bądź instalujemy je tylko na próbę, należy niezwłocznie usunąć.
Usuwanie nieużywanego oprogramowania
Jeśli przestajemy korzystać z jakiegoś oprogramowania na serwerze, usuńmy je. Nie tylko zwiększy to ilość dostępnego miejsca na koncie, ale również zapobiegnie możliwym nadużyciom, o którym mowa wyżej. Nie zostawiajmy starych, nieużywanych instalacji na serwerze. Podobnie róbmy z nieużywanymi dodatkami. Przykładowo - nie ma potrzeby trzymać wielu wtyczek do oprogramowania WordPress, jeżeli wykorzystujemy na przykład tylko dwie z nich.
Udostępnianie haseł do usług osobom trzecim
Nawet jeśli przestrzegają Państwo wszystkich powyższych zasad bezpieczeństwa, może się okazać, iż osoba przez Państwa upoważniona np. do aktualizacji strony WWW tego nie robi. Jeśli udostępniają więc Państwo np. dane do konta FTP osobom trzecim, należy się upewnić, iż ich dostęp jest ograniczony wyłącznie do wybranego folderu (nie całego konta) oraz upewnienie się, że ta osoba przechowuje hasło w bezpieczny sposób i wykonuje wyłącznie pożądane przez nas działania.
Co robić, gdy konto zostało zainfekowane
Przede wszystkim należy zabezpieczyć dostęp do usług. Należy więc zmodyfikować wszystkie hasła dostępowe do serwera (główne hasło do konta, hasła do kont FTP, ewentualnie również do kont pocztowych, dysków wirtualnych, baz danych SQL), jak również do oprogramowania (na przykład hasła dostępowe do panelu administracyjnego CMS). Należy również sprawdzić w panelu administracyjnym swojego oprogramowania, czy wszyscy użytkownicy z dostępem administracyjnym są rzeczywiście uprawnieni.
Jeśli na serwerze znalazło się szkodliwe oprogramowanie, należy je usunąć oraz zidentyfikować sposób, w jaki zostało umieszczone. Z pomocą przyjdzie analiza logów dostępnych na każdym koncie w folderze access_logs. Możemy tam sprawdzić, z jakich adresów IP były wywoływane poszczególne pliki oraz czy zostały umieszczone przy użyciu FTP (jeśli tak, z jakiego konta). Warto również zwrócić uwagę na daty modyfikacji plików (najświeższe mogą być umieszczone przez niepowołaną osobę) oraz nazwy plików (dość często złośliwe oprogramowanie jest zapisywane w plikach o nazwach stanowiących losowy ciąg znaków).
W przypadku posiadania nieaktualnych wersji oprogramowania Open Source (szczególnie Joomla oraz WordPress), po upewnieniu się, że złośliwe oprogramowanie zostało usunięte, należy dokonać jego aktualizacji oraz konserwacji, zgodnie z informacjami dostępnymi wyżej. Wykonanie tych wszystkich kroków ma na celu zapobieżenie wystąpieniu infekcji w przyszłości.
W wielu przypadkach sama aktualizacja jednak nie wystarczy, gdyż nadal na koncie mogą znajdować się złośliwe pliki. Najlepszym rozwiązaniem jest całkowite usunięcie oprogramowania z serwera oraz zainstalowanie go od nowa wraz z wyłącznie niezbędnymi dodatkami czy motywami graficznymi. Nie zalecamy korzystania z kopii bezpieczeństwa, gdyż mogą one zawierać złośliwe pliki, umieszczone wcześniej. W większości przypadków po reinstalacji można korzystać z dotychczasowej bazy danych oraz danych w niej zapisanych, dzięki temu nie trzeba będzie wprowadzać ponownie żadnych danych.
Polecamy lekturę naszych poradników dotyczących najpopularniejszego oprogramowania Open Source:
Nasi administratorzy są w stanie zidentyfikować oraz przekazać wskazówki postępowania w konkretnych przypadkach infekcji konta, związanej z używaniem nieaktualnego bądź nieodpowiednio zabezpieczonego oprogramowania. Pozwala to na łatwiejsze i szybsze rozwiązanie problemu.
W przypadku problemów z samodzielnym usunięciem źródła problemu zapraszamy do skorzystania z pomocy w ramach usługi oczyszczania z wirusów WordPress i Joomla, w ramach której wykonamy niezbędne prace związane z oprogramowaniem umieszczonym na koncie.