Att få sin hemsida hackad är något av det värsta som finns. Förutom intrånget och dess påföljder så uppstår en massa merarbete med att identifiera orsaken till hackningen samt rensa upp och säkerställa hemsidan igen. Om man erbjuder tjänster/produkter via sin hemsida kan man även behöva återuppbygga sina kunders förtroende.
Även om man aldrig kan vara 100 % säker med sin hemsida (allt som är uppkopplat kan hackas) så finns det saker man kan göra för att hålla sig så säker som möjligt. Om man använder en hemsidelösning så måste man hålla sin hemsida uppdaterad. Man kan även använda säkerhetstillägg, såsom Wordfence.
På samma sätt kan man välja webbhotell av säkerhetsskäl. På FS Data arbetar vi aktivt för att skydda våra kunders hemsidor bl a med en av marknadens bästa brandväggslösningar, regelbundna säkerhetskontroller av alla hemsidor samt automatiska uppdateringar av WordPress m.m. Säkerhet är extremt viktigt hos oss.
Finns det något mer man kan göra då? Jo, du kan hacka din egen hemsida!
Med att ”hacka din egen hemsida” menar vi givetvis inte att du ska förstöra eller påverka din hemsida negativt på något sätt. Det handlar istället om att testa din hemsida, mot olika kända/potentiella säkerhetshål, för att kunna vidta skyddsåtgärder därefter. Det är – i princip – så hackare agerar.
En av de vanligaste orsakerna till att en hemsida blir hackad är att den innehåller ett/flera kända säkerhetshål. Hur är dessa säkerhetshål kända? Jo, tack vare hemsidor med information om dessa säkerhetshål. Dessa hemsidor är väldigt bra – då de gör att säkerhetshål rapporteras, testas, bekräftas och åtgärdas – men de utnyttjas oavsett även av hackare.
Det finns lyckligtvis ett antal webbtjänster, baserade på dessa hemsidor med säkerhetshål, där man som hemsideägare kan testa sin hemsida. Vi ska titta närmare på en av dessa tjänster, som faktiskt utvecklas av svenskar. Tjänsten ifråga heter Detectify.
Detectify är en relativt ny tjänst, som dels erbjuds kostnadsfritt för privatpersoner/ideella organisationer samt som betaltjänst för företag. Tjänsten baseras på en egenutvecklad crawler (spindel), som utför över 100 st automatiserade tester mot kända säkerhetshål (baserat på OWASP Top Ten). Resultatet betygssätts sedan efter ”allvarlighet” (enligt CVSSv2).
Låter det intressant? Så här gör du då:
1. Börja med att skapa ett (kostnadsfritt) konto hos Detectify (under ”Sign up”, ”Get started”).
2. När du har bekräftat ditt konto, ange din hemsideadress i fältet ”URL for the domain to scan” i deras kontrollpanel.
3. Bekräfta sedan att du äger hemsidan. Enklast är nog att välja ”File” och lägga upp angiven fil i hemsidans hemkatalog via FTP.
4. När det är klart behöver du bara klicka på ”Start scan”.
Detectifys kontroll av din hemsida är ingående och tar några timmar att genomföra. Du kan följa händelseutvecklingen i deras kontrollpanel om du vill. När kontrollen är klar så får du ett e-postmeddelande, med en länk direkt till resultatsidan.
De potentiella säkerhetshål (resultat) som är kritiska (”Critical”) bör du främst kontrollera/åtgärda om möjligt. Du kan klicka på ett resultat för att få en mer ingående beskrivning. Vi kan inte förklara alla potentiella resultat här, men Detectify har en väldigt bra kunskapsdatabas med mer information om olika säkerhetshål.
Detectify en renodlad säkerhetstjänst och är som sådan väldigt ingående med att presentera alla potentiella säkerhetshål. Du bör därför även bilda dig en egen uppfattning om hur allvarligt ett resultat egentligen är genom att söka efter dess rubrik eller beskrivning i en sökmotor.
Även de resultat som är ”Medium” är bra att kolla upp, även om de inte är kritiska. När du har åtgärdat ett resultat kan du markera det som åtgärdat, så blir det enklare att hantera resultatsidan.
Om ni använder Detectify som företag eller behöver mer funktionalitet/support så kan vi rekommendera en uppgradering till ”Professional”. Denna tjänst är rätt ny, den utvecklas i Sverige och har potential till att bli riktigt stor. Det bör uppmuntras!
– Avslutningsvis
Detectify är en av många webbtjänster som man kan kontrollera säkerheten för sin hemsida med. Några andra bra tjänster är Web Inspector, Quttera, Sucuri SiteCheck och ScanMyServer. Testa gärna din hemsida med flera olika tjänster!
Kontentan här är att man bör agera proaktivt med säkerheten för sin hemsida. Det är bättre att ”hacka sin egen hemsida” än att få den hackad (och förstörd) av någon annan.
Om du har några kommentarer eller frågor kring detta, lämna då gärna en kommentar här nedan.