Kao što su računari ranjivi na viruse i zlonamerni softver koji može da ošteti fajlove, ugrozi privatnost i proširi se na druge računare bez vašeg znanja, isto možemo reći i za veb-sajtove iako se njihovi fajlovi nalaze na udaljenim serverima, a ne na vašem lokalnom računaru.
Obavljanje redovnih provera i testiranje stepena bezbednosti veb-sajta je od suštinskog značaja za sprečavanje hakerskih napada koji iskorišćavaju potencijalne sigurnosne propuste u platformi na kojoj se nalazi vaš veb-sajt.
Kada govorimo o CMS platformama, prema poslednjim istraživanjima gotovo 30% sajtova na svetu nalazi se na WordPress platformi. Sa preko 1,3 milijarde aktivnih instalacija na internetu svakako je najpopularniji izbor od strane programera i vlasnika veb-sajtova. Međutim, baš zahvaljujući svojoj popularnosti privlači i mnogo više pažnje hakera nego neki drugi CMS i često može biti meta hakerskih napada.
U ovom tekstu, govorićemo o merama koje možete preduzeti kako biste proverili sigurnost vašeg veb-sajta. Primenom ovih mera u velikoj meri možete smanjiti šansu da vaš sajt bude meta hakovanja i padne u ruke “loših momaka“.
9 saveta za proveru sigurnosti veb-sajta
- Aktivirajte HTTPS konkeciju
- Redovno ažurirajte WordPress dodatke i teme
- Uklonite WordPress dodatke koji vam nisu potrebni
- Vršite redovni bekap veb-sajta i podataka
- Kontrolišite i proveravajte integritet fajlova
- Zaštitite sajt od “brute-force” napada
- Promenite korisničko ime
- Automatski generišite nove lozinke
- Odradite sigurnosnu proveru sajta online
Pa da počnemo.
1. Uverite se da imate SSL sertifikat
Slovo “s” u https:// označava Secure Socket Layer, koji vrši enkripciju (šifrovanje) podataka koji se kreću između veb pretraživača i servera. Ovo je postalo toliko važno da je posedovanje SSL sertifikata značajan šraf i signal rangiranja kada je u pitanju optimizacija veb-sajta za pretraživače. Takođe, Google je još pre nekoliko godina krenuo sa faznim uvođenjem promena čiji je krajnji cilj da svi sajtovi poseduju SSL sertifikat. Jedna od faza uključivala je označavanje svih sajtova koji nemaju instaliran SSL sertifikat kao “NOT SECURE”. Pobrinite se da vam Google ne obeleži sajt kao nesiguran i nabavite SSL sertifikat za vaš sajt.
Za više informacija pročitajte tekst “Sve što treba da znate o SSL sertifikatima” na našem blogu.
2. Redovno ažuriranje tema i dodataka
Ukoliko se vaš sajt nalazi na WordPress platformi, od izuzetnog je značaja da redovno ažurirate WordPress, kao i instalirane teme i dodatke. Zbog svog otvorenog koda, ali i činjenice da ga koriste milioni ljudi širom sveta, WordPress je gotovo savršena meta za razne hakerske napade koji se događaju usled sigurnosnih propusta. Redovnim ažuriranjem sigurnosni propusti koji potecijalno postoje u ranijim verzijama ispravljeni su u novim, te je samim tim manja je šansa da postanete meta napada.
Na ovom linku možete pogledati listu poslednjih sigurnosnih propusta u WordPress temama i dodacima.
3. Uklonite dodatke koje više ne koristite
Deaktivirajte i obrišite sve one dodatke koje ne koristite, a naročito dodatke koji već nekoliko meseci ili čak godina nisu ažurirani. Takvi dodaci su savršena meta za hakere koji ih kupuju i ažuriraju, sa tom promenom što se sada u njima nalazi i maliciozni kod koji posledično pruža mogućnost hakeru da putem dodatka pristupi vašem sajtu.
Pored bezbednosnog aspekta, uklanjanje nekorišćenih dodataka i tema pomaže u smanjenju kompleksnosti i sprečava konfuziju ukoliko i drugi ljudi imaju pristup vašem veb-sajtu. Takođe, smanjuje se količina fajlova kada se generiše bekap i posledično, redovno “čišćenje” može jednim delom uticati i na poboljšanje performansi.
4. Vršite redovni bekap svih podataka
Neretko se dešava da godine i godine uložene u blog i stvaranje njegovog sadržaja nestanu u trenu uz pomoć malo malicioznog koda. Sve to može da se spreči ako imate bekap vašeg veb-sajta – najčešće na više lokacija.
Kakva je situacija u Mintu? Kupovinom shared hosting paketa iz naše web hosting ponude u svom standardnom paketu dobijate i redovan nedeljni backup web sajta i pripadajućih fajlova. Za dodatnu sigurnost, preporučujemo vam uslugu dnevnog backupa koju možete poručiti uz Shared hosting paket.
Pročitajte više: Pet razloga zbog kojih je potrebno vršiti backup veb-sajta
5. Kontrolišite i proveravajte integritet fajlova
Obratite pažnju na sve one fajlove koje dodajete na veb-sajt i uzmite ih u obzir kada razmišljate o bezbednosti. Fotografije – kao i Excel i Word dokumenti, čak i PDF-ovi – mogu da budu promenjeni od strane hakera. U tom pogledu može vam pomoći dodatak koji skenira ili nadgleda promene u okviru fajlova.
6. Zaštitite web sajt od “brute-force” napada
Šta je Brute-force napad? Zamislite lopova koji isprobava svaki ključ na vašem privesku dok na kraju ne pronađe onaj koji otključava vrata vašeg doma. Upravo tako funkcioniše brute-force napad u online svetu. Napadači puštaju računar da radi svoj posao – pokušavajući različite kombinacije korisničkih imena i lozinki, dok ne pronađu onu kombinaciju koja omogućava ulazak ili koriste koriste razne softvere da napadnu dugme za prijavljivanje sa sto klikova u sekundi. Ovim akcijama se možete suprotstaviti na nekoliko načina:
- Koristite komplikovane lozinke, po mogućstvu sa nasumičnim slovima i brojevima ili još bolje nasumično izabranim rečima
- Ukoliko koristite WordPress, koristite dodatke poput Limit Login Attempts kako bi blokirali “brute-force” napade i banovali one IP adrese sa koje napadi dolaze.
Predstavi ideju, biznis ili uslugu na internetu i uz web hosting pakete odaberi najbolje za svoj blog, online prodavnicu, portfolio ili web aplikaciju.WEB HOSTING
7. Promenite korisničko ime
Brute-force napadi uobičajeno targetiraju wp-login.php fajl u okviru WordPress instalacije iznova i iznova. Stoga, savetujemo vam da ne koristite “admin” kao korisničko ime. Većina napada upravo pretpostavlja da ljudi koriste ovaj username zbog činjenice da su rane verzije WordPress-a podrazumevale “admin” kao korisničko ime. Ako još uvek koristite ovo korisničko ime, napravite novi nalog, prenesite sve postove na taj nalog i promenite „admin“ u pretplatnika (ili ga potpuno izbrišite).
8. Automatski generišite nove lozinke
Kada smo kod “brute force” napada, u velikoj meri možete smanjiti šanse da se oni dese koristeći jake lozinke. Ne pokušavajte da sami smišljate komplikovane lozinke. Umesto toga, generišite lozinke preko programa kao što su 1Password ili LastPass i koristite njihovu uslugu za automatsko generisanje lozinki kako bi stvorili skoro neprobojnu zaštitu. Ovi programi kreiraju lozinku koja predstavlja niz od par reči, slova ili brojeva tako da je istu skoro nemoguće dešifrovati.
Takođe, korišćenjem ovakvih softvera sve lozinke nalaziće se na jednom mestu.
9. Proverite sajt online
Postoji nekoliko servisa za proveru sigurnosti sajta, uključujući i WordPress dodatke koji to mogu učiniti. Na ovom linku možete pronaći listu od 12 besplatnih online alata za proveru sigurnosti.
Zaključak
Postoje na desetine, ako ne i stotine korisnih mera koje možete preduzeti da zaštitite veb-sajt od hakera. Mnoge od njih su sastavni deo bezbednosnih mera koje pruža hosting provajder u okviru svoje usluge. U slučaju da ste više “uradi sam” tip osobe i imate svoj lični server ili pravite od početka sajt – biće vam potreban profesionalni developer koji će brinuti o ovim stvarima. Međutim, bez obzira na to – postoje osnovni koraci za proveru sigurnosti koje bi svi trebali da prate – nebitno kod koga je sajt hostovan ili koji tip softvera koristi.
Ukratko, ukoliko imate veb-sajt koji se nalazi na nekom serveru, nažalost uvek postoji mogućnost da ćete biti napadnuti od strane hakera, sajber kriminalaca i ostalih “loših momaka”. Verovatnoća da će oni uspeti da pristupe vašem web sajtu i ukradu bitne podatke – zavisi od vas. .
