Zabezpieczenie strony nie musi być skomplikowane. Istnieje kilka podstawowych środków, które pokrywają zdecydowaną większość typowych zagrożeń. Przyjrzyjmy się trzem warstwom, których nie powinno zabraknąć w żadnym projekcie — i które w dużej części dostajesz od dobrego hostingu za darmo.
Certyfikat SSL jako oczywistość
Szyfrowane połączenie przez HTTPS jest dziś standardem, a nie luksusem. Dobry hosting oferuje darmowy certyfikat Let's Encrypt z automatycznym odnawianiem. Bez SSL przeglądarki i wyszukiwarki karzą Twoją stronę, a odwiedzający tracą zaufanie. Za certyfikat zwykle nie musisz płacić — płatny ma sens tylko w szczególnych przypadkach, na przykład przy dużych firmach z gwarancją premium.
Automatyczne kopie zapasowe
Kopia zapasowa, którą musisz uruchamiać ręcznie, prędzej czy później zabraknie. Szukaj hostingu z codziennymi automatycznymi kopiami zapasowymi, a przede wszystkim z szybkim przywracaniem jednym kliknięciem. Przetestuj przywracanie, zanim będziesz go potrzebować na poważnie — kopia, z której nigdy nie przywracałeś, nie jest kopią. Jak często robić kopię w zależności od typu strony i jak zweryfikować przywracanie, omawiamy w artykule Jak często robić kopię zapasową strony.
Zasada 3-2-1
W ważnych projektach trzymaj trzy kopie danych na dwóch różnych nośnikach i jedną poza hostingiem. Nawet jeśli dostawca robi kopie zapasowe, własna kopia ochroni Cię przed awarią po jego stronie. Bezpieczniejszy jest do tego magazyn, do którego atakujący nie dostanie się tymi samymi danymi co do strony — inaczej mógłby skasować stronę i kopię naraz.
Uwierzytelnianie dwuskładnikowe
Samo hasło nie wystarczy. Włącz uwierzytelnianie dwuskładnikowe (2FA) wszędzie, gdzie to możliwe — w panelu hostingu, w WordPressie i przy domenach. To najskuteczniejsza obrona przed wykorzystaniem wykradzionego hasła i zajmuje kilka minut. Razem z silnym, unikalnym hasłem (najlepiej z menedżera haseł) zamykasz tym drzwi przeważającej większości automatycznych ataków, które liczą właśnie na słabe i powtarzane hasła.
Firewall i ochrona przed atakami
Poza trzema podstawowymi warstwami warto wiedzieć, co robi hosting po swojej stronie. Dobry dostawca prowadzi firewall, który odfiltrowuje typowe złośliwe żądania, a często też ochronę przed atakami DDoS, które próbują zalać stronę ruchem. Przy WordPressie pomaga też wtyczka bezpieczeństwa, która pilnuje logowań i blokuje powtarzane próby odgadnięcia hasła. Żaden z tych środków nie jest trudny do wdrożenia, a razem czynią ze strony znacznie twardszy cel.
Aktualizacje to połowa bezpieczeństwa
Większość udanych ataków nie wykorzystuje genialnej sztuczki, lecz starą, znaną dziurę w nieaktualizowanym systemie, szablonie lub wtyczce. Regularne aktualizacje to więc niepozorna, ale być może najskuteczniejsza warstwa ochrony. Dotyczy to podwójnie, jeśli prowadzisz własny serwer: na hostingu współdzielonym bezpieczeństwem serwera zajmuje się dostawca, a Ty samą stroną, podczas gdy przy niezarządzanym VPS aktualizacje i firewall leżą w całości po Twojej stronie, jak omawiamy w artykule Zarządzany vs niezarządzany VPS.
Dane osobowe i RODO
Jeśli strona zbiera jakiekolwiek dane od odwiedzających — rejestracje, zamówienia, formularz kontaktowy — przetwarzasz dane osobowe i obowiązuje Cię RODO. W praktyce oznacza to nie tylko szyfrowane połączenie i bezpieczny magazyn, ale też wiedzę o tym, gdzie dane fizycznie leżą. Część dostawców trzyma serwery w obrębie UE, co upraszcza biurokrację wokół ochrony danych. Nie zapominaj, że te same reguły dotyczą kopii zapasowych — one też są kopią danych osobowych i należą do bezpiecznego magazynu.
Konkretne procedury wokół kopii, w tym jak często robić kopię i jak zweryfikować przywracanie, omawiamy w osobnym artykule Jak często robić kopię zapasową strony. Bezpieczeństwo i kopie ściśle się łączą — dobra kopia to ostatnia siatka bezpieczeństwa, gdy wszystko inne zawiedzie. Żadna ochrona nie jest stuprocentowa, i właśnie dlatego zdolność szybkiego przywrócenia strony z kopii decyduje o tym, czy z incydentu wyjdzie tylko krótka niedogodność, czy dni straconej pracy.
