Kako poboljšati bezbednost web sajta?

odrzavanje sajta

Jednostavnost korišćenja WordPress-a i Joomla-e je dovela do ogromne popularnosti tih platformi i do povećanja broja sajtova i blogova koji su napravljeni na njihovoj osnovi. Pošto sada i početnici u njihovom korišćenju mogu da kreiraju svoj sajt, uz prethodno kratko upoznavanje sistema, zbog njihovog slabog poznavanja bezbednosnih aspekata, može doći do upada na sajt od strane hakera. Oni mogu potpuno preuzeti i izmeniti sajt, instalirati zlonamerne programe, slati spam poruke, vršiti napade na druge internet korisnike i sajtove, potrošiti mesečni protok, prostor na disku…

Postoji nekoliko osnovnih koraka koje je potrebno preći da biste osigurali svoj sajt od napada hakera.

Redovno ažuriranje softvera

Najčešći propust u vođenju sajta je neredovno ažuriranje softvera. CMS-ovi (Content Management System) vrlo često objavljuju nove verzije svojih softvera koje sadrže kritične ispravke otkrivenih propusta iz prethodnih verzija. Ono što hakeri traže su sajtovi koji nisu ažurirani i sadrže te propuste kroz koje će upasti u sistem. Zato je bitno da svakodnevno proveravate da li je dostupna nova verzija platforme koju koristite i da uvek redovno nadograđujete aplikaciju i sve komponente web sajta na aktuelne i bezbedne verzije.

Upotreba jakih šifri

Kao što je neophodno da imate jaku lozinku za email nalog, tako je važno da imate neprobojnu šifru za prijavljivanje na sajt. Zaboravite na šifre koje sadrže vaše ime ili ime dece, ili još gore naziv domena uz dodatak par brojeva. To je previše jednostavno i nije preporučljivo da koristite takve lozinke.

Dobra lozinka mora da bude dovoljno dugačka. Koliko? Bar 10 karaktera. Kada napadač pokuša da upadne na vaš sajt, posebni sistemi koje možete da instalirate, bi trebalo da mu zabrane dalje pokušaje već posle par neuspešnih unosa lozinki. Za neke popularne CMS aplikacije na našim hosting serverima već postoji ovakva zaštita u okviru naših WAF i IDS sistema, ali to svakako ne znači da vi možete zapostaviti bezbednost svog sajta, čak i ako je hostovan kod nas.

Lozinka treba da bude kompleksna. Najbolje je da osmislite nasumičnu šifru koja nema nikakve veze sa vama, imenima, datumima, ljubimcima… Ako se pitate kako ćete zapamtiti takvu šifru, odgovor je lak. Napravite obrazac poznat samo vama. Na primer, možete uzeti rečenicu iz omiljene knjige ili stih pesme i iskoristiti početna ili poslednja slova tih reči i dodati im brojeve, uz korišćenje velikih i malih slova. Dobićete pravu nasumičnu lozinku, a u stvari vama dobro poznatu.

Lozinka mora da bude jedinstvena. Nemojte nikada da koristite istu šifru za pristup drugim sajtovima i servisima na internetu. Kada svuda koristite različite i kompleksne šifre, vrlo je teško zapamtiti ih. Taj problem možete rešiti upotrebom cloud servisa kao što je LastPass, koji se integriše u vaš brauzer i pamti sve vaše šifre, a može i da kreira nasumične šifre za nove sajtove i servise na kojima se registrujete i koji omogućava pristup svim vašim lozinkama sa bilo kog računara na svetu. Druga opcija je desktop aplikacija KeePass koja omogućava od prilike isto, ali se kriptovana baza sa lozinkama čuva u vašem računaru i nije dostupna sa bilo koje lokacije ili uređaja. U oba slučaja je potrebno samo da zapamtite glavnu (master) šifru za pristup bazi i naravno važno je da ta glavna lozinka bude veoma kompleksna i da se nikada ne koristi na drugim servisima. LastPass dodatno podržava i dvofaktorsku autentifikaciju, što bezbednost podiže na još viši nivo.

Ograničite privilegije korisnicima

Ako vašem sajtu može da pristupa više korisnika, dobro je odrediti im odgovarajuće uloge i privilegije. Nekome ko samo piše tekstove nije potreban pristup administratorskim privilegijama. Na taj način ćete onemogućiti druge da naprave promene na sajtu i u tekstovima koje oni nisu kreirali ili da eventualna krađa njihovih pristupnih parametara ugrozi ceo sajt.

Izbor proverenih tema i dodataka

Dobra strana WordPress-a i Joomla-e je prilagodljivost. Međutim, ona predstavlja i opasnost. Na tržištu postoji veliki broj tema i dodataka koji se predstavljaju sa određenim karakteristikama, ali istina je daleko od toga.

Pre nego što instalirate određenu temu ili dodatak, važno je da proverite da li su kompatibilni sa vašim izdanjem CMS-a, da li su nedavno ažurirani, koliko imaju ukupnih instalacija, kako su ocenjeni, kakvi su komentari korisnika, da li je developeru to prvi projekat… Instalirajte samo one teme i dodatke koji dolaze iz proverenih izvora, koji se redovno ažuriraju i sa kojima su dosadašnji korisnici zadovoljni.

Izuzetno je važno da nikada ne koristite nelegalne, odnosno krekovane teme i dodatke koje se mogu naći na nekim neproverenim sajtovima po internetu, jer gotovo sigurno sadrže skriveni maliciozni kôd (backdoor) koji će omogućiti hakerima kontrolu nad vašim sajtom i zloupotrebu vašeg hosting naloga.

Kao što je potrebno redovno ažururati CMS, tako je važno da redovno ažurirate i sve teme i dodatke. Takođe, obavezno obrišite one dodatke koje ne koristite i koji nisu usklađeni sa trenutnom verzijom CMS-a, jer i neaktivni dodaci ili teme sajta mogu u nekim slučajevima biti zloupotrebljeni, dok kod se nalaze na serveru, odnosno u okviru vašeg hosting naloga.

Zaštita pristupnih parametara hosting naloga

Još jedan od čestih bezbednosnih propusta jeste nedovoljno zaštićen računar preko kojeg održavate sajt. Ukoliko ne koristite antivirusne programe ili ih retko ažurirate, prilikom posete nekom sajtu vaš računar se može zaraziti virusom ili drugim malicioznim softverom. Takođe, ako koristite nelegalni softver postoji velika mogućnost da ste sa njim instalirali i viruse ili trojance.

Postoje virusi koji analiziraju vaš računar i traže sve FTP klijentske aplikacije koje sadrže sačuvane podatke za pristup FTP nalogu. Kada pronađu takve podatke, šalju ih na udaljene računare hakera, koji ih onda koriste da pristupe vašem FTP nalogu i da obave izmene fajlova vašeg sajta ili postave razne dodatne maliciozne fajlove. Vaš sajt mogu dodatno zaraziti zlonamernim softverom koji će nastaviti dalje da širi virus posetiocima sajta.

Da biste sve to sprečili potrebno je da imate uvek redovno ažuriran i legalan antivirusni program na računaru, kao i da redovno pokrećete skeniranje celog sistema. Izbegavajte instaliranje nelegalnih programa, jer često sadrže viruse. Ažurirajte operativni sistem i sve druge programe.

Šifre za pristup FTP nalozima nemojte čuvati u FTP klijent programima, već ih najbolje svaki put ponovo unosite. Na taj način lozinke neće biti sačuvane u programu, pa čak i da vam se računar zarazi pomenutim trojancima, oni neće moći da pronađu i zloupotrebe pristupne parametre hosting naloga. Detaljnije o ovome pročitajte u tekstu u našoj bazi znanja.

Redovni bekapovi podataka

Bez obzira da li vam se dogodila zloupotreba naloga ili ste slučajno obrisali deo sajta, važno je da vršite redovne bekapove podataka. Na taj način ćete uvek imati tačku odakle možete da povratite izgubljeno. Kod nas svaki hosting paket besplatno uključuje višestruke i svakodnevne bekapove, pa ne morate dodatno da brinete o tom segmentu, ako je sajt hostovan kod nas. Ipak nije loše da povremeno kreirate i neki dodatni bekap koji ćete čuvati na svom računaru, jer su bekapovi kod svakog hosting provajdera dostupni za neki ograničen period, na primer od nekoliko dana ili nedelja, a u nekom slučaju vam može zatrebati i neki stariji bekap, koji od hosting provajdera nikako ne možete dobiti.

Instalirajte SSL sertifikat

SSL sertifikati služe za kriptovanje komunikacije između klijenta i servera, a na taj način sprečavaju bilo koga da dođe u posed tih podataka. Svaki prenos podataka je kodiran i obezbeđen, tako da podatke mogu videti samo one strane koje su uključene u komunikaciju. U toj komunikaciji se često nalaze i vrlo osetljivi podaci, kao što su email adrese i lozinke, zbog čega je bitno obezbediti njihov prenos. Ovo je svakako skoro zanemarljivo redak način zloupotrebe sajta, pa SSL nije baš neophodan kod svakog običnog sajta, ali je sa druge strane dosta važan kod sajtova koji sakupljaju i neke podatke korisnika, kao što su na primer prodavnice.

Ne postoji potpuna i trajna zaštita od hakerskih napada, ali ćete primenom navedenih saveta značajno povećati bezbednost svog sajta.

Ostavite komentar

Vaša e-mail adresa neće biti objavljena.