Zabezpečenie webu nemusí byť zložité. Existuje pár základných opatrení, ktoré pokryjú naprostú väčšinu bežných hrozieb. Poďme sa pozrieť na tri vrstvy, ktoré by nemali chýbať pri žiadnom projekte — a ktoré z veľkej časti dostanete od dobrého hostingu zadarmo.
SSL certifikát ako samozrejmosť
Šifrované spojenie cez HTTPS je dnes štandard, nie nadštandard. Kvalitný hosting ponúka Let's Encrypt certifikát zadarmo s automatickou obnovou. Bez SSL vás prehliadače aj vyhľadávače penalizujú a návštevníci strácajú dôveru. Priplácať za certifikát spravidla nemusíte — platený dáva zmysel len v špecifických prípadoch, napríklad pri veľkých firmách s prémiovou zárukou.
Automatické zálohy
Záloha, ktorú musíte spúšťať ručne, skôr či neskôr chýba. Hľadajte hosting s dennými automatickými zálohami a hlavne s možnosťou rýchlej obnovy jedným kliknutím. Otestujte si obnovu skôr, než ju budete potrebovať naostro — záloha, z ktorej ste nikdy neobnovovali, nie je záloha. Ako často web zálohovať podľa typu a ako obnovu overiť, rozoberáme v článku Ako často zálohovať web.
Pravidlo 3-2-1
Pri dôležitých projektoch držte tri kópie dát na dvoch rôznych médiách a jednu mimo hostingu. Aj keď poskytovateľ zálohuje, vlastná kópia vás ochráni pred výpadkom na jeho strane. Bezpečnejšie je navyše úložisko, ku ktorému sa útočník nedostane rovnakými údajmi ako k webu — inak by mohol zmazať web aj zálohu naraz.
Dvojfaktorové overenie
Heslo samo o sebe nestačí. Zapnite dvojfaktorové overenie (2FA) všade, kde to ide — v administrácii hostingu, vo WordPresse aj pri doménach. Je to najúčinnejšia obrana proti zneužitiu uniknutého hesla a zaberie to pár minút. Spolu so silným, unikátnym heslom (ideálne zo správcu hesiel) tým zatvoríte dvere drvivej väčšine automatických útokov, ktoré sa spoliehajú práve na slabé a opakované heslá.
Firewall a ochrana proti útokom
Nad rámec troch základných vrstiev sa hodí vedieť, čo robí hosting na svojej strane. Kvalitný poskytovateľ prevádzkuje firewall, ktorý odfiltruje bežné škodlivé požiadavky, a často aj ochranu proti útokom DDoS, ktoré sa snažia web zahltiť návštevnosťou. Pri WordPresse pomáha aj bezpečnostný plugin, ktorý stráži prihlasovanie a blokuje opakované pokusy o uhádnutie hesla. Žiadne z týchto opatrení nie je zložité nasadiť, a dohromady urobia z webu výrazne tvrdší cieľ.
Aktualizácie sú polovica bezpečnosti
Väčšina úspešných útokov nezneužíva geniálny trik, ale starú známu dieru v neaktualizovanom systéme, šablóne alebo plugine. Pravidelné aktualizácie sú preto nenápadná, ale možno najúčinnejšia vrstva ochrany. To platí dvojnásobne, ak prevádzkujete vlastný server: pri zdieľanom hostingu rieši zabezpečenie servera poskytovateľ a vy sa staráte hlavne o samotný web, kým pri neriadenom VPS máte aktualizácie aj firewall plne na sebe, ako rozoberáme v článku Managed vs neriadený VPS.
Osobné údaje a GDPR
Ak web zbiera akékoľvek dáta od návštevníkov — registrácie, objednávky, kontaktný formulár — pracujete s osobnými údajmi a vzťahujú sa na vás pravidlá GDPR. V praxi to znamená nielen šifrované spojenie a zabezpečené úložisko, ale aj prehľad o tom, kde dáta fyzicky ležia. Časť poskytovateľov drží servery v rámci EÚ, čo administratívu okolo ochrany údajov zjednoduší. Nezabúdajte, že rovnaké pravidlá platia aj pre zálohy — aj ony sú kópiou osobných dát a patria na zabezpečené úložisko.
Konkrétne postupy okolo zálohovania, vrátane toho, ako často zálohovať a ako overiť obnovu, rozoberáme v samostatnom článku Ako často zálohovať web. Bezpečnosť a zálohy spolu úzko súvisia — dobrá záloha je totiž posledná záchranná sieť, keď všetko ostatné zlyhá. Žiadna ochrana nie je stopercentná, a práve preto je schopnosť rýchlo obnoviť web zo zálohy tým, čo rozhoduje, či z incidentu bude len krátka nepríjemnosť, alebo dni stratenej práce. Keď si tieto tri vrstvy — SSL, zálohy a 2FA — raz poriadne nastavíte, máte pokryté to podstatné a o zvyšok sa z veľkej časti postará dobrý hosting.
