Van oldal, amit 5 perc alatt szétkap egy hacker - hogyan védekezz?

Minden harmadik honlap könnyű prédának bizonyult azon a biztonsági teszten, melyen száz kisvállalat honlapját vizsgálta a WebRontgen.hu idén június végén. A teszt célja a kisvállalati weboldalak általános biztonsági szintjének felmérése volt. 

Az eredmény a szakembereket is meglepte, a vizsgált száz honlap 33 százalékánál találtak ugyanis olyan hibákat, amelyek a nemzetközi besorolási rendszerek szerint közepesnek vagy súlyosnak minősülnek. A súlyos hiba azt jelenti, hogy az oldal 5 perc alatt feltörhető. Ha közepes besorolású hibákból van néhány, akkor egy kicsit komolyabb tudással olyan információkhoz juthat a hacker, amelyek alapján már sikeres támadást lehet indítani – magyarázta Csermák Szabolcs, a biztonsági tesztet vezető szakember.

Az új honlapok biztonságosabbak

A hibaszázalék az elmúlt egy évben készült oldalak esetében volt a legalacsonyabb, itt az oldalak 25 százalékán volt közepes vagy súlyos biztonsági rés. Az 1–3 éve készült honlapoknál ez az arány már 41 százalékos volt, az 5 évnél régebben fejlesztett weboldalaknak pedig 60 százaléka törhető fel minimális tudással 15 perc alatt. Egy feltört weboldal a legjobb esetben használhatatlanná váló céges honlapot, rosszabb esetben pedig komoly üzleti károkat jelent.

Bizonyos támadásokkal például hozzáférhetnek a teljes adatbázishoz is, meghamisíthatják vagy ellophatják azt. A weben kívül mérhető károkra lefordítva ez azt jelenti, hogy a támadás során hozzáférhetnek az ügyfeleink adataihoz, egy webshop esetében például nemcsak ügyfélkörünk név szerinti listáját, hanem azok korábbi vásárlási tevékenységeit is látni fogják. Sajnos volt rá példa, hogy így tettek tönkre egy céget – mondta Csermák Szabolcs.

Mindez óriási erkölcsi és anyagi kockázatot jelent. Ráadásul a kisvállalkozásoknál gyakori, hogy nem is igen, vagy csak nagyon sokára veszik észre, hogy támadás érte az oldalt. Emiatt gyakran fordul elő az a kellemetlen helyzet, hogy egy vevőtől, vagy üzleti partnertől hallanak a problémáról.

Nem feltétlen biztonságosabb, ami drága

A tesztelés során kiderült: míg az egyedi fejlesztésű, jellemzően drágább honlapok több mint fele sérülékeny, addig a nyílt forráskódú tartalomkezelő rendszerekre építő – esetleg azon belül valamilyen saját fejlesztésű modult is tartalmazó – weboldalak esetében mindössze 20–29 százalékos ez az arány.

Tévhit, hogy az egyedi fejlesztésű honlapok biztonságosak. Míg az egyedi honlapokat egy-két programozó készíti, addig például a nyílt forráskódú WordPress tartalomkezelő motoron több ezer fejlesztő közössége dolgozik folyamatosan, ami törvényszerűen biztonságosabb rendszert eredményez. A forráskódot bárki megnézheti, így sokkal gyorsabban kiderülnek a hibák, amiket nagyon gyorsan ki is javítanak – mondta Csermák Szabolcs.

Hogyan védekezzünk?

Bár feltörhetetlen oldal nem létezik, a szakember szerint akár néhány egyszerű lépéssel  jelentősen megnehezíthetjük a támadóink dolgát. A honlapmotor rendszeres frissítése a legfontosabb. Tovább növelhetjük a biztonságot néhány beállítással, és pár – legtöbbször ingyenes – plugin, azaz segédprogram telepítésével.

Legegyszerűbb helyzetben a nyílt forráskódú rendszerre épített oldalak tulajdonosai vannak, mert az újabb verziókban már benne van az automatikus frissítés. Az egyedi fejlesztésű oldalakkal nehezebb a helyzet. Ott csak rendszeres teszteléssel lehet védekezni, azaz egy etikus hackernek át kell nézni az oldalt, van-e rajta kiskapu. Vagy nagykapu.