Menü
Weboldal biztonság
Ma már a weboldal biztonság ugyan úgy a weboldal technikai SEO szerves része, mint a betöltési sebesség vagy a tartalom. Sok weboldal még mindig nem biztonságos csatornákon kommunikál, még akkor sem ha böngésző már jó előre elriasztja az ügyfeleinket minden személyes adat megadásától. Mit kell tennem, hogy az én weboldalam is biztonságos legyen?
A mai világban minden ami kommunikál megpróbálják feltörni és belelesni a kommunikációba. Legyen az asztali gép, vagy mobil telefon vagy éppen egy weboldal. Mindenki áldozat lehet, mivel a kiber bűnözők megpróbálják valamilyen módon megszerezni személyes és vagy bankszámla adatainkat, amelyet illegálisan próbálnak meg pénzhez jutni. Gondoljunk csak vissza az adathalász lemásol banki weblapokra, itt a gyanútlan ügyfeleket megpróbálják a valóságos banki weboldalra nagyon hasonlító lapra irányítani, ahová az ügyfél általa begépelt bankkártya adatokkal megpróbálnak majd belépni a valóságos weblapra és átutalásokat végrehajtani távolról az ügyfél tudta nélkül.
Ez nem egyedi dolog ma már, hanem sajnos minden napos. Ennek tudatában egy egyszerű weboldal tulajdonos vagy webmester, mit tud tenni, hogy az ő potenciális ügyfelei biztonságban érezhessék adataikat?
Weboldal biztonságossá tétele
Egy weboldalt akkor mondhatunk biztonságosnak, ha mind a böngésző webszerver, mind a webszerver és a rajta levő programok biztonságosnak mondhatóak.
- Az ügyfél kommunikáció a webszerverünk felé akkor lesz biztonságos, ha az elküldendő adatokat először megfelelően titkosítjuk a lehető legbiztonságosabb SSL protokollal.
- A webszervereket és rajtuk futó programokat is folyamatosan frissíteni kell, mert ezeken legtöbbször Open Source szoftverek futnak, amelyek forrás kódjait bárki átnézheti potenciális sebezhetőségek után kutatva. Érdemes tehát ezeket mindig a lehető legfrissebb verzióra frissíteni kivédve az esetleges károkozást.
HTTPs beállítása
Weboldal biztonságosság tétele kezdődjön a HTTPS protokoll beállításához először keresnünk kell egy megbízható SSL szolgáltatót, akik az általunk kiállított CRT segítségével előállít számunkra a szerver certificate-eket. A webszerver a titkos kulcsával képes lesz visszafejteni a RSA titkosítású csomagokat és elolvasni tartalmukat. Mint mindenből SSL szolgáltatóból is elég sok van. Több webszolgáltatónál elérhető CPanel segítségével például ingyenes Let's Encrypt szolgáltató is elérhető, ami tényleg ingyenesen titkosítja az adatkommunikációt az ügyfél és a szerver között. Hátránya, hogy néha leáll ekkor az oldal Self Signed-ként viselkedik egy darabig.
Vannak komolyabb SSL szolgáltatók, amelyek komolyabb és stabilabb szolgáltatást nyújtanak nem is olyan drágán. Mi külön ügyfél kérésre Comodo, Rapid SSL vagy Geo Trust. Ezeknek a certificate-eknek a telepítése azonban tapasztaltabbnak kell lennünk, nem feltétlenül fog menni azonnal.
Nem biztonságos oldal megnyitása
Ha egy nem biztonságos weboldalt nyitnánk meg véletlenül, akkor a böngészők azonnal piros feliratokkal jelzik, hogy olyan oldalra tévedtünk, amely nem feltétlenül biztonságos. Ez igaz is, alapvetően ezek már jól elrettentik az esetleges felhasználókat, de lehet kicsit túlzó is, mivel a normál HTTP oldalak esetében ezt nem teszik fel.
A webhely nem képes biztonságos kapcsolatot nyújtani
Általában ez az üzenet akkor szokott jönni, ha megvásároltunk egy SSL tanúsítványt de úgy, mint a Domain nevet, elfelejtettük meghosszabbítani. Ilyenkor a böngésző ezt az üzenetet adja számunkra. Egyszerűen már lejárt a szolgáltatás innentől újra nem titkosított az adatkapcsolat.
Webszerver és PHP biztonság
A webszerver ahogy írtam is általában biztosságosnak tekinthető, de érdemes mindig a legfrissebb szoftverek használni. PHP nyelv esetében a PHP 7.4-es verzióra frissíteni. Érdemes a PHP program írásakor is a az összes beérkező adatot ellenőriznünk, nehogy valamilyen adatlopás vagy SQL Injection támadás szenvedjünk el. SQL Injection segítségévél potenciálisan bizonyos weblapok esetében adminisztrátori jogosultságot szerezhetünk.
Érdemes a webtárhelyen a fájlokról a csoport jogokat elvenni, ezáltal ha olyan weboldalt sikerült megtámadni amely képes a webszervert felderíteni, nehogy manipulálni tudja forrás fájl-ainkat és vírust tudjon telepíteni a weblapunkra. Ezzel igen nagy bajba sorolnánk magunkat a Google előtt is, ahol emiatt büntetést is kaphatunk. Ennek a Serach console-ban nézhetünk utána.
Kapcsolatfelvétel
Amennyiben érdekli Technikai SEO Audit szolgáltatásunk, lépjen velünk kapcsolatba szívesen állunk az önök szolgálatára.