Hem / Serverdrift / Grundsäkerhet för webbplats

Serverdrift

Grundsäkerhet för webbplats

Du behöver varken en säkerhetsavdelning eller en enterprise-budget för att täcka in det viktigaste. Här är basnivån som de flesta mindre webbplatser och företagssajter faktiskt bör ha på plats.

Ett hänglås framför ett webbläsarfönster med https-adress, som symbol för grundläggande webbplatssäkerhet

Webbplatssäkerhet beskrivs ofta med samma språk oavsett om det handlar om en global e-handelskedja eller en enskild firmas presentationssajt, vilket gör det svårt att veta vad som faktiskt är relevant för en mindre webbplats. Den här genomgången håller sig strikt till basnivån: de åtgärder som ger störst effekt i förhållande till insats, och som de flesta webbhotell redan gör enkla att aktivera utan egen serverkompetens.

Passar för dig som...

Detta är rätt nivå om

Du driver en företagssajt, blogg, portfolio eller mindre webbshop på ett vanligt delat webbhotell och vill täcka in grunderna utan att behöva bli säkerhetsexpert.

Du behöver gå längre om

Sajten hanterar känsliga personuppgifter i stor skala, betalningar utanför en etablerad betaltjänst, eller ligger på egen VPS där du själv ansvarar för serverns säkerhet – till exempel som nybörjare på en Linux-server, eller när du väljer mellan dedikerad server och VPS. Då blir även sådant som DNS och namnservrar en del av ditt eget ansvar.

Sex punkter som täcker det mesta

ÅtgärdVarför den spelar roll
HTTPS / SSL-certifikatKrypterar trafiken mellan besökare och server, standard för besökarförtroende och för de flesta webbläsare
Uppdaterad mjukvaraCMS, tema och tillägg med kända sårbarheter är en av de vanligaste vägarna in för automatiserade attacker
Regelbunden backupEnda sättet att snabbt återställa sajten om något går sönder eller komprometteras
Starka lösenord + 2FASkyddar mot att ett läckt eller gissat lösenord ensamt räcker för att ta över kontot
Begränsade användarrättigheterVarje konto bör bara ha den behörighet som faktiskt behövs, inte administratörsrättigheter som standard
Skydd mot brute force / skräptrafikBlockerar automatiserade inloggningsförsök och skadlig trafik innan de når applikationen

HTTPS är utgångsläget, inte målet

Ett SSL-certifikat som ger https i adressfältet räknas i dag som ett grundkrav snarare än ett tillval, och många webbhotell erbjuder det utan extra kostnad, ofta aktiverat automatiskt. Det krypterar dock bara själva överföringen mellan besökare och server, vilket inte säger något om hur säker webbplatsens kod eller inloggningssystem är i övrigt. Se HTTPS som första steget, inte hela lösningen.

Uppdateringar och backup hör ihop

Ett vanligt mönster vid intrång på mindre webbplatser är inte avancerade attacker, utan att en känd sårbarhet i ett föråldrat CMS, tema eller tillägg utnyttjas automatiserat. Håll därför plattformen, temat och alla tillägg uppdaterade så snart nya versioner släpps, särskilt säkerhetsuppdateringar. Eftersom ingen uppdatering är riskfri bör en aktuell backup finnas innan du uppdaterar något större, så att du snabbt kan återställa om något går sönder. Många webbhotell tar en daglig automatisk säkerhetskopia som standarddel av paketet, men det varierar mellan leverantörer hur många dagar bakåt kopiorna sparas och hur enkelt en återställning faktiskt går att göra själv – kontrollera villkoren hos ditt webbhotell.

Lösenord, tvåfaktor och behörigheter

Ett starkt, unikt lösenord per konto är fortfarande grunden, men bör kompletteras med tvåfaktorsautentisering överallt där det erbjuds: kontrollpanelen hos webbhotellet, CMS-inloggningen och e-postkontot kopplat till domänen. Automatiserade attacker mot inloggningssidor förekommer oavsett sajtens storlek, vilket gör tvåfaktor till en av de mest kostnadseffektiva åtgärderna som finns. Se också över vilka användare som faktiskt har administratörsbehörighet. Det förekommer att gamla konton från tidigare medarbetare eller byråer glöms bort med full åtkomst kvar långt efter att de slutat användas.

Grundläggande skydd mot skräptrafik

Många webbhotell inkluderar redan ett visst grundskydd mot skadlig trafik och brute force-försök på servernivå, ofta i form av automatisk virussökning av kontot och filtrering av misstänkt trafik innan den når webbplatsen. Kontrollera vad som faktiskt ingår i ditt paket snarare än att anta att det finns. På den här basnivån är en dedikerad brandvägg (WAF) sällan nödvändig, det blir mer relevant först när trafiken eller riskbilden växer, till exempel vid en webbshop med betalningsflöden eller en sajt som tidigare varit måltavla för attacker.

Testa själv med jämna mellanrum: logga ut och försök återställa ett lösenord, kontrollera att en backup faktiskt går att återställa, och se över listan med användare som har adminbehörighet minst ett par gånger om året.

Vanliga frågor

Räcker HTTPS för att en webbplats ska vara säker?

Nej. HTTPS krypterar bara trafiken mellan besökaren och servern. Det skyddar varken mot sårbarheter i webbplatsens mjukvara, svaga lösenord eller att en administratörsanvändare komprometteras på annat sätt.

Hur ofta bör jag ta backup av en webbplats?

En daglig automatisk säkerhetskopia räcker ofta som lägstanivå, vilket många webbhotell erbjuder som standard – hur många dagar bakåt kopiorna sparas varierar mellan leverantörer. Sajter med mycket dagligt innehåll, till exempel en aktiv webbshop, kan behöva tätare backup.

Är tvåfaktorsautentisering nödvändigt för en liten webbplats?

Ja. Automatiserade attacker mot inloggningssidor riktar sig mot webbplatser oavsett storlek, och tvåfaktor är en av de mest effektiva enskilda åtgärderna mot att ett läckt lösenord leder till kontokapning.

Behöver jag en brandvägg om jag redan har uppdaterad mjukvara?

Uppdaterad mjukvara minskar risken för kända sårbarheter men skyddar inte mot brute force eller skräptrafik. Många webbhotell har redan grundskydd på servernivå, vilket gör att en egen brandvägg sällan är nödvändig på basnivå.