Weboldal biztonság és személyes adatok védelme

Szerző: Tusnádi István

Az utóbbi években jelentősen megnövekedtek a weboldalak elleni támadások, amelyek eredményeképpen minden eddiginél több személyes adat került illetéktelen kezekbe a weben. Cikkemben az okoknak és a lehetséges védekezési módoknak próbálok meg utána járni.

Miért nőttek meg a weboldalak biztonságával kapcsolatos problémák?

A weboldalak elleni támadások növekedésének egyik fő oka a nyílt forráskódú tartalomkezelő rendszerek népszerűsége. Az utóbbi években a nyílt forráskódú WordPress tartalomkezelő rendszer lett magasan a legelterjedtebb a weben. 2020-ban a világ összes weboldalának 34%-a mögött a WordPress áll.

WordPress-el készült a New York Times, a The White House, a The Walt Disney Company és a BBC America weboldala is, hogy a legforgalmasabb weboldalak közül említsek néhányat.

A WordPress népszerűségét az alábbiaknak köszönheti:

  • Ingyenes
  • Egyszerűen és gyorsan telepíthető
  • Felhasználóbarát adminisztrációs felület
  • Számtalan kiegészítő (plugin) telepíthető rá

A WordPress rendszer telepítését, beüzemelését, testreszabását még egy kezdő webfejlesztő is gyorsan el tudja sajátítani. Ennek köszönhetően a weboldal készítés már nem csak a profi programozók kiváltsága, hanem szinte bárki megpróbálkozhat vele.

Az utóbbi években ezrével jelentek meg az olyan weboldal fejlesztéssel foglalkozó szakemberek, akik minimális előképzettséggel, autodidakta módon sajátították el a webfejlesztés tudományát és ontják magukból az új weboldalakat.

Információ biztonsági és adatbiztonsági képzettség hiányában azonban ezek a weboldalak sajnos olyan problémákat rejthetnek, amelyek könnyen támadhatóvá teszik őket.

A nyílt forráskódú weboldalak biztonsága

Maga a WordPress rendszer biztonságosnak mondható, de csak abban az esetben, ha a fejlesztő és weboldal tulajdonos betartja az írott és íratlan biztonsági szabályokat.

Ennek hiányában a weboldalt előbb-utóbb feltörik vagy vírus fertőzött lesz, amely lehetőséget biztosít a támadóknak arra, hogy az oldalon tárolt személyes adatokat,

  • neveket
  • e-mail címeket
  • lakcímeket
  • jelszavakat
  • IP címeket
  • …. stb.

eltulajdonítsanak és ezzel visszaéljenek.

Gondoljunk csak bele milyen aggályos egy olyan feltört webshop, amelyen keresztül naponta több száz ember személyes adatai, vásárlási információi keresztülfolynak.

Milyen okai vannak annak, hogy a nyílt forráskódú weboldalak támadhatók?

Egy weboldal több különböző csatornán keresztül is támadhatóvá válik, ha nem védjük megfelelően.

A sérülékenységek legnépszerűbb okai az alábbiak:

  • Gyenge jelszavak – a támadók könnyen bejutnak a jelszóval védett adminisztrációs rendszerbe
  • Frissítések hiánya – a nyílt forráskódú tartalomkezelő rendszereket folyamatosan frissíteni kell. Ha ezek a biztonsági frissítések elmaradnak, a weboldal támadhatóvá válik
  • Sérülékeny plugin-ek – a rendelkezésre álló több százezer plugin közül nagyon óvatosan kell kiválasztani azokat, amelyeket telepítünk, mert sok plugin hordoz magában sérülékenységet
  • Nem biztonságos tárhely – a tárhely FTP hozzáférése ha nem elég erős, akkor ezen keresztül közvetlenül a weboldal fájlok megfertőzhetők. Ha a tárhely védelmi mechanizmusa nem megfelelő, akkor ez szintén veszélyt jelenthet a weboldalra.
  • Biztonsági mentés hiánya – ez nem jelent önmagában veszélyt a weboldalra nézve, de elmaradása estén a fertőzött weboldal visszaállítása meghiúsulhat.
security payment

Mi értelme van a weboldalak elleni támadásoknak?

Az olvasóban itt megfogalmazódhat a kérdés, hogy vajon miért támadják a weboldalakat, kinek és miért éri meg ezzel foglalkozni? A válasz megint csak a WordPress népszerűségében keresendő.

Az azonos alap rendszerre írt weboldalaknak ugyanis könnyen lekérdezhető a verziószáma, plugin-jeinek a neve, így nem nehéz olyan automatikus szoftvereket készíteni, amelyek gyakorlatilag emberi beavatkozás nélkül „bóklásznak” a weben és minden szembejövő weboldalnak lekérdezik a legfontosabb információit.

Ha pedig egy olyan WordPress weboldalba ütköznek, amely elavult vagy valamelyik plugin-je nem biztonságos, akkor automatizáltan feltörik.

A weboldal feltörések mögött az alábbi okok húzódnak meg:

  • személyes adatok eltulajdonítása
  • bizalmas adatok eltulajdonítása
  • spam küldés
  • káros programok telepítése
  • illegális külső weboldalra mutató linkek elrejtése a weboldalban

Ezek a szolgáltatások a „dark weben” megvásárolhatók, így válik a weboldal feltörésekkel megszerzett információ pénzzé.

A weboldal üzemeltetők ráadásul az esetek 61,5%-ában nem is szereznek tudomást a feltörésről, így a támadó hosszú időn keresztül tud gyakorlatilag észrevétlenül adatot gyűjteni.

Hogyan előzhetjük meg a problémákat és tarthatjuk biztonságban weboldalunkat?

Bárki aki weboldalt fejleszt vagy üzemeltet, fontos, hogy képben legyen a legfontosabb adatbiztonsági és adatvédelmi eljárásokkal kapcsolatban, mert csak így tudhatja weboldalát hosszú távon biztonságban.

A legfontosabb biztonsági ajánlások, javaslatok a következők:

  • A „core” rendszer legyen rendszeresen frissítve
  • A lehető legkevesebb plugin legyen a weboldalba telepítve.
  • A plugin-ek legyenek nagyon körültekintően kiválasztva. Megbízható fejlesztő, magas értékelések, magas letöltés szám, gyakori frissítések. Ezek a jellemzők elég beszédesek.
  • Az adminsztrációs felület alapértelmezett útvonala legyen megváltoztatva.
  • Az adminisztrációs felülethez minél kevesebb személy kapjon hozzáférés, jelszavaik legyenek biztonságosak
  • A weboldal tárhelyéhez minél kevesebb személynek legyen hozzáférése. Az FTP jelszó legyen biztonságos. Ha választani lehet, akkor legyen SFTP kapcsolat, FTP helyett.
  • A teljes weboldalról készüljön napi és heti mentés
  • A tárhely szolgáltató legyen körültekintően kiválasztva. Célszerű olyan tárhely szolgáltatót választani, akinek megoldásai vannak a nyílt forráskódú weboldalak védelmére.
  • Legyen biztonsági plugin telepítve a weboldalra, ami extra védelmet nyújt

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Valamennyi hozzászólást az RSS 2.0 hírcsatornán lehet követni. Szóljon hozzá, vagy adjon a saját honlapjáról egy visszakövetést.

Vélemény, hozzászólás?

 
Read previous post:
A hozzájárulás fogalmának kiegészítése az Európai Adatvédelmi Testület 5/2020 iránymutatásában

2020 májusában jelent meg az Európai Adatvédelmi Testület hozzájárulásról szóló iránymutatása, mely a WP259 iránymutatás frissített változata, és néhány helyen...

Close