Så gör du din hemsida säker (Steg-för-steg-guide i IT-säkerhet)

Säkerhet SSL CDN Hemsidor

Reynir Hübner

Systemutvecklare

För en webbadministratör behöver hemsidans säkerhet ligga högt upp på dagordningen. Men vilka åtgärder bör man vidta? Och vilka verktyg och lösningar är värda att investera i?


IT-säkerhet är något som jag varit intresserad av under en längre tid. Jag har varit chapter lead hos OWASP (Open Web Application Security Project) och har grundat en stor säkerhetsgrupp på Island. Dessutom har jag arbetat som säkerhetschef, utfört säkerhetskoll på olika uppdrag och arrangerar möten kring just ämnet IT-säkerhet.


För ett tag sedan på SiteVisiondagarna Länk till annan webbplats. 2021 fick jag svara på frågan: “Vad skulle du göra för att öka säkerheten på din hemsida om du var webbadministratör?". Frågan kom efter att Markus Andersen (Webstep) höll i en föreläsning om säkerhet på konferensen. Då fokuserade föreläsningen mer på individens IT-säkerhet, till exempel hur man bäst lagrar sina lösenord och så vidare.


Men den brännande frågan kvarstår: Vad ska man tänka på om man är webbadministratör för en hemsida?


Den bistra sanningen om IT-säkerhet och säkra hemsidor

Det finns två saker man behöver komma ihåg när man skapar en lista för att göra sin hemsida säker: 1) Ingen lista kommer någonsin vara helt komplett, och 2) du kommer aldrig vara 100% säker. Det är nästan omöjligt att vara helt säker på att man aldrig kommer drabbas av någon typ av intrång, eller att någon använder din hemsida för att lura andra människor.


Men alla steg för att säkra upp hemsidan hjälper. Och ju svårare det är att hacka din hemsida, desto lägre blir risken att du faktiskt blir hackad. Det handlar om att försöka undvika att vara den lägst hängande frukten där ute. Ja, vem vill stå som ansvarig för att vara “lättast att hacka”?


Det finns många saker som är problematiska med att bli hackad. För det första tappar man förtroendet. En annan problematik är att dataläckor, dvs någon som har hackat in sig på din hemsida får fram information som de aldrig skulle ha haft tillgång till. Det här kan vara riktigt känslig information som hackern sedan kan använda vid utpressning av exempelvis pengar eller annat. Annan känslig data kan också vara kreditkortsinformation eller annan information som är viktig för din kund.

Det handlar om att försöka undvika att vara den lägst hängande frukten där ute. Ja, vem vill stå som ansvarig för att vara “lättast att hacka”?

8 enkla steg för bättre IT-säkerhet som webbadministratör

Första steget mot en säkrare värld är att erkänna att din hemsida kan bli hackad. Det finns faktiskt inte mycket (om ens något) som bevisar motsatsen. Men i många fall är man inte ens medveten om att man kanske har blivit hackad. För att ta reda på om din hemsida har blivit hackad, eller om någon försöker hacka den, så måste du samla in data. Det finns access-loggar som man kan använda sig av för att gräva fram information om någon gjort ett försök, och om de senare lyckats ta sig in i ert system.


Här är en lista med 8 viktiga åtgärder för att göra en hemsida säker:

 

1. Ha alltid ett giltigt SSL-certifikat och kör hemsidan via https.

Det gör att all interaktion på sajten blir krypterad. Att se ett giltig SSL-lås ökar också förtroendet för användare som besöker din sajt, eftersom det bekräftar att man via sin browser kommunicerar med rätt host. Dessutom blir det svårare att genomföra en så kallad Man-in-the-middle attack utan att det visas med ett meddelande i webbläsaren.

 

2. Testa din hemsida regelbundet.

Där finns mängder av tester som man kan göra. Som exempel kan du kontakta ett IT-säkerhetsbolag som kan testa IT-säkerheten på din hemsida. Du kan också testa den själv den med olika verktyg som, till exempel OWASP skapar. Med de här verktygen kan skanna din hemsida för kända svagheter som SQL injection och script injection. Om dessa verktyg hittar något som är fel är det bäst att åtgärda det så fort som möjligt.

 

3. Håll dina system och verktyg uppdaterade hela tiden.

  • Se till att ditt CMS-system är uppdaterat och ha koll på vilka rättigheter den har på servern – skriv/läs/execute, samt vilka folders den har tillgång till.
  • Operativsystemet för servern som du driftar din webbsajt på.
  • Databasen som ditt system använder och vilka användare har vilka rättigheter — inte alla användare ska få skriva i alla tabeller!
  • Andra system som ditt system använder.
  • Uppdatera din webbläsare om möjligt.

4. Använd en bra password policy.

Bestäm hur komplicerade dina lösenord ska vara och hur ofta de måste ändras.

 

5. Håll koll på vilken data som lagras i systemet.

Många hemsidor har ofta enklare formulär där man kan kontakta företag eller föra en dialog. Vi har sett hur otroliga mängder personlig information har läckt från sådana formulär, från känsliga sjukjournaler till kreditinformation.
Om ditt CMS-system lagrar svar från sådana formulär i din databas finns det en stor risk att den datan kan läcka om någon hinner hacka ditt system.

 

6. Välj vilken data som ska vara tillgänglig.

Visste du att när någon hackar din hemsida så kan den personen få tillgång till underliggande server? Det betyder betyder att hackaren kan få tillgång till alla datakällor som ditt system har tillgång till. Tänk därför ett extra varv innan du väljer vilken data ska vara tillgänglig på nätet, vilka system som ska integreras och vad som händer om någon hacker får obehindrad tillgång till den här informationen.


7. Ta bort eller uppdatera alla äldre system.

Det här kan vara system som inte uppdaterats eller inte längre används, men som finns på servern. Det kan t.ex. vara någon gammal FTP-server, eller liknande.

 

8. Logga all trafik och errors. Övervaka och lagra dina loggar.

Gör det här på bra sätt så att det är möjligt att söka i dem och rapportera i din trafik. Här kan man använda verktyg som ELK (Elastic search, Logstash och Kibana), Splunk, eller SaaS-lösningar som Data Dog. Det är viktigt att ha tillgång till och kolla loggar om något händer, men också för att se om något är på väg att hända.


Loggar är också mycket viktiga verktyg när man ska försöka se hur någon kommit in i ett system efteråt.

 

För att förstå dessa loggar behöver man ha mycket god förståelse i CMS-systemet och implementationen av hemsidan.


Avslutande tankar och tips för att nå högre säkerhet på din hemsida

Säkerhet är inte enkelt. Men det finns ett flertal sätt som kan hjälpa dig att bli mer säker, till exempel så kan du använda dig av lösningar som AWS CloudFront som är ett kraftfullt CDN (Content Delivery Network) . Den sitter framför din server i nätverket och svarar alla som ska använda din webb.

 

Om man använder ett sådan verktyg är DDoS (Distributed Denial of service)-attacker mycket svårare att genomföra. Du kommer också kunna skydda dig mot flera andra olika typer av attacker. Däremot är det inte en lösning som gör din hemsida 100% säker. För att en sådan lösning ska vara så nära 100% säker som möjligt så krävs teknisk kunskap på CMS-nivå, av AWS och alla andra inblandade system.

Jag hoppas den här artikeln kommer hjälpa dig på din resa mot en säkrare hemsida.

 

Om du är intresserad av IT-säkerhet och vill diskutera din hemsida med oss på Webstep är du mer än välkommen att kontakta oss. Och om du driver en hemsida i dagsläget, men inte är intresserad av säkerhet, så kan jag bara rekommendera en sak: Utveckla ett sådant intresse, innan det är för sent.

Fler inspirerande inlägg du inte får missa