A Webröntgen.hu június végén 100 céges honlapot vizsgált meg, és az eredmények a szakembereket is meglepték. „A vizsgált oldalak 33 százalékánál találtunk olyan hibát, amely a nemzetközi besorolási rendszerek szerint közepesnek vagy súlyosnak minősül. A súlyos hibákról általánosságban elmondható, hogy azonnal kihasználhatóak, ha van ilyen, akkor 5 perc alatt feltörhető az oldal. Ha a közepes besorolású hibákból van néhány, akkor egy kicsit komolyabb tudással olyan információkhoz juthat a hacker, amelyek alapján már sikeres támadást indíthat” – magyarázta Csermák Szabolcs, a biztonsági tesztet vezető etikus hacker.
Kínos, ha az ügyfél szól, hogy feltörték az oldalt
A biztonsági rések jelentős erkölcsi és anyagi kockázatot jelentenek. Ráadásul a kisvállalkozásoknál gyakori, hogy nem, vagy csak sokára veszik észre, hogy támadás érte az oldalt. Emiatt gyakran fordul elő az a kellemetlen helyzet, hogy egy vevőtől vagy üzleti partnertől hallanak a problémáról.
A hibaszázalék az elmúlt egy évben készült oldalak esetében volt a legalacsonyabb, itt az oldalak 25 százalékán találtak közepes vagy súlyos biztonsági rést. Az 1–3 éve készült honlapoknál ez az arány már 41 százalékos volt, az 5 évnél régebben fejlesztett weboldalaknak pedig 60 százaléka törhető fel minimális tudással 15 perc alatt.
Ellopott ügyféladatok
Egy feltört weblap a legjobb esetben használhatatlanná váló céges honlapot, rosszabb esetben pedig komoly üzleti károkat jelent. “Az úgynevezett SQL injection végrehajtásával a támadó például hozzáférhet a teljes adatbázishoz is, meghamisíthatja vagy ellophatja azt. Tehát a támadás során hozzáférhetnek az ügyfelek adataihoz, egy webshop esetében például nemcsak az ügyfélkör listáját, hanem a vevők korábbi vásárlásait is látni fogják. Sajnos volt rá példa, hogy így tettek tönkre egy céget” – mondta Csermák Szabolcs.
Nem feltétlen az a biztonságosabb, ami drága
A tesztelés során kiderült: míg az egyedi fejlesztésű, jellemzően drágább honlapok több mint fele sérülékeny, addig a nyílt forráskódú tartalomkezelő rendszerekre építő – esetleg azon belül valamilyen saját fejlesztésű modult is tartalmazó – weboldalak esetében mindössze 20–29 százalékos ez az arány.
“Míg az egyedi honlapokat egy-két programozó készíti, addig például a nyílt forráskódú WordPress tartalomkezelő motoron több ezer fejlesztő dolgozik folyamatosan, ami törvényszerűen biztonságosabb rendszert eredményez. A forráskódot bárki megnézheti, így sokkal gyorsabban kiderülnek a hibák, amiket nagyon gyorsan ki is javítanak” – magyarázta a szakértő.
Üzleti tipp: frissítse rendszeresen az oldalát!
Bár feltörhetetlen weblap nem létezik, a szakember szerint akár néhány egyszerű lépéssel jelentősen megnehezíthető az internetes támadás. A honlapmotor rendszeres frissítése a legfontosabb, illetve néhány – legtöbbször ingyenes – segédprogram (plugin) telepítésével is tovább növelhető a biztonság.
Egyszerűbb helyzetben vannak a nyílt forráskódú rendszerre épített oldalak, mivel ezeknél az újabb verziók része az automatikus frissítés. Az egyedi fejlesztésű weblapoknál nehezebb a helyzet. Ott csak rendszeres teszteléssel lehet védekezni, azaz egy etikus hackernek érdemes átnéznie az oldalt.