Zavarujte svojo spletno stran

Žal živimo v času, ko so hackerski napadi na spletne strani vse pogostejši. To se je izrazito pokazalo v zadnjem tednu. Siloviti napadi na strežnike so dodobra začeli izkoriščati nepridipravi in se tokrat spravili na slovenske strežnike.

Ob uspešnem poskusu se lahko vaša spletna stran sesuje. Lahko jo preplavi kakšna turška zastava in himna ali pa je vdor neviden in se koristi v ozadju brez, da sploh veste za to. V tem primeru vam vdor lahko podre vašo uvrstitev na Googlu, preusmerja vašo spletno stran na druge nelegalne vsebine ali pa celo rudari kriptovalute na vašem strežniku.
V večini primerov je hackerski vdor nepopravljiv tako, da v primeru, da nimate varnostne kopije svoje spletne strani, lahko pride do najhujšega scenarija in to je nova izdelava spletne strani.

Kaj to pomeni za vas?

Na kratko povedano, potrebujete varnostni načrt za vašo spletno stran in pa varnostno kopijo spletne strani v primeru najhujšega.

Ker nam je jasno, da se marsikomu ne da brati in ukvarjati s tehničnimi zahtevami strežnikov in ozadja delovanja spletne strani, smo za vas pripravili tri načine kako se lotiti zadeve katere lahko izberete spodaj.

Kaj lahko naredite sami?

1. Ne uporabljajte prelahkih imen za uporabniško ime

Še posebej ni priporočljivo da uporabljate »admin«, »imestrani«, »vašeime«, ali kaj podobnega. Če uporabljate kaj od navedenega, prosimo to čim prej spremenite v uporabniškem vmesniku spletne strani.

2. Določite vzdevek za vaše uporabniško ime

V uporabniškem vmesniku wordpressa si za svoje uporabniško ime določite vzdevek. To pomeni da, če se vaše uporabniško ime glasi recimo »bostjan99«, mu dodajte vzdevek na primer »bostjan«. To pomeni, da bo ostalim uporabnikom viden le vaš vzdevek, ne pa tudi uporabniško ime, ki predstavlja 50% varnosti na vaši strani.

3. Spremenite vaše geslo

Počutim se kot, da to ponavljamo prevečkrat, ampak ja, spremenite vaše geslo. »bostjan123« ni OK. Tudi »bost123jan« ni OK, ker za robote pomeni isto. V tem primeru ne uporabljajte dovolj dolgega gesla, ne uporabljajte majhnih črk, niti posebnih znakov. To, da geslo vsebuje vaše ime tudi ni OK. Če ste že primorani uporabljati besedne zveze, uporabite slovenske, saj jih večina hackerskih robotov ne pozna.

Za generiranje gesla najbolje priporočamo naslednjo povezavo:
https://www.lastpass.com/password-generator

4. Spremenite vaš url login, naj ne bo /wp-admin

To lahko spremenite na več načinov. Najbolj pogost način je s pomočjo kakega plugina. Wp-admin so vrata vaše spletne strani. Čez vrata je precej težje vdreti v spletno stran kajne? S premikom tega se boste skrili pred napadalci in to je tisto kar je najbolj pomembno.

5. Preprečite število poskusov logiranja

Razlog za veliko število uspešnih vdorov je to, da ima hacker ali robot neomejeno število poskusov vpisa v vašo spletno stran. Čeprav smo to po večini namestil vsakemu od vas, nikoli ne škodi preveriti. Če spremenite število poskusov na 3, to pomeni da se bo vaša spletna stran za določen poskus zaklenila za uporabnika, ki je 3x zapored vnesel napačno geslo.

6. Počistite stare in neuporabljene različice spletnih strani na vaši strani

Največ vdorov na strežnik pride prav preko starih aplikacij in spletnih strani na katere ste najbrž pozabili, da jih že imate. Morda ste kaj poskušali in se nikoli več ne spuščali v to. To je isto kot da, zaklenete vhodna vrata, ampak odprto po pustite klet. Torej po uporabi vselej počistite za sabo vse stvari, ki jih ne potrebujete.

7. Naredite si varnostno kopijo

Če lahko eno stvar povemo 100x bomo povedali tole. Naredite si varnostno kopijo. Oziroma še bolje je, da si vključite periodično ustvarjanje varnostnih kopij. 1x na mesec, 1x na teden, 1x na dan, odvisno koliko spreminjate vašo spletno stran. Varnostnih kopij ni nikoli dovolj. Imejte jo na strežniku in tudi na svojem računalniku. Varnostno je potrebno kopirati vse datoteke in tudi bazo, ki jo spletna stran uporablja.

8. Redno posodabljajte nameščene vtičnike, temo in wordpress

Veliko lukenj za vdore namreč puščajo za samo teme in predvsem plugini, ki niso redno posodobljeni. Pravzaprav je večina posodobitev ravno varnostne narave, sej se znova in znova odkrijejo nove ranljivosti in nekompatibilnosti s sistemi. Pred vsako posodobitvijo obvezno napravite varnostno kopijo celotnega sistema, saj na žalost posodobitve včasih lahko naredijo več škoda kot koristi.

Z naraščajočimi vdori, je tako kot z vlomi v vaš dom ali avto.
100% zaščite ni!
A z zgoraj naštetimi predlogi boste precej minimizirali kakršen koli vdor na vaše spletno mesto. To je le nekaj osnovnih stvari, ki jih vsekakor priporočamo vsakemu od vas.

Kaj lahko mi naredimo za vas

Pri podjetju Splet99 ponujamo 3 pakete vzdrževanja spletne strani. Za vas lahko letno ali mesečno opravljamo vse posodobitve, varnostne kopije in tudi manjša dela na spletni strani.

Pri vsakem paketu bomo za varnost storili slednje:

  • ustvarili varnostno kopijo .htacces datoteke
  • ustvarili varnostno kopijo wp-config.php datoteke
  • v kodi spletne strani skrili informacijo o različici WordPressa
  • določili vzdevke vsem uporabnikom na strani
  • ponastavili vsa gesla za dostop do spletne strani
  • spremenili »vhodna vrata« v spletno stran (/wp-admin)
  • omogočili zaklep strani za določene IP naslove
  • omogočili, da se vsaka registracija na strani potrdi s strani naročnika
  • pri registraciji in logiranju ustvarili skrito okno, ki bo nevidno, a obvezno za izpolnit, torej roboti ne bodo mogli mimo
  • onemogočili urejanje .php datotek
  • onemogočili dostop do namestitvenih datotek WordPressa
  • postavili osnovni požarni zid
  • onemogočili dostop vsem bot-om
  • preprečili smetenje po komentarjih spletne strani
  • periodično preverjali spremembe v pomembnih datotekah
  • periodično nadzirali poskuse vdora in jih blokirali
  • periodično izdelovali strežniško in lokalno varnostno kopijo spletne strani
  • periodično nadgrajevali WordPress na najnovejšo različico
  • periodično nadgrajevali vtičnike na najnovejšo različico
  • periodično nadgrajevali builder na najnovejšo različico
  • nudili telefonsko podporo
  • brezplačno opravljali programerska dela na spletni strani (količina odvisna od paketa vzdrževanja)

V primeru, da ste mnenja da si vaša spletna stran ne zasluži periodičnega vzdrževanja, smo pripravili ponudbo za enkratno plačilo v vrednosti 99 eur, ki zajema:

  • varnostno kopijo .htacces datoteke in wp-config.php datoteke
  • zakritje informacije o različici WordPressa
  • določitev novih »vhodnih vrat« v spletno stran (/wp-admin)
  • vklop zaklepa strani za določene IP naslove
  • vklop zaščite za urejanje .php datotek
  • vklop zaščite dostopa do namestitvenih datotek WordPressa
  • postavitev osnovnega požarni zid
  • vklop zaščite dostopa vsem bot-ov
  • enkratno izdelavo varnostne kopije spletne strani (kasnejše spreminjanje/dodajanje na spletni strani ne bo vidno na kopiji)
  • nadgradnjo WordPressa in vtičnikov na najnovejšo različico