Како да ја зголемам безбедноста на мојата веб страница?

Posted on by

Доколку трошиме повеќе време и внимание на кафе отколку на зголемување и зајакнување на безбедноста на нашиот веб сајт, ќе бидеме нападнати и вистината е дека и заслужуваме да бидеме нападнати.

За помалку од една генерација, електронската населба наречена Интернет се постави како главен и фундаментален механизам за поврзување на поединци, влади, корпорации, факултети/универзитети и други субјекти во еден навистина глобален систем кој работи со огромна брзина. Овој механизам имал и се уште има огромно влијание врз политичките, економските, социјалните и образовните интеракции на начин кој има донесено значајни бенефиции за целокупното човештво.

Ако во минатото само најголемите корпорации и IT фирми си имаа своја веб страница, денес секоја фирма (а и голем дел од поедниците) си имаат своја веб страница, која им служи за презентација и маркетинг, а автоматски и за заработка. Меѓутоа кога станува збор за тоа како најрентабилно да се заштити веб страницата од малициозни корисници, голем дел од луѓето сметаат дека тоа не е вредно за трошење на нивното време. Меѓутоа оние кои се технички потковани се свесни за опасноста која демнее. За да не дојде до заразување на вашиот вебсајт и до нефункционалност на истиот, ви предлагаме да ги следите советите за зголемување на безбедноста на вашиот вебсајт, дадени подолу.

Страниците за најава треба да бидат со SSL

Често среќаваме веб сајтови кои користат SSL (со https: URL шеми) по идентификацијата на корисникот. Шифрирањето по најавата на одреден сајт може да биде корисно, како на пр. „заклучувањето на вратата од шталата за да не избегаат коњите“. Доколку страницата не е шифрирана тоа е исто како да сте го оставиле клучот на вратата, откако сте ја заклучиле.
Тука можеби е добро да појасниме што е токму тоа SSL?
SSL (Secure Sockets Layer) овозможува лесно спроведување на безбедносна комуникација на вашиот веб сајт со лесно имплементирачкиот протокол за сигурносни трансакции. SSL е енкриптиран линк помеѓу серверот на кој се наоѓа веб сајтот и интернет пребарувачот на корисникот преку кој пристапува до самиот веб сајт. Веднаш кога сигурностниот SSL линк ќе се воспостави помеѓу серверот и клиентскиот пребарувач, целата комуникација останува доверлива и безбедна. SSL сертификатот е неопходен за веб страниците кои овозможуваат online плаќање. Повеќе околу SSL може да прочитате на следниов линк: http://www.blog.mkhost.com.mk.mk/ssl/

Користете FTPS за трансфери

FTPS (попознат како STP-ES, FTP-SSL или FTP Secure) претставува екстензија односно надоградба на веќе добро познатиот File Transport Protocol, со кој сигурно секој од вас веќе се сретнал. Надоградбата, односно оваa додаденa буква S на крајот означува дека овие тренасфери на фајлови преку FTP протоколот ќе бидат сигурни, односно сите фајлови ќе се трансферираат користејќи посебни сигурносни методи.

Кога за првпат бил креиран FTP протоколот (протокол за трансфер на податоци) сигурноста воопшто не била во прашање, односно не се размислувало за таа тема. Но, од тогаш многу работи се промениле и денес размената на податоци во форма на фајлови преку Интернет или пак преку друга несигурна мрежа се смета за едно големо НЕ. Токму затоа потребно било малку да се размисли за тоа како да се вметнат безбедносни и сигурносни мерки, за самиот протокол да стане побезбеден. За да се задоволат овие безбедносни потреби додадени се одредени дополнувања (екстензии) на оригиналниот FTP протокол, а тоа дополнување е фајловите да се испраќаат користејќи SSL енкрипција.

Со користење на FTPS вашите податоци при транфер ќе бидат заштитени од преслушување од малициозни корисници, или пак изменети од истите. На овој начин се штитиме од поставување на несакани малициозни фајлови на нашата веб страница.

Мкхост на сите свои корисници кои ја хостират својата веб страна на наши сервери, им овозможува FTPS трансфер на податоци. (линк до хостинг пакетите кои Мкхост ги нуди: http://www.blog.mkhost.com.mk.mk/web-hosting/) така што со хостирање на вашата страница на МКхост за овој security token воопшто нема потреба да се грижите.

Користете SSL комуникација за испраќање e-mail пораки

Со користење на SSL комуникација за испраќање на вашите e-mail пораки, ги штитите дополнително своите податоци, особено оние каде од вашите илјадници пораки сте испратиле чувствителни податоци преку електронската пошта. Секогаш подесувајте го вашиот incoming и outgoing да користи SSL комуникација со серверот. МКхост нуди валидни SSL сертификати за емаил сервисот. Ова е добро кога сурфате на вашиот паметен телефон или лаптоп во кафуле со користење на јавна WI-FI мрежа.

Security concept: Lock on digital screen

Бидете сигурни дека поседувате .htaccess датотеки

.htaccess датотеките често се користат за да се одредат безбедносните рестрикции на одреден директориум (фолдер), па затоа бидете сигурни дека ги поседувате уште на почетокот и проверете случајно да не сте ги избришале.

.htaccess фајлот се користи за авторизација/автентикација (специфицирање на сигурносни рестрикции на даден фолдер, кој има можност за пристап до одреден фајл), презапишување на долги URL адреси и имиња (mod_rewrite), за блокирање на одредени скрипти, корисници по IP адреса или домен, за контрола на реакцијата на серверот кога одредена веб страница нема да е пронајдена итн.

Јасно е дека .htaccess фајлот е и повеќе од потребен, затоа бидете сигурни дека го имате, а особено кај администартивните страници за најава.

Подалеку од NULLED скрипти и теми

Пиратеријата на комерцијални скрипти и платени теми е најлесниот од сите други форми на пиратерија. Помалата големина на датотеките, отсуството на специфичниот “key-gen“, “DLL пукнатините“ го прават пиратирањето на скриптите полесно од пиратирањето на софтвери или компјутерски игри.
Сепак, за разлика од пиратскиот desktop софтвер, каде што антивирусот го отстранува скриениот малициозен софтвер , не постои начин за да избегнете backdoor поставен во code базата. Дури и искусниот програмер не може да проверува илјадници кодови за да провери дали скриптата е безбедна или не. NULLED скрипта или пак малициозна тема значи дека хакерот нашол простор да вметне малициозен код кој понатаму го користи за да може да спамира (испраќа огромен број на e-mail пораки), да управува со илјадници компјутери кои би ги искористил за напаѓање на одреден сервер и слично. Наш совет е никогаш да не превземате NULLED скрипти затоа што ќе имате проблеми во иднина со вашиот сајт, дури може да биде ставен на blacklist, да имате споро отварање поради малициозните кодови кои се повикуваат од хакерот.