Σε προηγούμενα posts έχουν αναφερθεί αρκετές ενέργειες, τις οποίες μπορείς να εφαρμόσεις στο site σου, για να το κάνεις πιο ασφαλές. Από τις πιο βασικές συμβουλές ασφάλειας, μέχρι τις λίγο πιο τεχνικές πρακτικές, έχεις πάρει αρκετή… εργασία για το σπίτι, ώστε να κάνεις ό,τι περνάει από το χέρι σου για να προστατέψεις τη σελίδα σου.
Στο σημερινό post, δε θα αναφερθώ σε συμβουλές, αλλά θα σου παρουσιάσω όλους τους τρόπους με τους οποίους η TopHost από την πλευρά της, φροντίζει για την ασφάλεια στις υπηρεσίες που παρέχει σε όλα τα επίπεδα, είτε αυτές αφορούν οικονομικές συναλλαγές, είτε πακέτα φιλοξενίας, είτε μία απλή σύνδεση στο περιβάλλον διαχείρισης.
Η ασφάλεια ξεκινάει από εμάς
Θέλοντας να δώσουμε στους πελάτες μας τη μέγιστη δυνατή ασφάλεια, δε θα μπορούσαμε παρά να δουλεύουμε σε ένα ασφαλές περιβάλλον εργασίας. Η ασφάλεια ξεκινάει ήδη από το κατώφλι των γραφείων μας, αφού η είσοδος του προσωπικού και των επισκεπτών γίνεται με ειδική διαπίστευση, ώστε να υπάρχει πλήρης επίγνωση των ανθρώπων που βρίσκονται ανά πάσα στιγμή στο χώρο μας.
Παράλληλα, η πρόσβαση στα συστήματά μας επιτρέπεται αποκλειστικά και μόνο σε εξειδικευμένα και έμπιστα στελέχη, τα οποία δεσμεύονται με νομική σύμβαση ότι δεν θα μεταφέρουν προσωπικά δεδομένα έξω από την εταιρία, θα ακολουθούν τους κανόνες ασφαλείας και θα διατηρούν το απόρρητο κάθε πληροφορίας στις υπηρεσίες μας.
Το ίδιο ισχύει, φυσικά, και για τα datacenters που φιλοξενούν τους servers μας, σε Ελλάδα και Γερμανία, όπου πρόσβαση αποκτούν μόνο οι συνεργάτες, που διαθέτουν την κατάλληλη εξουσιοδότηση.
Προστασία στο Περιβάλλον Διαχείρισης
HTTPS σε όλες τις συναλλαγές
Αν και θεωρείται πια αυτονόητο, αξίζει να αναφέρω ότι χρησιμοποιούμε πρωτόκολλα ασφαλείας σε όλες τις συναλλαγές που πραγματοποιούνται με τους πελάτες μας. Οποιαδήποτε στοιχεία παρέχονται σε εμάς από τους πελάτες μας, είτε αφορούν σε στοιχεία πρόσβασης σε υπηρεσίες μας, είτε οικονομικά στοιχεία για τις πληρωμές τους, είναι απολύτως εμπιστευτικά, κρυπτογραφημένα και ασφαλή στα συστήματά μας. Τόσο στο καλάθι αγορών μας, όσο και στο myTophost Panel, χρησιμοποιούμε πιστοποιητικά ασφαλείας, τα οποία κρυπτογραφούν τα δεδομένα σε όλες τις ενέργειες παραγγελίας, ανανέωσης και αναβάθμισης υπηρεσιών της TopHost. Το ίδιο ισχύει και σε όλα τα εσωτερικά συστήματα της TopHost, στα οποία επιτρέπεται η πρόσβαση μόνο από συγκεκριμένες IPs.
Κρυπτογράφηση στα passwords των πελατών
Μπορεί να είναι η πιο δεδομένη ενέργεια για την πρόσβαση σε κάθε σύστημα πια, όμως το password αποτελεί παράλληλα και την πιο βασική μέθοδο προστασίας. Με τον κωδικό πρόσβασης μπορούν οι πελάτες μας να συνδεθούν στο myTophost Panel, στο καλάθι αγορών, καθώς και στην βάση με το ιστορικό των tickets που έχουν λάβει και αποστείλει από και προς την ομάδα υποστήριξης της TopHost. Όλοι οι κωδικοί είναι αποθηκευμένοι σε κρυπτογραφημένη μορφή στο σύστημά μας, έτσι ώστε να παρέχουμε τη μεγαλύτερη δυνατή ασφάλεια απέναντι σε οποιοδήποτε ενδεχόμενο επίθεσης στα συστήματά μας.
Two Level Authentication στο myTophost Panel
Αν επιθυμείς περισσότερη ασφάλεια στο myTophost Panel από αυτήν που σου παρέχει το https περιβάλλον και η πρόσβαση με κωδικό χρήστη, έχουμε άλλο ένα επίπεδο ασφάλειας. Παρέχουμε τη δυνατότητα στους πελάτες μας να ενεργοποιήσουν το 2-Level Authentication στο control panel τους, ώστε να κάνουν το περιβάλλον μέσω του οποίου διαχειρίζονται τις υπηρεσίες τους στην TopHost, πιο ασφαλές. Η υπηρεσία σού επιτρέπει να συνδεθείς στο myTophost Panel, με την εισαγωγή ενός επιπλέον κωδικού ασφαλείας, ο οποίος παράγεται κάθε 30 δευτερόλεπτα στη smartphone συσκευή σου, μέσω του κατάλληλου application. Έτσι, ακόμα κι αν κάποιος καταφέρει να μαντέψει το password που έχεις δηλώσεις για τη σύνδεσή σου στο control panel, θα βρεθεί μπροστά σε ένα δεύτερο “λουκέτο”, το οποίο δεν θα έχει δυνατότητα να σπάσει. Διάβασε όλες τις λεπτομέρειες για το 2-Level Authentication και την ενεργοποίησή του, και μεγιστοποίησε την ασφάλεια των δεδομένων σου.
Πιο δυνατοί κωδικοί
Κατά τη διαδικασία της δήλωσης κωδικών πρόσβασης για τις διάφορες υπηρεσίες της TopHost (FTP, mail, MySQL, Plesk, κ.λπ.), φροντίζουμε για την πολυπλοκότητά τους, ώστε να καταφέρουμε να ελαχιστοποιήσουμε την πιθανότητα να υποκλαπούν από κάποιον hacker. Κρατάμε υψηλά τα στάνταρ στη “δύναμη” των κωδικών, με το σύστημά μας να μην αποδέχεται passwords τα οποία δεν είναι αρκετά δυνατά και να ζητά την εισαγωγή νέων κωδικών με περισσότερους και πιο δύσκολους χαρακτήρες.
Επιπλέον προστασία για το WordPress μέσω του Plesk
Αν ο πελάτης μας χρησιμοποιεί το WordPress, τη δημοφιλέστερη CMS πλατφόρμα, έχει ένα επιπλέον πλεονέκτημα. Μέσα από το Plesk 12, το control panel που παρέχεται με όλα τα πακέτα της TopHost, δίνεται στον χρήστη η δυνατότητα να εμβαθύνει στην ασφάλεια του site του, μέσω του WordPress Toolkit.
Με το συγκεκριμένο εργαλείο, ο διαχειριστής του hosting έχει τη δυνατότητα να ελέγξει για outdated plugins και themes και να εγκαταστήσει τις νέες ενημερώσεις με ένα μόνο click, ενώ παράλληλα μπορεί να κάνει πλήρη έλεγχο ασφάλειας (check security) και να διορθώσει ενδεχόμενα κενά.
Ασφάλεια στους servers
Προστασία δικτύου από hardware firewall
Όλοι οι ελληνικοί servers τους οποίους χρησιμοποιούμε για το άνοιγμα των πακέτων φιλοξενίας που παρέχουμε, προστατεύονται από το Arbor firewall. Τι σημαίνει πρακτικά αυτό; Το firewall ανιχνεύει τις ενδεχόμενες προσπάθειες εισβολής (intrusion detection) στους servers μας και τους προστατεύει, για ένα μεγάλο εύρος bandwidth, από DDoS επιθέσεις, που έχουν σκοπό να πλήξουν την σταθερότητα των υποδομών μας αλλά και να αποσπάσουν τα στοιχεία που βρίσκονται αποθηκευμένα σε αυτούς.
Προστασία των servers από software firewall
Παράλληλα με το δίκτυό μας, ελέγχεται και η κίνηση που πραγματοποιείται από διάφορες IP προς τους servers μας, καθώς και οι ενέργειες στις οποίες αντιστοιχούν, έτσι ώστε να εντοπίζονται οι blacklisted IP, οι προσπάθειες για brute-force επιθέσεις, αλλά και δικτυακές επιθέσεις όπως οι port scan. Μόλις εντοπιστούν οι συγκεκριμένες IP μπλοκάρονται άμεσα, εξασφαλίζοντας ότι δεν πρόκειται να επηρεαστεί η απρόσκοπτη λειτουργία των servers και των υπηρεσιών που φιλοξενούνται σε αυτούς.
Security updates
Ίσως να θυμάσαι από προηγούμενα posts τις αναφορές που έχουν γίνει για την σπουδαιότητα των ενημερωμένων συστημάτων. Όπως ο τελικός χρήστης πρέπει να εφαρμόζει τις ενημερώσεις στη CMS πλατφόρμα του, ώστε να εξασφαλίσει ότι το site του είναι ασφαλές, έτσι και εμείς, με την ανακοίνωση των τελευταίων security updates, προχωράμε άμεσα στην εγκατάσταση ή την αντίστοιχη αναβάθμιση σε όλους τους servers που επηρεάζονται. Τα updates αυτά μπορεί να αφορούν το λειτουργικό ή τις επιμέρους υπηρεσίες που έχουν εγκατασταθεί σε αυτούς (π.χ. Plesk, mail, mySQL κ.λπ.) Με αυτό τον τρόπο δεν πετυχαίνουμε απλά τον εκσυχρονισμό των υπηρεσιών που παρέχουμε στους πελάτες μας, αλλά και την αναβάθμιση της ασφάλειάς τους.
Προστασία από security modules
Όλοι οι webservers, στους οποίους φιλοξενούνται τα site των πελατών μας, προστατεύονται από security modules τα οποία ελέγχουν συνεχώς τις πληροφορίες που διακινούνται από και προς αυτούς. Ελέγχονται, δηλαδή, τα POST και τα GET που πραγματοποιούνται από τους επισκέπτες των ιστοσελίδων και σε περίπτωση που εντοπιστεί κάποιο μη αποδεκτό request, μπλοκάρεται αυτόματα.
Antivirus στους servers
Σε όλους μας τους servers υπάρχουν εγκατεστημένα antivirus, τα οποία ελέγχουν τα αρχεία των sites για την ύπαρξη κακόβουλων scripts τα οποία είναι πιθανό να βλάψουν τις ιστοσελίδες των πελατών μας.
Προστασία σε γενικό επίπεδο
Έλεγχος από τη McAfee
Το site μας ελέγχεται καθημερινά από την υπηρεσία ασφαλείας της McAfee, ώστε να επιτυγχάνεται η μέγιστη ασφάλεια των επισκεπτών μας κατά την παραμονή τους στη σελίδα της TopHost. Η συγκεκριμένη υπηρεσία σκανάρει ενδελεχώς τον κώδικά μας, ελέγχει για τυχόν αδυναμίες ή κακόβουλο λογισμικό και αν εντοπίσει κάτι που χρίζει προσοχής, μας ενημερώνει για τις απαραίτητες διορθωτικές κινήσεις στις οποίες πρέπει να προβούμε. Πατώντας το εικονίδιο της McAfee που βρίσκεται κάτω αριστερά στη σελίδα μας, μπορείς να δεις τη σχετική πιστοποίηση.
Συνεχές monitoring
Ακόμα κι αν κάτι ξεφύγει τελικά από όλες τις παραπάνω διαδικασίες, οι τεχνικοί μας είναι εδώ live, 24 ώρες το 24ωρο, παρακολουθούν τους servers μέσω των κατάλληλων monitoring εργαλείων και είναι έτοιμοι να επέμβουν τη στιγμή που θα εντοπίσουν κάποια ασυνήθιστη κίνηση: διακόπτουν άμεσα όλες τις ενέργειες που επιχειρούνται από τον εξωτερικό παράγοντα (π.χ. η προσπάθεια αποστολής spam emails μέσω μίας ευάλωτης φόρμας επικοινωνίας κ.λπ.) και ειδοποιούν για τις αντίστοιχες ενέργειες τους διαχειριστές των sites που επηρεάζονται.
Καθημερινά, παράλληλα με την ανάπτυξη των υπηρεσιών μας, προσπαθούμε να εξασφαλίζουμε και να εμπλουτίζουμε τις μεθόδους ασφαλείας, ώστε οι πελάτες μας να νιώθουν ότι παραμένουν συνεχώς προστατευμένοι μαζί μας. Αν έχεις να μας προτείνει οποιοδήποτε security tip ή υπηρεσία που θα μπορούσαμε να προσθέσουμε ή αν έχεις απλά κάποια απορία σε σχέση με τα παραπάνω, θα χαρώ να την ακούσω και να την επιλύσω στα σχόλια!
Μπες στη συζήτηση