7 ukrepov za preprečevanje vdorov v spletno stran

Imate spletno stran ali jo načrtujete? Ste vedeli, da je varnost vaše spletne strani nekaj, čemur morate nujno tudi vi posvetiti pozornost, ne le izvajalec, ki ga boste (ali ste ga že) izbrali za izdelavo svoje nove spletne strani?

Top 7 varnostnih kiksov na spletni strani
Pozdravljeni,

sem Nataša Kukovič, kreatorka Intelectuma, izdelovalka spletnih strani in vaša strokovnjakinja za vse digitalno.

Seznam vsebine

There are no headings in this document.

Skozi svoje delo redno srečujem bolj ali manj po(ne)srečene poskuse izdelave spletnih strani. In ena najpogostejših težav, ki jih zaznavam je pomanjkljiva varnostna politika spletnih mest.

V tem zapisu dobite vpogled v 7 najpogostejših ukrepov, s katerimi poskrbimo za varnost spletne strani:

  • Neuporaba SSL certifikata
  • Šibko uporabniško ime in geslo
  • Ni sistema za preprečevanja vdorov
  • Ni sistema za preprečevanje neželenih komentarjev in vnosov v obrazce
  • Sistemske posodobitve se ne izvajajo redno
  • Na spletni strani so nepreverjeni vtičniki
  • Nimate osebe, zadolžene za vzdrževanje varnosti vaše spletne strani

Zakaj je varnost spletne strani tako zelo pomembna?

Na zunaj vrhunski avtomobil vam nič ne koristi, če so v njem nameščene stare, nezanesljive zavore, o čemer vi nič ne veste – slej, ko prej bodo zavore zatajile, s tem pa bo vaše življenje ogroženo!

In točno tako je tudi s spletno stranjo. Na zunaj lahko spletna stran deluje vrhunsko, brez težav tudi lahko zelo dolgo deluje, vendar, če stvari niso v štartu varnostno močne, lahko to dolgoročno prinese do številnih težav zaradi vdorov v spletna mesta.

Število spletnih napadalcev je v zadnjih letih znatno v porastu, vsaka programska oprema in s tem tudi vtičniki, ki jih nalagamo na WordPress, pa tako lahko kar naenkrat vsebujejo varnostne luknje (ang. safety breach), ki delujejo kot lepilo za poskuse vdorov v spletno stran.

Kako prepoznati napad oz. vdor na vašo spletno stran?

Vdor v spletno stran običajno prepoznamo šele, ko se nameščena zlonamerna koda sproži. A to običajno tudi ni trenutek, ko je do vdora prišlo. Zlonamerna koda je lahko bila nameščena že mesece ali leta preden se pojavijo prve težave.

Zato je neprebojen varnostni sistem bistven od samega začetka obstoja spletne strani.

Pri Intelectumu je varnostni sistem prva stvar, ki jo uredimo, ko nainštaliramo WordPress.

Predvsem pa je bistveno tudi, da svojo spletno stran spremljate, jo pogosto preklikate, dobro pregledate. In če opazite 1 ali več znakov, da je bila vaša spletna stran žrtev vdora, je pomembno, da takoj odreagirate in kontaktirate nekoga, ki bo težave zaradi vdora odpravil in poiskal zlonamerno kodo.

Vdor lahko prepoznate po naslednjih znakih:

  • Na vaši spletni strani se "iz lufta" pojavijo neke vsebine, ki jih zagotovo niste vi naložili.
  • Na vaši spletni strani se prikazuje oglas, za katerega nimate pojma od kod je (npr. "Googlov" oglas za brezplačni tablični računalnik je en tipičen primer takega vdora).
  • Opažate, da se vaše spletna stran "čudno" obnaša v smislu samodejnih sprememb, do katerih prihaja čisto izven vašega vedenja. Te so lahko minimalne in na uporabniško izkušnjo nič ne vplivajo, lahko so pa tudi zelo velike.
  • Na vaši spletni strani kakšna funkcionalnost kar naenkrat preneha delovati (ali pa celo več njih).
  • Vaše stranke poročajo o čudnem dogajanju na spletni strani, ki ga vi ob obisku spletne strani ne zaznavate. Virusi lahko namreč delujejo tudi selektivno, torej se ne prikazujejo vsem.

7 ukrepov za preprečevanje vdorov v spletno stran

Namestite SSL certifikat

Ste že kdaj hoteli obiskati spletno stran, ampak vas je vaš brskalnik ob poskusu opozoril, da spletno mesto, ki ga želite obiskati ni varno?

Ja, to je res zoprno. In kaj storite ob pogledu na tako opozorilo, razen, če resnično osebno zaupate lastniku obiskane spletne strani?

Popihate jo kolikor daleč morete!

SSL certifikat naredi ravno to – odstrani to sporočilo, saj je z SSL certifikatom zagotovljena osnovna zaščita vaše spletne strani. To je še toliko bolj pomembno v spletnih trgovinah, kjer se preko plačilnega procesorja direktno sprejemajo plačila. SSL certifikat prepreči krajo občutljivih informacij v procesu zaključka plačila s kreditno kartico, Paypalom in podobnimi orodji za spletno plačevanje.

Ne dovolite si torej, da vaša spletna stran ne bi imela SSL certifikata, ker se brez njega prav res ne morete nadejati kakršnegakoli zaslužka, ki bi izviral iz take spletne strani!

Kako preverite, ali je spletna stran zaščitena z SSL certifikatom?

Kot prikazuje slika, kliknete na majhno ključavnico ob URL naslovu spletne strani, ki si jo ogledujete. Če je spletna stran zaščitena z SSL certifikatom se izpiše besedilo “Povezava je varna”. V nasprotnem primeru se ta tekst izpiše v rdeči barvi in piše “Povezava s tem spletnim mestom ni varna”. Izpiše se tudi vrsta certifikata.

Uporabite varno uporabniško ime in geslo

Katero geslo bo spletni napadalec prej našel?

natasa2020 ali

gwuj90T8%=)gbjkuHDC

?

Odgovor je seveda več kot jasen.

Minimalni standardi sestave varnega gesla so:

  • najmanj 8 znakov
  • vsebuje naj vsaj 1 veliko črko, 1 znak in 1 številko,
  • najbolje, da geslo prav nič ne pomeni, ampak je samo niz naključnih številk, črk in znakov,
  • geslo naj NE vsebuje vašega imena/priimka in njunih katerihkoli delov,
  • geslo naj NE vsebuje kateregakoli elementa vašega e-poštnega naslova in
  • geslo naj NE vsebuje letnice vašega rojstva ali kateregakoli dela vašega rojstnega datuma, ali rojstnega datuma članov vaše družine.

To je tudi najpogostejša pomanjkljivost, ki jo opazim v praksi. Vem, da je priročno sestaviti kar svoje ime in letnico rojstva, varno pa zagotovo ni.

Delo izdelovalca spletne strani bi moralo biti to, da že ob osnovni namestitvi WordPressa na vaš strežnik onemogoči uporabo šibkih gesel za vse uporabnike vaše spletne strani.

Nemestite sistem za preprečevanje vdorov

Na vsaki zabavi je dobro imeti varnostnika, tako je tudi takšen sistem za preprečevanje vdorov varnostnik na vaši spletni strani.

Po mojem mnenju je prva naloga izdelovalca spletne strani, ko namesti WordPress na paket gostovanja, ki ste ga kupili, da vzpostavi sistem za preprečevanje vdorov. Takšen sistem odbije vse poskuse vdorov na spletno stran, preden do njih dejansko pride.

Takšen sistem vzpostavi požarni zid in vrsto drugih koristnih zaščit, ki preprečujejo spreminjanje datotek vaše spletne strani in nepooblaščen vstop v nadzorno ploščo.

Sistem je zadolžen za to, da prepreči neželene poskuse vstopa v spletno stran, hkrati pa zaznava sumljive programske kode, ki jih nalagamo z raznimi vtičniki, če le-teh ne izbiramo dovolj skrbno (kar je tudi nedopustno).

Prav tako takšen sistem beleži vse poskuse prijave v administratorski prostor spletne strani, s čimer pridobimo koristne informacije o tem, iz katere države in celo iz katerih IP naslovov prihajajo napadi.

Če opazimo, da se neka država ali IP naslov pogosteje ponavlja, lahko dostop do administracije za tako državo ali IP naslov v celoti onemogočimo. Seveda za to prosite pomoč svojega programerja.

In brez skrbi, spletna stran bo "od spredaj" še vedno dostopna vsem obiskovalcem, tudi v teh državah, le do ozadja spletne strani ne bodo mogli dostopati.

Zaščitite obrazce na spletni strani

Na spletni strani najdemo v osnovi 2 vrsti obrazcev: Obrazce za komentiranje in kontaktne obrazce.

Verjamete ali ne, tudi preko obrazcev lahko "hudobneži" dosežejo svoje. Pa si v nadaljevanju poglejmo, kako zaščitimo ti 2 vrsti obrazcev.

Zaščita obrazca za komentiranje

Obrazce za komentiranje najpogosteje najdemo na spletnih straneh v blogih in na straneh izdelka, kjer kupci oddajajo mnenja o vaših izdelkih.

Neželeni komentarji (ang. spam) so na spletnih straneh problematični iz 2 razlogov. Kot prvo, se lahko komentarji s povezavami, ki vsebujejo viruse neposredno pokažejo vašim realnim komentatorjem. To pomeni, da lahko na to povezavo klikne vsak, ki bere vašo vsebino. To seveda vpliva na vaš ugled. Prav tako so taki komentarji običajno opolzki in v tujem jeziku, kar na vaš ugled še bolj negativno vpliva.

Druga stvar pa je, da lahko na to povezavo kliknete celo vi (seveda vam odsvetujem klikanje kakršnikoli povezav v komentarjih) in si neposredno na spletno stran prenesete kakšno zlonamerno skripto ali okužite celo vaš računalnik.

Obrazec za komentiranje lahko zaščitite najmanj na naslednje načine:

  • Nastavite, da bodo vsi komentarji "v karanteni", dokler jih vi ročno ne odobrite.
  • Onemogočite dodajanje povezav v komentarje in mnenja.
  • Vzpostavite vsaj osnovno filtriranje besed v komentarjih.
  • Zaščitite obrazce z reCaptcha in/ali hCaptcha, ki preprečujeta robotske vnose komentarjev in mnenj.
  • Obrazec za komentiranja odstranite iz spletne strani, če ni res bistven za obiskovalce spletne strani ali vsaj, če skozi čas opazite, da so komentarji zelo redki.
Neželenih komentarjev ne moremo odpraviti v celoti, lahko pa jih zmanjšamo na minimum.

Pomembno je, da vedno budno spremljate dogajanje na svoji spletni strani, zato vklopite obveščanje, ko kdorkoli na vaši spletni strani odda komentar. Tako lahko hitro odreagirate in neustrezne vnose odpravite.

Zaščita drugih obrazcev

Na spletni strani seveda ponudimo možnost oddaje povpraševanja, kontakta ali celo česa drugega, preko obrazcev. Obrazci pa so posebej izpostavljeni robotskim vnosom, vsaj, če niso ustrezno zaščiteni.

Tako nam lahko preko obrazcev pošiljajo povezave, ki na naš računalnik ali spletno stran namestijo zlonamerno kodo.

Prav tako pa se lahko ob kakšnem večjem napadu zgodi, da med množico neželenih vnosov spregledamo kakšen realen vnos. Ta vnos je lahko bilo povpraševanje, ki se ne bo spremenilo v posel, če se ne bomo odzvali.

Obrazce na spletni strani zaščitimo na naslednje načine:

  • V obrazce vključujemo skrita polja, ki za nas zbirajo informacije o državi vnos, IP-ju in podobne, mi pa lahko nastavimo filtre, ki vnose z določenimi lastnostmi preprečijo (ne dovolijo oddaje obrazca).
  • reCaptcha/hCaptcha (kot pri obrazcih za komentiranje.
  • Honeypot zaščita.

reCaptcho in hCaptcho pogosto povezujemo z vizualno neprivlačnim kvadratkom, ki ga je potrebno klikniti, da lahko izpolnimo obrazec. A tudi, če tega ni, to ne pomeni, da obrazec ni zaščiten, ker obstaja način, da to skrijemo pred obiskovalci, zaščito pa vseeno ohranimo.

Redno posodabljajte svojo spletno stran

Posodabljanje vtičnikov, teme in WordPressa je pogosto pozabljen postopek, pa vendar je najpomembnejši faktor vzdrževanja varnosti spletne strani.

Vse prepogosto ugotavljam, da so spletne strani na slovenskem trgu nevzdrževane. Ja, spletno stran je potrebno po postavitvi tudi vzdrževati. Ključni element vzdrževanja je posodabljanje sistema – WordPressa, vtičnikov in uporabljene teme (če je spletna stran postavljena z WordPress sistemom). Tudi najbolj preproste spletne strani to nujno potrebujejo, da ohranijo svojo kvaliteto skozi čas.

Spletno stran lahko za vas vzdržuje tudi Intelectum. Preverite možnosti vzdrževanja spletnih strani.

Hekerji so ves čas na delu. In le vprašanje časa je, kdaj v posamezni verziji posameznega vtičnika, teme in samem sistemu WordPress najdejo neko varnostno luknjo, ki lahko ogrozi prav vsako spletno stran, izdelano na tisti verziji.

Če ne posodabljamo sproti, lahko hekerjev poskus vdora v zastarelo verzijo pride tudi do nas. Zaradi tega zelo pogosto izhajajo varnostne posodobitve, ki jih je nujno implementirati.

Iz določenih razlogov je sicer pametno počakati nekaj dni in se posodobitve lotiti na pravi način, vsekakor pa zastarelih verzij sestavnih elementov naše spletne strani ne smemo imeti predolgo, saj je vdor le vprašanje časa.

Kako preverite, ali je vaša WordPress spletna stran ustrezno posodobljena?

Za to vstopite v nadzorno ploščo svoje WordPress spletne strani in izvedite naslednje korake:

  • Kliknite ikono posodobitev zgoraj levo.
  • Preverite, ali je na voljo posodobitev za WordPress. Na spodnji sliki je sistem posodobljen. Vse spletne strani pri Intelectumu imajo WordPress v vsakem trenutku na najnovejši različici, saj imamo vklopljeno avtomatsko posodabljanje WordPress sistema.
  • Preverite posodobitve, ki so na voljo za vtičnike. A posodabljanja vtičnikov se vedno lotite postopno in previdno (razvijalec vaše spletne strani bo o tem vedel vse, kar je potrebno).
  • Posodobite še morebitne teme tako, da izberete vse teme na seznamu in kliknete "Posodobi teme".

Dostop do posodobitev tem in vtičnikov je sicer na voljo še na drugačen način, a za ta prikaz bo to dovolj.

V kolikor niste prepričani, kaj delate, posodabljanje vedno prepustite strokovnjaku, da se izognete drugih težav, ki jih posodabljanje lahko prinese.

Preverite stanje posodobljenosti sistema WordPress, vtičnikov in tem, ki so na spletni strani nameščeni.

Ne nameščajte nepreverjenih vtičnikov

Pred nakupom vsakega dražjega izdelka najprej preverimo mnenja preteklih strank, preverimo, koliko se izdelek uporablja in preverimo, ali je “v trendu”. 

Točno tako je tudi z vtičniki na spletnih straneh. Trenutna ocena je, da je v WordPress repozitoriju na voljo preko 50.000 brezplačnih vtičnikov in še vsaj 50 % toliko plačljivih. Sama ocenjujem, da je resnično varnih največ 1.000 brezplačnih vtičnikov, pri vseh ostalih pa je potrebna velika previdnost. Nekateri vtičniki so namreč ustvarjeni zato, da v spletno stran vnesejo zlonamerne kode, ki omogočijo kasnejši vdor.

To je pogosto odgovornost lastnikov spletnih strani, ki se nevarnosti ne zavedajo in na spletno stran nalagajo vtičnike, ker pač igrajo funkcijo, ki si jo želijo, ne želijo pa plačati za izvedbo, ker imajo občutek, da to lahko storijo sami. Zavedati se je potrebno, da izdelovalci spletnih strani dolgo časa delamo z vtičniki in že praktično “na pamet” vemo, katerim razvijalcem brezplačnih vtičnikov gre zaupati in kateri konkretni vtičniki dejansko dobro opravljajo svojo funkcijo.

Če pa že nalagate vtičnik sami, ga preverite iz naslednjih vidikov (podatki so na voljo v (repozitoriju vtičnikov):

  • Kakšna je povprečna ocena vtičnika?
  • Kdo je razvijalec, katere druge vtičnike je razvil in kakšne so ocene drugih vtičnikov?
  • Kdaj je bil vtičnik nazadnje posodobljen? Če je posodobitev starejša od 6 mesecev, je potrebna previdnost, ker so v tem času lahko hekerji že "pokvarili" vtičnik.
  • Kakšna mnenja ima vtičnik? Ocenite predvsem, ali gre za realna mnenja ali so samo dogovorjena, celo kupljena mnenja (ja, razvijalci tudi kupujejo mnenja, da umetno ustvarijo občutek zaupanja).

Seveda tudi pri preverjanju vtičnikov ni vse tako črno-belo in obstaja tudi možnost, da ima vtičnik zelo malo aktivnih inštalacij, pa je vseeno v redu. Mogoče je vtičnik namenjen funkcionalnosti, ki na splošno ni v široki rabi. In mogoče nima ravno veliko mnenj, kot bi si želeli, ker je vtičnik nov na trgu. Faktorjev je veliko, a zgornja navodila vas bodo zavarovala pred večino neustreznih vtičnikov.

Mini nasvet: Načeloma lahko zaupamo Freemium vtičnikom. To pomeni, da so v osnovi plačljivi, ampak imajo na voljo Premium ali Pro verzijo, ki omogoča širše funkcionalnosti.

Najemite strokovnjaka za vzdrževanje spletne strani

Varnost spletne strani je lahko brezhibna ob prevzemu, vsekakor pa s časom pada. Vse te tehnike, ki so navedene in še številne druge, mora nekdo ves čas nadgrajevati, poskrbeti, da so v skladu z razvojem varnostnih tehnologij.

Skrb za varnost vaše spletne strani je lahko tudi naša odgovornost.

Če še nimate osebe, zadolžene za zagotavljanje varnosti in brezhibnega delovanja vaše spletne strani v vsakem trenutku, vas vabim, da si ogledate ponudbo paketov vzdrževanja pri Intelectumu.
    0%

    Ste pripravljeni na naslednji korak v krepitvi vaše spletne pristonosti?

    Rezervirajte terminbrezplačnegauvodnega posveta

    Kliknite spodnji gumb, izpolnite obrazec in kmalu boste na svoj e-poštni termin prejeli vse informacije o izvedbi.

    Na brezplačnem 30-minutnem posvetu bomo spregovorili o vaših željah in idejah glede projekta, jaz pa bom prejela vse informacije, ki jih potrebujem za izdelavo relevantne ponudbe za izdelavo spletne strani, ki jo boste s ponosom pokazali svetu in z največjim užitkom uporabljali.

    Nataša Kukovič s.p.,

    Grajska cesta 23,

    2317 Oplotnica

    Prijava na novice
    Strinjate se, da vam občasno pošiljamo e-poštna sporočila z informativno in marketinško vsebino.

    To spletno stran ščiti reCAPTCHA. Veljata Google Politika zasebnosti ter Pogoji uporabe

    Vse pravice pridržane © 2023 Intelectum