Branko Šabarić

Sigurni WordPress, mirna savjest

Tipkovnica

Prije svega potrebno je kvalitetno osiguravati WordPress instalaciju

Sjećate se onog momenta kad ste vidjeli svoje nove stranice upogonjene moćnim WordPressom, sretni što napokon možete svoju web adresu isticati s ponosom? A ukoliko ste nažalost bili u situaciji, vjerojatno se sjećate i trenutka kada ste primjetili čudne i neželjene datoteke na svojem serverskom disku. U tome slučaju, vjerojatno ste primili i poruku od korisničke podrške vašeg ponuđača usluga upozorivši vas kako je hosting usluga suspendirana i tražeći da se uklone neželjeni sadržaji. Takvo iskustvo ostavlja gorak okus. U nadi da niste izgubili bitne podatke, u većini slučajeva takvi incidenti se mogu izbjeći. Nažalost, ne postoji 100% siguran sustav, ali pravilnim i profesionalnim pristupom može se znatno ojačati sigurnost vaših stranica. No, krenimo redom. Što činiti i kako se zaštiti od neželjenih napada?

Zašto baš ja?

Dobra vijest je da vjerojatno niste bili napadnuti u želji da se ukradu vaši osobni podaci (koje nadamo se ne čuvate spremljene na serverskome disku). WordPress jednostavno spada u skupinu najrasprostranjenijih CMS-ova i time je podložan većini napada, pošto osoba koja napada razumije strukturu i organizaciju programskog koda koji pogoni vaše stranice. No, to je samo način kako ulazi na vaš host. Nije želja uništiti samu jezgru sustava, već iskoristiti propuste kod nepravilnog postavljanja i podešavanja vaših web stranica, te lošeg održavanja sustava kojeg je potrebno konstantno nadzirati i nadograđivati novim inačicama. Ukoliko niste u mogućnosti aktivno se baviti tim radnjama, svakako kontaktirajte nekoga tko će paziti da su vaše stranice konstantno ažurne. Pri tome vam možemo pomoći i Avalon uslugom održavanja web stranica.

Iako ćete vjerojatno željeti predočiti onoga tko vas je napao kao osobu u zamračenoj prostoriji, s velikim podočnjacima i zlim namjerama, istina je da vas je vjerojatno “napao” običan programski kod kojeg kolokvijalno zovemo — “bot”. Predočite ga kao robota koji je programiran samo za jednu namjenu: da konstantno pretražuje Internet i pronalazi web stranice, te u predefiniranim radnjama pokušava probiti sigurnost na njima u svrhu malicioznih radnji. Naime, cilj je pretvoriti vaš web u drugi “bot”, koji onda nastavlja ilegalne radnje, ali s vaše adrese. To su najčešće aktivnosti koje šalju spam ili neželjenu poštu ili napadaju druge stranice. Na taj način vlasnik ilegalnog programskog koda želi se domoći više resursa kako bi mogao širiti svoje ilegalne aktivnosti.

Koji su najčešći oblici napada?

Nesigurne teme i dodaci

Kao što smo već naveli, nepravilno ili neprofesionalno postavljene stranice, te odsustvo konstantnog nadzora i ažuriranja sustava dovodi do lakih upada na vaš host. WordPress omogućava postavljanje sustava i tzv. tema, koje su zadužene za izgled i funkcionalnost stranica, na jednostavan i brz način. Zbog toga mnogi korisnici koji nemaju iskustva i nisu spremni investirati minimalno, žele sami ili uz pomoć nekoga bliskoga postaviti vlastiti web. No, ukoliko se to ne odradi na kvalitetan način izlažete se riziku da otvorite vrata neželjenim upadima. U svojoj ponudi, Avalon izrađuje web stranice samo s vlastitim kodom i vlastitim metodama, kojima je dodatno osiguran cijeli web od eventualnih napada. Također, uz opciju redovnog održavanja, web stranice se konstantno nadziru, ažuriraju s najnovijim nadogradnjama i u slučaju eventualnih napada, Avalonov tim će ukloniti sve prijetnje bez dodatne naknade.

Brute Force napadi i loše zaporke

Nekvalitetno postavljanje WordPress instalacije čini ju podložnu napadima. Kao svaki zaštićeni sustav i WordPress posjeduje korisničko ime i zaporku kako bi mu se pristupilo. Jedan od najčešćih oblika napada je tzv. Brute Force napad, pri kojem “bot” pokušava pogoditi korisničke podatke. To se događa onim korisnicima koji ne pridonose puno pažnje prilikom definiranja zaporke, ili radi vlastite komfora žele istu učiniti lako pamtljivom (npr. korisničko ime “admin” ili zaporke “12345678”). Napadači to znaju, i nakon što izrade bazu podataka s najčešćim korisničkim podacima. Nakon toga sve što moraju je usmjeriti “botove” na web adrese, prilikom čega jedna može biti i vaša, i metodom pokušaja i pogrešaka unijeti podatke sve dok ne uspiju. Jedan od najboljih savjeta, uz definiranje jedinstvenog korisničkog imena i zaporke, je ograničavanje brojeva pokušaja krivog prijavljivanja u sustav, te implementaciju tzv. two-factor prijave. Iako sve ovo zvuči komplicirano, zapravo nije. I svakako treba obratiti pažnju na to. Kao i uvijek, Avalon se nudi kao partner u tome također, i ukoliko trebate bilo kakvu pomoć, obratite nam se i pomoći ćemo vam u dodatnom osiguravanju vaših web stranica.

Injection napadi

Centralno mjesto gdje se smještaju podaci s vaše web stranice nalazi se u bazi podataka. Da bi se zapisali, i pristupilo istima, potrebno je izraditi razne elemente: kontakt forme, tražilice, komentare i sl. Svaki taj oblik mora imati definiran neki oblik provjere i ukoliko taj mehanizam nije ispravno podešen, otvara se mogućnost napadačima da pristupe vašoj bazi podataka, upišu maliciozan kod u nju i time preuzmu potpunu kontrolu nad vašim stranicama. Stoga i taj dio web stranica mora biti stručno i ispravno podešen kako bi se spriječili eventualni napadi. Ukoliko vam se to čini previše izazovnim zadatkom, obratite se našoj podršci i pomoći ćemo vam u zatvaranju svih pukotina na vašim stranicama.

Phising krađe

Ukoliko napadač uspije proći kroz sigurnosne mehanizme na vašoj web stranici, jedan od najčešćih oblika ilegalnih aktivnosti je pokušaj krađe tuđih podataka. Iako ovo nije izravno napad na vaše podatke ili stranicu, vaša stranica postaje time mjesto napada na druge korisnike. Npr. izradom lažne stranice za plaćanje napadač može krasti broj kreditne kartice, i sve to činiti s vaše web stranice. Avalon i svaki drugi hosting će uočiti takve aktivnosti i obavijestiti vas o tome. Vodeći brigu o našim korisnicima, u Avalonu je praksa da pokušamo izolirati dio datoteka koje su kompromitirane. U slučaju da to nije moguće, onemogućit ćemo dio inficiranih web stranica, dok nam je onemogućavanje svih web stranice posljednja opcije i poduzima se kada ništa drugo ne preostaje. Pri tome valja napomenuti da će email poruke i ostali servisi funkcionirati i dalje. Stoga, da bi spriječili slične neugodnosti, potrebno je učiniti maksimalno da ne dođe do takvih incidenata. WordPress sadrži točan popis potrebnih datoteka za njegovo funkcioniranje, i najbolja praksa je postavljanje dodatka za detekciju i zaustavljanje bilo kakvih izmjena ili upisivanja novih datoteka. Svakako bi preporučili i postavljanje SSL certifikata, koji Avalon nudi svim svojim korisnicima bez dodatne naknade. Na taj način sva komunikacije prema i od poslužitelja će biti šifrirana, i onaj koji presretne takav promet dobit će samo besmislen niz znamenaka koji neće biti od koristi. Sve što je potrebno je podesiti certifikat i ispravno usmjeriti i ako želite da to učinimo za vas, slobodno nas kontaktirajte i pomoći ćemo vam u tome.

Pretraži arhivu članaka