Hjemmeside sikkerhed

Table of Contents

Her kommer mine tips til en god og sikker hjemmeside.

Jeg har taget udgangspunkt i de ting, som jeg har erfaring for. Hvilket er wordpress og hosting. Der findes andre Content Management Sider (CMS) som eks joomla, magento, concrete og ghost for at nævne nogle. Inden du kaster dig ud i dit eget hjemmeside eventyr, så kan du få mine råd her. Denne her side er ikke komplet og 100%, hvilket ikke noget er.

Hjemmesider er en jungle og kan virke uoverskueligt at komme igang med. Husk på en ting, en god side skal være sikker, for at vi får et sikkert Internet. Så overlader jeg design og farverne til de professionelle 🙂

Her kan du finde ud af hvordan du får en hjemmeside, der ligner nedenstående på ssllabs 🙂

Min side fra quallys (https://www.ssllabs.com/)

Hosting

Den første udfordring, du skal kigge efter, det er hosting. Det er stedet du ligger dine filer. Du skal sikre dig, at det kun er dig der kan styre filerne og ikke andre og at de kan leve op til DMARC og DNSSEC. Her er det bedste at skabe sig et overblik over hvad internettet siger, eller endnu bedre hvad du bliver anbefalet.

Det er uden tvivl det sværeste, da der er så mange forskellige hosting udbydere på markedet. Når du kigger efter hosting, så vil jeg med nedenstående komme med mine bud på hvad du skal holde øje med. Jeg vil forsøge at forklare begreber som, HSTS, SSL, CSP, Application Firewall, HTTPS, DMARC mv. så du kan gøre din side mere sikker og hjælpe med til at sikre Internettet og din egen side.

Opdateringer og autoopdateringer.

Opdateringer er noget af det vigtigste du skal huske, når du laver din side. Husk software laves af mennesker og mennesker laver fejl. Derfor er det vigtigt at man kan opdatere for sådanne fejl og sårbarheder.

Der findes plugins, som kan hjælpe dig med at oplyse om der skal opdateres, hvis man selv vil være i kontrol over opdateringerne. Alternativt er at man kan slå auto opdateringer til på wordpress.

Har du en hjemmeside, som ikke må gå ned eller have nedetid. Så er det en rigtig god ide, at have testhjemmeside, til nye plugins, opdateringer og andre nye til tag. Så antaget, at du har en test side, som er 100% magen til din originale side. Så kan du teste om der er noget der fejler, efter opgraderinger, opdateringer mv.

Et lille tip

Blokering af login

Skulle der stadig være nogen der forsøger at logge på. Så findes der plug-ins til WordPress der kan blokere brugere efter 5 login forsøg. Hvilket højner sikkerheden en lille smule. Dette kan dog hurtigt omgås ved at man anvender en VPN forbindelse og får en ny IP.

Nu har vi sikret siden til kun 5 login forsøg.

Kodeord

Det er altid en god ide, at anvende stærke unikke koder.
Dette kan klares på mange måder

Memorisering af koderne, Det kan være en sang eller tekst du kan huske. Det har fordelen i, at du ikke gemmer koder 1 sted, dog kan man som menneske glemme dem.

alternativ kan du bruge en kodeordsmanager og huske 2FA som kommer længere nede.

Se hvordan et godt kodeord kan se ud ( https://passwordsgenerator.net/ )
Brug ikke koder fra en online tjeneste som denne , det er kun for eksemplets skyld 🙂

2FA (Two Factor Authentication)

Har man installeret wordpress, så skal vi blot aktivere 2FA, så vi sikre vores hjemmeside bedre. Det er super nemt med google authenticator (Kilde: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=da)

Installere appen og derefter aktivere 2FA på hjemmesiden. Scan koden på din egen hjemmeside, og nu er det sat op til at fungere. Næste gang du logger på, skal du taste koden fra appen for at få adgang.

Der findes mange plugins til eks. wordpress som kan styre 2 faktor login. Den letteste måde er at finde et plugin der virker med f.eks. Google authentikator

MFA er det mere fremtidssikrede tiltag. MFA står for Multi Factor Authentifikation og er flere forskellige måder man kan identificere sig på.

SSL

SSL er Secure Socket Layer, hvilket sikre den kommunikation der er mellem din side og den bruger der komme på siden. Hvilket bevirker at der ikke er nogen der kan se hvad du sender frem og tilbage mellem siden. Det er bedre kendt som den lille hængelås på siden.

Det i sig selv er ikke helt nok i dag. For der er måder at man kan omgå denne sikkerhed på. F.eks. ved SSL strip (Moxie´s github) som kan opsnappe SSL. Når man sender sin forespørgsel af sted til et domæne, så vil den første afsendelse ikke være krypteret, da man ikke kender domænets beskaffenhed (Se HSTS)

Header Security

Den korte forklaring er, at man kan styre forespørgsler til ens side.
Man kan sætte regler op som moderne browsere kan undgå at løbe ind i sårbarheder. Se OWASP og Mozilla´s sider for uddybelse.

Der korte og det lange er, at du skal sørge for at det kommer på din side. Plugins som Really Simple SSL klare det for dig, let og elegant. Alternativt kan http Headers plugin´et hjælpe dig, som er gratis, i modsætning til ovenstående plugin.

HTaccess filen

Der bliver ofte henvist til .HTACESS filen. Denne fil er en lille fil der ikke kan ses fra Internettet, men kan læses af serveren /hosting delen. Her kan man definere en masse ting, som headeroplysninger, rettigheder, henvisninger, force https mv. Der er mange muligheder med denne fil og du kan læse mere her på htaccess-guide

HSTS

En lille video, som forklarer HSTS. Man tvinger https på sin første afsendelse til domænet via https sagt kort.

Det gør at din side kommer til at fremstå mere sikker. Da det ikke er ret mange der har denne type sikkerhed endnu.

Der kræver man registrere sin side her på hstspreload

Application Firewall

mere kommer