7 NEIZOSTAVNIH ELEMENATA za povećanje bezbednosti vašeg web sajta - ContraTeam

7 načina za povećanje bezbednosti web sajta i hostinga

7 NEIZOSTAVNIH ELEMENATA za povećanje bezbednosti vašeg web sajta

Objavljeno: 3 jula, 2017 12:16 pm U kategoriji: , ,

Kao vlasniku sajta od kojeg zavisi posao, ima li gore stvari od toga da Vaš sajt bude onesposobljen Ili veće bojazni od te da vam budu ukradeni podaci za koje ste polisom privatnosti korisnicima obećali da će biti zaštićeni?

Onesposobljen sajt pauzira poslovanje. Čisti, proveravaj, plati, popravljaj… troškovi se gomilaju, a posao stoji.

Kako biste ovo izbegli morate konstantno biti na visokom nivou opreza, a prvi znak da ste na ovom nivou je da budete svesni da nikada niste uradili sve, pa tako i da sve što ste uradili sutra možda više ne bude dovoljno da se zaštitite.
S toga, uradite sve ono što je inicijalno važno i potom redovno prarite i proveravajte stanje!
Što se tiče odabira samih platformi, programskih jezika, tehnologija i dr. na čemu će sajt biti zasnovan, to prepuštamo vama, firmama i programerima koje ste odabrali.
 
 

Ono što mi kao hosting kompanija možemo istaći jesu sledeće stvari:

 
 

Koristite HTTPS protokol

 
HTTPS protokol predstavlja kriptovanu HTTP komunikaciju između klijenta (posmatrača sajta) i servera. To znači da se svi zahtevi upućeni od strane klijenta “šifriraju” i samo server zna da ih “dešifruje”. Naša kompanija obezbedila je svim korisnicima hosting usluga besplatan SSL sertifikat a na Vama preostaje samo da se odlučite da ga upotrebite jer, zašto biste rizikovali da neko presretne podatke (login, adresu, email, broj katice?) i zloupotrebi ih…
 
 

Onemogućite izlistavanje fajlova unutar foldera

 
Iako ovo spada u elementarno poznavanje internet tehnologija neretko se dešava da programeri zaborave da onemoguće ovu opciju.
– Zašto je ovo važno?
Kada posetite neku putanju (direktorijum) smešten na serveru koji u sebi ne sadrži index.html ili nije onemogućeno izlistavanje putem .htaccess-a tada sasvim opušteno možete pregledati i preuzeti sve podatke iz tog direktorijuma.
– Ako se pitate “a kako neko zna da ja imam taj direktorijum?” odgovor leži u tome da to ne rade ljudi (dok vas ne pikiraju) već automatske skripte koje su u stanju da obiđu i nekoliko hiljada sajtova u minuti.

Bolji način da ovo izvedete jeste da sledeći kod kopirate u .htaccess:

Options -Indexes

ili „manuelno“ tako što ćete u svaki folder ubaciti prazan index.html fajl.
 
 

Promenite putanju ka admin loginu

 
Kada neko želi da vas napadne, jedna od najčešćih načina na koje će to uraditi je tako što će pronaći vašu putanju ka login formi za administraciju sajta. Ako ga tamo ne dočeka zaštita koja će mu onemogućiti prikaz login forme nakon 3-5 neuspešnih pokušaja, to je skoro kao da ste mu ostavili otvorena vrata.
Još ako username ostavite “admin” ili “administrator” ? Preostaje mu samo da podesi “vrtilicu” kombinacija brojeva, slova i znakova dok vam ne pogodi lozinku.
Ukoliko koristite komericjalno CMS rešenje (WordPress, Joomla i sl.) lako ćete pronaći dodatak koji vam u par klikova omogućuje da promenite putanju do administratorske zone.
Neka od najpopularnijih besplatnih rešenja su:
Joomla: Admin Exile
WordPress: iThemes Security ,  Wordfence security
 
 

Koristite CloudFlare

 
CloudFlare može dodatno zaštititi Vaš sajt od neželjenih posetioca (botova ili robota). Detaljnije o ovom servisu, vrstama zaštite i konfigurisanju pisali smo nešto ranije. Naša hosting kompanija je i zvaničan CloudFlare partner te njihove usluge možete aktivirati u 3 klika preko svog cPanel-a.
 
 

Update-ujte CMS, plugine, temu i sl.

 
Prema statističkim podacima koji se mogu pronaći svuda na internetu, jedan od najčešćih razloga zašto sajtovi nisu ažurni korisnici navode to da nisu sigurni da li će nakon update-a morati da “doteruju” sajt. Neki zato što misle (i neretko su u pravu) da će ažuriranjem usled novina nešto morati da se menja da bi funkcionisalo kao pre, a neki zato što znaju da prilikom izrade teme ili dodatka nisu poštovali kodeks pa će im ažuriranje “pregaziti” njihove izmene. Više o ovoj temi pisali smo opširnije pa vam preporučujemo da pročitate.
 
 

Pojačajte lozinke

 
Zvuči logično i otrcano ali je i dalje aktuelno jer se i 17. godine XXI veka kao najčešće lozinke navode:
123456
admin123
imesajta123

Morate bolje od toga. Mnogo bolje…. Ako vam je teško da pamtite, preporučujemo da kreirate neki svoj šablon za lozinke na internetu, na primer po sistemu:

Jedan znak + jedna ili više reči + jedno veliko slovo + par brojeva.

Konkretan primer: ~1357Mojašifra

… jer ako koristite samo slova ili slova + 123 značajno smanjujete broj kombinacija koje treba “prevrnuti” da bi se pronašla ona prava. Čim dodate jedan znak stepenovali ste broj kombinacija za nekoliko puta… pa još ako dodate par brojeva i veliko slovo…
 
 

Zaštitite forme

 
Još jedan od najpopularnijih načina za neovlašćeni pristup sajtu je SQL injection.
U nakraćim crtama, polje forme koje nije definisano šta u njega treba uneti ostavlja prostora da se u njega upiše neki kod koji se aktiviranjem forme može izvršiti. Tim kodom se može doći do pristupa administraciji sajta ili direktno podacima iz baze.
Tako da:

  • Definišite za svako polje šta u njega treba uneti (i napravite validaciju forme pre slanja),
  • Ubacite captchu,
  • Proveravajte ekstenziju i sadržaj fajla ukoliko ga korisnik kroz formu može dodati i obavezno onemogućite upload arhiva (zip, rar, iso, 7zip…) jer mogu sadržati php i druge skripte pomoću kojih se može uraditi… sve i svašta…

 

BONUS je ono što hosting kompanija može da uradi da dodatno poveća bezbednost vaših naloga a to je da:

  • Obezbedi SSL sertifikat
  • Da izoluje naloge na deljenim hostinzima
  • Da konfiguriše cPanel tako da trajno onemogući pristup korisnicima prilikom pogrešne autorizacije.

 

Kada su u pitanju naši serveri, za gore navedene stavke možemo slobodno reći „check“!  🙂

 

PODELITE