Tips til opsætning af sikkerhed på en hjemmeside (hos One.com)

Dette indlæg er en tjekliste til hvad du kan gøre for at beskytte dit privatliv og din hjemmeside, hvis du forudser trolde/hacker angreb pga. det indholt du vil dele. Der er taget udgangspunkt i One.com som hosting firma, da deres service er stabil, deres support er god og deres kontrolpanel er overskuelig.

1) Beskyttelse af domæne ejers identitet og privatliv.

a) Domæne ejers identitet er anonym ved søgning på domænet hos DK Hostmaster pga. navne- og adressebeskyttelse på Borger.dk.

Link til kilder:
https://www.dk-hostmaster.dk/da/anonymitet
https://www.borger.dk/bolig-og-flytning/flytning_oversigt/Adressebeskyttelse

b) Domæne ejers identitet er ligeledes beskyttet hos ICANN, da der er valgt Domain privacy på alle domæner på Webhotellet.

“Når et domæne er registreret er vi påkrævet af ICANN, at offentliggøre detaljerne om ejeren af domænet i WHOIS kataloget. Dette inluderer navn, adresse, e-mail og telefonnummer. Aktivér domain privacy på dit domæne, for at skjule dine personlige informationer og beskyt din identitet.”

Link til kilder:
https://www.one.com/da/support/guider-faq#domain-privacy
https://www.one.com/da/support/faq/hvad-er-icann

2) Opsætning af sikkerhed på det enkelte domæne på webhotellet.

På hvert domæne benyttes Sitelock:

“SiteLock er et skybaseret sikkerhedsværktøj, som scanner din hjemmeside for malware og sårbar­heder. SiteLock finder ikke kun trusler, men kan også løse problemer eller sikkerhedsrisikoer, der findes på dit webhotel.”

“SiteLock scanner din hjemmeside for sikkerhedsrisici såsom “SQL injection”-fejl og cross-site scripting. Det udfylder desuden formularer og kommentarer på indlæg for at finde sårbarheder, som hackere kan benytte til indbrud. Hvis der påvises en trussel, bliver du informeret om den præcise placering via e-mail.

Der er valgt abonnementet SiteLock Fix:

“SiteLock Fix søger efter ondsindede filer og fjerner dem. Den tillader også daglige scanninger af store hjemmesider med mange sider.”

Fx tilbyder det valgte SiteLock abonnement følgende sikkerheds services:

“Application scan – Kigger efter forældede eller sårbare applikationer installeret på dit webhotel, eksempelvis en forældet version af WordPress. Denne scanning laves en gang om måneden.

Malware scan – Laver en daglig scanning efter malware, eksempelvis skjulte links, obfuscated JavaScript, links til kendte malware sider o.s.v. Scanning laves fra den besøgendes synspunkt, ude fra og ind.

Spam scan – Sammenligner dit domæne med ledende spamdatabaser for at tjekke om dit domæne er listet som spammer. Hvis dit domæne er det, kan det indikere at at nogen har fået adgang til din e-mailadresse.

SQL injection scan – Forsøger at gennemtrænge din hjemmeside med en SQL injection i din database. Hvis SiteLock kan ændre i din database, vil du blive informeret om hvor og hvordan SiteLock har fået adgang.

SSL scan – Undersøger om dit SSL certifikat er verificeret og opdateret.

XSS scan – Undersøger om din hjemmeside er sårbar overfor cross-site scripting ved at forsøge at gennemtrænge din side med cross-scripting teknikker. Cross-site scripting kan bruges til at snyde besøgende til at udlevere data til tredje parter.

Advisories – Tjekker hver måned din side for problemer med omdirigeringer, cookies, etc. Giver også tips om hvordan du kan forbedre sikkerheden, eksempelvis bruge SSL kryptering på sider med adgangskode eller opdatere applikationer.”

Link til kilde:
https://www.one.com/da/support/guider-faq#sitelock

3) Backup og restore af de enkelte domæners indhold.

Der vil automatisk blive taget daglig, intern backup af alle domæners indhold, så alle hjemmesider kan genskabes 14 dage tilbage. Desuden vil der jævnligt blive taget manuel, ekstern backup, som vil gå længere tilbage end 14 dage. Den interne backup sker på webhotellet, mens den eksterne backup sker ved hjælp af SSH adgang til den enkelte webserver på webhotellet.

Link til kilder:
https://www.one.com/da/support/guider-faq#backup-restore
https://en.wikipedia.org/wiki/Secure_Shell

4) Sikring af den besøgendes sikkerhed og privatliv.

a) Alle domæner på webhotellet benytter HTTPS, krypteret forbindelse / SSL, som standard.

“SSL øger sikkerheden på dit website ved at kryptere datatrafikken mellem dit website og dets besøgende. SSL er på vej til at blive en forudsætning for et stigende antal onlinetjenester. Mange brugere sætter pris på, at et website er beskyttet af SSL, hvilket kendes på at der står “https” i browserens adresselinie.”

Link til kilde:
https://www.one.com/da/support/faq/hvordan-administrerer-jeg-ssl-for-mit-website

b) Der vil på alle domæner på webhotellet kun blive anvendt de cookies der er strengt nødvendig for at det installerede CMS kan køre. Fx PHPSESSID, der udløber når den nuværende browser­session afsluttes, som identificerer og opretholder den nuværende PHP session.

Link til kilde:
https://en.wikipedia.org/wiki/HTTP_cookie
https://www.tutorialspoint.com/php/php_sessions.htm

c) Hvis den besøgende på en af hjememsiderne på webhotellet ønsker en udvide sikkerhed mht. beskyttelse af sit privatliv samt oplysninger om sit fysisk opholdssted, så kan den besøgende med fordel benytte Tor Browseren. Tor Browseren giver mulighed for at surfe gennem Tor Netværket, som fungere som en tredobbelt VPN forbindelse. Da alle hjemmesiderne på webhotellet som standard åbner i HTTPS, så vil forbindelsen mellem den besøgendes Tor Browser og hjemmesidens webserver på webhotellet være krypteret.

Link til kilder:
https://www.torproject.org/about/overview.html.en

5) Beskyttelse af administratore af og redaktøre/skribenter på WordPress installationerne.

a) Back End adgang til WordPress installationerne sker udelukkende i Tor Browseren gennem Tor Netværket for at beskytte den enkeltes anonymitet og oplysninger om fysisk opholdssted.

b) Alle med Back End adgang benytter et tilfældigt brugernavn, som er ekstremt svært at gætte, og en adgangskode bestående af 128 tegn, stor og små bogstaver samt tal. Front End vil den enkelte redaktør og skribent optræde under synonym.

c) Den enkelte bruger der har Back End adgang vil være oprettet i WordPress med en til domænet knyttet mail adresse med et tilfældigt brugernavn (den del før @ i mail adressen) ligeledes med en adgangskode på 128 tegn, så det er ekstremt svært at trænge ind i WordPress ad bagvejen.

d) Kun administrator af webhotellet vil have adgang til de til domænerne knyttede mail adresser. Andre brugere af Back End vil bruge deres egen ProtonMail adresse (tilgået i Tor Browseren på adressen protonirockerxow.onion) og log ind til Back End.

e) Al kommunikation intern mellem administratorer, redaktører og skribenter sker ved brug af ProtonMail adresser (tilgået i Tor Browseren på adressen protonirockerxow.onion) og Jabbeb / XMPP chat med OTR installeret (krypteret chat, telefoni og filoverførsel service).

Link til kilder:
https://xmpp.dk/ (tilbyder også en server på Tor Netværket)
https://en.wikipedia.org/wiki/XMPP (hvad er Jabber / XMPP chat)
https://protonmail.com/ (ProntonMail på det almindelige internet, ikke Tor Netværket)
https://3g2upl4pq6kufc4m.onion (duckduckgo.com: Track fri søgemaskine på Tor Netværket)

På grund af begrænsning mht. længden af adgangskode hos følgende service bruges der på disse services en kortere adgangskode end 128 tegn: One.com (host, webhotel): Kontrolpanel 50 tegn, Webmail 64 tegn, SSH 50 tegn, SQL 64 tegn. DK Hostmaster (administrator af det danske top level domain, .dk): 64 tegn