Zabezpečený přístup
Bod 1 - Přístup skrze HTTPS
Protokol HTTPS zajišťuje přístup na webové stránky skrze šifrovanou komunikaci. Tedy v momentě, kdy se předávají důležité informace jako hesla, emaily čísla bankovních účtů je komunikace pro případného útočníka nečitelná. Tedy jde o zabezpečení komunikace mezi návštěvníkem webových stránek a serverem.
Pro tento účel u Vašich stránek je možnost zakoupit balíček SSL PLUS, který umožní vložit v rámci administrace hostingu SSL certifikát (ten zajišťuje přístup skrze HTTPS). SSL certifikát lze poté vložit dvěma způsoby.
Můžete jej zakoupit u nějaké certifiktační autority a poté jej vložíte v admnistraci hostingu dle nápovědy na odkaze zde.
Nebo si certifikát necháte vygenerovat zdarma od certifikační autority Lets Encrypt přímo v naší administraci hostingu dle nápovědy na odkaze zde.
Bod 2 - Používejte firewall a antivirový program
Doporučujeme v rámci Vašich zařízení využívat ověřených firewalů a antivirových programů. Samotné spuštění programu na pozadí nemusí stačit a proto také doporučujeme neustále provádět jejich aktualizace a spouštět pravidelné plné kontroly Vašeho zařízení.
Práce s hesly
Bod 3 - Bezpečná hesla
V rámci veškerých přístupů doporučujeme využívat bezpečná a netriviální hesla. Jak v případě hesel na emaily, FTP, databáze nebo do administrace stránek. Tyto hesla si doporučujeme zapamatovat a nebo uložit v nějakém programu pro správu hesel (více informací získáte na odkaze zde). Tím se vyvarujete překlepům, ztráty nějakého papírku s napsaným heslem a hlavně také zjištění hesla uloženého v čitelné podobě v nějakém emailu nebo souboru.
Bod 4 - Periodické změny hesel
V případě řešení bezpečnosti nelze opomenout nejen využívání bezpečných hesel ale i jejich případnou změnu. A to nejen až v momentě kdy je pozdě (dojde k nějakému prolomení) ale například s nějakou periodou (například 1x měsíčně).
Bod 5 - Nevyužívání stále stejného hesla
Velice nedoporučujeme využívat stejného hesla pro velké množství služeb. Ideální případ je když máte pro každou službu která vyžaduje heslo, heslo vlastní. Často se setkáváme s prolomením bezpečnosti na nějaké nezabezpečené stránce. A poté má útočník má velice snadnou práci se získáním přístupu do služeb které prolomeny vůbec nebyli.
Samozřejmě chápeme, že služeb může být velké množství a proto se setkáváme i s obrovským množstvím hesel. Proto se odkazuji na předchozí bod 3 kde byl jmenován program pro správu hesel, který by Vám usnadní práci s velkým množstvím hesel.
Aktualizace aplikací, programů a webových stránek
Bod 6 - Aktualizace a bezpečnostní záplaty
Doporučujeme, aby jste po autorovi stránek nebo autorovi systému v kterém jsou stránky vytvořeny, neustále žádali o aktualizace a bezpečnostní záplaty. Velice důležitým bodem je tomu v případě Opensource produktů (jako WordPress, Prestashop atd.).
Bod 7 - Poslední verze aplikace
Doporučujeme nesetrvávat na neaktuálních verzích jakéhokoliv programu nebo systému. A to jak v případě poštovních programů, internetových prohlížečů, redakčních systémů, FTP klientů tak verze programovacího jazyka PHP (více o možnostech změny verze PHP Vašeho hostingu naleznete na odkaze zde). A stejným způsobem pracovat se všemi pluginy addony či jiným rozšířením k výše zmíněným.
Obecná doporučení
Bod 8 - Neregistrování nežádoucích a neověřených služeb
Doporučujeme se vyvarovat registrace na neověřených stránkách, anket, online her, stránkách nevyužívajících HTTPS (zelený zámeček v adresním řádku) Vaším důležitým emailem a s Vašimi používanými hesly. Zamezíte tak zjištění Vámi používaného hesla, Vaší emailové schránky a také příjmu Spamu do Vámi používané schránky.
Pokud je nutné se někde registrovat, použijte raději jinou emailovou adresu (nikoliv firemní nebo osobní), například vytvořenou zdarma na nějakém freemailu nebo na nějakou nedůležitou (nejlépe k tomuto účelu vytvořenou) emailovou schránku pod Vaší doménou.
Bod 9 - Neotevírání emailů od neznámých odesílatelů
Velice nedoporučujeme otevírání emailů od neznámých odesílatelů. A už vůbec příloh v takových emailech obsažených (pozor na některé poštovní programy, které automaticky stahují/otevírají přílohy emailů, takovou vlastnost doporučujeme v poštovním klientu vypnout).
Bod 10 - Přihlašování se na ověřených portálech
Další velice zneužívanou praktikou útočníky jsou emaily s odkazy na stránky nebo přímo stránky které se tváří jako portál do Vámi známé služby. Při bližší kontrole adresního řádku však zjistíte že jste na úplně jiných stránkách. Tomu se říká tzv. phishing formulář který se snaží od Vás vyzískat přihlašovací údaje (nejčastěji do internetové bankovnictví). Přihlašovací obrazovky tedy doporučujeme vždy využít na stránkách pouze Vám známých a nevyužívat odkazů které jsou zprostředkovány například emailem.
Bod 11 - Nestahujte a neinstalujte neověřený software
Cílem útočníka je získat kontrolu nad Vaším zařízením a nebo vyzískat citlivé údaje (či hesla) z Vašeho zařízení. Toho velice často docílí tím, že Vám podstrčí program, aplikaci či nějaké rozšíření která se tváří jako například nějaká populární hra, aplikace pro sledování počasí, rozšíření pro Váš redakční systém (nejčastěji zdarma). Nedoporučujeme stahovat software který získáte na nedůvěryhodných stránkách, software který není prověřen stovkami uživatelů nebo je jinak podezřelý.