Milion důvodů, proč se musíte starat o své webové stránky a jaké dopady má ignorování reality

Je až příliš časté, že starost o redakční systém nebo dokonce celý web končí v okamžiku předání díla a spuštění do provozu. Pak se ještě občas někdo zajímá, jestli jsou tam nějaké novinky, ale po uričté době zájem opadne a stránky se ponechají svému osudu. Také to znáte?

Jako majitel to nesmíte dopustit. Nejvíc práce sice dalo webové stránky spustit, ale tady péče nekončí. Aby vám web přinášel objednávky nebo plnil jiné stanovené cíle, musíte se o jeho redakční systém starat.

Aktualizace redakčního systému je nezbytná z mnoha důvodů

Redakční systém – ať je to WordPress, nebo jiný – je nutné aktualizovat, stejně jako jeho komponenty – zásuvné moduly nebo témata vzhledu. Snahy útočníků ovládnout váš web nepolevují a nemá cenu před nimi schovávat hlavu do písku.

Pokud dojde ke kompromitaci, tedy úspěšnému napadení a ovládnutí vašeho webu, pak to vůbec nemusíte poznat. Zjistíte to podle některých vnějších znaků až v okamžiku, kdy si to bude přát útočník (pokud tedy nepoužíváte některou službu pro pravidelné skenování celého webu). Může to trvat měsíce. Důvodů, proč je důležité udržovat redakční systém v aktuální verzi, je několik.

Nemůžete si dovolit nestarat se o své webové stránky.

Nefunkční webové stránky znamenají ztrátu pro vaše podnikání. Když web nefunguje, jak má, nebudí v návštěvnících důvěru a oni ho opustí. Nechodí vám poptávky, klesá návštěvnost. Ztrácíte potenciální zájemce o své služby.

Velmi brzy zjistí napadení webu Google, který web zablokuje v prohlížečích Chrome/Chromium, takže se v něm vaše stránky vůbec nezobrazí. Následuje pak vyřazení z indexu Googlu, takže váš web nebude možné najít vyhledáváním.

To vše jsou také zvýšené náklady na opravu. Uvedený stav lze napravit, ale je to dražší než preventivní zásahy a pravidelná správa. Je zcela reálné, že vás oprava, obnova, odvirování a zabezpečení dva roky zanedbaného webu mohou přijít až na dvacet tisíc korun.

Často se zapomíná, že na hostingu nebo serveru společně existuje více aplikací. V případě napadení je nutné považovat za infikované všechny aplikace! Váš web mohl být napaden vinou jiné aplikace na vašem hostingu.

Časté předsudky, na které zapomeňte

Setkáváme se s mnoha názory, které jsou nebezpečné, protože na první pohled vypadají logicky a důvěryhodně, ale neodpovídají realitě.

Mě to nezajímá, však to funguje, nevidím problém

Možná si říkáte, že bylo povinností dodavatele dodat bezchybné dílo, které nesmí být ohroženo nějakými útoky a musí fungovat stále stejně.

To je bohužel nereálné. V době předání bylo jistě vše v pořádku, ale software a internetové prostředí se stále mění a vyvíjí. Pokud nemáte smlouvu o správě webu a předpokládáte, že stav z doby předání webu do provozu bude stále dostačovat, pak se mýlíte. Redakční systém je nutné spravovat, aktualizovat a vylepšovat, protože se mění prostředí, v němž existuje – internet.

Proč by se někdo zajímal o náš web?

Útoky jsou hromadné a spočívají ve využití chyby v softwaru, který na webu používáte (typicky plugin nebo téma vzhledu, ale samozřejmě i samotný WordPress). Nejde tedy o „osobní“ záležitost, ale obecnou. Útočníka nezajímá vás web, ale všechny weby, které může ovládnout nějakým zobecnělým postupem. A je pravděpodobné, že váš web do této skupiny také patří – bezpečnost je relativní pojem, ale nelze na ni rezignovat. Naštěstí lze většině automatizovaných útoků předcházet.

Stejně tam nemáme nic tajného

Nemůžete přesně vědět, s jakým cílem podnikají útočníci své výpady. Obvykle jim nejde o data, ale přístup k prostředkům vašeho hostingu – výpočetnímu výkonu, možnosti rozesílat nevyžádanou poštu vaším prostřednictvím, umístění reklam, které se pak zobrazují na jiných stránkách (za což může dostat váš web penalizaci). Často jde taky o trénink a zkoušení technologií, přípravu na větší cíle, sběr statistických dat.

Nám se o to stará firma a ta říká, že […] nejde

V principu útokům zabránit nelze, ale lze významně ovlivnit dopady na vaš stránky. Běžná instalace WordPressu je zranitelná a ke slušnému zabezpečení je nutné podniknout několik kroků. Existují skenovací nástroje, které vám prozradí, kde má váš web slabiny. Útočníci je používají nebo je mají napsané na míru svým potřebám. Používá je firma, která se vám stará o bezpečnost webu? (My je používáme.) Nevěřte zkratkovitým závěrům a požadujte přesné a aktuální informace, vyžádejte si třeba naši konzultaci.

Jak se chová napadený web a jak to poznám?

Ne vždy to můžete poznat. Nejviditelnější projev je, když se rozpadne celý design webu. Stránky jsou velmi pomalé a na první pohled vidíte, že se něco stalo. Zobrazují se neznámé texty nebo obrázky, někdy v jiném jazyce.

Často ale napadení zjistíte, až vám píše vaše webhostingová společnost a informuje vás, že vám zablokovala funkci mail() pro odesílání e-mailů, protože z vašeho hostingu je rozesílána nevyžádaná pošta. To znamená, že útočník už využívá vaše zdroje pro své potřeby. Samotná kompromitace, tedy získání kontroly nad webem, mohla proběhnout před mnoha měsíci, kdy jste web bez problémů používali.

Pokud byste identifikovali napadené nebo přidané soubory, pak byste mohli najít něco takového:

Ukázka malwaru

Cílem těchto škodlivých kódů je spuštění nějakého podsunutého skriptu. Například adresář wp-includes nemá – na rozdíl od mnoha ostatních – řídicí skript index.php. V něm bývá často pouze komentář „Silence is golden“; ale samotná existence skriptu zajišťuje, že se nevypíše obsah adresáře.

Když se ale ve vašem WordPressu skript wp-includes/index.php objeví, nemáte šanci „pohledem“ zjistit, že je to úspěšný útok, protože skripty index.php se objevují v mnoha adresářích a jsou považovány za běžné a žádoucí (samozřejmě pouze s oním komentářem nebo platným kódem WordPressu). A zrovna na tomto místě se může spouštět škodlivý kód, jak jsme nedávno zjistili na jednom webu. Platí přitom, že napadených míst bývá několik a že jsou zřetězená, v tomto případě byl napadený také skript functions.php v šabloně (spouští se při každém zobrazení každé stránky).

Jak postupovat při napadení webu

Pokud je jasné, že je web napadený, následuje několik kroků. V první řadě je vhodné web uzavřít pro veřejnost. Pak je dobré najít místa průniku. Není to vždy snadné a není to také nutné, jde hlavně o získání více informací s ohledem na budoucí lepší zabezpečení. Další kroky pak spočívají ve smazání samotného WordPressu, pluginů a témat vzhledu. Pak je potřeba prověřit adresář uploads, zda neobsahuje skripty *.php nebo *.js – běžně tam nemají co dělat, takže pokud nějaké najdete, smažte je (nebo nám je pošlete, rádi se poučíme).

 Určité riziko se může skrývat v databázi, ale je velmi obtížné případná záškodnická data najít. Vycházejme z předpokladu, že musí být načtena v nějakém skriptu. Když smažeme skript, k načtení dat nikdy nedojde. Velmi to ale souvisí s kvalitou použitých pluginů, musí zodpovědně používat postupy pro ochranu před podobnými riziky, tzv. sanitizování, validaci a escapování, protože v opačném případě by škodlivá data mohla být načítána standardními komponentami.

Jakmile je torzo vyčištěné, instaluje se znovu WordPress a všechny komponenty (pluginy, témata vzhledu), resp. pouze ty, které jsou skutečně potřeba – žádné neaktivní by v systému být neměly. Dalším krokem je pak provedení kroků k vyšší míře zabezpečení, zejména změnu všech hesel a zabezpečení ostatních aplikací na hostingu nebo nastavení na úrovni serveru. O tom zase v jiném článku.

Přečtěte si ještě, co patří do pravidelné měsíční správy WordPressu.

Další články k tématu

Jak se co nejlépe starat o svůj web?

Máte web

Znáte to, vlastníte web nebo e-shop a zjišťujete, že je kolem jeho provozu spousta starostí a práce. Často má mnoho lidí dojem, že nějak vytvoří stránky na webu a...tím celá záležitost prakticky končí. Kdo to však zkusí, ví, že tím celé dobrodružství teprve začíná… Zvláště pokud se stránky nebo obchod prudce rozvíjí, najednou...zjistíte, že potřebujete zajistit nejrůznější služby. Komunikace s hostingem, aktualizace pluginů i samotného WordPressu. Pokud není web náležitě spravován, objevují se po čase...nejrůznější chyby, např. se přestanou zobrazovat správně obrázky, přestanou fungovat odkazy, změní se umístění různých prvků apod. Může také vyvstat potřeba úprav některých...funkcí (např. přidání nové platební metody, změna formulářů atd.) nebo jen prostě zjistíte, že určité informace potřebujete přesunout na jiné místo. Nebo vyvstane nutnost napojit...web na nové služby či zajistit úpravy v souladu s novou legislativou… Dalším častým problémem bývá virová nákaza, kterou na první pohled ani nemusíte poznat. Je třeba sledovat...jakékoliv známky podezřelé aktivity. Může se projevit například náhodným přesměrováním URL adresy, odesíláním nevyžádaných zpráv nebo zobrazením hlášky antivirového programu,...který škodlivý kód na stránkách identifikoval. Web může být až do opravy vyřazen z provozu. Tady začíná být starost o web opravdu náročná a pro laika, který se IT nezabývá,...nesrozumitelná.

Svěřte svůj web odborníkům

A právě v těchto případech...se obraťte na nás - na tým WP-admin.cz. Zajišťujeme komplexní péči o váš web. Můžete se plně spolehnout na to, že sledujeme a organizujeme vše tak, aby web běžel plynule a bez...závad. Je tu ale jedno ale.
Pro to, aby vše dobře klapalo, potřebujeme vaši součinnost.

Komunikujte s námi a informujte...nás. Proč?

Když například náš klient očekává skokové navýšení přístupů, protože pořádá nějakou větší akci, prezentuje se v médiích nebo přidává aktuální a...zajímavý obsah či událost na svých stránkách, je potřebné, abychom to věděli. Protože jako externí služba nemáme přístup k mnoha interním informacím a není v našich silách...sledovat veškeré dění kolem stránek. Nejsme uživatelé stránek, ale jejich správci. Pokud jako správci od klienta nemáme dostatečně a s předstihem informace o očekávaných a předem...zajištěných aktivitách, které mají dopad na návštěvnost a používání webu, může bohužel docházet k nemilým situacím. A ty mohou být pro obě strany velice stresové, avšak zcela...zbytečné.

Několik příkladů z praxe

1) Klient, kterému spravujeme stránky, akutně požaduje řešení zpomaleného webu, který najednou často padá nebo je dokonce zcela vyřazen...z provozu. Právě probíhá důležitá akce a na jeho stránky přišlo nepočítaně více návštěvníků. Majitel stránek dopředu věděl, že akce bude probíhat a že přiláká mnoho...návštěv. Nepodal nám o tom ale žádnou informaci a v průběhu akce žádá rychlé řešení… To je však pozdě.
Řešení spočívá právě v odpovídající...přípravě webu na tuto enormní zátěž.
2) Podobně, když klient spouští nový projekt nebo kampaň. Vše prezentuje v médiích, je zřejmé, že web přiláká pozornost. Ale my o...tom nemáme ani tušení. Web činí potíže - je zpomalený, seká se (může být i nedostupný), protože nemá po technické stránce zajištěnou přípravu.
...Řešením je podání informace o spuštění nového projektu od klienta, po níž následuje  adekvátní zajištění technických příprav z naší strany. Ty spočívají v komunikaci s...hostingem, (úprava parametrů php, navýšení paměťové kapacity), dočasným vypnutím některých pluginů a spuštěním monitoringu, aby web bez problémů vydržel nápor návštěvníků....
3) Klient provozuje web bez dlouhodobé koncepce rozvoje. Neustále přichází s novými nápady na nové funkcionality, které se snažíme postupně zapracovávat. Upozorňujeme na to,...že při tomto postupu práce může nastat problém. Web se zpomaluje, aktualizace se stávají rizikovými, správa webu je velmi komplikovaná. Dlouhodobě aplikované nepromyšlené zásahy...vyžadují vysoké náklady na opravy a celkovou údržbu.
Řešením je společně schválený dlouhodobý plán rozvoje webu, kde je přesně stanoveno, co, kdy a jak...se udělá. Tím se znatelně sníží celkové náklady na provoz webu, jehož chod navíc není ohrožen.
Ve výčtu bychom mohli dále pokračovat. Poskytujeme kvalitní a komplexní...servis, poctivě se zabýváme každým požadavkem zákazníků. Naším cílem jsou skvělé, perfektně udržované a funkční weby a spokojení majitelé a uživatelé stránek. Snažíme se,...abychom maximálně snížili jakékoliv riziko spojené se zásahy na webu. Proto nás mrzí, když kvůli nedostatečné komunikaci a opomíjení sdělování podstatných skutečností nutných pro...bezchybný provoz webů, dojde k výše popsaným nepříjemným událostem. Nejlepší péči o váš web můžeme zajistit jen spolu s vámi. Když nás budete včas informovat o věcech, které...s webem zdánlivě nesouvisí, máme možnost zajistit nejlepší servis. Nebojte se na nás kdykoliv s důvěrou obrátit, společně se domluvíme a vyjasníme potřebné informace a podklady. Vy i...my tím získáme pozitivní prospěch. Web bude mít zajištěnu péči, při níž eliminujeme výskyt nepředvídatelných potíží a jeho správa se tak zbytečně...neprodraží.   Použité obrázky: zdroj Pixabay.com, Licence CC0 1.0 Universal
Přehledně o GDPR V letošním roce, přesně 25. května, vstoupí v platnost Obecné nařízení o ochraně osobních údajů - GDPR (General Data Protection Regulation). Přinášíme vám shrnutí...podstatných informací se zřetelem na konkrétní dopady pro provozovatele e-shopů a dalších komerčních stránek.

Napsat komentář