Sagt om 040

Fem saker för att hålla din webbsajt säker

Publicerad mars 2022

Cybersäkerhet är ett hett ämne nuförtiden, och det kommer ofta larmrapporter om att IT-system har attackerats, att webbsajter hackats och att användaruppgifter läckt ut. Vad kan man göra för att skydda sig?

illustration cyberbrottsling

Det finns mycket att säga om det här ämnet, som ju också går in i GDPR om sajten hanterar personuppgifter (vilket den i princip alltid gör vad gäller administratörer). Det finns många olika sorts attacker och värst är de riktade där någon medvetet går in för att komma åt viss data. Det är inte så vanligt för den vanliga webbsajten för ett företag eller en organisation men det finns ju också ett helt gäng automatiserade program och virus därute - exempelvis malware, cross site scripting, SQL-injektioner, avlyssningar och annat otrevligt.

Det kan bli både jobbigt och kostsamt att bli utsatt - dels för att återställa sajten men också den skada det kan åsamka verksamheten och varumärket. Det kan också innebära långdragna processer, merarbete och kostnader beroende på vilken sorts intrång det handlar om och om t ex personuppgifter läcker ut. Det bästa är förstås om man aldrig blir drabbad - men vad ska man göra förutom att ta in ett helt gäng säkerhetskonsulter?

Vi ska försöka vara konkreta och ge fem handfasta tips till dig som är ägare eller administratör av en webbsajt.

  • Kartlägg system och ansvariga

  • Uppdatera sajt och system 

  • Håll koll på användarna

  • Använd SSL

  • Kontrollera sajten kontinuerligt

Kartlägg system och ansvariga

Det är alltför många som inte vet var deras sajt driftas, om det finns säkerhetskopior som enkelt kan återställas och vem som i så fall kan göra det, var SSL-certifikatet hanteras och när det måste förnyas, om en tredje part som skickar eller hämtar data ändrar sina portar eller uppdaterar sina endpoints och detta kan ställa till problem.

Kartlägg alltid de olika systemen som används och är en del av webblösningen, allt från webbhotellet till eventuella CRM som tar emot formulär och håll uppgifterna till kontaktpersonerna för de olika delarna uppdaterade.

Dataintrång och misstänkta dataintrång ska anmälas till både IMY och polisen eftersom dataintrång är ett brott. Om intrånget dessutom innebär en personuppgiftsincident, dvs kan innebära en dataläcka av skyddad, sekretessbelagd information eller personuppgifter måste det anmälas till IMY inom 72 timmar. Läs mer hos Integritetskysddsmyndigheten (IMY) och se till att vara förberedd om det värsta skulle hända.

Just det, gå igenom GDPR policyn också så att den alltid stämmer överens med sajt och system, och ha alltid en tydlig personuppgiftsansvarig.

Uppdateringar

Vi kan inte nog understryka hur viktigt det här är. Det handlar inte bara om att slå på automatiska uppdateringar från WordPress (om man har en WordPress sajt), utan det gäller alla delar för en webbsajt - däribland webbservern som det är webbhotellets ansvar att hålla uppdaterad.

Här vill vi också poängtera att man ska välja sina plugins, moduler och tillägg med försiktighet och rensa bort allt man inte använder (det räcker inte att bara inaktivera dem, de måste raderas).  

Håll koll på användarna

Låt inte ett default adminkonto finnas kvar, och se till att bara de som faktiskt behöver behörighet får det. Ta bort alla användare som inte längre är aktuella. 

Se till att alla användare använder säkra lösenord  (Vi har händelsevis en helt egen artikel om detta, och tom en egen kodgenerator som vår David utvecklat). Det är det absolut bästa skyddet mot så kallade Brute force-attacker som testar miljontals olika varianter och kombinationer av lösenord.

Använd SSL

Det här ska man egentligen inte behöva påminna om idag, men vi gör det ändå. Alltför ofta ser vi fortfarande sajter utan SSL eller där en sajt fungerar både med och utan (hu!). SSL (Secure Socket Layer) är alltså ett säkerhetscertifikat på servern som krypterar all data som besökarna lämnar ifrån sig på en webbsajt, inklusive namn, kreditkortsinformation och e-postadresser och skyddar mot så kallade man-in-the-middle-attacker. Om någon obehörig skulle få tillgång till data är den krypterad och kan endast låsas upp med en privat nyckel. 

Ett bonustips här är att stänga av FTP som inte kan betraktas som säkert. Protokollet har många svagheter och ingen kryptering, vilket gör att obehöriga kan komma åt lösenord och data. Datan kan dock fortfarande lagras dock fortfarande lagras okrypterat på servern.

Titta igenom sajten

Beroende på vilket intrång som gjorts (och det finns många olika typer: stöld, manipulering och raderande av data exempelvis) kan det ta ett tag innan man upptäcker det. Ta för vara att kolla igenom sajten då och då och se om det finns några konstigheter, t ex användare eller filer ni inte känner igen. Det finns en del verktyg som kan hjälpa dig, t ex att söka igenom efter malware-program eller få notifikationer om någon loggar in från ställen du inte förväntar dig.

Förresten, titta alltid noga igenom innehåll som laddas upp på sajten också innan det läggs upp.

Våra kollegor på vår systerbyrå Odd Hill har ett poddavsnitt om just säkerhet där de pratar med Magnus som är lösningsarkitekt hos Cloudnet och Tommie som är CTO på Spotlight Group. I med lurarna en stund och lyssna.

Vad är ett säkert lösenord?

Alla vet nog hur viktigt det är med säkra lösenord idag. Men hur skapar man ett säkert lösenord? Kan man lita på olika lösenordsgeneratorer på webben? Var ska man spara sina lösenord?

Läs mer om säkra lösenord

Vad ska man tänka på när det gäller webbhotell och drift?

Att välja webbhotell är inte helt enkelt och det är många som ångrar sig när det inte fungerar som det ska. Vi berättar vad vi tycker att man ska veta om skillnaden mellan olika typer av konton och vad man bör tänka på.

Mer om olika typer av webbhotell

Vad är SSL?

Alla har säkert hört talas om SSL och alla vill säkert "surfa säkert". Men vad betyder det egentligen? Och varför kan en sajt vara osäker även om man har ett SSL certifikat?

Läs om SSL och säker surf

Vad ska man tänka på vad gäller GDPR för sin webbsajt?

Om din sajt inte samlar in några personuppgifter behöver du inte tänka på något alls, men de fallen är sällsynta. Minsta lilla formulärsfält, registrering till nyhetsmail eller mätning av besöksstatistik så måste du utgå från GDPR och hantera det i din GDPR policy.

Våra bästa tips om GDPR för webbsajter

Upptäck våra ögonblick, på Instagram