Włamali się na moją stronę, proszę to naprawić – za darmo!

Facebooktwittergoogle_plusredditpinterestlinkedintumblrmailFacebooktwittergoogle_plusredditpinterestlinkedintumblrmail

Wyobraźmy sobie taką (w pełni realną) sytuacje: po roku od wykonania przez was strony internetowej, pisze do was klient i informuje was, że ktoś włamał się na jego stronę internetową (WordPress/Joomla/etc.) i kategorycznie nakazuje wam jej naprawę bezpłatnie (!) i najszybciej jak to możliwe powołując się przy tym na treść art. 638 oraz art. 556 i nast. Kodeksu cywilnego regulującymi odpowiedzialność przyjmującego zamówienie na gruncie przepisów umowy o dzieło z tytułu rękojmi. Przepis ów ten wskazuje, że „sprzedawca” w okresie 2 lat od oddania dzieła jest odpowiedzialny za jego ewentualne wady (fizyczne). Również w tym terminie „kupujący” może złożyć oświadczenie o odstąpieniu od umowy albo obniżeniu ceny z powodu wady rzeczy sprzedanej.

Przy okazji zamawiający skarży się, że  w umowie ani dacie wydania dzieła nie został poinformowany o tym, że korzystanie ze strony (CMS) wiązało się z koniecznością stałych aktualizacji. Na koniec mamy straszenie pozwem sądowym w razie niewywiązania się z bezpłatnej naprawy. Przy okazji, pamiętasz może z mojej książki ile może kosztować  ratowanie oraz odwirusowywanie strony po udanym ataku, tak – 400 zł i więcej. Nie dziw się, że klient nie chce zapłacić Tobie lub innej firmie takiej kwoty.

Po przeczytaniu takiego pisma, bądź emalia można mocno się przestraszyć oraz zirytować, co zrozumiałe. Z drugiej strony niejako czkawką odbijają nam się wszelkie uproszczenia i braki odpowiednich zapisów  w podpisanej umowie o wykonanie strony internetowej. Nie uprzedzając jednak faktów zacznijmy jednak od początku, czyli zarzutu numer jeden.

Czy włamanie na stronę www jest wadą fizyczną?

Kodeks cywilny (Art. 5561) definiuje wadę fizyczną jako niezgodności rzeczy sprzedanej z umową. W szczególności rzecz sprzedana jest niezgodna z umową, jeżeli:

  1. nie ma właściwości, które rzecz tego rodzaju powinna mieć ze względu na cel w umowie oznaczony albo wynikający z okoliczności lub przeznaczenia;
  2. nie ma właściwości, o których istnieniu sprzedawca zapewnił kupującego, w tym przedstawiając próbkę lub wzór;
  3. nie nadaje się do celu, o którym kupujący poinformował sprzedawcę przy zawarciu umowy, a sprzedawca nie zgłosił zastrzeżenia co do takiego jej przeznaczenia;
  4. została kupującemu wydana w stanie niezupełnym.

Należy pamiętać, że ów przepis  jest katalogiem otwartym i nie wyczerpuje wszystkich możliwych w praktyce rodzajów niezgodności rzeczy z umową, a i tylko przykładowe wady fizyczne towarów. Tym niemniej, z pewnością strona internetowa, która została odebrana przez zamawiającego i działała bez zarzutu przez okres kilku miesięcy, czy roku jak w omawianym przykładzie nie łapie się w przykładowe wyliczenia. Kryterium funkcjonalne, obejmujące przeznaczenie strony (witryny, sklepu) i jej użyteczność, zostało spełnione.

Dodatkowo brak  dodatkowych mechanizmów zabezpieczających stronę ciężko podciągnąć pod tak zwaną zatajoną wadę (patrz art. 564  kodeksu cywilnego).

Czy osoby trzecie mają wpływ na rękojmie? Sprzedawca jest odpowiedzialny z tytułu rękojmi za wady fizyczne, które istniały w chwili przejścia niebezpieczeństwa na kupującego lub wynikły z przyczyny tkwiącej w rzeczy sprzedanej w tej samej chwili. Szkoda w postaci niedziałającej strony internetowej, infekcji – jest następstwem okoliczności, za którą sprzedawca (przyjmujący zamówienie) odpowiedzialności z reguły nie ponosi. Włamanie na stronę www, podobnie jak do fizycznego obiektu (dom, sklep, auto) zostało bowiem dokonane przez osobę trzecią (haker/craker/bot) niezwiązaną w żaden sposób z przyjmującym zlecenie. Przełamanie specjalnych zabezpieczeń strony www (każdy CMS je ma) stanowi włamanie w rozumieniu art. 279 § 1 k.k.  A zatem to on jest sprawcą destrukcji, infekcji, bądź kradzieży danych ze witryny, nawet jeśli była to „tylko” wirtualna wizytówka.

Rękojmia nie obejmuje (z reguły) wad spowodowanych przez kupującego, np. niewłaściwym korzystaniem z rzeczy, brakiem należytej konserwacji, czy uszkodzeniami mechanicznymi.

Pamiętaj, że nie ma 100% sposobu, aby uniemożliwić włamanie, można tylko to utrudnić. Dotyczy to w takim samym stopniu stron internetowych (bez względu na użytą technologie, język programowania), jak i szwajcarskich banków.

Zapisy w umowie są bardzo ważne

Jedną z podstawowych zasad Kodeksu cywilnego jest swoboda umów. Sporządzając pisemną umowę o wykonanie strony internetowej, że masz możliwość odpowiedzialność z tytułu rękojmi rozszerzyć, ograniczyć lub wyłączyć (art. 558 ust. 1 KC). Modyfikacja odpowiedzialności sprzedawcy z tytułu rękojmi może i powinna być dokonana jedynie w umowie. Oznacza to, że wykluczone jest domniemywanie (bez umowy) zmian w tym zakresie.

Warto dodać punkty informujące o tym, że np. to na zlecającym ciąży obowiązek aktualizacji CMS oraz dbania o bezpieczeństwo po upływie 14 (30) dni od przekazania strony internetowej. Zawsze informuj na piśmie, że strona została wykonana przy użyciu określonego CMS (WordPress/Joomla/Drupal), czy innego gotowego skryptu, podając jego nazwę oraz wersje(!), która została zainstalowana w momencie oddania do użytku. Taka informacja może być bardzo istotna, jeśli dojdzie do ewentualnego sporu. Czy brak tego zapisu może mieć negatywny skutek, trudno jednoznacznie wskazać. Zapewne będzie to zależało od konkretnego przypadku. Lepiej jednak dodać w/w zapisy dla dobra obu stron. Tym bardziej, że świadomy klient może zdecydować się na nasza stałą usługę opieki nad jego stroną internetową. Dobrą praktyką jest również Cyberbezpieczeństwo – które należy uwzględnić zarówno w wycenie, jak i późniejszej umowie (patrz rozdział pierwszy książki).

  • Ciekawy artykuł dający do myślenia. Nie stosowałem nigdy takich zapisów ale chyba warto zacząć bo nigdy nie wiadomo na kogo się trafi.
    Wg mnie jeśli klient nie decyduje się na obsługę strony – aktualizacje, zabezpieczenia itd to sam odpowiada za późniejsze problemy. Tym bardziej, że ostatnio włamów na popularne CMSy jest coraz więcej.

  • Krzysiek Palikowski

    Ostatnie lata to w pewnym sensie nowość dla twórców stron jak i klientów – z tym, że klient jest zazwyczaj nieświadomy i powinniśmy jako fachowcy informować go na wstępie o konsekwencjach posiadania strony www.

    Coraz częściej ma sens unikanie CMS na rzecz statycznego HTML bo strony firmowe rzadko się aktualizuje.

    Jeszcze parę lat temu ten problem nie istniał – miałem strony po 5 lat nie aktualizowane i nic się nie działo z nimi. Dopiero ostatnio (lawinowy wzrost podatności w popularnych CMSach) kazał zrewidować nasze przyzwyczajenia – ja zresztą jakiś czas temu popełniłem na elimu wpis o tym – http://blog.elimu.pl/11670-ile-stron-zrobiles-iloma-sie-opiekujesz/

    BTW Google już 2 lata temu ogłosił że będzie banował z wyników wyszukiwania zainfekowane strony – https://webmasters.googleblog.com/2015/10/an-update-on-how-we-tackle-hacked-spam.html,

  • Dobry temat. Może i uratowałeś mi dupsko. Niestety ale coraz częściej myślę czy oby całkiem nie zrezygnować z CMS Joomla, WordPress i wykorzystać już nowe narzędzia jak Publii, lub coś typu flat-file cms.
    Nie dość, że zepsuć nie ma jak to i masakrycznie zapierdziela to i nawet zwykły współdzielony hosting uciągnie dość dużą ilość wejść.

    Idealne połączenie dla mnie było by edytor wyswig np. redactor, tworzenie templatki z twig, i moduł ułatwiający wgrywanie plików/zdjęć na serwer. Do tego możliwość predefinowania bloków/snippet

  • Bardzo ciekawy temat! Dzięki za przegląd.

  • eeee

    e, jak ktoś wstawi sobie nowe okna, a jakiś wandal wybije szybę, to firma co wstawiała ma odpowiadać? Absurd. Jak ktoś chce ochronę, to niech płaci za ochronę.

  • Przede wszystkim należy prawidłowo zabezpieczyć wykonywany serwis, w taki sposób aby nawet przy wykryciu dziur w przyszłości nie sprawiło nam problemu jego uratowanie.
    Reguły Fail2Ban, Reguły ModSecurity, stosowanie https://aipa.elineo.eu, zabezpieczenie panelu admina przez htaccess pass oraz przede wszystkim BACKUP i systematyczna aktualizacja serwisu, sprawia że ryzyko włamań diametralnie spada.