Skozi svoje delo redno srečujem bolj ali manj po(ne)srečene poskuse izdelave spletnih strani. In eden najpogostejših težav, ki jih zaznavam je pomanjkljiva varnostna politika spletnih mest. V tem zapisu dobite vpogled v 7 najpogostejših kiksov, povezanih z varnostjo spletnih mest na slovenskih spletnih straneh. Kot najpomembnejše izpostavljam naslednje:
Zakaj je varnost spletne strani tako zelo pomembna?
Na zunaj vrhunski avtomobil vam nič ne koristi, če so v njem nameščene stare, nezanesljive zavore, o čemer vi nič ne veste – slej, ko prej bodo zavore zatajile, s tem pa bo vaše življenje ogroženo!
In točno tako je tudi s spletno stranjo. Na zunaj lahko spletna stran deluje vrhunsko, brez težav seveda tudi lahko dolgo deluje, vendar, če stvari niso v štartu varnostno močne, lahko to dolgoročno prinese do številnih težav zaradi nepooblaščenih vdorov v spletna mesta.
Število spletnih napadalcev je v zadnjih letih znatno v porastu, vsaka programska oprema in s tem tudi vtičniki, ki jih nalagamo na Wordpress, pa tako lahko kar naenkrat vsebujejo varnostne luknje (ang. safety breach), ki delujejo kot lepilo za vse elemente spletne strani.
Kako prepoznate napad oz. vdor na vašo spletno stran:
Varnostni kiks #1: Neuporaba SSL certifikata
Ste že kdaj hoteli obiskati spletno stran, ampak vas je vaš brskalnik ob poskusu opozoril, da spletno mesto, ki ga želite obiskati ni varno?
Ja, to je res zoprno. In kaj storite ob pogledu na tako opozorilo, razen, če resnično osebno zaupate lastniku obiskane spletne strani?
Popihate jo kolikor daleč morete!
SSL certifikat naredi ravno to – odstrani to sporočilo, saj je z SSL certifikatom zagotovljena osnovna zaščita vaše spletne strani. To je še toliko bolj pomembno v spletnih trgovinah, kjer se preko plačilnega procesorja direktno sprejemajo plačila. SSL certifikat prepreči krajo občutljivih informacij v procesu zaključka plačila s kreditno kartico, Paypalom in podobnimi orodji za spletno plačevanje.
Ne dovolite si torej, da vaša spletna stran ne bi imela SSL certifikata, ker se brez njega prav res ne morete nadejati kakršnegakoli zaslužka, ki bi izviral iz take spletne strani!
Kako preverite, ali je spletna stran zaščitena z SSL certifikatom?
Kot prikazuje slika, kliknete na majhno ključavnico ob URL naslovu spletne strani, ki si jo ogledujete. Če je spletna stran zaščitena z SSL certifikatom se izpiše besedilo “Povezava je varna”. V nasprotnem primeru se ta tekst izpiše v rdeči barvi in piše “Povezava s tem spletnim mestom ni varna”. Izpiše se tudi vrsta certifikata.
Varnostni kiks #2: Uporabniško ime in geslo sta enostavni
Katero geslo bo spletni napadalec prej našel?
natasa2020 ali
gwuj90T8%=)gbjkuHDC
?
Odgovor je seveda več kot jasen.
Osnovno nenapisano pravilo, ki pri tem obstaja je, da naj uporabniško ime in/ali geslo nikoli NE vsebuje katerega od naslednjih elementov:
Delo izdelovalca spletne strani bi moralo biti to, da že ob osnovni namestitvi Wordpressa na vaš strežnik onemogoči uporabo šibkih gesel za vse uporabnike vaše spletne strani. To je tudi najpogostejša pomanjkljivost, ki jo opazim v praksi. Vem, da je priročno sestaviti kar svoje ime in letnico rojstva, varno pa zagotovo ni.
Varnostni kiks #3: Ni sistema za preprečevanje vdorov
Na vsaki zabavi je dobro imeti varnostnika, tako je tudi takšen sistem za preprečevanje vdorov varnostnik na vaši spletni strani.
Po mojem mnenju je prva naloga izdelovalca spletne strani, ko namesti Wordpress na paket gostovanja, ki ste ga kupili, da vzpostavi sistem za preprečevanje vdorov. Takšen sistem odbije vse poskuse vdorov na spletno stran, preden do njih dejansko pride.
Takšen sistem vzpostavi požarni zid in vrsto drugih koristnih zaščit, ki preprečujejo spreminjanje datotek vaše spletne strani in nepooblaščen vstop v nadzorno ploščo.
Sistem je zadolžen za to, da prepreči neželene poskuse vstopa v spletno stran, hkrati pa zaznava sumljive programske kode, ki jih nalagamo z raznimi vtičniki, če le-teh ne izbiramo dovolj skrbno (kar je tudi nedopustno).
Kako lahko preverimo, ali tovrsten sistem na spletni strani obstaja in je tudi ustrezno nastavljen?
Pojdite na povezavo, s katero se lahko prijavite v nadzorno ploščo svoje spletne strani v Wordpressu (https://vasadomena/wp-admin/. Vpišite svoje uporabniško ime, vnesite pa tudi nepravilno geslo. Postopek ponovite vsaj 20x z napačnim geslom (vsakič uporabite drugega, čisto poljubno). Če vas sistem sam ne zaklene iz spletne strani, takšen sistem verjetno ni nastavljen. In zdaj si predstavljajte- hekerski roboti zelo hitro odkrijejo vaše uporabniško ime, kdaj bo kakšen zadel še geslo pa je le še vprašanje časa.
Opozorilo: Ko boste to naredili, verjetno vsaj 24 ur ne boste mogli vstopiti v nadzorno ploščo, če je sistem vzpostavljen, saj vam bo sistem dostop avtomatsko preprečil. V kolikor dostop vseeno potrebujete, kontaktirajte svojega izdelovalca spletne strani ali ponudnika gostovanja, da ročno odklene dostop za vas.
Varnostni kiks #4: Ni sistema za preprečevanje neželenih komentarjev in vnosov v obrazce
Ste že kdaj doživeli, da vam Facebook ali kako drugo socialno omrežje ni dovolilo kakšne objave ali komentarja?
Res je, da je to zelo zoprno, če se dogaja prepogosto, kot je to na raznoraznih socialnih omrežjih. Oni morajo zaradi sovražnega govora in cenzure pač imeti te sisteme res rigorozno nastavljene. V primeru vaše spletne strani pa je dobro, da se uredi minimalno naslednje:
Kako lahko sami preverite ali imate opisano urejeno?
Enostavno obiščete nadzorno ploščo svoje Wordpress spletne strani in pogledate vnose v obrazce, komentarje in mnenja. Če je vmes veliko neželenih vnosov, je sistem na vaši spletni strani pomanjkljiv. Dodatno lahko z lastnim vnosom preverite ali lahko v vnose dodajate povezave, žaljivke.
Opozorilo: Zaščito obrazcev pogosto ljudje povezujejo z reCaptcha izzivom, ko je potrebno izračunati račun, označiti neke slikice, prepisati neke znake ali označiti kvadratek. A tudi, če tega ni, to ne pomeni, da obrazec ni zaščiten, ker obstajajo že veliko bolj sofisticirani in prikriti načini zaščite obrazcev.
S to težavo se seveda ne srečujete, če na spletni strani nimate obrazcev (kar je izredno redko), nimate omogočenega komentiranja v svojem blogu (ali le-tega nimate) in/ali ne omogočate oddaje mnenj v spletni trgovini (ker pač spletne trgovine nimate).
Zavedati se je potrebno, da v celoti tega ne moremo preprečiti oz. je to izredno težko. Vsekakor pa moramo nujno težiti k temu, da tovrstne nerelevantne vnose zmanjšamo na minimum.
Ti vnosi lahko hitro zapolnijo naš e-poštni predal (če nastavite obveščanje po e-pošti o novih komentarjih, mnenjih in vnosih v obrazce, kar toplo priporočam zaradi odzivnosti), obenem pa lahko dolgoročno dejansko povzročijo, da se vaša domena znajde na “črni listi”, kar pomeni, da bo vaša e-pošta pogosteje romala v mapo z “vsiljeno pošto” pri strankah.
V tovrstnih neželenih vnosih obstaja tudi nevarnost vnosa zlonamernih kod, preko katerih se “odpirajo” ranljivosti na vaši spletni strani, ki potem hekerjem omogočijo dostop do spletne strani.
Varnostni kiks #5: Sistemske posodobitve se ne izvajajo redno
Posodabljanje vtičnikov, teme in Wordpressa je pogosto pozabljen postopek, pa vendar je najpomembnejši faktor vzdrževanja varnosti spletne strani.
Vse prepogosto ugotavljam, da so spletne strani na slovenskem trgu nevzdrževane. Ja, spletno stran je potrebno po postavitvi tudi vzdrževati. Ključni element vzdrževanja je posodabljanje sistema – Wordpressa, vtičnikov in uporabljene teme. Tudi najbolj preproste spletne strani to NUJNO POTREBUJEJO, da ohranijo svojo kvaliteto skozi čas.
Kaj se lahko zgodi, ko ne posodabljamo sistema?
Hekerji so ves čas na delu. In le vprašanje časa je, kdaj v posamezni verziji posameznega vtičnika, teme in samem sistemu Wordpress najdejo neko varnostno luknjo, ki lahko ogrozi prav vsako spletno stran, izdelano na tisti verziji. Če ne posodabljamo sproti, lahko hekerjev poskus vdora v zastarelo verzijo pride tudi do nas. Zaradi tega zelo pogosto izhajajo varnostne posodobitve, ki jih je nujno implementirati. Iz določenih razlogov je sicer pametno počakati nekaj dni in se posodobitve lotiti na pravi način, vsekakor pa zastarelih verzij sestavnih elementov naše spletne strani ne smemo imeti predolgo, saj je vdor le vprašanje časa.
Kako ugotovimo, ali je na naši spletni strani vse posodobljeno, kot je treba?
Za to morate spet vstopiti v svojo nadzorno ploščo Wordpressa. Potem pa izvedete naslednje korake:
Ampak pozor! Ne lotevajte se posodabljanja česarkoli, če niste prepričani kaj delate. Raje pokličite izdelovalca svoje spletne strani, na sploh pa je priporočljivo imeti sklenjeno vzdrževalno pogodbo, na podlagi katere je za vas ta skrb odveč. Pri posodabljanju lahko namreč pride do konfliktov med temami, vtičniki in Wordpressom in je bolje, da posodobitve izvaja strokovnjak, ki morebitne težave takoj odpravi. Pomembno pa je, da razumete kako to preveriti, saj se pogosto zgodi, da so vzdrževalci spletnih strani nevestni in zanemarjajo izvajanje varnostnih posodobitev.
Varnostni kiks #6: Na spletni strani so nepreverjeni vtičniki
Pred nakupom vsakega dražjega izdelka najprej preverimo mnenja preteklih strank, preverimo, koliko se izdelek uporablja in preverimo, ali je “v trendu”.
Točno tako je tudi z vtičniki na spletnih straneh. Trenutna ocena je, da je v Wordpress repozitoriju na voljo preko 50.000 brezplačnih vtičnikov in še vsaj 50 % toliko plačljivih. Sama ocenjujem, da je resnično varnih največ 300 brezplačnih vtičnikov, pri vseh ostalih pa je potrebna velika previdnost. Nekateri vtičniki so namreč ustvarjeni zato, da v spletno stran vnesejo zlonamerne kode, ki omogočijo kasnejši vdor.
Ta varnostni kiks je pogosto odgovornost lastnikov spletnih strani, ki se nevarnosti ne zavedajo in na spletno stran nalagajo vtičnike, ker pač igrajo funkcijo, ki si jo želijo, ne želijo pa plačati za izvedbo, ker imajo občutek, da to lahko storijo sami. Zavedati se je potrebno, da izdelovalci spletnih strani dolgo časa delamo z vtičniki in že praktično “na pamet” vemo, katerim razvijalcem brezplačnih vtičnikov gre zaupati in kateri konkretni vtičniki dejansko dobro opravljajo svojo funkcijo.
Če pa že nalagate vtičnik sami, ga preverite iz naslednjih vidikov (podatki so na voljo v (repozitoriju vtičnikov):
Varnostni kiks #7: Nimate osebe, zadolžene za vzdrževanje varnosti vaše spletne strani
Varnost spletne strani je lahko brezhibna ob prevzemu, vsekakor pa s časom pada. Vse te tehnike, ki so navedene in še številne druge, mora nekdo ves čas nadgrajevati, poskrbeti, da so v skladu z razvojem varnostnih tehnologij.