Weboldal biztonság és személyes adatok védelme
Szerző: Tusnádi István
Az utóbbi években jelentősen megnövekedtek a weboldalak elleni támadások, amelyek eredményeképpen minden eddiginél több személyes adat került illetéktelen kezekbe a weben. Cikkemben az okoknak és a lehetséges védekezési módoknak próbálok meg utána járni.
Miért nőttek meg a weboldalak biztonságával kapcsolatos problémák?
A weboldalak elleni támadások növekedésének egyik fő oka a nyílt forráskódú tartalomkezelő rendszerek népszerűsége. Az utóbbi években a nyílt forráskódú WordPress tartalomkezelő rendszer lett magasan a legelterjedtebb a weben. 2020-ban a világ összes weboldalának 34%-a mögött a WordPress áll.
WordPress-el készült a New York Times, a The White House, a The Walt Disney Company és a BBC America weboldala is, hogy a legforgalmasabb weboldalak közül említsek néhányat.
A WordPress népszerűségét az alábbiaknak köszönheti:
- Ingyenes
- Egyszerűen és gyorsan telepíthető
- Felhasználóbarát adminisztrációs felület
- Számtalan kiegészítő (plugin) telepíthető rá
A WordPress rendszer telepítését, beüzemelését, testreszabását még egy kezdő webfejlesztő is gyorsan el tudja sajátítani. Ennek köszönhetően a weboldal készítés már nem csak a profi programozók kiváltsága, hanem szinte bárki megpróbálkozhat vele.
Az utóbbi években ezrével jelentek meg az olyan weboldal fejlesztéssel foglalkozó szakemberek, akik minimális előképzettséggel, autodidakta módon sajátították el a webfejlesztés tudományát és ontják magukból az új weboldalakat.
Információ biztonsági és adatbiztonsági képzettség hiányában azonban ezek a weboldalak sajnos olyan problémákat rejthetnek, amelyek könnyen támadhatóvá teszik őket.
A nyílt forráskódú weboldalak biztonsága
Maga a WordPress rendszer biztonságosnak mondható, de csak abban az esetben, ha a fejlesztő és weboldal tulajdonos betartja az írott és íratlan biztonsági szabályokat.
Ennek hiányában a weboldalt előbb-utóbb feltörik vagy vírus fertőzött lesz, amely lehetőséget biztosít a támadóknak arra, hogy az oldalon tárolt személyes adatokat,
- neveket
- e-mail címeket
- lakcímeket
- jelszavakat
- IP címeket
- …. stb.
eltulajdonítsanak és ezzel visszaéljenek.
Gondoljunk csak bele milyen aggályos egy olyan feltört webshop, amelyen keresztül naponta több száz ember személyes adatai, vásárlási információi keresztülfolynak.
Milyen okai vannak annak, hogy a nyílt forráskódú weboldalak támadhatók?
Egy weboldal több különböző csatornán keresztül is támadhatóvá válik, ha nem védjük megfelelően.
A sérülékenységek legnépszerűbb okai az alábbiak:
- Gyenge jelszavak – a támadók könnyen bejutnak a jelszóval védett adminisztrációs rendszerbe
- Frissítések hiánya – a nyílt forráskódú tartalomkezelő rendszereket folyamatosan frissíteni kell. Ha ezek a biztonsági frissítések elmaradnak, a weboldal támadhatóvá válik
- Sérülékeny plugin-ek – a rendelkezésre álló több százezer plugin közül nagyon óvatosan kell kiválasztani azokat, amelyeket telepítünk, mert sok plugin hordoz magában sérülékenységet
- Nem biztonságos tárhely – a tárhely FTP hozzáférése ha nem elég erős, akkor ezen keresztül közvetlenül a weboldal fájlok megfertőzhetők. Ha a tárhely védelmi mechanizmusa nem megfelelő, akkor ez szintén veszélyt jelenthet a weboldalra.
- Biztonsági mentés hiánya – ez nem jelent önmagában veszélyt a weboldalra nézve, de elmaradása estén a fertőzött weboldal visszaállítása meghiúsulhat.
Mi értelme van a weboldalak elleni támadásoknak?
Az olvasóban itt megfogalmazódhat a kérdés, hogy vajon miért támadják a weboldalakat, kinek és miért éri meg ezzel foglalkozni? A válasz megint csak a WordPress népszerűségében keresendő.
Az azonos alap rendszerre írt weboldalaknak ugyanis könnyen lekérdezhető a verziószáma, plugin-jeinek a neve, így nem nehéz olyan automatikus szoftvereket készíteni, amelyek gyakorlatilag emberi beavatkozás nélkül „bóklásznak” a weben és minden szembejövő weboldalnak lekérdezik a legfontosabb információit.
Ha pedig egy olyan WordPress weboldalba ütköznek, amely elavult vagy valamelyik plugin-je nem biztonságos, akkor automatizáltan feltörik.
A weboldal feltörések mögött az alábbi okok húzódnak meg:
- személyes adatok eltulajdonítása
- bizalmas adatok eltulajdonítása
- spam küldés
- káros programok telepítése
- illegális külső weboldalra mutató linkek elrejtése a weboldalban
Ezek a szolgáltatások a „dark weben” megvásárolhatók, így válik a weboldal feltörésekkel megszerzett információ pénzzé.
A weboldal üzemeltetők ráadásul az esetek 61,5%-ában nem is szereznek tudomást a feltörésről, így a támadó hosszú időn keresztül tud gyakorlatilag észrevétlenül adatot gyűjteni.
Hogyan előzhetjük meg a problémákat és tarthatjuk biztonságban weboldalunkat?
Bárki aki weboldalt fejleszt vagy üzemeltet, fontos, hogy képben legyen a legfontosabb adatbiztonsági és adatvédelmi eljárásokkal kapcsolatban, mert csak így tudhatja weboldalát hosszú távon biztonságban.
A legfontosabb biztonsági ajánlások, javaslatok a következők:
- A „core” rendszer legyen rendszeresen frissítve
- A lehető legkevesebb plugin legyen a weboldalba telepítve.
- A plugin-ek legyenek nagyon körültekintően kiválasztva. Megbízható fejlesztő, magas értékelések, magas letöltés szám, gyakori frissítések. Ezek a jellemzők elég beszédesek.
- Az adminsztrációs felület alapértelmezett útvonala legyen megváltoztatva.
- Az adminisztrációs felülethez minél kevesebb személy kapjon hozzáférés, jelszavaik legyenek biztonságosak
- A weboldal tárhelyéhez minél kevesebb személynek legyen hozzáférése. Az FTP jelszó legyen biztonságos. Ha választani lehet, akkor legyen SFTP kapcsolat, FTP helyett.
- A teljes weboldalról készüljön napi és heti mentés
- A tárhely szolgáltató legyen körültekintően kiválasztva. Célszerű olyan tárhely szolgáltatót választani, akinek megoldásai vannak a nyílt forráskódú weboldalak védelmére.
- Legyen biztonsági plugin telepítve a weboldalra, ami extra védelmet nyújt
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
Valamennyi hozzászólást az RSS 2.0 hírcsatornán lehet követni. Szóljon hozzá, vagy adjon a saját honlapjáról egy visszakövetést.