Imate spletno stran ali jo načrtujete? Ste vedeli, da je varnost vaše spletne strani nekaj, čemur morate nujno tudi vi posvetiti pozornost, ne le izvajalec, ki ga boste (ali ste ga že) izbrali za izdelavo svoje nove spletne strani?
Skozi svoje delo redno srečujem bolj ali manj po(ne)srečene poskuse izdelave spletnih strani. In ena najpogostejših težav, ki jih zaznavam je pomanjkljiva varnostna politika spletnih mest.
V tem zapisu dobite vpogled v 7 najpogostejših ukrepov, s katerimi poskrbimo za varnost spletne strani:
Na zunaj vrhunski avtomobil vam nič ne koristi, če so v njem nameščene stare, nezanesljive zavore, o čemer vi nič ne veste – slej, ko prej bodo zavore zatajile, s tem pa bo vaše življenje ogroženo!
In točno tako je tudi s spletno stranjo. Na zunaj lahko spletna stran deluje vrhunsko, brez težav tudi lahko zelo dolgo deluje, vendar, če stvari niso v štartu varnostno močne, lahko to dolgoročno prinese do številnih težav zaradi vdorov v spletna mesta.
Število spletnih napadalcev je v zadnjih letih znatno v porastu, vsaka programska oprema in s tem tudi vtičniki, ki jih nalagamo na WordPress, pa tako lahko kar naenkrat vsebujejo varnostne luknje (ang. safety breach), ki delujejo kot lepilo za poskuse vdorov v spletno stran.
Vdor v spletno stran običajno prepoznamo šele, ko se nameščena zlonamerna koda sproži. A to običajno tudi ni trenutek, ko je do vdora prišlo. Zlonamerna koda je lahko bila nameščena že mesece ali leta preden se pojavijo prve težave.
Zato je neprebojen varnostni sistem bistven od samega začetka obstoja spletne strani.
Predvsem pa je bistveno tudi, da svojo spletno stran spremljate, jo pogosto preklikate, dobro pregledate. In če opazite 1 ali več znakov, da je bila vaša spletna stran žrtev vdora, je pomembno, da takoj odreagirate in kontaktirate nekoga, ki bo težave zaradi vdora odpravil in poiskal zlonamerno kodo.
Vdor lahko prepoznate po naslednjih znakih:
Ste že kdaj hoteli obiskati spletno stran, ampak vas je vaš brskalnik ob poskusu opozoril, da spletno mesto, ki ga želite obiskati ni varno?
Ja, to je res zoprno. In kaj storite ob pogledu na tako opozorilo, razen, če resnično osebno zaupate lastniku obiskane spletne strani?
Popihate jo kolikor daleč morete!
SSL certifikat naredi ravno to – odstrani to sporočilo, saj je z SSL certifikatom zagotovljena osnovna zaščita vaše spletne strani. To je še toliko bolj pomembno v spletnih trgovinah, kjer se preko plačilnega procesorja direktno sprejemajo plačila. SSL certifikat prepreči krajo občutljivih informacij v procesu zaključka plačila s kreditno kartico, Paypalom in podobnimi orodji za spletno plačevanje.
Ne dovolite si torej, da vaša spletna stran ne bi imela SSL certifikata, ker se brez njega prav res ne morete nadejati kakršnegakoli zaslužka, ki bi izviral iz take spletne strani!
Kot prikazuje slika, kliknete na majhno ključavnico ob URL naslovu spletne strani, ki si jo ogledujete. Če je spletna stran zaščitena z SSL certifikatom se izpiše besedilo “Povezava je varna”. V nasprotnem primeru se ta tekst izpiše v rdeči barvi in piše “Povezava s tem spletnim mestom ni varna”. Izpiše se tudi vrsta certifikata.
Katero geslo bo spletni napadalec prej našel?
natasa2020 ali
gwuj90T8%=)gbjkuHDC
?
Odgovor je seveda več kot jasen.
Minimalni standardi sestave varnega gesla so:
To je tudi najpogostejša pomanjkljivost, ki jo opazim v praksi. Vem, da je priročno sestaviti kar svoje ime in letnico rojstva, varno pa zagotovo ni.
Na vsaki zabavi je dobro imeti varnostnika, tako je tudi takšen sistem za preprečevanje vdorov varnostnik na vaši spletni strani.
Po mojem mnenju je prva naloga izdelovalca spletne strani, ko namesti WordPress na paket gostovanja, ki ste ga kupili, da vzpostavi sistem za preprečevanje vdorov. Takšen sistem odbije vse poskuse vdorov na spletno stran, preden do njih dejansko pride.
Takšen sistem vzpostavi požarni zid in vrsto drugih koristnih zaščit, ki preprečujejo spreminjanje datotek vaše spletne strani in nepooblaščen vstop v nadzorno ploščo.
Sistem je zadolžen za to, da prepreči neželene poskuse vstopa v spletno stran, hkrati pa zaznava sumljive programske kode, ki jih nalagamo z raznimi vtičniki, če le-teh ne izbiramo dovolj skrbno (kar je tudi nedopustno).
Prav tako takšen sistem beleži vse poskuse prijave v administratorski prostor spletne strani, s čimer pridobimo koristne informacije o tem, iz katere države in celo iz katerih IP naslovov prihajajo napadi.
Če opazimo, da se neka država ali IP naslov pogosteje ponavlja, lahko dostop do administracije za tako državo ali IP naslov v celoti onemogočimo. Seveda za to prosite pomoč svojega programerja.
In brez skrbi, spletna stran bo "od spredaj" še vedno dostopna vsem obiskovalcem, tudi v teh državah, le do ozadja spletne strani ne bodo mogli dostopati.
Na spletni strani najdemo v osnovi 2 vrsti obrazcev: Obrazce za komentiranje in kontaktne obrazce.
Verjamete ali ne, tudi preko obrazcev lahko "hudobneži" dosežejo svoje. Pa si v nadaljevanju poglejmo, kako zaščitimo ti 2 vrsti obrazcev.
Obrazce za komentiranje najpogosteje najdemo na spletnih straneh v blogih in na straneh izdelka, kjer kupci oddajajo mnenja o vaših izdelkih.
Neželeni komentarji (ang. spam) so na spletnih straneh problematični iz 2 razlogov. Kot prvo, se lahko komentarji s povezavami, ki vsebujejo viruse neposredno pokažejo vašim realnim komentatorjem. To pomeni, da lahko na to povezavo klikne vsak, ki bere vašo vsebino. To seveda vpliva na vaš ugled. Prav tako so taki komentarji običajno opolzki in v tujem jeziku, kar na vaš ugled še bolj negativno vpliva.
Druga stvar pa je, da lahko na to povezavo kliknete celo vi (seveda vam odsvetujem klikanje kakršnikoli povezav v komentarjih) in si neposredno na spletno stran prenesete kakšno zlonamerno skripto ali okužite celo vaš računalnik.
Obrazec za komentiranje lahko zaščitite najmanj na naslednje načine:
Pomembno je, da vedno budno spremljate dogajanje na svoji spletni strani, zato vklopite obveščanje, ko kdorkoli na vaši spletni strani odda komentar. Tako lahko hitro odreagirate in neustrezne vnose odpravite.
Na spletni strani seveda ponudimo možnost oddaje povpraševanja, kontakta ali celo česa drugega, preko obrazcev. Obrazci pa so posebej izpostavljeni robotskim vnosom, vsaj, če niso ustrezno zaščiteni.
Tako nam lahko preko obrazcev pošiljajo povezave, ki na naš računalnik ali spletno stran namestijo zlonamerno kodo.
Prav tako pa se lahko ob kakšnem večjem napadu zgodi, da med množico neželenih vnosov spregledamo kakšen realen vnos. Ta vnos je lahko bilo povpraševanje, ki se ne bo spremenilo v posel, če se ne bomo odzvali.
Obrazce na spletni strani zaščitimo na naslednje načine:
reCaptcho in hCaptcho pogosto povezujemo z vizualno neprivlačnim kvadratkom, ki ga je potrebno klikniti, da lahko izpolnimo obrazec. A tudi, če tega ni, to ne pomeni, da obrazec ni zaščiten, ker obstaja način, da to skrijemo pred obiskovalci, zaščito pa vseeno ohranimo.
Posodabljanje vtičnikov, teme in WordPressa je pogosto pozabljen postopek, pa vendar je najpomembnejši faktor vzdrževanja varnosti spletne strani.
Vse prepogosto ugotavljam, da so spletne strani na slovenskem trgu nevzdrževane. Ja, spletno stran je potrebno po postavitvi tudi vzdrževati. Ključni element vzdrževanja je posodabljanje sistema – WordPressa, vtičnikov in uporabljene teme (če je spletna stran postavljena z WordPress sistemom). Tudi najbolj preproste spletne strani to nujno potrebujejo, da ohranijo svojo kvaliteto skozi čas.
Spletno stran lahko za vas vzdržuje tudi Intelectum. Preverite možnosti vzdrževanja spletnih strani.
Hekerji so ves čas na delu. In le vprašanje časa je, kdaj v posamezni verziji posameznega vtičnika, teme in samem sistemu WordPress najdejo neko varnostno luknjo, ki lahko ogrozi prav vsako spletno stran, izdelano na tisti verziji.
Če ne posodabljamo sproti, lahko hekerjev poskus vdora v zastarelo verzijo pride tudi do nas. Zaradi tega zelo pogosto izhajajo varnostne posodobitve, ki jih je nujno implementirati.
Iz določenih razlogov je sicer pametno počakati nekaj dni in se posodobitve lotiti na pravi način, vsekakor pa zastarelih verzij sestavnih elementov naše spletne strani ne smemo imeti predolgo, saj je vdor le vprašanje časa.
Za to vstopite v nadzorno ploščo svoje WordPress spletne strani in izvedite naslednje korake:
Dostop do posodobitev tem in vtičnikov je sicer na voljo še na drugačen način, a za ta prikaz bo to dovolj.
V kolikor niste prepričani, kaj delate, posodabljanje vedno prepustite strokovnjaku, da se izognete drugih težav, ki jih posodabljanje lahko prinese.
Pred nakupom vsakega dražjega izdelka najprej preverimo mnenja preteklih strank, preverimo, koliko se izdelek uporablja in preverimo, ali je “v trendu”.
Točno tako je tudi z vtičniki na spletnih straneh. Trenutna ocena je, da je v WordPress repozitoriju na voljo preko 50.000 brezplačnih vtičnikov in še vsaj 50 % toliko plačljivih. Sama ocenjujem, da je resnično varnih največ 1.000 brezplačnih vtičnikov, pri vseh ostalih pa je potrebna velika previdnost. Nekateri vtičniki so namreč ustvarjeni zato, da v spletno stran vnesejo zlonamerne kode, ki omogočijo kasnejši vdor.
To je pogosto odgovornost lastnikov spletnih strani, ki se nevarnosti ne zavedajo in na spletno stran nalagajo vtičnike, ker pač igrajo funkcijo, ki si jo želijo, ne želijo pa plačati za izvedbo, ker imajo občutek, da to lahko storijo sami. Zavedati se je potrebno, da izdelovalci spletnih strani dolgo časa delamo z vtičniki in že praktično “na pamet” vemo, katerim razvijalcem brezplačnih vtičnikov gre zaupati in kateri konkretni vtičniki dejansko dobro opravljajo svojo funkcijo.
Če pa že nalagate vtičnik sami, ga preverite iz naslednjih vidikov (podatki so na voljo v (repozitoriju vtičnikov):
Seveda tudi pri preverjanju vtičnikov ni vse tako črno-belo in obstaja tudi možnost, da ima vtičnik zelo malo aktivnih inštalacij, pa je vseeno v redu. Mogoče je vtičnik namenjen funkcionalnosti, ki na splošno ni v široki rabi. In mogoče nima ravno veliko mnenj, kot bi si želeli, ker je vtičnik nov na trgu. Faktorjev je veliko, a zgornja navodila vas bodo zavarovala pred večino neustreznih vtičnikov.
Mini nasvet: Načeloma lahko zaupamo Freemium vtičnikom. To pomeni, da so v osnovi plačljivi, ampak imajo na voljo Premium ali Pro verzijo, ki omogoča širše funkcionalnosti.
Varnost spletne strani je lahko brezhibna ob prevzemu, vsekakor pa s časom pada. Vse te tehnike, ki so navedene in še številne druge, mora nekdo ves čas nadgrajevati, poskrbeti, da so v skladu z razvojem varnostnih tehnologij.
Kliknite spodnji gumb, izpolnite obrazec in kmalu boste na svoj e-poštni termin prejeli vse informacije o izvedbi.
Na brezplačnem 30-minutnem posvetu bomo spregovorili o vaših željah in idejah glede projekta, jaz pa bom prejela vse informacije, ki jih potrebujem za izdelavo relevantne ponudbe za izdelavo spletne strani, ki jo boste s ponosom pokazali svetu in z največjim užitkom uporabljali.