Top 7 varnostnih kiksov na spletni strani

Imate spletno stran ali jo načrtujete? Ste vedeli, da je varnost vaše spletne strani nekaj, čemur morate nujno tudi vi posvetiti pozornost, ne le izvajalec, ki ga boste (ali ste ga že) izbrali za izdelavo svoje nove spletne strani?

Delite na socialnih omrežjih
Top 7 varnostnih kiksov na spletni strani

Skozi svoje delo redno srečujem bolj ali manj po(ne)srečene poskuse izdelave spletnih strani. In eden najpogostejših težav, ki jih zaznavam je pomanjkljiva varnostna politika spletnih mest. V tem zapisu dobite vpogled v 7 najpogostejših kiksov, povezanih z varnostjo spletnih mest na slovenskih spletnih straneh. Kot najpomembnejše izpostavljam naslednje:

Zakaj je varnost spletne strani tako zelo pomembna?

Na zunaj vrhunski avtomobil vam nič ne koristi, če so v njem nameščene stare, nezanesljive zavore, o čemer vi nič ne veste – slej, ko prej bodo zavore zatajile, s tem pa bo vaše življenje ogroženo!

In točno tako je tudi s spletno stranjo. Na zunaj lahko spletna stran deluje vrhunsko, brez težav seveda tudi lahko dolgo deluje, vendar, če stvari niso v štartu varnostno močne, lahko to dolgoročno prinese do številnih težav zaradi nepooblaščenih vdorov v spletna mesta.

Število spletnih napadalcev je v zadnjih letih znatno v porastu, vsaka programska oprema in s tem tudi vtičniki, ki jih nalagamo na WordPress, pa tako lahko kar naenkrat vsebujejo varnostne luknje (ang. safety breach), ki delujejo kot lepilo za vse elemente spletne strani.

Kako prepoznate napad oz. vdor na vašo spletno stran:

  • Na vaši spletni strani se "iz lufta" pojavijo neke vsebine, ki jih zagotovo niste vi naložili.
  • Na vaši spletni strani se prikazuje oglas, za katerega nimate pojma od kod je (npr. "Googlov" oglas za brezplačni tablični računalnik je en tipičen primer takega vdora).
  • Opažate, da se vaše spletna stran "čudno" obnaša v smislu samodejnih sprememb, do katerih prihaja čisto izven vašega vedenja. Te so lahko minimalne in na uporabniško izkušnjo nič ne vplivajo, lahko so pa tudi zelo velike.
  • Na vaši spletni strani kakšna funkcionalnost kar naenkrat preneha delovati (ali pa celo več njih).
  • Vaše stranke poročajo o čudnem dogajanju na spletni strani, ki ga vi ob obisku spletne strani ne zaznavate. Virusi lahko namreč delujejo tudi selektivno, torej se ne prikazujejo vsem.

Varnostni kiks #1: Neuporaba SSL certifikata

Ste že kdaj hoteli obiskati spletno stran, ampak vas je vaš brskalnik ob poskusu opozoril, da spletno mesto, ki ga želite obiskati ni varno?

Ja, to je res zoprno. In kaj storite ob pogledu na tako opozorilo, razen, če resnično osebno zaupate lastniku obiskane spletne strani?

Popihate jo kolikor daleč morete!

SSL certifikat naredi ravno to – odstrani to sporočilo, saj je z SSL certifikatom zagotovljena osnovna zaščita vaše spletne strani. To je še toliko bolj pomembno v spletnih trgovinah, kjer se preko plačilnega procesorja direktno sprejemajo plačila. SSL certifikat prepreči krajo občutljivih informacij v procesu zaključka plačila s kreditno kartico, Paypalom in podobnimi orodji za spletno plačevanje.

Ne dovolite si torej, da vaša spletna stran ne bi imela SSL certifikata, ker se brez njega prav res ne morete nadejati kakršnegakoli zaslužka, ki bi izviral iz take spletne strani!

Kako preverite, ali je spletna stran zaščitena z SSL certifikatom?

Kot prikazuje slika, kliknete na majhno ključavnico ob URL naslovu spletne strani, ki si jo ogledujete. Če je spletna stran zaščitena z SSL certifikatom se izpiše besedilo “Povezava je varna”. V nasprotnem primeru se ta tekst izpiše v rdeči barvi in piše “Povezava s tem spletnim mestom ni varna”. Izpiše se tudi vrsta certifikata.

povezava-je-varna-z-ssl-cerifikatom-blog-intelectum

Varnostni kiks #2: Uporabniško ime in geslo sta enostavni

Katero geslo bo spletni napadalec prej našel?

natasa2020 ali

gwuj90T8%=)gbjkuHDC

?

Odgovor je seveda več kot jasen.

Osnovno nenapisano pravilo, ki pri tem obstaja je, da naj uporabniško ime in/ali geslo nikoli NE vsebuje katerega od naslednjih elementov:

  • vašega imena/priimka ali njegovih delov,
  • elementov vašega e-poštnega naslova,
  • letnice vašega rojstva in
  • naj ne bo krajše od najmanj 8 znakov.

Delo izdelovalca spletne strani bi moralo biti to, da že ob osnovni namestitvi WordPressa na vaš strežnik onemogoči uporabo šibkih gesel za vse uporabnike vaše spletne strani. To je tudi najpogostejša pomanjkljivost, ki jo opazim v praksi. Vem, da je priročno sestaviti kar svoje ime in letnico rojstva, varno pa zagotovo ni.

Varnostni kiks #3: Ni sistema za preprečevanje vdorov

Na vsaki zabavi je dobro imeti varnostnika, tako je tudi takšen sistem za preprečevanje vdorov varnostnik na vaši spletni strani.

Po mojem mnenju je prva naloga izdelovalca spletne strani, ko namesti WordPress na paket gostovanja, ki ste ga kupili, da vzpostavi sistem za preprečevanje vdorov. Takšen sistem odbije vse poskuse vdorov na spletno stran, preden do njih dejansko pride.

Takšen sistem vzpostavi požarni zid in vrsto drugih koristnih zaščit, ki preprečujejo spreminjanje datotek vaše spletne strani in nepooblaščen vstop v nadzorno ploščo.

Sistem je zadolžen za to, da prepreči neželene poskuse vstopa v spletno stran, hkrati pa zaznava sumljive programske kode, ki jih nalagamo z raznimi vtičniki, če le-teh ne izbiramo dovolj skrbno (kar je tudi nedopustno).

Kako lahko preverimo, ali tovrsten sistem na spletni strani obstaja in je tudi ustrezno nastavljen?

Pojdite na povezavo, s katero se lahko prijavite v nadzorno ploščo svoje spletne strani v WordPressu (https://vasadomena/wp-admin/. Vpišite svoje uporabniško ime, vnesite pa tudi nepravilno geslo. Postopek ponovite vsaj 20x z napačnim geslom (vsakič uporabite drugega, čisto poljubno). Če vas sistem sam ne zaklene iz spletne strani, takšen sistem verjetno ni nastavljen. In zdaj si predstavljajte- hekerski roboti zelo hitro odkrijejo vaše uporabniško ime, kdaj bo kakšen zadel še geslo pa je le še vprašanje časa.

Opozorilo: Ko boste to naredili, verjetno vsaj 24 ur ne boste mogli vstopiti v nadzorno ploščo, če je sistem vzpostavljen, saj vam bo sistem dostop avtomatsko preprečil. V kolikor dostop vseeno potrebujete, kontaktirajte svojega izdelovalca spletne strani ali ponudnika gostovanja, da ročno odklene dostop za vas.

Varnostni kiks #4: Ni sistema za preprečevanje neželenih komentarjev in vnosov v obrazce

Ste že kdaj doživeli, da vam Facebook ali kako drugo socialno omrežje ni dovolilo kakšne objave ali komentarja?

Res je, da je to zelo zoprno, če se dogaja prepogosto, kot je to na raznoraznih socialnih omrežjih. Oni morajo zaradi sovražnega govora in cenzure pač imeti te sisteme res rigorozno nastavljene. V primeru vaše spletne strani pa je dobro, da se uredi minimalno naslednje:

  • Na blog prispevke lahko komentirajo le preverjeni uporabniki ali pa morajo biti za to prijavljeni in komentar predhodno odobren. Enako velja za mnenja v spletni trgovini.
  • V komentarjih in mnenjih ne sme biti dovoljeno dodajanje povezav, saj t.i. "spammerji" večinoma v svojih komentarjih promovirajo neke svoje izdelke, velikokrat pa gre pri tem celo za pornografijo, kar na vaši spletni strani izpade zelo neprofesionalno.
  • Vzpostavljeni morajo biti vsaj osnovni filtri besed, ki se v komentarjih in mnenjih lahko pojavljajo (npr. nasilne besede, tipični pornografski izrazi, sovražni govor, ...).
  • Obrazci na spletni strani morajo biti zaščiteni pred vnosi robotov.

Kako lahko sami preverite ali imate opisano urejeno?

Enostavno obiščete nadzorno ploščo svoje WordPress spletne strani in pogledate vnose v obrazce, komentarje in mnenja. Če je vmes veliko neželenih vnosov, je sistem na vaši spletni strani pomanjkljiv. Dodatno lahko z lastnim vnosom preverite ali lahko v vnose dodajate povezave, žaljivke.

Opozorilo: Zaščito obrazcev pogosto ljudje povezujejo z reCaptcha izzivom, ko je potrebno izračunati račun, označiti neke slikice, prepisati neke znake ali označiti kvadratek. A tudi, če tega ni, to ne pomeni, da obrazec ni zaščiten, ker obstajajo že veliko bolj sofisticirani in prikriti načini zaščite obrazcev.

S to težavo se seveda ne srečujete, če na spletni strani nimate obrazcev (kar je izredno redko), nimate omogočenega komentiranja v svojem blogu (ali le-tega nimate) in/ali ne omogočate oddaje mnenj v spletni trgovini (ker pač spletne trgovine nimate).

Zavedati se je potrebno, da v celoti tega ne moremo preprečiti oz. je to izredno težko. Vsekakor pa moramo nujno težiti k temu, da tovrstne nerelevantne vnose zmanjšamo na minimum.

Ti vnosi lahko hitro zapolnijo naš e-poštni predal (če nastavite obveščanje po e-pošti o novih komentarjih, mnenjih in vnosih v obrazce, kar toplo priporočam zaradi odzivnosti), obenem pa lahko dolgoročno dejansko povzročijo, da se vaša domena znajde na “črni listi”, kar pomeni, da bo vaša e-pošta pogosteje romala v mapo z “vsiljeno pošto” pri strankah.

V tovrstnih neželenih vnosih obstaja tudi nevarnost vnosa zlonamernih kod, preko katerih se “odpirajo” ranljivosti na vaši spletni strani, ki potem hekerjem omogočijo dostop do spletne strani.

Varnostni kiks #5: Sistemske posodobitve se ne izvajajo redno

Posodabljanje vtičnikov, teme in WordPressa je pogosto pozabljen postopek, pa vendar je najpomembnejši faktor vzdrževanja varnosti spletne strani.

Vse prepogosto ugotavljam, da so spletne strani na slovenskem trgu nevzdrževane. Ja, spletno stran je potrebno po postavitvi tudi vzdrževati. Ključni element vzdrževanja je posodabljanje sistema – WordPressa, vtičnikov in uporabljene teme. Tudi najbolj preproste spletne strani to NUJNO POTREBUJEJO, da ohranijo svojo kvaliteto skozi čas.

Kaj se lahko zgodi, ko ne posodabljamo sistema?

Hekerji so ves čas na delu. In le vprašanje časa je, kdaj v posamezni verziji posameznega vtičnika, teme in samem sistemu WordPress najdejo neko varnostno luknjo, ki lahko ogrozi prav vsako spletno stran, izdelano na tisti verziji. Če ne posodabljamo sproti, lahko hekerjev poskus vdora v zastarelo verzijo pride tudi do nas. Zaradi tega zelo pogosto izhajajo varnostne posodobitve, ki jih je nujno implementirati. Iz določenih razlogov je sicer pametno počakati nekaj dni in se posodobitve lotiti na pravi način, vsekakor pa zastarelih verzij sestavnih elementov naše spletne strani ne smemo imeti predolgo, saj je vdor le vprašanje časa.

Kako ugotovimo, ali je na naši spletni strani vse posodobljeno, kot je treba?

Za to morate spet vstopiti v svojo nadzorno ploščo WordPressa. Potem pa izvedete naslednje korake:

  • V osnovnem pogledu nadzorne plošče bo takoj vidno čisto zgoraj, če je na voljo nova izdaja Wordpressa, kjer je navedena tudi najnovejša različica.
  • Preko menija Videz - teme, preverite, če pri kateri piše, da je na voljo nova izdaja. V takem primeru je temo potrebno posodobiti.
  • Preko menija vtičniki preverite, koliko vtičnikov je potrebno posodobiti.

Ampak pozor! Ne lotevajte se posodabljanja česarkoli, če niste prepričani kaj delate. Raje pokličite izdelovalca svoje spletne strani, na sploh pa je priporočljivo imeti sklenjeno vzdrževalno pogodbo, na podlagi katere je za vas ta skrb odveč. Pri posodabljanju lahko namreč pride do konfliktov med temami, vtičniki in WordPressom in je bolje, da posodobitve izvaja strokovnjak, ki morebitne težave takoj odpravi. Pomembno pa je, da razumete kako to preveriti, saj se pogosto zgodi, da so vzdrževalci spletnih strani nevestni in zanemarjajo izvajanje varnostnih posodobitev.

Varnostni kiks #6: Na spletni strani so nepreverjeni vtičniki

Pred nakupom vsakega dražjega izdelka najprej preverimo mnenja preteklih strank, preverimo, koliko se izdelek uporablja in preverimo, ali je “v trendu”. 

Točno tako je tudi z vtičniki na spletnih straneh. Trenutna ocena je, da je v WordPress repozitoriju na voljo preko 50.000 brezplačnih vtičnikov in še vsaj 50 % toliko plačljivih. Sama ocenjujem, da je resnično varnih največ 300 brezplačnih vtičnikov, pri vseh ostalih pa je potrebna velika previdnost. Nekateri vtičniki so namreč ustvarjeni zato, da v spletno stran vnesejo zlonamerne kode, ki omogočijo kasnejši vdor.

Ta varnostni kiks je pogosto odgovornost lastnikov spletnih strani, ki se nevarnosti ne zavedajo in na spletno stran nalagajo vtičnike, ker pač igrajo funkcijo, ki si jo želijo, ne želijo pa plačati za izvedbo, ker imajo občutek, da to lahko storijo sami. Zavedati se je potrebno, da izdelovalci spletnih strani dolgo časa delamo z vtičniki in že praktično “na pamet” vemo, katerim razvijalcem brezplačnih vtičnikov gre zaupati in kateri konkretni vtičniki dejansko dobro opravljajo svojo funkcijo.

Če pa že nalagate vtičnik sami, ga preverite iz naslednjih vidikov (podatki so na voljo v (repozitoriju vtičnikov):

  • Kakšna je povprečna ocena vtičnika?
  • Kdo je razvijalec, katere druge vtičnike je razvil in kakšne so ocene drugih vtičnikov?
  • Kdaj je bil vtičnik nazadnje posodobljen? Če je posodobitev starejša od 6 mesecev, je potrebna previdnost, ker so v tem času lahko hekerji že "pokvarili" vtičnik.
  • Kakšna mnenja ima vtičnik? Oceni predvsem, ali gre za realna mnenja ali so samo dogovorjena, celo kupljena mnenja (ja, razvijalci tudi kupujejo mnenja, da umetno ustvarijo občutek zaupanja).

Varnostni kiks #7: Nimate osebe, zadolžene za vzdrževanje varnosti vaše spletne strani

Varnost spletne strani je lahko brezhibna ob prevzemu, vsekakor pa s časom pada. Vse te tehnike, ki so navedene in še številne druge, mora nekdo ves čas nadgrajevati, poskrbeti, da so v skladu z razvojem varnostnih tehnologij.

Skrb za varnost vaše spletne strani je lahko tudi odgovornost ekipe Intelectum!

Preverite ponudbo paketov vzdrževanja spletnih strani in pošljite povpraševanje.
Na ponudbo vzdrževanja spletnih strani

Želite biti obveščeni o novih koristnih vsebinah?

Vpišite svoje podatke in že kmalu boste prejeli nekaj novega v svoj e-poštni nabiralnik.

S prijavo na novice se strinjate, da vam Intelectum občasno pošilja e-poštna sporočila z informativno in marektinško vsebino. Kadarkoli se lahko odjavite.