Website-hacking: Så nemt som at bryde ind i et hus

Tips til at sikre dit website
Antallet af hackede websites er steget med 20 procent hvert år de seneste fem år, og arbejder man med kommunikation, er det nærmest umuligt at undgå, at skulle styre en længere række af websites igennem ens karriere.

Lær lidt om hvordan du beskytter dig her.

Fordi WordPress er det mest populære CMS, vil det bruges som eksempel, men du kan stadig få et overraskende indblik ved at læse videre, selvom du måske ikke benytter det nu og her.

Du er sandsynligvis allerede blevet hacket
Efter at have styret en del websites i gennem tiderne, er det lige så stille gået op for mig, hvor ofte de bliver udsat for forsøg på hacking. Særligt hvis dit website er populært, kan antallet af hacks stige til tusindvis af forsøg om dagen – omend oftest primitive.

Lige så nemt som at bryde ind i et hus
Tænk på dit website som et hus i internettets storby. Du kan lukke og låse døren, men målrettede indbrudstyve kan stadig komme ind. Særligt hvis du bruger en lås, som åbnes med samme nøgle som naboerne, eller som er gammel og let at lirke op.

Forestil dig så, at tusind fremmede smådumme robotter kommer og tager i dit dørhåndtag om dagen, og hiver lidt i vinduerne, så har du nogenlunde et billede af, hvor meget dit website sandsynligvis bliver udsat for. Har du efterladt et vindue på klem, trænger de ind med det samme – og nårh ja, ulempen er, at du ikke altid kan se dem, med mindre du har lidt forstand på IT.

Heldigvis er langt de fleste hacking-forsøg så primitive, at de meget sjældent virker, hvis bare du bruger en lille smule beskyttelse – men rigtig mange website-ejere har slet ikke tænkt en hvede over sikkerhed. Særligt hvis du har bestilt et meget billigt website, eller fået det lavet af en ven, vil webudvikleren sandsynligvis ikke have brugt det mindste tid på at sikre det, og sitet vil derfor være meget sårbart for de irriterende angreb.

Misforståelser om hacking
Den form for hacking, som de fleste forbinder med begrebet, er når en person, sætter sig ned, og målrettet går efter at hacke sig ind i et system og stjæle oplysninger fra det. Det sker meget sjældent. Langt de fleste forsøg, er unge IT-nørder (kaldet ‘larmers’ i hacker-miljøet), som for sjov, læring eller reklamepenges skyld, benytter sig af programmer, som professionelle hackere har lavet, til at hacke sig ind i systemer. Når programmerne aktiveres, søger de nettet, hjemmeside efter hjemmeside, og prøver med det samme type forsøg, at hacke sig ind. Typisk kunne det være reklamelinks til pornosider eller software, der – hvis det blive installeret på din computer – kan bruge en lille procentdel af din computers processorkraft til at lave organiserede angreb på større websites uden, at du er klar over det – også kaldt Zombie-attacks.

Typiske huller
Hvis du har login-funktion, kommentar-bokse og kontaktformularer på dit website, kan jeg næsten garantere, at det bliver udsat for store mængder forsøg på milde former for hacking. Selv hvis din email-adresse står nævnt på sitet, vil den blive opsnappet af programmer, som leder efter alle @’er på nettet, og automatisk putter mailadressen på en liste, som kan videresælges til brug af nyhedsbreve om viagra eller andre tvivlsomme produkter.

Løsninger

Husk at tage backup af dit site. Engang i mellem kan bare en lille bitte ændring af en fil på dit site, få det hele til at bryde ned.

Hold dit website opdateret
Den hyppigste årsag til at hackere kan trænge igennem, er ikke-opdaterede systemer. En af de mest normale årsager til at websites’ CMS’er og plugins bliver opdaterede, er ikke kun forbedringer i funktionalitet – men også hver gang en hacker har opdaget en svaghed ved dem, så de kan bruges til at bryde ind i systemer. Opdater derfor dit website løbende.

Brug Akismet, Wangguard og Better Security
Akismet og Wangguard er plugins til WordPress, og fjerner en hel masse daglige forsøg på spam, særligt hvis du har kommentarmulighed, kontaktformularer eller et forum på dit site. De er ganske uundværlige på ethvert WordPress-site, selvom andre erstatninger  også kan bruges. Disse tre kan jeg dog klart anbefale som alment anerkendte plugins.

Better Security er ikke så fokuseret på spam, men tilbyder en mere avanceret form for beskyttelse. Selve strukturen på dit site bliver ændret en lille smule, så langt hovedparten af de angrebsforsøg, dit site bliver udsat for, ikke kan forstå dit site, og derfor ikke trænge ind. Billedligt fortalt, kunne det svare til at flytte hoveddøren op på taget, så hacking-programmerne forgæves forsøger at trænge ind det forkerte sted.

Derudover giver Better Security dig statusrapporter over hvor meget der sker med dit site, hvilket ikke er så lidt, og derfor kan være særdeles interessant. Var selv forbløffet over, at plugin’et kunne melde mig, at nogle filer var blevet ændret på mit site, og over tusind forsøg på at oprette nye brugere var registreret på en enkelt dag. Heldigvis kunne Better Security komme med forslag til at fikse det, og delvist forhindre fremtidige forsøg. Og kan du ikke selv finde ud af hvad plugin’et mener, kan du altid sende en rapport til din webhosting-udbyder, som tit kan hjælpe.

Kodeord
Default-kodeordet for WordPress er ‘admin’, og på mit eget website, meldte Better Security mig, at der forleden var flere hundrede forsøg på at logge ind med dette kodeord. Desuden findes der programmer, som også forsøger at logge ind med fx 100-1000 af de mest brugte kodeord i verden, så sørg for at skifte til et password, der er anderledes fra disse. – Og for guds skyld heller ikke det samme som dit login-navn.

Brug også gerne reCaptcha ved logins, som giver billeder der ikke kan aflæses af programmer, men skal aflæses af en person.

Etisk Hacking for Dummies
Dette var blot er hurtigt overblik over hvad dit site kan udsættes for, og hvordan du nemmest muligt beskytter dig mod langt de fleste typer af hacks. Men repræsenterer dit site en større virksomhed, bør du sætte dig mere ind i sikkerhed.

Jeg kan varmt anbefale at læse mere i Hacking for Dummies, som er skrevet af en af de mest berygtede professionelle hackere i verden, Kevin Beaver, der bliver hyret til at hacke sig ind i systemer, for at finde deres svagheder, så de kan blive lappet. Bogen er fyldt med et væld af tips og informationer, som giver et godt indblik i, hvor enormt vigtigt sikkerhed bliver for folk med websites – både nu og endnu mere i fremtiden.

0 replies

Skriv en kommentar

Want to join the discussion?
Feel free to contribute!

Skriv et svar