Зголемете ја безбедноста на вашиот веб сајт

Најголем процент од Македонските веб страни отпаѓа на CMS (Content managment systems) веб портали, како Joomla и WordPress. Во овој пост ќе дадеме неколку совети, како да ја подобрите безбедноста на вашите веб портали базирани на овие CMS системи.

Поради големата популарност, милионските превземања на овие готови системи, се` повеќе се појавуваат и натрапници кои ги целат ваквите видови на веб страни. Секојдневно се појавуваат нови exploits, malware кодови, phishing скрипти кои може да го заразат вашиот веб сајт. Сигурно првпат кога инсталиравте WordPress или Joomla, мислевте дека со самата инсталација ќе имате сигурен веб сајт и не треба да се грижите за безбедноста затоа што многу други веб страни користат WordPress/Joomla и самата популарност ви дава скриена претстава да се чувствувате безбедно со вашиот нов веб сајт.

Но доколку не превземете понатамошни чекори за безбедност на веб сајтот, без разлика на популарноста на овие портали, вашиот сајт може еден ден да биде мета на неочекувани напади, но тогаш ќе биде доцна…

Еве неколку совети за побезбедна веб околина на вашиот сајт:

 

Ажурирајте го вашиот веб сајт редовно

Некој мисли дека со инсталација на WordPress или Joomla ја завршил својата работа и заборава дека за брзо време излегуваат нови верзии. Надоградбата не треба да се игнорира. Овие веб апликации имаат автоматизиран систем за надоградба и треба само неколку клика и само неколку секунди работа за да се заврши целата процедура.
Некои се плашат и внимаваат нивниот сајт да не биде „оштетен“ со надоградбата, да не им се измести или деформира дел од сајтот. Сепак тоа не треба да е изговор за надоградба и треба брзо да се најде соодветно решение.

И не само платформата, сите дополнителни теми кои одат со CMS порталот, додатоци, модули, компоненти, сите треба да се надоградат веднаш кога ќе излезе нова верзија.

Зошто надоградба?
Ќе имате побрз, подобар пристап, нови функции и слично, но надоградбата често затвара и веќе пронајдени „порти“ за влез од страна на неовластени напаѓачи кои може да наштетат на вашиот веб сајт и лесно да навлезат во неговата содржина.

Бришете непотребни работи

Непотребни работи како:

• теми кои не ги користите
• додатоци
• модули и компоненти
• фајлови и фолдери
• дополнителни пробни тест инсталации…

Сите овие додатни работи кои сте ги инсталирале, а не планирате да ги користите, веднаш избришете ги. Ненадоградени теми може да бидат опасни за безбедноста. Често имам случаи каде веб сајтот на одреден клиент бил експлотиран преку застарена default-на тема, ненадоградена со години. Многу полесно решение е да ја оставите само моменталната тема што ја користите а сите други кои сте ги тестирале избришете или редовно надоградувајте ги. Често и дополнителен инсталиран модул/компонента може да направи проблем. Надоградувајте ги и додатоците.

Дали сте вршеле пробна инсталација и сте ја оставиле неизбришана по тестирањето? Веднаш избришете го тестниот фолдер, како и базата на податоци која сте ја користеле за тестирање. Често ваквите заборавени инсталации во пробни фолдери, се фатални за целиот хостинг пристап.

Користете цврсти лозинки за ФТП и админ пристап

Зошто да бидат „цврст“ лозинките? Лошите момци на интернет, често користат т.н. brute force метод на напади со што се обидуваат да ја дознаат вашата лозинка преку повеќе обиди и различни комбинации. Користат база на најчесто можни употребувани лозинки кај корисниците и вршат скенирање. Доколку сте ставиле 123456 лозинка, или име, презиме, имиња на брендови и често употребувани називи, неможе да се чувствувате безбедно со вашиот веб сајт. Користете подолга лозинка, со измешани карактери, вклучувајќи букви (комбинација големи, мали), бројки и карактери. На тој начин се намалува ризикот од овој вид на напади.

Користете различни лозинки за различни сервиси. Пример, за ФТП пристап користете една лозинка. За логирање во вашиот администраторски панел користете друга лозинка. За корисничкото име кое се користи за конектирање до базата користете трета лозинка. Обично ваквите лозинки не ни мора да ги помните, па затоа генерирајте што „потешка“ лозинка.

Не користете често употребувани имиња кај базите на податоци, како и корисничките пристапи.
Од искуство кај некои клиенти често може да забележам, админ пристапот го означуваат како admin и така го оставаат. Пола од работата на лошите момчиња е завршена. Јасно е дека првин тие ќе се обидат да се логираат со често употребувани кориснички имиња за администраторски пристап, а тоа е на пример зборчето admin. Останува да ја пробијат уште лозинката. Но, доколку користите различно корисничко име од admin, е тогаш дупло ја зголемувате безбедноста од вакви неовластени логирања.
Истото го приметувам и кај имињата на базите и корисничките имиња кои се користат за пристап до базата на податоци. Доколку клиентот инсталирал Joomla CMS, базата ја именува како joomla. Многу едноставно и логично ако се користи тој тип на CMS, хакерите да се обидат да се логираат до базата со името Joomla. Затоа и ваквите кориснички имиња треба да се со променлива содржина.

Внимавајте какви пермисии ставате на фајлови и фолдери

Најголемата пермисија за фајловите треба да биде 0644, додека за фолдерите 0755. Дури и на одредени фајлови, како на пример конфигурацискиот фајл, пермисијата треба да биде 0640. Поголеми пермисии не треба да се ставаат, затоа што безбедноста се намалува. Вашите апликации ќе работат без проблем со споменатите пермисии.

При инсталација на CMS порталот изберете различен префикс за табелите од базатa

Обично при инсталацијата самите веб портали даваат да изберете друго име за префиксот за табелите од базата, па така секогаш сменете го и не го оставајте да биде под default. Ова е добар совет, за да се избегне скенирањето и нападот од страна на хакерите кои погоре го опишав со користење на често употребувани кориснички имиња. Доколку не го знаат префиксот на табелите, неможе да пристапат до табелите од базата (пример табелата каде што се чуваат корисничките имиња) иако го знаат нејзиното име.

Користете го .htaccess фајлот

При инсталација на веб порталите, има фајл со име htaccess.txt . Едноставно, само извршете преименување на овој фајл во .htaccess и веќе може да се чувствувате побезбедно. Обично, во овој тип на фајл (кој исто е скриен), се вметнати rewrite правила, кои ќе го заштитат вашиот портал од можни експлоатирања, вметнувања на непријатен код и слично.

И на крај вршете редовен backup на целиот веб сајт, како и базата

Зошто да паничите кога некој ќе завземе контрола над вашиот веб сајт? Само насмевнете се и започнете со враќање на вашиот backup кој претходно умно сте си го креирале. Најбрзо и наједноставно враќање на сајтот во првобитна состојба е доколку претходно сте креирале backup на вашите податоци. Знаете дека не е оштетен тој backup и дека кога ќе го вратите ќе превземете некои од советите кои ги опишавме погоре за да спречите повторно навлегување на вашиот веб сајт.

Постојат cron скрипти кои ќе ви овозможат лесно користење на backup опциите, има дополнителни додатоци за овие CMS портали, кои прават backup на вашата база и ја праќаат периодично на email, или пак на FTP сервер, или пак вршат целосен backup, го пакуваат и го зачувуваат на вашиот веб хостинг.

 

Доколку и вие имате некои совети за побезбеден CMS портал кои лично ги користите, слободно пишете ги во коментар и ќе ги додадеме во овој пост.