ssl sertifikat - hacker

Kako povećati bezbednost sajta i SSL sertifikat

SSL sertifikat i drugi pojmovi se danas ćesto koriste kada se priča i radi na poboljšanju bezbednosti u svim aspektima jer je ona nešto o čemu se posebno mora voditi računa, naročito u slučaju online poslovanja. Ako bezbednost nije na najvišem nivou, rizici od zloupotrebe najosetljivijih podataka su veoma veliki.

Da bi se bezbednost postavila na dobre osnove, pre svega je bitno sledeće:

Bitno je da u  svakom trenutku imamo poslednju verziju ove platforme otvorenog tipa jer se neprestano radi na poboljšavanjima, posebno kada je reč o bezbednosti.

Naravno, uvek je dobro pre svake veće izmene uraditi rezervnu kopiju sajta, posebno ako je nova verzija ustvari core verzija. U slučaju da ste ovo uradili i da prilikom ažuriranja dođe do nepredviđenih problema, svoj sajt možemo vratiti sa bezbedne lokacije. Na primer, nikada unapred ne možemo znati da li su neki dodatak koji smo prethodno aktivirali ili tema koju koristimo potpuno kompatibilni sa najnovijom verzijom WordPress-a. Uvek se  savetuje oprez kako mukotrpan rad ne bi nestao za čas.

Kada je reč o temama, kao i kada smo govorili o samom WordPress-u, bitno je redovno ažuriranje jer proizvođači istih stalno rade na njihovom poboljšavanju, a najčešće se ta poboljšanja tiču upravo bezbednosti. Opet nije zgoreg napomenuti da je poželjno prethodno uraditi rezervnu kopiju sajta.

Savet je da se uvek koriste samo dodaci koji su nam zaista potrebni jer, imajući u vidu broj i raznovrsnost proizvođača istih, ponekad se dešava da neki od njih u kombinaciji mogu dovesti do problema i da mogu usporavati sajt. Znači, ako shvatite da vam neki od dodataka nije potreban, obavezno ga potpuno uklonite jer on može i u deaktiviranom stanju biti kanal za zloupotrebe. One koji vam ostanu u aktivnom stanju uvek redovno ažurirajte. Osim toga, i u ovom slučaju je bitno uraditi rezervnu kopiju sajta.

Pravilo je nikada ne koristiti lozinke koje su sa  nama povezane, bilo da je reč o imenima, datumima rođenja i slično. Takođe ne koristiti ni previse jednostavne lozinke, iako nemaju veze sa nama, na primer admin, 12345 I slično. Da ne biste previse razmišljali, na adresi passwordsgenerator.net

možete besplatno doći do dobre i jake lozinke, a dostupni su nam i korisni saveti vezano za kreiranje i čuvanje istih.

Možemo malo izmeniti wp-login.php fajl  i tako onemogućiti logovanje na sajt ispisivanjem naziva domena, posle čega sledi /wp-admin ili /wp-login.php. Cilj je sakriti stranicu za logovanje.

Naravno, pre ovakvih izmena uvek sačuvati kopiju ovog fajla na sigurno mestu ili  preuzeti originalni fajl na računar, kako bi se povratio u slučaju da dođe do problema. Iako postoje razni dodaci za izmenu ovog fajla kako bi se postigli željeni rezultati, savet je ručna izmena.

Postiže se uz pomoć nekih dodataka, kao što su miniOrange 2-Factor i Google Authenticator. Oni omogućavaju logovanje na sajt samo posle unosa šifre koja dolazi na neki od uređaja koji  isključivo poseduje osoba kojoj je dozvoljen pristup na određenu lokaciju. Najčešće se radi o mobilnom trelefonu.

Za onemogućavanje prenosa podataka u WordPress-u postoji XML-RPC . Za prenos podataka se koristi HTTP, a za enkodiranje XML. Zbog toga u WordPress-u imamo xmlrpc.php fajl koji  automatski omogućava pristup sajtu  preko određenog admin programa i mobilnih aplikacija.

Ograničavanje pokušaja da se neko loguje na login strani, ne utiče na broj pokušaja logovanja preko XML-RPC.  Ali, preko XML-RPC sprečavamo napadača da dopre do našeg sajta. Ovim onemogućavamo i logovanje preko mobilnih aplikacija, što nam možda neće odgovarati.

Osim uz pomoć dodataka,  deaktivacija se može obaviti i ručno  preko .htaccessfajla.

Ako napadač uspe da pogodi lokaciju sajta, ostaje mu mogućnost bezbrojnih pokušaja logovanja uz kombinacije korisničkog imena i lozinke. Brute Force Attack je situacija u kojoj se koristi odgovarajući program koji generiše veliki broj kombinacija pomoću kojih se radi na pokušajima neovrašćemih logovanja na tuđi sajt. Zato je dobro ograničiti broj pokušaja logovanja. Prilikom prekoračenja zadatog broja, sistem se zaključava na neki vremenski period, što prilično otežava napadaču da ostvari svoj cilj.

 Za ovo postoje dodaci, među Kojima je najpopularniji Loginizer, ali se proces može i ručno odraditi.

Iako WordPress ima korisnu opciju izmene fajlova u temama i dodacima kroz Themes Editor  i Plugin Editor , ova mogućnost može biti i opasna ukoliko imamo uljeza na sajtu koji bi mogao da ugradi neki zlonameran kod.

Da bismo ovo sprečili, postoji mogućnost izmene  wp-config.php fajla, i to dodavanjem sledećeg PHP koda (kod dodati na kraju fajla, pre reda  ‘That’s all, stop editing! Happy publishing’):

define(  ‘DISALLOW_FILE_EDIT’, true );

Fajl se sačuva, a oba editora nestaju sa naseg dashboard-a.

Da bismo ponovo omogućili izmene, vrednost ovog koda prebacimo  iz true u false, i to je sve.

Šta je SSL sertifikat?

ssl sertifikat

DA VAS PRETRAŽIOVAČ OZNAČI KAO BEZBEDNOG

SSL sertifikat predstavlja datoteku koja  kodira (enkriptuje) primljene i poslate informacije između nas i sajta na kojem se trenutno nalazimo.

Ukoliko nema ove enkripcije, razmena podataka se vrši putem nebezbednog HTTP protokola, a ukoliko sajt koristi SSL sertifikat, svi podaci koje korisnik eventualno ostavi na sajtu su šifrovani. Protokol koji se u tom slučaju koristi označen je kao HTTPS protokol. Ako pogledamo u adresnu liniju pretraživača, videćemo da li je reč o http ili https bezbednom protokolu.

Zašto vam je potreban SSL sertifikat?

SSL sertifikat nam je, pre svega, potreban jer je internet svet prilično haotičan što se pravila ponašanja tiče i nikada ne možemo znati ko se može dočepati naših ličnih podataka i eventualno ih zloupotrebiti. 

U posebno osetljive podatke ubrajamo:

-korisničko ime i lozinka

-podaci vezani za platne kartice 

-privatna komunikacija 

Hakeri lako mogu dopreti do naših podataka preko nekodirane komunikacije i na neki način ih zloupotrebiti.

Enkripcijom štitimo sebe, ali i naše korisnike.

Šta Google misli o tome?

Kompanija “Google” je donela odluku da bi sva komunikacija preko interneta trebala biti kodirana.  U cilju podsticanja obezbeđivanja sajtova, “Google” je započeo bolje pozicioniranje  sajtova koji koriste SSL sertifikat, odnosno bolje rangiranje u svojim pretragama. Prate ga i drugi pretraživači.

Sve to vlasnicama sajtova signalizira da se novi standard mora prihvatiti ukoliko imaju ozbiljne namere u vezi svojih plasmana.

SSL sertifikate su ranije uglavnom koristile veliki online šopovi i banke  zbog  online plaćanja i slično. Ostalima ovaj sertifikat nije bio potreban.  

Danas postoji nekoliko provajdera i tipova sertifikata, a dele su u dve grupe:

-Regularan SSL sertifikat (odnosi se na zaštitu domena)

-SSL sertifikat sa produženom zaštitom

Danas hosting provajderi uglavnom nude  besplatne osnovne (auto) SSL sertifikate, koje je potrebno samo aktivirati.

BACKUP!

BACKUP

Veoma je bitno uvek imati rezervnu kopiju svih poslovnih podataka. To znači i da je jednako važno imati rezervnu kopiju sajta, posebno u slučaju online prodaje. U slučaju da sajt nije dostupan, osim štete koja se može naneti poslovnoj reputaciji,  mogu nastati i značajni materijalni gubici. Iz toga sledi da je jedina dobra praksa u ovom smislu redovno bekapovanje sajta i podataka na istom. Sami birate način bekapa, ali je važno čuvati podatke na bezbednoj lokaciji.

Postoji onsite (čuvanje na lokalnim uređajima) i offsite (čuvanje na udaljenim mestima) bekap podataka.

Onsite backup

Onsite backup je periodično čuvanje podataka na lokalnim uređajima za skladištenje koje nudi naš host provajder i obično je u pitanju panel sa mogućnostima za povrat rezervnih kopija.

U ovom slučaju, imamo neposredan pristup podacima, a ovakav backup je jeftin i ne dovodi do opterećivanja mreže.

Ipak, ako dodje do neke katastrofe poput požara ili poplave, može doći do gubitka podataka, a diskovi takođe mogu biti predmet krađe ili se fizički oštetiti.

Sve češći hakerski napadi nas upućuju na to da je bitno rezervne kopije držati što dalje od ostalog dela računarske mreže.

Znači, postoje eventualni bezbednosni rizici.

Offsite backup

Rezervne kopije možemo čuvati na više udaljenih lokacija, ali i na svom računaru. Podacima se može pristupiti konekcijom sa bekap serverom ako je to online servis, a što je najvažnije, podaci su bezbedni u svakom slučaju, bilo da se radi o prirodnim katastrofama ili hakerskim napadima.

Realni problem mogu nastati prilikom  redovnog održavanja ovih bekap servera kada će sajt biti nedostupan, a takođe se može javiti i problem vezan za brzinu jer će za vraćanje velikih sajtova biti potreban duži vremenski period.

U lokalu je za čuvanje kopija najbolje koristiti eksterni HDD koji konektujemo za računar samo po potrebi.

Učestalost bekapovanja zavisi od vrste sajta. Ako se sajt ne menja često onda bi možda dobra praksa bila backup-ovanje jednom mesečno, ali ako su izmene česte onda makar jednom nedeljno. Ovakva praksa možda deluje nepotrebna, ali ponekad može biti pravi spas za nas i naše podatke.

Za izbor modela se sami pitate, pa procenite šta bi vam najviše odgovaralo.

Backup je dostupan na serverima

Installatron  – dodatak u cPanelu pomoću koga veoma lako pokrenećemo i instaliramo neku aplikacija kao što je WordPress,  Drupal, ali i mnoge druge. Tu su CMS aplikacije, newsletter, forumi…

Osim toga, može se podesiti i automatsko ažuriranje aplikacije, teme,  plugina. Ono što je takođe bitno je i mogućnost kreiranja backupa, kao i vraćanja aplikacije iz nekog backupa, ranije kreiranog,  ako se nešto zakomplikuje.

Backup wizardapalikacija koja funkcioniše slično kao prethodna.

R1Soft Restore Backups aplikacija  koja obezbeđuje jednostavan i bezbedan restore našeg sajta.

Buckup dodaci

Na raspolaganju nam je i određeni broj dodataka  za automatski bekap. Možda su najpopularniji UpdraftPlus i BackupBuddy.

Ipak, bitno je napomenuti da svako dobro rešenje ima mogućnost izbora vremena izrade rezervne kopije i lokacije na koju se ista postavlja. Najbolje bi bilo birati period tokom noći jer je tada najmanje opterećenje servera.

U cilju uštede vremena i resursa veoma su dobra inkrementalna rešenja bekapa, gde se dodaju samo promene nastale od poslednjeg bekapa.

Sami dodaci mogu biti eventualni bezbednosni rizik i dodatno opteretiti sajt, pa bi trebalo da smo oprezni sa njima iako dosta olakšavaju posao.

Takođe je važno i da pre nekih planiranih većih izmena na sajtu uvek uradimo bekap u slučaju da nešto krene po zlu.