sikring-af-webshops

Vi kender det alle, intet varer for evigt så derfor skal emner vedligeholdes. Det gælder dit hus, din bil og det gælder også for din webshop.

Når det kommer til sikkerhed, er implementering og vedligeholdelse ofte noget der helt udelades indtil den dag hvor det rammer een selv og så er det for sent. Derfor har vi her et par nemme tiltag som du selv kan foretage som webshop-ejer.

Konsekvensen ved IKKE at foretage noget

Din webshop kører uden problemer, indtil den dag hvor Google Console rapporterer at din hjemmeside indeholder malware eller at en kunde rapporterer at de er blevet sendt over på en russisk side efter at have besøgt netop din webshop.
Det er ubehageligt og panikken breder sig for hvordan skal man forholde sig?

Heldigvis kommer man rigtig langt ved at forberede sig og sikre siden bedst muligt så man måske helt undgår den situation.

Hvad er malware og hacking?

Når en person eller et stykke software, som det ofte er, skaffer sig adgang til systemer som de ikke har lov til via måder som ikke er meningen, så er det hacking. Angreb imod en hjemmeside er sjældent personlige eller direkte mål.

Når en side bliver hacket, er det software fra hackeren som automatisk scanner en masse hjemmesider for sårbarheder og typisk kommer hackeren ikke engang ind på din hjemmeside.

En hjemmeside vil blive mål for en række tests af sårbarheder. Disse sårbarheder kan findes på webserveren eller via det CMS-system som hjemmesiden består af. Desto mere populært et CMS-system er, desto mere negativ opmærksomhed er der fra hackere som er interesseret i at skaffe sig adgang.

I grelle situationer er der set eksempler på plugins som har indeholdt sårbarheder som har været årsag til at over 300.000 hjemmesider er blevet inficeret. For et system som Wordpress der ligger på mere end 22 millioner sider (kilde) så er det altafgørende at det også er sikkert.

Det skal dog understreges at Wordpress er lige så sikker som mange andre systemer men det er ofte plugins som er mål og Point of Entry for hackere.

Forebyggelse

Der er en række tiltag du selv kan foretage som webshop-ejer for at sikre din side i dag. 
Her kommer et par stykker.

1: Sikring af godt login til hjemmesiden

Den menneskelige faktor er også den svageste. Et brugernavn med "admin" og kodeord "abcd1234" er den største årsag til at hjemmesider bliver hacket. Noget der er nemt at huske, er også det som en hacker hurtigst kan gætte via brute forcing og password-lister.

En password-liste er nemlig en liste med de mest almindelige forekomster af passwords som benyttes verden over.

Derfor er tippet her, at et brugernavn bør være lidt mere komplekst og hedde noget a la "4adminAB11" med kodeord "aoFC24E2Ht2t" som er en 100% tilfældig streng.

Lav dit eget sikre kodeord her.

2: Krypter forbindelsen imellem kunden og webshop

Når den server som webshoppen er hostet på, sender data til din browser og tilbage igen, vil det som regel IKKE være krypteret, med mindre serveren har installeret et SSL-certifikat som netop krypterer disse data.

En test af danske websites viser at kun 25% har SSL installeret på deres hjemmeside og dermed krypteret trafikken. I browser-baren betyder ’http’, at hjemmesidens trafik ikke er krypteret og ’https’ betyder krypteret trafik.

Benyttes der Google chrome som browser vil denne markere siden som usikker hvis der ikke benyttes https, hvilket kan få brugeren til at gå tilbage til den side hvor de kom fra. For en webshop som tager imod betaling, er dette ekstremt ødelæggende.

Herunder er en graf fra Google som fortæller hvor mange NYE websites Google finder, der er ramt af malware og phising. Det er ca. 30.000 hackede sites HVER uge.

peter-soerensen-malware

Derfor skal du opsætte SSL på din webshop hvis du ikke allerede har det. 
Læs også: SSL-certifikat - hvorfor skal min webshop have det?

3: Opdatering af webshop

Afhængig af hvilken webshop du kører med, kan du selv opdatere den eller få automatiske opdateringer igennem din leverandør. Nogle webshop-systemer ligger i skyen og her får du automatisk den nyeste version når den er klar. Ligger din webshop som en selvstændig installation på egen server så skal du selv ind og holde den opdateret.

Dette kan du selv gøre via administrationen eller via din webudvikler.

Dette punkt er meget, meget vigtig at udføre på ugentlig basis.

Overvågning

Udover forebyggelsen er det super vigtigt også at holde øje med siden og få muligheden for at reagere hurtigt hvis skaden allerede er sket. Med overvågning via en malware scanner kan du sikre at der kan handles hurtigt når en infektion er fundet.

En rigtig god scanner som kan scanne siden udefra for huller er Detectify, den kan scanne og rapportere dagligt om de potentielle huller som den finder. Disse inddeles i 3 grupper som er rød, gul og blå. De røde skal rettes, da de udgør den største trussel og hvor de gule er mere potentielle sårbarheder.

Som tidligere nævnt kan Google også holde øje med siden og alarmere via Google Webmaster Console hvis denne er aktiveret for din side.

Herunder ser du eksempler på emner som en scanner kan finde. De røde bør absolut løses:

peter-soerensen-scannertools

Oprydning af webshop når den er blevet inficeret

En virus-scanner kan hjælpe med automatisk at fjerne de inficerede filer, dog er det ikke noget man bør stole 100% på. Der kan ligge filer som scanneren ikke kan finde eller en hacker kan have oprettet en backdoor, hvorfor en oprydning bør foretages af en professionel for at sikre at det hele bliver fundet.

Derudover bør hullet som hackeren er kommet ind af, lukkes, så siden skal analyseres for svagheder både manuelt og via de nævnte scanningsværktøjer. Der er desværre ingen garantier her.

Når hjemmesider hackes, er det typisk af et automatisk scanningsværktøj som finder og inficerer hjemmesider, derfor bør man aktivere overvågning på siden så man med det samme finder ud af om hullet reelt er blevet lukket når hackeren prøver igen dagen efter.

 

Tilmeld DIBS-nyhedsbrev
Gæsteblogger: Peter Sørensen

Gæsteblogger: Peter Sørensen

Peter Sørensen er ekspert på det tekniske område, når det gælder digitalisering af virksomhedens forretning. Peter er stifter af webbureauet Indexed ApS, som hjælper virksomheder med deres hjemmesider og automatisering af deres processer til en online digital platform.

Kommentarer