7 ukrepov za preprečevanje vdorov v spletno stran

Imate spletno stran ali jo načrtujete? Ste vedeli, da je varnost vaše spletne strani nekaj, čemur morate nujno tudi vi posvetiti pozornost, ne le izvajalec, ki ga boste (ali ste ga že) izbrali za izdelavo svoje nove spletne strani?

Nazadnje urejeno:
17 novembra, 2023
Kategorije: Izdelava spletne strani
Top 7 varnostnih kiksov na spletni strani
Reading Progress Bar
Kazalo vsebine:

Skozi svoje delo redno srečujem bolj ali manj po(ne)srečene poskuse izdelave spletnih strani. In eden najpogostejših težav, ki jih zaznavam je pomanjkljiva varnostna politika spletnih mest. V tem zapisu dobite vpogled v 7 najpogostejših kiksov, povezanih z varnostjo spletnih mest na slovenskih spletnih straneh. Kot najpomembnejše izpostavljam naslednje:

Zakaj je varnost spletne strani tako zelo pomembna?

Na zunaj vrhunski avtomobil vam nič ne koristi, če so v njem nameščene stare, nezanesljive zavore, o čemer vi nič ne veste – slej, ko prej bodo zavore zatajile, s tem pa bo vaše življenje ogroženo!

In točno tako je tudi s spletno stranjo. Na zunaj lahko spletna stran deluje vrhunsko, brez težav seveda tudi lahko dolgo deluje, vendar, če stvari niso v štartu varnostno močne, lahko to dolgoročno prinese do številnih težav zaradi nepooblaščenih vdorov v spletna mesta.

Število spletnih napadalcev je v zadnjih letih znatno v porastu, vsaka programska oprema in s tem tudi vtičniki, ki jih nalagamo na Wordpress, pa tako lahko kar naenkrat vsebujejo varnostne luknje (ang. safety breach), ki delujejo kot lepilo za vse elemente spletne strani.

Kako prepoznate napad oz. vdor na vašo spletno stran:

Varnostni kiks #1: Neuporaba SSL certifikata

Ste že kdaj hoteli obiskati spletno stran, ampak vas je vaš brskalnik ob poskusu opozoril, da spletno mesto, ki ga želite obiskati ni varno?

Ja, to je res zoprno. In kaj storite ob pogledu na tako opozorilo, razen, če resnično osebno zaupate lastniku obiskane spletne strani?

Popihate jo kolikor daleč morete!

SSL certifikat naredi ravno to – odstrani to sporočilo, saj je z SSL certifikatom zagotovljena osnovna zaščita vaše spletne strani. To je še toliko bolj pomembno v spletnih trgovinah, kjer se preko plačilnega procesorja direktno sprejemajo plačila. SSL certifikat prepreči krajo občutljivih informacij v procesu zaključka plačila s kreditno kartico, Paypalom in podobnimi orodji za spletno plačevanje.

Ne dovolite si torej, da vaša spletna stran ne bi imela SSL certifikata, ker se brez njega prav res ne morete nadejati kakršnegakoli zaslužka, ki bi izviral iz take spletne strani!

Kako preverite, ali je spletna stran zaščitena z SSL certifikatom?

Kot prikazuje slika, kliknete na majhno ključavnico ob URL naslovu spletne strani, ki si jo ogledujete. Če je spletna stran zaščitena z SSL certifikatom se izpiše besedilo “Povezava je varna”. V nasprotnem primeru se ta tekst izpiše v rdeči barvi in piše “Povezava s tem spletnim mestom ni varna”. Izpiše se tudi vrsta certifikata.

Varnostni kiks #2: Uporabniško ime in geslo sta enostavni

Katero geslo bo spletni napadalec prej našel?

natasa2020 ali

gwuj90T8%=)gbjkuHDC

?

Odgovor je seveda več kot jasen.

Osnovno nenapisano pravilo, ki pri tem obstaja je, da naj uporabniško ime in/ali geslo nikoli NE vsebuje katerega od naslednjih elementov:

Delo izdelovalca spletne strani bi moralo biti to, da že ob osnovni namestitvi Wordpressa na vaš strežnik onemogoči uporabo šibkih gesel za vse uporabnike vaše spletne strani. To je tudi najpogostejša pomanjkljivost, ki jo opazim v praksi. Vem, da je priročno sestaviti kar svoje ime in letnico rojstva, varno pa zagotovo ni.

Varnostni kiks #3: Ni sistema za preprečevanje vdorov

Na vsaki zabavi je dobro imeti varnostnika, tako je tudi takšen sistem za preprečevanje vdorov varnostnik na vaši spletni strani.

Po mojem mnenju je prva naloga izdelovalca spletne strani, ko namesti Wordpress na paket gostovanja, ki ste ga kupili, da vzpostavi sistem za preprečevanje vdorov. Takšen sistem odbije vse poskuse vdorov na spletno stran, preden do njih dejansko pride.

Takšen sistem vzpostavi požarni zid in vrsto drugih koristnih zaščit, ki preprečujejo spreminjanje datotek vaše spletne strani in nepooblaščen vstop v nadzorno ploščo.

Sistem je zadolžen za to, da prepreči neželene poskuse vstopa v spletno stran, hkrati pa zaznava sumljive programske kode, ki jih nalagamo z raznimi vtičniki, če le-teh ne izbiramo dovolj skrbno (kar je tudi nedopustno).

Kako lahko preverimo, ali tovrsten sistem na spletni strani obstaja in je tudi ustrezno nastavljen?

Pojdite na povezavo, s katero se lahko prijavite v nadzorno ploščo svoje spletne strani v Wordpressu (https://vasadomena/wp-admin/. Vpišite svoje uporabniško ime, vnesite pa tudi nepravilno geslo. Postopek ponovite vsaj 20x z napačnim geslom (vsakič uporabite drugega, čisto poljubno). Če vas sistem sam ne zaklene iz spletne strani, takšen sistem verjetno ni nastavljen. In zdaj si predstavljajte- hekerski roboti zelo hitro odkrijejo vaše uporabniško ime, kdaj bo kakšen zadel še geslo pa je le še vprašanje časa.

Opozorilo: Ko boste to naredili, verjetno vsaj 24 ur ne boste mogli vstopiti v nadzorno ploščo, če je sistem vzpostavljen, saj vam bo sistem dostop avtomatsko preprečil. V kolikor dostop vseeno potrebujete, kontaktirajte svojega izdelovalca spletne strani ali ponudnika gostovanja, da ročno odklene dostop za vas.

Varnostni kiks #4: Ni sistema za preprečevanje neželenih komentarjev in vnosov v obrazce

Ste že kdaj doživeli, da vam Facebook ali kako drugo socialno omrežje ni dovolilo kakšne objave ali komentarja?

Res je, da je to zelo zoprno, če se dogaja prepogosto, kot je to na raznoraznih socialnih omrežjih. Oni morajo zaradi sovražnega govora in cenzure pač imeti te sisteme res rigorozno nastavljene. V primeru vaše spletne strani pa je dobro, da se uredi minimalno naslednje:

Kako lahko sami preverite ali imate opisano urejeno?

Enostavno obiščete nadzorno ploščo svoje Wordpress spletne strani in pogledate vnose v obrazce, komentarje in mnenja. Če je vmes veliko neželenih vnosov, je sistem na vaši spletni strani pomanjkljiv. Dodatno lahko z lastnim vnosom preverite ali lahko v vnose dodajate povezave, žaljivke.

Opozorilo: Zaščito obrazcev pogosto ljudje povezujejo z reCaptcha izzivom, ko je potrebno izračunati račun, označiti neke slikice, prepisati neke znake ali označiti kvadratek. A tudi, če tega ni, to ne pomeni, da obrazec ni zaščiten, ker obstajajo že veliko bolj sofisticirani in prikriti načini zaščite obrazcev.

S to težavo se seveda ne srečujete, če na spletni strani nimate obrazcev (kar je izredno redko), nimate omogočenega komentiranja v svojem blogu (ali le-tega nimate) in/ali ne omogočate oddaje mnenj v spletni trgovini (ker pač spletne trgovine nimate).

Zavedati se je potrebno, da v celoti tega ne moremo preprečiti oz. je to izredno težko. Vsekakor pa moramo nujno težiti k temu, da tovrstne nerelevantne vnose zmanjšamo na minimum.

Ti vnosi lahko hitro zapolnijo naš e-poštni predal (če nastavite obveščanje po e-pošti o novih komentarjih, mnenjih in vnosih v obrazce, kar toplo priporočam zaradi odzivnosti), obenem pa lahko dolgoročno dejansko povzročijo, da se vaša domena znajde na “črni listi”, kar pomeni, da bo vaša e-pošta pogosteje romala v mapo z “vsiljeno pošto” pri strankah.

V tovrstnih neželenih vnosih obstaja tudi nevarnost vnosa zlonamernih kod, preko katerih se “odpirajo” ranljivosti na vaši spletni strani, ki potem hekerjem omogočijo dostop do spletne strani.

Varnostni kiks #5: Sistemske posodobitve se ne izvajajo redno

Posodabljanje vtičnikov, teme in Wordpressa je pogosto pozabljen postopek, pa vendar je najpomembnejši faktor vzdrževanja varnosti spletne strani.

Vse prepogosto ugotavljam, da so spletne strani na slovenskem trgu nevzdrževane. Ja, spletno stran je potrebno po postavitvi tudi vzdrževati. Ključni element vzdrževanja je posodabljanje sistema – Wordpressa, vtičnikov in uporabljene teme. Tudi najbolj preproste spletne strani to NUJNO POTREBUJEJO, da ohranijo svojo kvaliteto skozi čas.

Kaj se lahko zgodi, ko ne posodabljamo sistema?

Hekerji so ves čas na delu. In le vprašanje časa je, kdaj v posamezni verziji posameznega vtičnika, teme in samem sistemu Wordpress najdejo neko varnostno luknjo, ki lahko ogrozi prav vsako spletno stran, izdelano na tisti verziji. Če ne posodabljamo sproti, lahko hekerjev poskus vdora v zastarelo verzijo pride tudi do nas. Zaradi tega zelo pogosto izhajajo varnostne posodobitve, ki jih je nujno implementirati. Iz določenih razlogov je sicer pametno počakati nekaj dni in se posodobitve lotiti na pravi način, vsekakor pa zastarelih verzij sestavnih elementov naše spletne strani ne smemo imeti predolgo, saj je vdor le vprašanje časa.

Kako ugotovimo, ali je na naši spletni strani vse posodobljeno, kot je treba?

Za to morate spet vstopiti v svojo nadzorno ploščo Wordpressa. Potem pa izvedete naslednje korake:

Ampak pozor! Ne lotevajte se posodabljanja česarkoli, če niste prepričani kaj delate. Raje pokličite izdelovalca svoje spletne strani, na sploh pa je priporočljivo imeti sklenjeno vzdrževalno pogodbo, na podlagi katere je za vas ta skrb odveč. Pri posodabljanju lahko namreč pride do konfliktov med temami, vtičniki in Wordpressom in je bolje, da posodobitve izvaja strokovnjak, ki morebitne težave takoj odpravi. Pomembno pa je, da razumete kako to preveriti, saj se pogosto zgodi, da so vzdrževalci spletnih strani nevestni in zanemarjajo izvajanje varnostnih posodobitev.

Varnostni kiks #6: Na spletni strani so nepreverjeni vtičniki

Pred nakupom vsakega dražjega izdelka najprej preverimo mnenja preteklih strank, preverimo, koliko se izdelek uporablja in preverimo, ali je “v trendu”. 

Točno tako je tudi z vtičniki na spletnih straneh. Trenutna ocena je, da je v Wordpress repozitoriju na voljo preko 50.000 brezplačnih vtičnikov in še vsaj 50 % toliko plačljivih. Sama ocenjujem, da je resnično varnih največ 300 brezplačnih vtičnikov, pri vseh ostalih pa je potrebna velika previdnost. Nekateri vtičniki so namreč ustvarjeni zato, da v spletno stran vnesejo zlonamerne kode, ki omogočijo kasnejši vdor.

Ta varnostni kiks je pogosto odgovornost lastnikov spletnih strani, ki se nevarnosti ne zavedajo in na spletno stran nalagajo vtičnike, ker pač igrajo funkcijo, ki si jo želijo, ne želijo pa plačati za izvedbo, ker imajo občutek, da to lahko storijo sami. Zavedati se je potrebno, da izdelovalci spletnih strani dolgo časa delamo z vtičniki in že praktično “na pamet” vemo, katerim razvijalcem brezplačnih vtičnikov gre zaupati in kateri konkretni vtičniki dejansko dobro opravljajo svojo funkcijo.

Če pa že nalagate vtičnik sami, ga preverite iz naslednjih vidikov (podatki so na voljo v (repozitoriju vtičnikov):

Varnostni kiks #7: Nimate osebe, zadolžene za vzdrževanje varnosti vaše spletne strani

Varnost spletne strani je lahko brezhibna ob prevzemu, vsekakor pa s časom pada. Vse te tehnike, ki so navedene in še številne druge, mora nekdo ves čas nadgrajevati, poskrbeti, da so v skladu z razvojem varnostnih tehnologij.

Skozi svoje delo redno srečujem bolj ali manj po(ne)srečene poskuse izdelave spletnih strani. In ena najpogostejših težav, ki jih zaznavam je pomanjkljiva varnostna politika spletnih mest.

V tem zapisu dobite vpogled v 7 najpogostejših ukrepov, s katerimi poskrbimo za varnost spletne strani:

  • Neuporaba SSL certifikata
  • Šibko uporabniško ime in geslo
  • Ni sistema za preprečevanja vdorov
  • Ni sistema za preprečevanje neželenih komentarjev in vnosov v obrazce
  • Sistemske posodobitve se ne izvajajo redno
  • Na spletni strani so nepreverjeni vtičniki
  • Nimate osebe, zadolžene za vzdrževanje varnosti vaše spletne strani

Zakaj je varnost spletne strani tako zelo pomembna?

Na zunaj vrhunski avtomobil vam nič ne koristi, če so v njem nameščene stare, nezanesljive zavore, o čemer vi nič ne veste – slej, ko prej bodo zavore zatajile, s tem pa bo vaše življenje ogroženo!

In točno tako je tudi s spletno stranjo. Na zunaj lahko spletna stran deluje vrhunsko, brez težav tudi lahko zelo dolgo deluje, vendar, če stvari niso v štartu varnostno močne, lahko to dolgoročno prinese do številnih težav zaradi vdorov v spletna mesta.

Število spletnih napadalcev je v zadnjih letih znatno v porastu, vsaka programska oprema in s tem tudi vtičniki, ki jih nalagamo na WordPress, pa tako lahko kar naenkrat vsebujejo varnostne luknje (ang. safety breach), ki delujejo kot lepilo za poskuse vdorov v spletno stran.

Kako prepoznati napad oz. vdor na vašo spletno stran?

Vdor v spletno stran običajno prepoznamo šele, ko se nameščena zlonamerna koda sproži. A to običajno tudi ni trenutek, ko je do vdora prišlo. Zlonamerna koda je lahko bila nameščena že mesece ali leta preden se pojavijo prve težave.

Zato je neprebojen varnostni sistem bistven od samega začetka obstoja spletne strani.

Pri Intelectumu je varnostni sistem prva stvar, ki jo uredimo, ko nainštaliramo WordPress.

Predvsem pa je bistveno tudi, da svojo spletno stran spremljate, jo pogosto preklikate, dobro pregledate. In če opazite 1 ali več znakov, da je bila vaša spletna stran žrtev vdora, je pomembno, da takoj odreagirate in kontaktirate nekoga, ki bo težave zaradi vdora odpravil in poiskal zlonamerno kodo.

Vdor lahko prepoznate po naslednjih znakih:

  • Na vaši spletni strani se “iz lufta” pojavijo neke vsebine, ki jih zagotovo niste vi naložili.
  • Na vaši spletni strani se prikazuje oglas, za katerega nimate pojma od kod je (npr. “Googlov” oglas za brezplačni tablični računalnik je en tipičen primer takega vdora).
  • Opažate, da se vaše spletna stran “čudno” obnaša v smislu samodejnih sprememb, do katerih prihaja čisto izven vašega vedenja. Te so lahko minimalne in na uporabniško izkušnjo nič ne vplivajo, lahko so pa tudi zelo velike.
  • Na vaši spletni strani kakšna funkcionalnost kar naenkrat preneha delovati (ali pa celo več njih).
  • Vaše stranke poročajo o čudnem dogajanju na spletni strani, ki ga vi ob obisku spletne strani ne zaznavate. Virusi lahko namreč delujejo tudi selektivno, torej se ne prikazujejo vsem.

7 ukrepov za preprečevanje vdorov v spletno stran

Namestite SSL certifikat

Ste že kdaj hoteli obiskati spletno stran, ampak vas je vaš brskalnik ob poskusu opozoril, da spletno mesto, ki ga želite obiskati ni varno?

Ja, to je res zoprno. In kaj storite ob pogledu na tako opozorilo, razen, če resnično osebno zaupate lastniku obiskane spletne strani?

Popihate jo kolikor daleč morete!

SSL certifikat naredi ravno to – odstrani to sporočilo, saj je z SSL certifikatom zagotovljena osnovna zaščita vaše spletne strani. To je še toliko bolj pomembno v spletnih trgovinah, kjer se preko plačilnega procesorja direktno sprejemajo plačila. SSL certifikat prepreči krajo občutljivih informacij v procesu zaključka plačila s kreditno kartico, Paypalom in podobnimi orodji za spletno plačevanje.

Ne dovolite si torej, da vaša spletna stran ne bi imela SSL certifikata, ker se brez njega prav res ne morete nadejati kakršnegakoli zaslužka, ki bi izviral iz take spletne strani!

Kako preverite, ali je spletna stran zaščitena z SSL certifikatom?

Kot prikazuje slika, kliknete na majhno ključavnico ob URL naslovu spletne strani, ki si jo ogledujete. Če je spletna stran zaščitena z SSL certifikatom se izpiše besedilo “Povezava je varna”. V nasprotnem primeru se ta tekst izpiše v rdeči barvi in piše “Povezava s tem spletnim mestom ni varna”. Izpiše se tudi vrsta certifikata.

Kako preverite ali je na spletno stran nameščen SSL certifikat?

Uporabite varno uporabniško ime in geslo

Katero geslo bo spletni napadalec prej našel?

natasa2020 ali

gwuj90T8%=)gbjkuHDC

?

Odgovor je seveda več kot jasen.

Minimalni standardi sestave varnega gesla so:

  • najmanj 8 znakov
  • vsebuje naj vsaj 1 veliko črko, 1 znak in 1 številko,
  • najbolje, da geslo prav nič ne pomeni, ampak je samo niz naključnih številk, črk in znakov,
  • geslo naj NE vsebuje vašega imena/priimka in njunih katerihkoli delov,
  • geslo naj NE vsebuje kateregakoli elementa vašega e-poštnega naslova in
  • geslo naj NE vsebuje letnice vašega rojstva ali kateregakoli dela vašega rojstnega datuma, ali rojstnega datuma članov vaše družine.

To je tudi najpogostejša pomanjkljivost, ki jo opazim v praksi. Vem, da je priročno sestaviti kar svoje ime in letnico rojstva, varno pa zagotovo ni.

Delo izdelovalca spletne strani bi moralo biti to, da že ob osnovni namestitvi WordPressa na vaš strežnik onemogoči uporabo šibkih gesel za vse uporabnike vaše spletne strani.

Nemestite sistem za preprečevanje vdorov

Na vsaki zabavi je dobro imeti varnostnika, tako je tudi takšen sistem za preprečevanje vdorov varnostnik na vaši spletni strani.

Po mojem mnenju je prva naloga izdelovalca spletne strani, ko namesti WordPress na paket gostovanja, ki ste ga kupili, da vzpostavi sistem za preprečevanje vdorov. Takšen sistem odbije vse poskuse vdorov na spletno stran, preden do njih dejansko pride.

Takšen sistem vzpostavi požarni zid in vrsto drugih koristnih zaščit, ki preprečujejo spreminjanje datotek vaše spletne strani in nepooblaščen vstop v nadzorno ploščo.

Sistem je zadolžen za to, da prepreči neželene poskuse vstopa v spletno stran, hkrati pa zaznava sumljive programske kode, ki jih nalagamo z raznimi vtičniki, če le-teh ne izbiramo dovolj skrbno (kar je tudi nedopustno).

Prav tako takšen sistem beleži vse poskuse prijave v administratorski prostor spletne strani, s čimer pridobimo koristne informacije o tem, iz katere države in celo iz katerih IP naslovov prihajajo napadi.

Če opazimo, da se neka država ali IP naslov pogosteje ponavlja, lahko dostop do administracije za tako državo ali IP naslov v celoti onemogočimo. Seveda za to prosite pomoč svojega programerja.

In brez skrbi, spletna stran bo “od spredaj” še vedno dostopna vsem obiskovalcem, tudi v teh državah, le do ozadja spletne strani ne bodo mogli dostopati.

Zaščitite obrazce na spletni strani

Na spletni strani najdemo v osnovi 2 vrsti obrazcev: Obrazce za komentiranje in kontaktne obrazce.

Verjamete ali ne, tudi preko obrazcev lahko “hudobneži” dosežejo svoje. Pa si v nadaljevanju poglejmo, kako zaščitimo ti 2 vrsti obrazcev.

Zaščita obrazca za komentiranje

Obrazce za komentiranje najpogosteje najdemo na spletnih straneh v blogih in na straneh izdelka, kjer kupci oddajajo mnenja o vaših izdelkih.

Neželeni komentarji (ang. spam) so na spletnih straneh problematični iz 2 razlogov. Kot prvo, se lahko komentarji s povezavami, ki vsebujejo viruse neposredno pokažejo vašim realnim komentatorjem. To pomeni, da lahko na to povezavo klikne vsak, ki bere vašo vsebino. To seveda vpliva na vaš ugled. Prav tako so taki komentarji običajno opolzki in v tujem jeziku, kar na vaš ugled še bolj negativno vpliva.

Druga stvar pa je, da lahko na to povezavo kliknete celo vi (seveda vam odsvetujem klikanje kakršnikoli povezav v komentarjih) in si neposredno na spletno stran prenesete kakšno zlonamerno skripto ali okužite celo vaš računalnik.

Obrazec za komentiranje lahko zaščitite najmanj na naslednje načine:

  • Nastavite, da bodo vsi komentarji “v karanteni”, dokler jih vi ročno ne odobrite.
  • Onemogočite dodajanje povezav v komentarje in mnenja.
  • Vzpostavite vsaj osnovno filtriranje besed v komentarjih.
  • Zaščitite obrazce z reCaptcha in/ali hCaptcha, ki preprečujeta robotske vnose komentarjev in mnenj.
  • Obrazec za komentiranja odstranite iz spletne strani, če ni res bistven za obiskovalce spletne strani ali vsaj, če skozi čas opazite, da so komentarji zelo redki.

Neželenih komentarjev ne moremo odpraviti v celoti, lahko pa jih zmanjšamo na minimum.

Pomembno je, da vedno budno spremljate dogajanje na svoji spletni strani, zato vklopite obveščanje, ko kdorkoli na vaši spletni strani odda komentar. Tako lahko hitro odreagirate in neustrezne vnose odpravite.

Zaščita drugih obrazcev

Na spletni strani seveda ponudimo možnost oddaje povpraševanja, kontakta ali celo česa drugega, preko obrazcev. Obrazci pa so posebej izpostavljeni robotskim vnosom, vsaj, če niso ustrezno zaščiteni.

Tako nam lahko preko obrazcev pošiljajo povezave, ki na naš računalnik ali spletno stran namestijo zlonamerno kodo.

Prav tako pa se lahko ob kakšnem večjem napadu zgodi, da med množico neželenih vnosov spregledamo kakšen realen vnos. Ta vnos je lahko bilo povpraševanje, ki se ne bo spremenilo v posel, če se ne bomo odzvali.

Obrazce na spletni strani zaščitimo na naslednje načine:

  • V obrazce vključujemo skrita polja, ki za nas zbirajo informacije o državi vnos, IP-ju in podobne, mi pa lahko nastavimo filtre, ki vnose z določenimi lastnostmi preprečijo (ne dovolijo oddaje obrazca).
  • reCaptcha/hCaptcha (kot pri obrazcih za komentiranje.
  • Honeypot zaščita.

reCaptcho in hCaptcho pogosto povezujemo z vizualno neprivlačnim kvadratkom, ki ga je potrebno klikniti, da lahko izpolnimo obrazec. A tudi, če tega ni, to ne pomeni, da obrazec ni zaščiten, ker obstaja način, da to skrijemo pred obiskovalci, zaščito pa vseeno ohranimo.

Redno posodabljajte svojo spletno stran

Posodabljanje vtičnikov, teme in WordPressa je pogosto pozabljen postopek, pa vendar je najpomembnejši faktor vzdrževanja varnosti spletne strani.

Vse prepogosto ugotavljam, da so spletne strani na slovenskem trgu nevzdrževane. Ja, spletno stran je potrebno po postavitvi tudi vzdrževati. Ključni element vzdrževanja je posodabljanje sistema – WordPressa, vtičnikov in uporabljene teme (če je spletna stran postavljena z WordPress sistemom). Tudi najbolj preproste spletne strani to nujno potrebujejo, da ohranijo svojo kvaliteto skozi čas.

Spletno stran lahko za vas vzdržuje tudi Intelectum. Preverite možnosti vzdrževanja spletnih strani.

Hekerji so ves čas na delu. In le vprašanje časa je, kdaj v posamezni verziji posameznega vtičnika, teme in samem sistemu WordPress najdejo neko varnostno luknjo, ki lahko ogrozi prav vsako spletno stran, izdelano na tisti verziji.

Če ne posodabljamo sproti, lahko hekerjev poskus vdora v zastarelo verzijo pride tudi do nas. Zaradi tega zelo pogosto izhajajo varnostne posodobitve, ki jih je nujno implementirati.

Iz določenih razlogov je sicer pametno počakati nekaj dni in se posodobitve lotiti na pravi način, vsekakor pa zastarelih verzij sestavnih elementov naše spletne strani ne smemo imeti predolgo, saj je vdor le vprašanje časa.

Kako preverite, ali je vaša WordPress spletna stran ustrezno posodobljena?

Za to vstopite v nadzorno ploščo svoje WordPress spletne strani in izvedite naslednje korake:

  • Kliknite ikono posodobitev zgoraj levo.
  • Preverite, ali je na voljo posodobitev za WordPress. Na spodnji sliki je sistem posodobljen. Vse spletne strani pri Intelectumu imajo WordPress v vsakem trenutku na najnovejši različici, saj imamo vklopljeno avtomatsko posodabljanje WordPress sistema.
  • Preverite posodobitve, ki so na voljo za vtičnike. A posodabljanja vtičnikov se vedno lotite postopno in previdno (razvijalec vaše spletne strani bo o tem vedel vse, kar je potrebno).
  • Posodobite še morebitne teme tako, da izberete vse teme na seznamu in kliknete “Posodobi teme”.

Dostop do posodobitev tem in vtičnikov je sicer na voljo še na drugačen način, a za ta prikaz bo to dovolj.

V kolikor niste prepričani, kaj delate, posodabljanje vedno prepustite strokovnjaku, da se izognete drugih težav, ki jih posodabljanje lahko prinese.

Kako preverimo, ali je spletna stran posodobljena?
Preverite stanje posodobljenosti sistema WordPress, vtičnikov in tem, ki so na spletni strani nameščeni.

Ne nameščajte nepreverjenih vtičnikov

Pred nakupom vsakega dražjega izdelka najprej preverimo mnenja preteklih strank, preverimo, koliko se izdelek uporablja in preverimo, ali je “v trendu”. 

Točno tako je tudi z vtičniki na spletnih straneh. Trenutna ocena je, da je v WordPress repozitoriju na voljo preko 50.000 brezplačnih vtičnikov in še vsaj 50 % toliko plačljivih. Sama ocenjujem, da je resnično varnih največ 1.000 brezplačnih vtičnikov, pri vseh ostalih pa je potrebna velika previdnost. Nekateri vtičniki so namreč ustvarjeni zato, da v spletno stran vnesejo zlonamerne kode, ki omogočijo kasnejši vdor.

To je pogosto odgovornost lastnikov spletnih strani, ki se nevarnosti ne zavedajo in na spletno stran nalagajo vtičnike, ker pač igrajo funkcijo, ki si jo želijo, ne želijo pa plačati za izvedbo, ker imajo občutek, da to lahko storijo sami. Zavedati se je potrebno, da izdelovalci spletnih strani dolgo časa delamo z vtičniki in že praktično “na pamet” vemo, katerim razvijalcem brezplačnih vtičnikov gre zaupati in kateri konkretni vtičniki dejansko dobro opravljajo svojo funkcijo.

Če pa že nalagate vtičnik sami, ga preverite iz naslednjih vidikov (podatki so na voljo v (repozitoriju vtičnikov):

  • Kakšna je povprečna ocena vtičnika?
  • Kdo je razvijalec, katere druge vtičnike je razvil in kakšne so ocene drugih vtičnikov?
  • Kdaj je bil vtičnik nazadnje posodobljen? Če je posodobitev starejša od 6 mesecev, je potrebna previdnost, ker so v tem času lahko hekerji že “pokvarili” vtičnik.
  • Kakšna mnenja ima vtičnik? Ocenite predvsem, ali gre za realna mnenja ali so samo dogovorjena, celo kupljena mnenja (ja, razvijalci tudi kupujejo mnenja, da umetno ustvarijo občutek zaupanja).

Seveda tudi pri preverjanju vtičnikov ni vse tako črno-belo in obstaja tudi možnost, da ima vtičnik zelo malo aktivnih inštalacij, pa je vseeno v redu. Mogoče je vtičnik namenjen funkcionalnosti, ki na splošno ni v široki rabi. In mogoče nima ravno veliko mnenj, kot bi si želeli, ker je vtičnik nov na trgu. Faktorjev je veliko, a zgornja navodila vas bodo zavarovala pred večino neustreznih vtičnikov.

Mini nasvet: Načeloma lahko zaupamo Freemium vtičnikom. To pomeni, da so v osnovi plačljivi, ampak imajo na voljo Premium ali Pro verzijo, ki omogoča širše funkcionalnosti.

Najemite strokovnjaka za vzdrževanje spletne strani

Varnost spletne strani je lahko brezhibna ob prevzemu, vsekakor pa s časom pada. Vse te tehnike, ki so navedene in še številne druge, mora nekdo ves čas nadgrajevati, poskrbeti, da so v skladu z razvojem varnostnih tehnologij.

Prikaži vse zapise
O avtorici:
Pozdravljeni!
Sem Nataša Kukovič, kreatorka Intelectuma avtorica zapisov, ki jih pravkar prebirate. Upam, da vam s svojim znanjem pomagam pri krepitvi vaše spletne prisotnosti.
Več o meni