Co to jest 2FA i dlaczego jest ważne przy ERPNext?

2FA (dwuetapowe uwierzytelnianie) to dodatkowy krok weryfikacji przy logowaniu — poza hasłem potrzebujesz kodu z aplikacji (np. Google Authenticator) lub klucza sprzętowego. Nawet jeśli ktoś wykradnie hasło użytkownika, bez drugiego czynnika nie zaloguje się do systemu. ERPNext wspiera 2FA natywnie — konfigurujemy je przy wdrożeniu.

Jak zabezpieczyć ERPNext — VPN, 2FA i backup

Q: Czy ERPNext jest bezpieczny?

ERPNext jako oprogramowanie jest regularnie aktualizowany i audytowany przez społeczność open source. Bezpieczeństwo konkretnego wdrożenia zależy jednak od konfiguracji infrastruktury — przede wszystkim od tego, czy system jest wystawiony na internet czy dostępny tylko przez VPN, oraz od polityki haseł i 2FA.

Q: Czy ERPNext powinien być dostępny przez internet?

Nie zalecamy wystawiania ERPNext bezpośrednio na internet (port 80/443 dostępny publicznie). System powinien być dostępny wyłącznie przez VPN — wtedy jest niewidoczny dla zewnętrznych skanerów i botów. To eliminuje całą klasę ataków (brute force, exploity na podatności webowe, ransomware).

Q: Jak skonfigurować VPN dla ERPNext?

Rekomendujemy Tailscale — nakładkę na WireGuard która działa bez konfiguracji routera i dziurawienia firewalla. Użytkownik instaluje klienta Tailscale na swoim urządzeniu, loguje się przez SSO, i automatycznie ma dostęp do sieci firmowej. ERPNext jest widoczny tylko dla urządzeń w tej sieci.

Dlaczego bezpieczeństwo ERPNext jest ważne

ERPNext zawiera dane operacyjne całej firmy — kontrahentów, zamówienia, stany magazynowe, pracowników. Naruszenie bezpieczeństwa może oznaczać:

Ransomware — dane zaszyfrowane, firma stoi, żądanie okupu. Odzyskanie bez backupu: często niemożliwe.
Wyciek danych — dane kontrahentów, warunki handlowe, cenniki trafiają do konkurencji lub zostają opublikowane
Manipulacja danymi — ktoś zmienia zamówienia, stany magazynowe, cenniki — bez widocznych śladów

Dobra wiadomość: trzy warstwy zabezpieczeń eliminują większość realnych zagrożeń bez dużego nakładu pracy.

Warstwa 1 — VPN: system niewidoczny z zewnątrz

Największy błąd przy wdrożeniu ERPNext to wystawienie go bezpośrednio na internet — dostępny pod publicznym adresem IP na porcie 80/443. Każdy bot skanujący internet widzi wtedy panel logowania i może próbować się włamać.

Bez VPN

→ Panel logowania widoczny dla każdego w internecie
→ Boty próbują haseł 24/7 (brute force)
→ Podatności w oprogramowaniu mogą być exploitowane automatycznie
→ Skuteczny atak → zaszyfrowane dane, okup

Z VPN

→ System niewidoczny z zewnątrz — jakby nie istniał
→ Dostęp tylko przez szyfrowany tunel VPN
→ Bot nie może nawet sprawdzić czy coś tam jest
→ Cała klasa ataków znika z powierzchni ryzyka

Tailscale — VPN bez bólu głowy

Tradycyjny VPN wymaga konfiguracji routera, otwierania portów, zarządzania certyfikatami. Tailscale to nakładka na WireGuard która działa bez żadnej z tych rzeczy:

✓Instalujesz klienta Tailscale na serwerze ERPNext i na urządzeniach użytkowników
✓Każde urządzenie dostaje prywatny adres IP w sieci Tailscale (np. 100.x.x.x)
✓ERPNext jest dostępny tylko pod tym prywatnym adresem — z zewnątrz niewidoczny
✓Działa na Windows, Mac, Linux, iOS, Android — handlowiec łączy się z telefonu
✓Integracja z Google/Microsoft SSO — konta firmowe zarządzają dostępem

Warstwa 2 — 2FA: samo hasło nie wystarczy

Nawet za VPN użytkownicy logują się hasłem do ERPNext. Hasła wyciekają — przez phishing, przez ponowne użycie tego samego hasła na innych serwisach, przez zapisanie w złym miejscu. 2FA sprawia, że wyciek hasła sam w sobie nic nie daje.

Przy logowaniu po haśle system prosi o jednorazowy kod z aplikacji (Google Authenticator, Authy, Microsoft Authenticator). Kod zmienia się co 30 sekund — skradzione hasło bez telefonu użytkownika jest bezużyteczne.

Jak skonfigurować 2FA w ERPNext

1. W panelu administratora: System Settings → Two Factor Authentication → włącz
2. Wybierz metodę: TOTP (aplikacja authenticator) — rekomendowane
3. Przy kolejnym logowaniu każdy użytkownik skanuje QR kod i paruje aplikację
4. Opcjonalnie: wymuś 2FA dla konkretnych ról (administratorzy, zarząd)

Warstwa 3 — Backup: ostatnia linia obrony

VPN i 2FA znacznie ograniczają ryzyko. Backup jest na wypadek gdy coś jednak pójdzie nie tak — błąd ludzki, awaria sprzętu, nieznana podatność. Bez aktualnego backupu każde poważne zdarzenie może oznaczać utratę danych.

Backup bazy danych

ERPNext automatycznie tworzy backup bazy (MySQL/MariaDB). Konfigurujemy harmonogram — min. raz dziennie, najlepiej kilka razy.

Backup plików

Załączniki, pliki PDF, obrazy — kopia do zewnętrznego storage (S3, Backblaze B2, lokalny NAS). Oddzielnie od bazy.

Lokalizacja backupu

Kopia poza serwerem produkcyjnym. Jeśli serwer zostanie zaszyfrowany przez ransomware, backup musi być w osobnym miejscu.

Zasada 3-2-1: 3 kopie danych, na 2 różnych nośnikach, 1 poza fizyczną lokalizacją serwera. Dla MŚP: backup lokalny (NAS) + backup chmurowy (S3/B2) = wystarczające pokrycie.

Dodatkowe dobre praktyki

✓Aktualizacje ERPNext — nowe wersje zawierają poprawki bezpieczeństwa. Aktualizuj regularnie (min. raz na kwartał) na środowisku testowym przed produkcją
✓Role i uprawnienia — użytkownicy mają dostęp tylko do tego co potrzebują. Magazynier nie widzi HR, sprzedawca nie zmienia cenników bez zgody
✓Silne hasła — polityka minimalnej długości (min. 12 znaków) i złożoności. Przy 2FA wymagania mogą być nieco niższe
✓Logi dostępu — ERPNext loguje kto i kiedy co zrobił. Warto wiedzieć jak przejrzeć logi gdy coś wzbudzi podejrzenia

Najczęstsze pytania

Czy ERPNext jest bezpieczny?

Sam system jest regularnie aktualizowany. Bezpieczeństwo wdrożenia zależy od konfiguracji — przede wszystkim od tego, czy jest za VPN, czy jest 2FA i jak wygląda backup.

Czy ERPNext powinien być dostępny przez internet?

Nie zalecamy wystawiania go publicznie. System za VPN (Tailscale) jest niewidoczny z zewnątrz — eliminuje całą klasę ataków bez żadnych kompromisów użyteczności.

Jak skonfigurować VPN dla ERPNext?

Rekomendujemy Tailscale — działa bez konfiguracji routera, obsługuje SSO i działa na wszystkich urządzeniach. Konfiguracja serwera zajmuje kilkadziesiąt minut.

Co to jest 2FA i czy jest obowiązkowe?

2FA to drugi etap weryfikacji przy logowaniu — kod z aplikacji po haśle. Nie jest wymagany przez ERPNext domyślnie, ale stanowczo rekomendujemy jego włączenie, szczególnie dla administratorów i zarządu.