"Á, kicsi cég vagyok én, kinek kellenének az adataim?" – mondta Józsi bácsi, mielőtt a webshopja elkezdett Viagra reklámokat küldeni a hírlevél listájára, és a Google letiltotta az egész domaint. A hackerek nem válogatnak. Botokat (robotprogramokat) használnak, amik pásztázzák a netet sebezhetőségek után.
A leggyakoribb támadási felület: WordPress Admin
A világ weboldalainak 40%-a WordPress. Ezért a hackerek erre írják a vírusaikat. Ha van egy `wp-admin` bejelentkezési felületed, és a felhasználóneved "admin", akkor lényegében nyitva hagytad a bejárati ajtót.
$ initiating brute-force attack...
$ target: domain.hu/wp-login.php
$ user: admin
$ password found: 123456
...és bent is vannak. Innentől az oldalad az övék.
A "Plugin-Mérgezés"
Letöltesz egy ingyenes plugint, hogy legyen havazás az oldalon karácsonykor. Cuki. De a plugin fejlesztője 3 éve nem frissítette a kódot. A hacker megtalálja a rést, bejuttat egy kódot, és a látogatóid gépén kriptovalutát kezd bányászni az oldalad. Az eredmény? Az oldalad belassul, a látogatók gépe lefagy, a hírneved pedig tönkremegy.
Hogyan védekezünk mi? (A Jamstack pajzs)
A NixoVisualnál mi a statikus technológiában hiszünk. Ez olyan, mintha a weboldalad nem egy ház lenne ajtókkal és ablakokkal, hanem egy tömör gránittömb, amire rá van vésve az információ.
- SAFENincs adatbázis kapcsolat: A hacker nem tud SQL injection támadást indítani, mert nincs mit injektálni.
- SAFENincs admin felület a domainen: A tartalomkezelés egy teljesen külön, védett szerveren történik, nem a publikus webcímed alatt.
- SAFEHTTPS alapértelmezett: Minden adatforgalom titkosított. A böngésző "Lakat" ikonja alapvető.
Az adatvédelem (GDPR) nem játék
Ha űrlapot használsz, adatot kezelsz. Ha nincs rendben az Adatvédelmi Tájékoztatód, a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) milliós bírságot szabhat ki.
Ezért építünk be minden általunk készített oldalba automatikus süti-kezelőt és kötelező adatvédelmi pipákat. Mi nem csak a kódra figyelünk, hanem a jogi biztonságodra is.
