Bezpieczeństwo danych na serwerze FTP

Szybki hosting dla WordPressa

W ramach usługi hostingu w home.pl, możesz skorzystać z klienta FTP dostępnego w panelu administracyjnym. Takie rozwiązanie nie wymaga konfiguracji dodatkowego oprogramowania. Kliknij tutaj, aby sprawdzić jak uruchomić WebFTP i zarządzać zawartością serwera FTP.

Typowy hosting, czyli serwer WWW ma jedno podstawowe zadanie do spełnienia: ma być dostępny w sieci, tak aby postawiona na nim strona WWW oraz poczta, działały nieprzerwanie.

Często jednak wraz z posiadaniem takiego serwera, dostrzegamy jego szersze możliwości zastosowania. Przykładowo, serwer może być także udostępnioną dla współpracowników przestrzenią, w ramach której przechowujemy pliki, dokumenty i kopie zapasowe. Zawartość serwera nie musi być powiązana tylko z jedną stroną WWW – mogą to być również inne projekty, np. portale, fora dyskusyjne, skrypty, galerie zdjęć.

Jeśli zawartość serwera zostanie odpowiednio przez Ciebie zabezpieczona, dostępna będzie ona jedynie dla Ciebie (np. zabezpieczona hasłem, ograniczenie dostępu na podstawie IP/host, ustawienie odpowiednich atrybutów (chmod) dla plików, zablokowanie listowania zawartości katalogów (DirList)).

Jeśli decydujemy się na uruchomienie strony WWW lub jeśli chcemy przechowywać na serwerze inne dane (pliki, dokumenty, kopie bezpieczeństwa), warto pamiętać, że serwer jest usługą sieciową, która dostępna jest w ramach sieci łączącej miliardy użytkowników. Niesie to za sobą potencjalne ryzyko wycieku informacji, które nie powinny dostać się w ręce osób trzecich. Podczas pierwszych styczności z serwerem, użytkownicy pomijają lub zapominają o kilku podstawowych zasadach, które zapewniają bezpieczeństwo i uniemożliwiają dostęp osom nieupoważnionym.

Podczas projektowania stron WWW, cała ich struktura powinna być przygotowana w taki sposób, aby użytkownicy sieci Internet mieli dostęp jedynie do tego, co powinni widzieć, czyli do stron z treścią. Nie jest wskazane, aby wrażliwe dane użytkowników były ogólnodostępne, dlatego newralgiczne katalogi, pliki, bazy danych są zabezpieczane w odpowiedni sposób, aby osoby postronne nie miały do nich dostępu.

Poza milionami użytkowników poszukujących informacji w sieci, odwiedzających witryny rekreacyjnie czy zawodowo, jest także grono użytkowników, którzy za cel stawiają sobie łamać zabezpieczenia stron WWW w celu otrzymania dostępu do tych zasobów, które zostały przed nimi ukryte.

Zawartością serwera, która powinna być niedostępna dla postronnych użytkowników będzie np. struktura utworzonej strony WWW (jej poszczególne elementy, “silnik” i pliki z ustawieniami lub inne pliki, np. płatne materiały do pobrania z serwisu WWW, bazy danych (mogą zawierać bazy użytkowników/klientów lub dane dostępowe administratora)), ale także wszystkie inne dane umieszczone na serwerze, które powinny pozostać prywatne.

Uzyskanie dostępu do prywatnych danych przez osoby niepowołane doprowadzi w najlepszym przypadku do jej czasowego wyłączenia lub wyświetlenia pod jej adresem informacji, że strona została zaatakowana, a w najgorszym przypadku do całkowitej utraty kontroli nad serwisem, jego usunięciu (wraz z plikami i bazą danych) oraz wycieku newralgicznych danych, np. baza użytkowników wraz z danymi osobowymi. W przypadku, gdy na serwerze znajdowały się także inne dane, skala problemu może być nie do opisania.

Bezpieczeństwo danych zlokalizowanych na serwerze, zależne jest nie tylko od bezpiecznego i regularnie aktualizowanego systemu, na którym postawimy stronę WWW, ale także od zabezpieczeń oprogramowania serwera. Środowisko oprogramowania funkcjonujące na serwerach home.pl jest na bieżąco aktualizowane zgodnie z powszechnymi standardami oraz pod względem pojawiających się najnowszych zagrożeń w sieci Internet.

W przypadku niektórych serwerów dedykowanych, gdzie dysponent sam kontroluje co na danej maszynie jest uruchomione, obowiązek aktualizacji zabezpieczeń serwera spoczywa również na dysponencie. Podczas zabezpieczania danych ważne jest również posiadanie aktualnego oprogramowania antywirusowego, bezpiecznych haseł dostępu, czy też wydzielenie wybranych użytkowników – uprawnionych do pracy z serwerem.

Kilka zasad bezpieczeństwa na serwerze FTP

Każdy użytkownik serwera powinien zastosować się do poniższych zasad.

  1. Silne hasła dostępu do zasobów serwera: to banalne ale najczęściej łamane zabezpieczenie, które chroni nasze dane przed osobami trzecimi. Hasła dostępu stosowane są przy skrzynkach e-mail, panelach administracyjnych,  czy przy dostępie do serwerów FTP. Badania opinii pokazują, że coraz częściej zwracamy uwagę na siłę hasła, ale nadal problemem okazuje się ich zapamiętanie.

    Silne hasła to nie tylko skomplikowany ciąg znaków, który powinien być trudny do zapamiętania. To także wyeliminowanie ryzyka identyfikacji tego hasła przez innych użytkowników, a przede wszystkim, przez maszyny, które odpowiednio skonfigurowane i wyposażone w dużą moc obliczeniową, będą podejmowały się milionów prób wprowadzenia losowego ciągu znaków w celu odkrycia hasła. Kliknij tutaj, aby przeczytać o bezpiecznych i silnych hasłach dostępu.
    Aplikacje oraz systemy zabezpieczane są przed próbami odgadnięcia hasła poprzez blokadę wielokrotnych prób logowania się w krótkim czasie. Wyświetlany jest wtedy komunikat informujący o podjętej liczbie prób oraz zablokowaniu systemu z możliwością ponownego zalogowania, po upłynięciu określonej ilości czasu.

  2. Kopia bezpieczeństwa na serwerze FTP: home.pl oferuje kopie bezpieczeństwa dostępne z poziomu serwera FTP. Nie są one jednak dostępne z poziomu katalogu /public_html. W praktyce oznacza to, że jakakolwiek próba ingerencji w pliki kopii zapasowej, np. poprzez skrypty oraz aplikacje strony WWW, nie spowodują usunięcia lub modyfikacji kopii zapasowej.

    Administrator usługi w każdej chwili może przywrócić kopię zapasową, umieszczając ją we właściwej lokalizacji na serwerze FTP i podmieniając uszkodzone lub zmodyfikowane dane. Jeśli z jakiegoś powodu kopia zapasowa została umieszczona na serwerze FTP w katalogu /public_html, warto rozważyć opcję jej przeniesienia lub usunięcia. Kliknij tutaj, aby przeczytać jak samodzielnie przywrócić kopię zapasową serwera w home.pl.

    W przypadku, gdy dokonujemy zmian w serwisie WWW, ewentualne następstwa ataku na serwer FTP lub aplikację strony WWW, mogą ujawnić dane (pliki oraz bazę danych), z których nie korzystamy lub która nie powinna być w żaden sposób używana lub udostępniana.

    Pliki kopii zapasowej umieszczone luźno na serwerze FTP, mogą wzbudzić zainteresowanie osób trzecich, które mogą dopatrywać się w tym informacji poufnych. Dodatkowo, jeśli dojdzie do wycieku danych z serwera FTP, stracimy nie tylko stan aktualny serwera, ale i jego poprzednie wersje, np. serwisy, które nie działają od dłuższego czasu oraz bazy danych użytkowników/klientów, które były używane przy innych naszych serwisach WWW. Archiwalne dane warto w tej sytuacji przenieść poza katalog /public_html lub zarchiwizować lokalnie na komputerze, np. za pomocą usługi Acronis Backup.

  3. Ukrycie zasobów serwera w przeglądarce: kiedy wszystko działa poprawnie, wywołanie adresu strony WWW w przeglądarce, skutkuje jej wyświetleniem. Analogicznie można wywołać katalog na serwerze FTP i spróbować wyświetlić jego zawartość w przeglądarce.

    Wywołanie katalogu FTP w przeglądarce internetowej najczęściej powoduje przekierowanie na właściwą domenę i wyświetlenie strony WWW. Jeśli jednak za sprawą przykładowo osób trzecich lub własnego błędu, plik startowy index nie będzie funkcjonował poprawnie (np. w wyniku błędnej nazwy), może okazać się, że zamiast strony WWW pojawi się po prostu cała zawartość katalogu na serwerze FTP. Kliknij tutaj, aby przeczytać więcej o definiowaniu strony startowej (index) za pomocą pliku htaccess.

    Warto pamiętać, że praktycznie każdy system CMS, np. Joomla, WordPress, przechowuje dane dostępowe do bazy danych w plikach konfiguracyjnych, które dostępne są na serwerze FTP. Jeśli przykładowo, straciliśmy hasło do bazy danych lub przenosimy stronę WWW pomiędzy serwerami, poznanie nazwy bazy danych i hasła jest możliwa za sprawą serwera FTP i próby edycji pliku konfiguracyjnego. Nie trzeba się tym przejmować, dopóki zawartość serwera FTP dostępna jest tylko dla Ciebie.

    Można zadbać, aby pliki na serwerze FTP były niedostępne lub wyświetlane jedynie użytkownikom, którzy posiadają stosowne uprawienia. Najprostszym rozwiązaniem jest wyłączenie listowania zawartości katalogu w przeglądarce. W opisywanej powyżej sytuacji, uszkodzenie pliku index, będzie skutkowało zawsze wyświetleniem komunikatu 403 informującym o braku dostępu.

    Jeżeli skrypty korzystają z plików, których nie chcesz udostępniać w jakiejkolwiek formie (np. pliki konfiguracyjne skryptów) to umieść je w katalogu „/hidden”. Możesz w ten sposób ukryć również inne prywatne pliki. Katalog /hidden nie jest dostępny do wywołania z poziomu protokołu HTTP (czyli przez przeglądarkę internetową).
  4. Utrzymywanie wielu kopii zapasowych: większość firm hostingowych oferuje dostęp do kopii zapasowych. Home.pl dysponuje kopią z trzech ostatnich nocy, dodatkowo udostępnianą w czasie rzeczywistym bezpośrednio na serwerze FTP. Dane objęte kopią przechowywane są na serwerze do trzech dni wstecz. Oznacza to w praktyce, że w czwartek rano, bez żadnego problemu przywrócimy kopię zapasową strony czy poczty, która dostępna była w poniedziałek wieczorem. Administrator ma więc 3 dni na podjęcie działania.

    A co jeśli standardowa kopia nie wystarczy? Jedna kopia zapasowa to za mało. Zarówno dotyczy to danych na serwerze FTP, ale także danych znajdujących się na naszych prywatnych komputerach czy urządzeniach mobilnych. Warto skorzystać z rozwiązań chmury w usłudze Acronis Backup, która pozwala tworzyć dodatkowe kopie zapasowe, zarówno w chmurze jak i lokalnie na komputerze.

    Dodatkowym plusem jest również to, że rozwiązanie Acronis Backup poza zapewnieniem kopii zapasowej użytkownikowi, zabezpieczone jest także własnymi kopiami zapasowymi – tworzonymi niezależnie po stronie usługodawcy.
WAŻNE! W ramach oferty home.pl możesz skorzystać z usługi SiteLock, czyli rozwiązania dla klientów, którzy chcą zabezpieczyć swoją stronę WWW przed atakami hakerów, jak i również „wyleczyć” ją, kiedy ta zostanie już zainfekowana złośliwym oprogramowaniem. Usługa SiteLock działa bezpośrednio na serwerze, na którym znajduje się strona WWW. Możesz także zakupić oprogramowanie antywirusowe firmy Kaspersky, które gwarantuje kompleksową ochronę antywirusową oraz bezpieczeństwo w Internecie. Kliknij tutaj, aby dowiedzieć się więcej o konfiguracji w/w usługi i oprogramowania.

Więcej rozwiązań

Hosting stworzony dla WordPressa

Masz stronę WWW na WordPressie? My też uwielbiamy ten system dla stron internetowych. Dlatego stworzyliśmy hosting specjalnie dla jego użytkowników.


Zabezpiecz stronę WWW certyfikatem SSL

Chroń dane formularzy i transakcji z zieloną kłódką przy adresie.


  • Czy artykuł był pomocny ?
  • Tak   Nie
Szukaj
Generic filters
Tylko dokładne dopasowania
Szukaj w tytułach
Szukaj w treści
Filter by Article Categories
Częste pytania
Narzędzia
Statystyki serwera (nowe)
Połączenie SSH
Statystyki serwera (stare)
WebFTP
Autoinstalator
Kontrola wersji (SVN)
Listy mailingowe
Poczta home.pl
Obsługa poczty webmail
Konfiguracja programów pocztowych
Nowa platforma home.pl
Częste pytania
Bezpieczeństwo
Instalacje
Panel klienta
Domeny
Hosting
Serwer Apache
Bazy danych
Certyfikaty SSL
Zamawianie SSL
Instalacja i konfiguracja SSL
Poczta e-mail
Office 365
WordPress Hosting SSD
Dodatki od partnerów
Poprzednia platforma home.pl
Certyfikaty SSL
Zamawianie certyfikatów SSL
Konfiguracja i instalacja SSL
Panel home.pl
Informacje podstawowe
Pulpit
Usługi
Płatności
Profil
Centrum Pomocy
Operacje w Panelu home.pl
Serwery
WebFTP
Informacje podstawowe
Konfiguracja serwerów
Serwery Unix
Serwery Windows
Obsługa baz danych
phpMyAdmin (MySQL)
phpPgAdmin (PgSQL)
myLittleAdmin (MSSQL)
Sklep internetowy eSklep
Panel usługi eSklep
RODO w sklepie internetowym
Panel sklepu internetowego
Pierwsze kroki
Promocja sklepu
Sprzedaż
Pierwsze uruchomienie
Dodatki od partnerów
Asortyment
Klienci
Integracje
Inne integracje
Systemy aukcyjne
Baza produktów
Aplikacje
App store
Aplikacja mobilna
Marketing
Modyfikacja wyglądu
Dokumentacja
Dla deweloperów
Style graficzne
Inne zagadnienia
Raporty i statystyki
Zawartość
Filmy instruktażowe
Konfiguracja sklepu
Rozliczenia i dokumenty
Faktury
Zmiana danych (cesja)
Rozliczenia i płatności
Dokumenty do pobrania
Produkty i usługi
Kreator Stron WWW
eCommerce
Moduły
Ustawienia
Szablony
Nawigacja
Publikacja i dodatki
Szybki start
Prestahosting
Profesjonalne Usługi IT
Certyfikaty SSL
Przywracanie danych
Udostępnienie logów oraz analizowanie błędów
Operacje na plikach i bazach danych
WordPress
Terminal płatniczy SumUp
Wordpress hosting SSD
Office 365
OneDrive
Domeny
Informacje podstawowe
Rejestracja / opłacanie
Konfiguracja domen
Transfer domen
Giełda domen
Dodatki do domen
Serwery VPS
Skrzynki e-mail
Microsoft Exchange
Cloud Email Xchange
Obsługa skrzynek w Panelu home.pl
Jak zarejestrować Personal email lub Business email?
Bezpieczeństwo
eKsięgowość
Wizyta - system rezerwacji
Reklama internetowa
Reklama Allegro Ads
Tworzenie stron WWW
Contact LEADer
Reklama banerowa Google
Zakupy Google
Google Ads (AdWords)
eKampanie Google
SEMSTORM
Pozycjonowanie
rankingCoach
Baza wiedzy
Facebook
Systemy CMS
Internet w praktyce
Przydatne programy
Konfiguracja programów FTP
Zagadnienia techniczne
.htaccess
mod_rewrite
Akademia home.pl
Poradniki do pobrania
Kursy i specyfikacje
Kurs HTML
Kurs PHP
Kurs SQL
Kurs mod_rewrite
Rejestracja usług
RODO w home.pl
English
Control Panel
Webmail
FTP
Office 365
WordPress
SSL
Aplikacje w marketplace
SiteLock - ochrona WWW
Dropsuite Backup
CCleaner
Antywirus Kaspersky
Dropbox - dysk w chmurze
Płatności PayU
Programy antywirusowe AVAST
Office 365
AVG PC TuneUp
Reklama na start
Google AdWords
Zareklamuj stronę WWW na Facebook
Dropbox
Cloud Email Xchange
Dropsuite
Brand24
Microsoft OneDrive
FreshMail.pl
Tłumaczenia online
G Suite - poczta Gmail
Program prowizyjny
Acronis Backup
Informacje podstawowe
Ustawienia dodatkowe
Panel użytkownika
Panel administratora
lub