SR

Category Archives: Sigurnost


6 načina za krađu vaših podataka i kako to da sprečite

O sajber kriminalu (visokotehnološki kriminal, e-kriminal, itd.) često slušamo u filmovima. Obično je hakovanje sajtova povezano sa korporacijama i velikim biznisima, pa retko kada razmišljamo da bi moglo da zadesi baš i nas. 

Sa razvojem interneta i našeg digitalnog života, razvija se i kriminal u vezi s tim. Pa tako nije neobično da baš pojedinac ili mali biznis bude žrtva ovakvog tipa kriminala. 

Pre nego što objasnimo na koji način Vi, Vaš sajt i Vaš biznis mogu biti žrtve e-kriminala, hajde da definišemo šta je to u stvari. 

Sajber kriminal predstavlja skup krivičnih dela koja podrazumevaju upotrebu interneta, računara ili drugih elektronskih uređaja

 

Kakve koristi hakeri imaju od Vas? 

Utisak da ste Vi i Vaš biznis premali da bi bilo ko profitirao od Vas može vrlo lako da zavara. 

Dokazano je da su ‘male’ internet prevare mnogo učestalije od onih o kojima možemo da čitamo u novinama, slušamo na vestima ili gledamo u filmovima. 

Ovakve prevare nazivaju se ‘phishing’

Razlog brojnosti ovakvih prevara je pre svega u tome što ih je veoma lako izvesti, i veoma su efikasne. 

Po pravilu, veće kompanije su obično i zaštićenije od prodora u njihove mreže, pa takav napad zahteva ne samo veće planiranje, već i veću stručnost. 

 

Krađa identiteta

Ukoliko neko od hakera uspe da dođe do vaših podataka, vrlo lako se može desiti da te podatke iskoristi kako bi počinio prevaru ili neko drugo krivično delo. Koristeći vaš identitet. 

Oni mogu iskoristiti Vaše:

▪ Brojeve platnih i kreditnih kartica

▪ Pasoš, ličnu kartu, vozačku dozvolu

▪ Ime

▪ Digitalne novčanike

Kako se ovi prestupnici obično nalaze na suprotnim stranama sveta, vrlo teško ih je uhvatiti. 

 

Ugrožavanje reputacije

Osim što vam mogu našteti novčano, ovakve prevare mogu lako narušiti Vašu reputaciju. 

Da li biste verovali svojoj banci da saznate da su hakeri uspeli da dođu do Vaših podataka? Na sam pomen ovakvog događaja, na stotine ljudi izgubi poverenje u firmu i krene u potragu za alternativnim rešenjima. 

U našem narodu postoji izreka ‘Što je sigurno – sigurno je.’, pa tako neretko ljudi odluče da se ne upuštaju u rizik poslovanja sa nekim ko nema zaštićene podatke. 

 

Ometanje Vašeg poslovanja

Nezavisno od toga koliko mala ili velika je Vaša firma ili Vaš sajt – svaki sajber napad može naneti određenu štetu. 

Čak i ako je u pitanju bezazlen virus, mogu proći dani pre nego što svi kompjuteri u Vašoj firmi budu pregledani, ‘prečišćeni’ i spremni za dalji rad. 

 

Koliko bi Vas koštao svaki dan zatvorenih vrata Vašeg biznisa? 

Osim toga, ne dešava se retko da kompanije koriste za svoj sajt hosting koji ne štiti od infekcije virusa, pa tako mogu doći u situaciju da hakeri ‘zaraze’ virusom njihov sajt i da izgube sve podatke ili jedan njihov deo. 

Baš iz toga razloga smo u naše hosting pakete uključili i Ultimo Malware Zaštitu, koja vrši aktivno skeniranje Vašeg hostinga u realnom vremenu, te blokira neautorizovane pristupe i maliciozne zahteve. 

 

Najčešći načini internet prevara, odnosno e-kriminala

6 načina za krađu vaših podataka

  • 1. Email phishing

Verovatno najpoznatija i najčešća vrsta prevare ovog tipa jeste email phishing.

Ova vrsta phishing-a predstavlja tehniku kojom hakeri šalju masovni mejl, pretvarajući se da su neko drugi i traže određenu uslugu od primaoca. 

Ukoliko ste nekada čuli da je neko primio e-mail od nigerijskog princa, neke žrtve koja je zarobljena u drugoj zemlji ili opisuje svoju porodičnu situaciju, zatim traži novac… u 99,9% slučajeva je reč o prevari.  

Budući da su ovakvi prevaranti veoma iskusni, oni se ne oslanjaju na samo traženje novca, već obećavaju ogromna nasledstva ili pozamašne svote novca nakon što ispunite njihove zahteve i ‘pomognete’ im. 

Osim ostavljanja linka gde Vas navode da podelite svoje podatke sa njima, ovakvi prevaranti neretko traže i novac. 

Osim e-mejla, ovakve prevare se mogu dogoditi i putem SMS poruka i telefona, a krajem devedesetih su se dešavale i putem pošte, kako tvrdi profesor Fakulteta bezbednosti u Beogradu, Goran Mandić. 

Prepoznajte prevaru na vreme. 

Ukoliko ponuda koju dobijete preko mejla zvuči previše dobra da bi bila istinita, verovatno to i jeste. Sada kada ste upućeni u ovaj način prevare, proverite ko šalje mejl takvog sadržaja. Ukoliko niste sigurni da li je u pitanju prevara ili ne, potrudite se da Vam pošiljaoc pošalje svoje podatke, i nikako ne uplaćujte novac i ne ostavljajte svoje podatke. 

 

2. Email websajta koje inače koristite

Već smo pomenuli da su ovakvi prevaranti iskusni, pa tako znaju da ćete lakše nasesti na prevaru ukoliko mejl dolazi sa vama bliskog izvora (kao što je to PayPal, Instagram, Facebook i slično). 

Ovakvi mejlovi obično sadrže navodna upozorenja, kazne ili pretnje. 

Na primer, može se desiti da vam stigne mejl koji izgleda skoro identično kao mejl koji inače dobijate od Facebook-a, i koji kaže da će Vam nalog biti ugašen u narednih 24h ukoliko se ne ulogujete na Vaš nalog momentalno. 

Onog trenutka kada se budete ulogovali, hakeri će preuzeti Vaše podatke, a samim tim i Vaš Facebook nalog. 

Drugi primer, možda i učestaliji, jeste email koji liči na onaj koji PayPal šalje. 

Kao i kod prvog primera, na prvi pogled se ne može uočiti da je u pitanju prevara, pa mejl može tvrditi da je na Vaš račun uplaćena određena svota novca. U mejlu će vam ostaviti i dugme (link) preko koga ćete se prijaviti i nesvesno im dati pristup Vašem PayPal računu i svim bankovnim računima povezanim sa njim. 

 

Kako se zaštititi od ovakvih mejlova? 

Pre nego što se uspaničite zbog sadržaja mejla, obavezno proverite odakle mejl dolazi. Na primer, zvanični mejl PayPal-a je uvek u ovom formatu – [email protected]. I niko van ove kompanije ne može imati mejl sa istim domenom, odnosno ne može se završavati sa @paypal.com

Hakeri to znaju, pa ovaj phishing mejl može doći sa adrese koja je vrlo slična: [email protected] i na prvi pogled može delovati kao ispravna adresa. 

Važno je upamtiti da velike kompanije nikada ne koriste mejlove sa domenima kao što su gmail, outlook, yahoo i slično. 

Sledeća stvar koju možete proveriti jeste da li u sadržaju mejla postoje pravopisne greške, jer to najčešće ukazuje na prevaru. 

Ukoliko i dalje niste sigurni, ne oklevajte da kontaktirate podršku kompanije iz koje Vam stiže mejl pre nego što ostavite svoje podatke bilo gde. 

 

3. Nagradne igre putem društvenih mreža 

Već neko vreme imamo prilike da vidimo da internetom kruže nagradne koje zvuče previše dobro da bi bile istinite. 

Jedna od takvih igara jeste lažna podela vaučera kompanija Lidl, Metro, Ikea, Maxi… 

Iako su neke od njih bezopasne, može se desiti da Vam obećavaju vaučer od 5000 ili 10000 dinara u zamenu za ‘share’ na društvenim mrežama. 

Nakon što objavu podelite sa Vašim prijateljima, stići će Vam poruka gde će od Vas tražiti da pošaljete svoju ličnu kartu, kako bi mogli da Vam pošalju vaučer. 

Ono što bi trebalo zapamtiti je da vam ovakve kompanije nikada neće tražiti slanje bilo kog dokumenta putem društvenih mreža. 

 

4. Skraćeni linkovi 

Koliko puta Vam se desilo da Vam neko pošalje sumnjiv link preko društvenih mreža? Poruka stiže od Vama poznate osobe, pa i ne slutite da je u pitanju bilo kakva prevara. 

Čim vi budete kliknuli na link, vaš računar će biti zaražen virusom, pa će i sa Vašeg naloga početi da stižu sumnjivi linkovi Vašim prijateljima. 

Ovakvi linkovi obično nisu u svom originalnom formatu, već koriste softver za skraćivanje (kao što je to bit.ly/…). Opasnost ovakvih linkova leži u tome što nikako ne možete znati šta je iza njih pre nego što kliknete. 

Ukoliko poruka deluje sumnjivo, i ne verujete izvoru – nemojte kliktati na ovakve linkove. 

 

5. Prevare putem online prodavnica 

U većini slučajeva, online kupovina je bezbedna i Vaši podaci su bezbedno sačuvani. Ovakav vid kupovine je regulisan i Zakonom. 

Međutim, internet prevara, krađa podataka i krađa Vašeg novca se može desiti i ovde. Ukoliko unesete podatke svoje kartice, naročito CVC kod koji se nalazi na poleđini Vaše kartice, može se desiti da budete pokradeni. 

 

Kako prepoznati prodavnicu koja nije legitimna? 

Kod ovakvih pokušaja prevare, uglavnom se ljudi ‘upecaju’ tako što im je ponuđen neverovatan popust. Dešavalo se da se nude telefoni koji inače koštaju više stotina evra za manje od 20e. U ovakvim situacijama, ljudi pomisle da je to previše dobra ponuda koju ne smeju da propuste, pa unesu broj svoje kartice bez i malo razmišljanja. 

Ukoliko ponuda deluje nerealno – verovatno to i jeste. 

 

6. Krađa podataka zbog šifri koje se lako mogu pogoditi

6 načina za krađu vaših podataka

Da li ste znali da su najčešće korišćene šifre na svetu 123456 i ‘password’? 

Prosečna osoba u svom životu treba da zapamti oko 25 različitih šifri, tako da nije iznenađujuće ovo pribegavanje šiframa koje se lako pamte. 

Korišćenje ovakvih šifri može dovesti do različitih vrsti malverzacija sa vašim podacima. 

Kako biste ovo izbegli, potrudite se da vaša šifra sadrži što više karaktera, i to kombinaciju malih i velikih slova, kombinaciju brojeva, slova i simbola. 

 

Da zaključimo…

Niko nije imun na sajber napad, odnosno internet prevare. I velike i male kompanije, pa i pojedinci mogu biti žrtve ovakve vrste kriminala. Kako biste izbegli krađu identiteta, vaših podataka i narušavanje Vaše reputacije, budite posebno pažljivi i ne zaboravite da obraćate pažnju na tipične znakove prevara. 

I da ne zaboravimo, zaštitite Vaš sajt. 

Kako bi Vaš sajt bio zaštićen od malicioznih napada, potrebno je da se regularno skenira i da Vaš hosting provajder odžava Vaš sajt bezbednim. Za više informacija i preporuku hostinga koji će Vam pružiti najvišu bezbednost, slobodno nas kontaktirajte.

 

Kako očistiti hakovan WordPress sajt?

Sajt vam se sporo učitava? Redirektuje vas na drugi sajt? Pokazuju vam se reklame (popup)? Ne možete da se ulogujte? Primetili ste foldere i fajlove sa neobičnim nazivima? Dobijate veliki broj failed-deffered mailova koje niste ni slali?

Najčešći su pokazatelji da je vaš WordPress sajt zaražen.

Ukoliko se nešto od ovoga desilo i vama, ne paničite, pokazaćemo vam kako da identifikujete da li je vaš WordPress sajt hakovan, koje korake je potrebno preuzeti kako biste očistili sajt od malicioznih fajlova i kako da ga bolje zaštitite za ubuduće.

 

BACKUP – Prva pomoć za hakovan WordPress sajt

Vraćanje sajta iz backupa može da bude rešenje – ali tu imamo opet problem – vi ne znate kada je sajt zapravo inficiran. Cyber kriminalci su mogli da ga inficiraju i pre godinu dana i da godinu dana ne vrše nikakve aktivnosti, vi nemate pojma da je sajt inficiran, i onda odjednom krenu u teror. Vama izgleda kao da je sajt hakovan juče – vratite backup od pre mesec dana – ali uzalud– i taj backup od pre mesec dana sadrži njihov malware.

Svim korisnicima UNLIMITED.RS Web hosting paketa dostupan je JetBackup u okviru cPanel-a, uz pomoć koga možete vrlo jednostavno odraditi restore (vraćanje) fajla, foldera, baze, email naloga na neki od dostupnih datuma u proteklih 20 dana – uputstvo kako da to uradite možete pročitati ovde.

U praksi najbolje je pogledati datum stvaranja malicioznih fajlova, i vratiti backup na datum pre nastanka tih fajlova, to ipak nije garancija.

Vraćanje sajta na neki raniji datum (restore bekapa) može samo otkloniti posledice ali ne i sam uzrok problema- ranjivosti WordPress sajta.

Nakon vraćanja sajta iz bekapa potrebno je dodatno unaprediti i osigurati samu instalaciju kako se problem ne bi ponovio.

 

ČIŠĆENJE WORDPRESS SAJTA

Ukoliko među fajlovima vašeg sajta primećujete fajlove i foldere čudnih naziva ili fajlove koji ne pripadaju standardnoj WordPress instalaciji, jedina ispravna odluka je radikalan rez – a suština se sastoji u tome da sa svog sajta (preko FTP-a ili File Manager-a na cPanelu) obrišete baš sve PHP fajlove i foldere – ostavite samo sledeće:

wp-content/uploads folder koji sadrži sve uploadovane slike

wp-config.php konfiguracioni fajl za povezivanje WordPress-a sa bazom (no proverite da li i on ima maliciozan kod)

Uporedni prikaz standardne WordPress instalacije i zaraženog WordPress sajta

 

ČIŠĆENJE BAZE

 

Kako proveriti i očistiti bazu od SQL injekcija i WordPress malware-a?

Za pregled baze predlažemo da exportujete vašu WordPress bazu podataka ručno iz phpMyAdmin-a.

Iz cPanel-a izaberite opciju phpMyAdmin, zatim sa leve strane iz menija kliknite na bazu koju želite preuzeti.

Ukoliko na vašem cPanel nalogu imate više sajtova imaćete i više baza. Ukoliko niste sigurni koju bazu vas WordPress sajt koristi, ime baze možete videti u wp-config.php fajlu u redu: define(‘DB_NAME’, ‘database_name’);

Nakon što sa leve strane izaberete bazu, kliknite na “Export” link u meniju i zatim na “Go” dugme.

Nakon što preuzmete čitavu bazu u .sql formatu možete otvoriti fajl u nekom tekstualnom editoru kao što je Notepad ili Notepad++ i pregledate sadržaj baze.

Šta tražimo? Bilo šta što izgleda sumnjivo odnosno sve što ne izgleda kao da mu je mesto u bazi WordPress sajta. Uglavnom tražimo sledeće tipove koda:

eval()

base64_decode()

gzinflate()

error_reporting(0)

shell_exec()

str_rot13()

Ukoliko naiđete na sumnjiv kod, možete pretražiti na Google ili WordPress forumima da li se radi o legitimnom sadržaju ili ne.

Sav sumnjivi sadržaj je potrebno otkloniti iz .sql fajla a zatim importovati (uvesti) očišćenu bazu nazad u phpMyAdmin.

Pre importovanja očišćene baze potrebno je da sa stare obrišete sve tabele.

Ovo možete uraditi tako što izaberete bazu, označite sve tabele klikom na “Check all“, i pod “With selected:” opcijom izaberete “Drop“.

Klikom na dugme potvrdite brisanje svih tabela i nakon što brisanje bude završeno možete importovati očišćenu bazu.

Ponovo izaberite vašu bazu podataka i kliknite na “Import” u meniju. Izaberite pregledani .sql fajl i kliknite na “Go” dugme.

Nakon importovanja dobićete poruku da je import tabela u bazu uspešno sproveden.

Nakon što ste uklonili sve fajlove WordPress sajta (osim foldera wp-content/uploads i fajla wp-config.php), pregledali i ukoliko je potrebno očistili bazu, potrebno je ponovo dodati novu WordPress instalaciju.

 

RE-INSTALACIJA WORDPRESS-a

 

Korak 1: Preuzimanje WordPress instalacije 

Preuzmite najnoviju verziju WordPress CMS-a sa ovog linka.

 

KORAK 2: Dodavanje WordPress-a

WordPress instalaciju zatim dodajte (upload) na sajt preko File Manager opcije u cPanel-u.

Uđite u folder u kome se nalazi vaš sajt (za glavni domen to je /public_html folder) i iz menija izaberite opciju “Upload”. Izaberite preuzetu WordPress instalaciju i sačekajte da se dodavanje završi.

 

KORAK 3: Extraktovanje WordPress-a

Nakon toga se vratite nazad u folder gde je fajl dodat i desni klik na .zip fajl, potom export i potvrdite.

KORAK 4: Ubacivanje postojećeg Uploads Foldera

Potom se vratite nazad u root folder domena (za glavni domen to je public_html) i uđite u folder wp-content. Iz ovog foldera prebacite folder uploads u tek dodatu WordPress instalaciju.

Označite ovaj folder i zatim desnim klikom na njemu izaberite opciju move to folder i u adresu dodajte /WORDPRESS folder u putanji, tako da na primer putanja public_html/wp-content bude public_html/wordpress/wp-content

 

KORAK 5: Brisanje starog WP- Content Foldera

Nakon ubacivanja uploads foldera potrebno je da se vratite u /wordpress folder i da iz njega obrišete wp-content folder.

 

KORAK 6: Prebacivanje WordPress instalacije 

Nakon što ste prebacili stari uploads folder u novu WordPress instalaciju obrisali prazni wp-content folder, potrebno je prebaciti sav sadržaj /wordpress foldera u folder iznad. Označite sve fajlove i zatim desnim klikom na nekom od njih izaberite opciju move to folder i iz adrese obrišete /WORDPRESS folder iz putanje.

To je to, sada ste uspešno reinstalirali WordPress i možete se preko browsera ulogovati na admin deo dodavanjem /wp-admin na vaš domen.

Pošto ste ostavili bazu podataka i uploads folder u kome se nalaze sve dodate slike, sajt će imati isti sadržaj kao pre brisanja WordPress fajlova.

 

RE-INSTALACIJA WORDPRESS TEME I PLUGINA

Nakon reinstalacije WordPress-a potrebno je da ponovo instalirate aktivnu temu i sve dodatke.

Ulogujte se na wp-admin deo vašeg sajta, instalirajte istu temu (skinite najnoviju verziju teme, ne koristite staru) i instalirajte iste pluginove koje ste imali pre brisanja.

Ukoliko niste sigurni koje ste sve pluginove koristili na sajtu, nakon prvog ulaska u Plugins (Dodaci) stranu, prikazaće vam se lista svih plugina koji su sada isključeni a koje trebate ponovo instalirati.

Nakon instalacija biće možda potrebno samo da neka podešavanja u okviru teme ili plugin-ova ponovo podesite.

I na kraju, otvorite sajt kako biste proverili da li sve funkcioniše.

 

KAKO UNAPREDITI BEZBEDNOST WORDPRESS SAJTA

Kako dodatno obezbediti WordPress sajt?

Nakon čišćenja WordPress-a, teme i svih pluginova, potrebno je dodatno osigurati sam sajt kako se problem ne bi ponovio. Ovo su samo neke od preporuka za unapređenja bezbednosti WP sajta:

 

Hosting

Kvalitetan Web hosting je od presudnog značaja za sigurnost svakog sajta. Koliko god da obezbedite  WordPress, to neće biti dovoljno ukoliko neko može da vam neovlašćeno pristupi hosting nalogu, doda fajlove preko FTP-a ili cPanel-a, ili čak da preko hakovanog sajta drugog korisnika na serveru ubaci fajlove na vaš sajt.

Sa strane hostinga (cPanel) možemo još dodatno ojačati WordPress koristeći .htaccess i wp-config.php konfiguracione fajlove ali i same permisije na folderima. Detaljnije o ovome možete pročitati na našem blogu

 

Permisije

Permisije foldera i fajlova možete takođe podesiti iz File Manager-a na cPanel-u, za WordPress preporučene vrednosti su sledeće:

/ 0755

wp-includes 0755

wp-admin 0755  

wp-admin/js 0755

wp-content 0755

wp-content/themes 0755

wp-content/plugins 0755

wp-content/uploads 0755

wp-config.php 0400  

.htaccess 0444

Permisije možete videti u File Manager-u u koloni sa desne strane, a duplim klikom na njih možete ih i izmeniti.

 

Promena lozinki

Promenite WordPress admin password.

Obrišite sve ostale admin korisnike (Upravnike).

Promenite FTP password (to je uglavnom ujedno i password od hosting naloga, tako da to u većini slučajeva možete uraditi u hosting panelu).

Promenite MySQL password (to takođe u većini slučajeva možete da uradite u hosting panelu), a zatim taj novi MySQL password unesite u wp-config.php fajl (preko File Manager-a).

I na kraju, uvek je bolje koristiti korisničko ime koje nije “admin” ili “administrator”.

 

Salts

WordPress koristi takozvane “Salt” – nasumično generisane vrednosti radi autentifikacije korisnika pomoću kolačića (Eng. cookies).

Kako bismo odjavili sve već prijavljene WordPress korisnike možemo postaviti nove salt vrednosti u fajlu wp-config.php

Na sledećem linku možete generisati nove vrednosti: https://api.wordpress.org/secret-key/1.1/salt/

Dovoljno je kopirati ove kodove i zameniti postojeće u fajlu wp-config.php kako biste poništili sve korisničke kolačiće (cookies).

 

PODESITE SIGURNOSNI PLUGIN

Na WordPress-u postoji dosta dodatnih funkcija koje je potrebno blokirati ili isključili jer se najčešče zloupotrebljuju. Jedna od ovih funkcija je i XML-RPC koji se danas sve više koristi za brute-force i dictionary napade.

Naša preporuka je iThemes Security dodatak, a neke od korisnih funkcija ovog plugina koje vredi istaknuti su:

▪ blokiranje pristupa xmlrpc.php fajlu

▪ upisivanje svih pristupa (Login log)

▪ ograničavanje pristupa preko .htaccess fajla

▪ forsiranje jakih lozinki i mogućnost 2FA

▪ zakazivanje redovnog bekapa baze

Nakon instalacije iThemes Security plugina videćete preporuku podešavanja koje sam plugin predlaže za sve WordPress sajtove. 

Nakon što uključite sve navedene preporučene funkcionalnosti, potrebno je dodatno uključiti još i ova tri modula:

▪ 404 Detection

▪ File Change Detection

▪ SSL

Gore navedene module je dovoljno samo aktivirati i ostaviti na preporučenim vrednostima, međutim ova dva modula je potrebno dodatno konfigurisati:

▪ System Tweaks

▪ WordPress Tweaks

Za njih predlažemo da uključite sve opcije, međutim imajte u vidu da se neke od ovih funkcionalnosti koriste i za druge plugine kao što su JetBackup ili ContactForm7, te svakako nakon što ih aktivirate detaljno proverite da li sve uredno funkcioniše na samom sajtu.

 

OGRANIČAVANJE PRISTUPA

Preporuka je da sakrijete ili bar ograničite pristup /wp-admin i wp-login.php linkovima

WPS Hide Login je jedan vrlo jednostavan dodatak koji vam omogućava da preimenujete /wp-admin sekciju i time ograničite pristup samo onima sa linkom.

 

AŽURIRANJE

Poželjno je da uvek koristite najnoviju verziju WordPress-a, ažurirajte vašu temu i dodatake (plugine) čim novija verzija bude dostupna, pre toga naravno testirajte temu i vidite da li sve funkcioniše.

Obrišite WordPress teme i plugine koje ne koristite – ovi plugini se skoro nikada ne ažuriraju te samim tim predstavljaju sigurnosni rizik.

Nikada ne koristite WordPress “null-ovane” premium teme i pluginove – jer često dolaze sa malware-om.

 

BACKUP

Bekapi su veoma važni jer vam mogu skratiti dosta vremena i truda. Upravo zbog toga je važno praviti redovne bekape fajlova i baze, i što je najbitnije: ne čuvati ih na istoj lokaciji gde je i sajt!

Po definiciji Backup je rezervna kopija, te ga stoga i čuvajte u rezervi na vašem računaru ili nekom drugom nalogu.

Za korak po korak uputstvo kako bezbedno uraditi i preuzeti bekap sajta pročitajte naš članak: Kako da mirno uradite backup WordPress sajta

Ukoliko koristite naše Web hosting usluge, nećete imati potrebe praviti backup jer uz sve pakete imamo besplatan dnevni backup na više udaljenih lokacija.

I na kraju: Važno je ne preskočiti nijedan korak – čak i ako vam se neki korak čini besmislenim – verujte nam, nijedan nije besmislen. Preskakanjem bilo kog koraka biste rizikovali da hakerima ostavite prolaz do vašeg sajta – i da ponovo inficiraju sajt – pa ste onda uzalud čistili sajt.

 

BONUS: KAKO SKINUTI “OVAJ SAJT NIJE BEZBEDAN” UPOZORENJE

Ukoliko se umesto vašeg sajta pojavila stranica koja ukazuje da sajt više nije bezbedan, nakon što se očistili i sam WordPress sajt, potrebno je poslati zahtev Google-u da se upozorenje o nebezbednom sajtu ukloni.

Uputstvo za slanje zahteva za skidanje upozorenja na vašem sajtu možete videti ovde: https://developers.google.com/web/fundamentals/security/hacked/request_review

Nakon što pošaljete zahtev, Google će ponovo pregledati sajt i ukoliko potvrde da vaš sajt više ne sadrži malware/phishing sadržaj, dobićete email obaveštenje da je upozorenje uklonjeno.

U slučaju da vam je neophodna pomoć ili dodatne informacije, molimo vas da kontaktirate našu korisničku podršku na e-mail: [email protected] ili otvorite tiket putem korisničkog panela na adresi https://panel.unlimited.rs.

 

 

Šta je reCAPTCHA i zašto treba da je koristite na vašem sajtu?

ReCAPTCHA je nešto čemu smo izloženi dok svakodnevno koristimo internet. Nekad i toliko često da smo svi u jednom trenutku pomislili – koja je i poenta ovog, “I am not a robot” dugmeta 😂

Razlog zašto je ReCAPTCHA najčešći alat koji se koristi prilikom online prijava ili popunjavanja obrazaca jeste upravo sprečavanje neželjene pošte (spam) i zloupotrebe web stranice. CAPTCHA je zapravo skraćenica od – Completely Automated Public Turing test to tell Computers and Humans Apart. Zanimljivo, zar ne? 

 

Šta CAPTCHA zapravo radi?

CAPTCHA sprečava spam ili botove da unose podatke u polja na vašoj web stranici. To može uključivati lažne komentare na postovima, lažne email adrese ili lažne transakcije i prijave.

CAPTCHA možete videti u različitim formama:

1. Kao slagalicu zasnovanu na tekstu

2. Slagalicu zasnovanu na slici

3. Ili kao standardnu “I am not a robot” ReCAPTCHA

To su jednostavni i laki zadaci koji mogu sprečiti da vaša web stranica bude preplavljena botovima.

ReCAPTCHA je u vlasništvu Google-a. Koristi naprednu tehnilogiju, a najnovija verzija može da filtrira sumnjive posetioce bez prethodnog rešavanja slagalice. Pregledanjem istorije unosa u ReCAPTCHA sa vaše IP adrese, nalaze se “tragovi” koji mogu odrediti da li ste bot ili ne.

 

Da li je ReCAPTCHA zaista efikasna?

Ukoliko vaša web stranica ima online formu/obrazac bez dugmeta CAPTCHA, moguće je da ćete primiti veliki broj neželjenih poruka (spam). Ovo svakako može predstavljati problem, ali ima i nekoliko drugih posledica s kojima se možete suočiti ako ne koristitke CAPTCHA sistem.

Kao što su:

1. Veće naknade stope za transakcije

2. Stroži sigurnosni protokoli za vaš nalog

3. Moguća suspenzija ili ukidanje vašeg naloga 

Naravno, uvek postoji i negativna strana. Na primer, za rešavanje CAPTCHA slagalice potrebno je u proseku deset sekundi, što može dovesti do toga da korisnik na vašoj web stranici prosto izgubi interesovanje. Takođe, često se dešava da korisnici i ne razumeju samu slagalicu, te ukoliko je CAPTCHA unos više puta netačan, korisnik prosto odustane i napusti stranicu.

 

Da li mi je potrebna reCAPTCHA?

Ako je vaš sajt često izložen botovima, a mail sanduče preplavljeno spam porukama, onda da, trebalo bi da se registrujete za CAPTCHA. Google sugeriše da najnovija verzija pruža još veću sigurnost, kao i bolje korisničko iskustvo (uglavnom preskakanjem potrebe za rešavanjem slagalice). S obzirom na to da se softver može lako dodati, bez dodatnih troškova, dodavanje reCAPTCHA je jednostavan i lak način da zaštitite svoj sajt i email sanduče.

SSL sertifikati: zašto su bitni i kako dodati HTTPS na vaš sajt?

Ako mislite da vaš sajt neće izgubiti svoje posetioce zbog manjka SSL sigurnosti, grešite 🤭

Momenat kada nam svima bezbednost sajta postane od izuzetne važnosti jeste kada treba da unesete podatke svoje kartice i kupite nešto online. Jedno od istraživanja kaže da čak 85% internet kupaca odustane od kupovine na sajtu koji im se ne čini bezbednim. Većina ljudi prepoznaje simbol katanca u URL-u kao znak bezbednosti, ali šta ovo zapravo znači i zbog čega je bitno?

 

Šta je SSL bezbednost?

Ako ste ikad pogledali URL na vrhu ekrana web pretraživača, sigurno ste videli da neki sajtovi počinju sa “HTTP”, a neki sa “HTTPS”. Upravo ovo S znači “secure”, iliti bezbedno – i postiže se obezbeđivanjem vašeg sajta SSL sertifikatom. Ono što zapravo HTTPS sajtovi imaju jeste dodatni sloj zaštite za sve osetljive podatke koji se razmenjuju.

Kao što smo već napomenuli, sajtovi koji su zaštićeni SSL-om obično imaju zeleni katanac koji se prikazuje u prozoru URL-a. Ovo je ikonica koju internet korisnici prepoznaju kao znak poverenja za online prodavce.

SSL je oblik šifrovanja podataka gde web pretraživač koji koristite uspostavlja sigurnu vezu sa web stranicom koju posećujete. To radi tako što podatke deli napred i nazad između ta dva i šifruje ih. Podatke može videti samo sajt koji ima SSL sertifikat, jer poseduje ključ za dešifrovanje. 

 

Online poverenje

Jedno od najstarijih pravila trgovine, fizičke ili online, jeste da ljudi uvek kupuju od brendova kojima veruju. Kada kupujete uživo, ovaj momenat je mnogo lakši, ali, kako možete najlakše da utvrdite to online?

Odgovor je jednostavan – autentifikacijom SSL bezbednosti, jer se tada poverenje između kupca i online prodavca može postići najefikasnije.

Kao protokol, SSL bezbednost je postala popularna alatka za zaštitu podataka. SSL sertifikat omogućava ljudima da koriste kreditnu karticu, svoje privatne podatke poput adrese, JMBG-a i slično, između email servera, pretraživača i sajta. Na ovaj način SSL sertifikati svakodnevno štite milione transakcija na internetu. 

Dakle, ukoliko sajt ima “HTTPS://”, to znači da poseduje SSL sertifikat, dok ukoliko samo vidite “HTTP”, nije bezbedan. Svakako, u julu 2018. godine, Google Chrome je počeo da označava sajtove kao nebezbedne (not secure), pa će vam detekcija biti mnogo lakša.

I, samo razmislite, da li biste pre kupili par cipela na sajtu gde dobijate informaciju da je vaša transakcija bezbedna, ili na onom gde vidite da transakcija nije obezbeđena? 🤔

 

Zašto dodati SSL?

Online korisnici svakog dana postaju sve više obrazovaniji kada je reč o internetu, bezbednosti i slično. Činjenica da imate SSL sertifikat pokazuje vašim klijentima i posetiocima da imate najviši nivo bezbednosti i da mogu da vam veruju. Kao dodatni bonus, u miru ste, jer znate da postoji mala verovatnoća da dođe do kršenja podataka na vašem sajtu. Bez SSL-a, podaci koji putuju između kupca i sajta prilikom online trgovine, u opasnosti su i podložni hakerskim napadima koji kradu podatke onda kada su najosetljiviji.

Pored ovih, postoji još jedan veliki razlog za dodavanja SSL sigurnosti – Google. Google uzima u obzir SSL kao faktor za svoje SEO algoritme, tako da se sajtovi sa SSL-om više rangiraju od onih koji ga nemaju. A, iskreno, u ovim današnjim teškim ratovima za što bolji rang na Google-u, sve ide u prilog da dobijete koji bod više.

 

Kako dodati SSL na vaš sajt?

Možete koristiti besplatan SSL koji je dostupan za sve hosting pakete kod nas, a možete i zakupiti plaćene SSL-ove, razlike između besplatnih i plaćenih su sve manje pa preporučujemo da za početak koristite besplatne.

Ukoliko se odlučite da koristite usluge Web hostinga kod nas, u unlimited.rs, dobijate besplatan Let’s Encrypt sertifikat nevezano za činjenicu koji hosting paket odaberete.

Sertifikat je automatski dostupan po dodavanju domena na hosting, a ako bude potrebna pomoćm možete je dobiti od našeg tima podrške

Osim toga, da bi sajt funkcionisao putem HTTPS-a neophodno je napraviti određene izmene na samom sajtu, ne uvek, ali u većini slučajeva. Najbolje da se obratite programeru koji je radio na sajtu ili našoj podršci.

Bilo da se radi o poboljšanju SEO, zaštiti podataka, izgradnji poverenja, ili čak održavanja postojeće baze klijenata, posedovanje SSL sertifikata je danas zaista postalo neophodno za svaki sajt.

 

Mračna strana interneta?

U današnje vreme internet se smatra glavnim i najvećim izvorom informacija, kao i nešto bez čega ne možemo da funkcionišemo na svakodnevnom nivou. Većina ljudi kada pomisli na internet, prvo na pamet pada Google, Facebook, odnosno mogućnost saznavanja najnovijih informacija i korišćenje društvenih mreža. Ali šta biste pomislili kada bismo vam rekli da te informacije kojima imate pristup zapravo čine neznatni procenat celog weba?

E, pa tako je, ono što većina populacije svakodnevno koristi predstavlja otprilike 10-16% weba i nazivamo ga površinski (surface) web, iliti vidljivi web. Površinski web predstavlja sadržaj kome pristupate preko web pretraživača, poput Google-a, Bing-a, Safarija, itd. To su stranice koje su indeksirane, a prema https://www.worldwidewebsize.com/ danas postoji oko 5.41 milijarde indeksiranih stranica. 5.41 milijarde predstavlja samo oko desetak posto celog weba? Wow 🤯   

Mnogo veći deo interneta čine takozvani duboki (deep) web i mračni (dark) web. Pa,  hajde da vidimo o čemu je reč  🧐

 

Deep Web vs. Dark Web

Duboki (deep) web predstavlja sadržaj kome se, između ostalog može pristupiti i preko web pretraživača, ali ono što ga razlikuje od površinskog weba jeste da stranice nisu indeksirane. Duboki web je sadržaj za koji je potreban određeni vid autentifikacije kako biste mu pristupili  – to su na primer: baze knjiga ili mediji koji zahtevaju subscribe, email i cloud servisi, ili bankarski servisi koji su zaštićeni lozinkama ili paywallom. Duboki web takođe čine i interne mreže kompanija, kao i različite baze podataka i stranica obrazovnih ili vladinih ustanova. 

Zapravo, većina nas koristi duboki web možda i svakodnevno. Da li nas to čini hakerima? Sigurno ne 🤣 Vidite da deep web i nije toliko mističan kako ga neki predstavljaju, već je mesto na kome se čuvaju podaci i anonimnost i to potpuno legalno.

Iako se termini deep i dark web koriste naizmenično, ne podrazumevaju baš istu stvar.  Mračni (dark) web je relativno mali deo dubokog weba. Sadržaju mračnog weba nije moguće pristupiti preko običnih pretraživača, već samo preko specijalnih softvera poput TOR (The Onion Router) ili I2P (Invisible Internet Protocol). Kako oni funkcionišu?

Da biste posetili sajt na dark webu koji koristi npr. TOR enkripciju, vi takođe morate koristiti TOR. Povezivanjem na TOR sakriva se vaš saobraćaj od npr. vašeg internet provajdera kao i drugih servisa koji mapiraju internet saobraćaj. Dakle, može se utvrditi da ste povezani na TOR, ali ne i vaša tačna lokacija, ni sadržaj saobraćaja koji ste generisali i sajtove koje ste posetili. S toga je teško otkriti posetioce sajtova, ali i one koji ih hostuju. 

Potrebno je naglasiti da je upotreba TOR softvera, kao i dubokog weba potpuno legalna. Mnogi ljudi i koriste TOR upravo zbog jake enkripcije i anonimnosti prilikom pretraživanja sadržaja. Između ostalog, ovakvu vrstu softvera koriste i policija, vojska, kao i uzbunjivači (whistleblower) poput osnivača Wikileaks-a Juliana Assangea ili Edwarda Snowdena.  

Međutim, upravo zbog anonimnosti koju nudi, TOR kao i dark web postali su popularno tržište za razne ilegalne aktivnosti. Možda jedna od najpoznatijih priča u vezi sa dark webom je Silk Road, web sajt za trgovinu ilegalnim supstancama. Silk Road je 2011. godine osnovao Ross Ulbricht pod pseudonimom Dread Pirate Roberts, a procenjuje se da je vrednost transakcija preko Silk Road-a dostigla i preko milijardu dolara. Ross Ulbricht je 2013. godine uhapšen, i trenutno služi doživotnu zatvorsku kaznu. Neposredno posle njegovog hapšenja podignut je Silk Road br. 2, ali je i ova stranica ugašena, a njeni osnivači uhapšeni 2014. Danas se šuška da postoji i Silk Road br. 3, ali to ne bismo proveravali 😃

Dakle, niko vam ne može zabraniti da pristupite niti jednom od ovde pomenutih slojeva weba, ali vas svakako molimo da budete oprezni i pametni 🤗  

Kako da osigurate i optimizujete svoj WordPress

WordPress, kao jedan od najpopularnijih CMS-ova današnjice je svakodnevno prvi na udaru kada je reč o pronalaženju sigurnosnih propusta. Naši sistem administratori svakodnevno imaju glavobolje zbog mnogobrojnih propusta u WordPress temama i pluginima jer ljudi obično naprave sajt i više ne brinu o njemu. Iako naš web hosting poseduje napredni Ultimo malware & exploit skener u realnom vremenu, ponekada se desi da je rupa toliko, da niko ne može pomoći takvom sajtu i biva oboren ili još gore – nastavi da funkcioniše sa svim tim skrivenim zlonamernim skriptama sa redirekcijama, reklamama, spam porukama koje šalje u vaše ili tuđe ime.

Znamo da ne želite da se to desi sa vašim sajtom zato predstavljamo 7 koraka za obezbeđivanje i optimizovanje WordPress-a za što bolji rad.

 

1. wp-config.php je ključ!

Verovatno ste videli taj fajl, on pored podataka za vezu sa bazom, može imati neke dodatne parametre, a mi predstavljamo neke od njih i funkcije.

WP_DEBUG uključujete kada imate problem sa sajtom, a ne možete pronaći grešku, u suprotnom treba biti isključen.
WP_POST_REVISIONS ne čuva više od XX revizija, mi smo izabrali da je zlatna sredina 10. Time olakšavate bazu i ne čuvate nepotrebne edite postova i stranica.
Ako želite da očistite svoj WordPress što se tiče revizija, a da ne koristite automatski metod koji je dole ispisan, pratite uputstvo iz našeg članka od pre par godina.

EMPTY_TRASH_DAYS služi za brisanje stranica ili postova koje su u Trash-u (kanti za brisanje). Preporuka da period ne bude manji od 10-20 dana.
WP_ALLOW_REPAIR može biti koristan ukoliko server na kome se nalazi sajt doživi problem, iznenadni reboot ili sličnu grešku hardversku ili softversku. Šansa da se srušila neka od tabela koja je bila aktivna je preko 20%. Tada je neophodan REPAIR odnosno oporavak baze, ova komanda će automatski pokrenuti REPAIR tabele čim dođu posetioci.
WP_MEMORY_LIMIT – limit virtualne memorije koju će koristiti WordPress, preporuka da se postavi barem 512M.
WP_CRON_LOCK_TIMEOUT – korisno podići na 480 sekundi da se ne pokreće sa svakom novom posetom, alternativa je potpuno isključivanje što ne preporučujemo, svakako komanda je prikazana ispod.

Šta je cron? U bukvalnom prevodu posao, okidač. Svaki posetilac služi kao okidač ka WordPress jezgru sa listom zadataka koje treba da uradi. To može biti objava članka, razni tipovi ažuriranja, komentara i sl.

define('WP_DEBUG', false);
define('WP_POST_REVISIONS', 10);
define('EMPTY_TRASH_DAYS', 20 );
define('WP_ALLOW_REPAIR', true);
define('WP_MEMORY_LIMIT', '512M');
define('WP_CRON_LOCK_TIMEOUT', 480 );

WP cron se pokreće sa svakom novom posetom, ako želite da potpuno isključite, što ne preporučujemo (bolja opcija je limitiranje na određeno vreme) to možete uraditi sa komandom ispod.

define('DISABLE_WP_CRON', 'true'); //potpuno isključivanje CRON-a

Želite da onemogućite ažuriranje teme i plugina te onemogućivanje neautorizovanih korisnika da to isto rade? Koristite sledeće komande. Razmotrite da li ćete koristiti ove funkcije.

define( 'DISALLOW_FILE_MODS', true );
define( 'DISALLOW_FILE_EDIT', true );

Ako koristite CDN kao što je MaxCDN ili JetPack, preporuka je da definišete cookie, tako ćete ubrzati sam sajt:

define( 'COOKIE_DOMAIN', 'imedomena.com' );

Autosave funkcija dok pišete članak može biti izuzetno korisna, ali prečesto automatsko čuvanje može dodatno opteretiti posećen sajt koji je na manjem paketu, stoga preporuka je da povećate vrednost na 180 sekundi.

define('AUTOSAVE_INTERVAL', 180);

Ako koristite javne WiFi mreže, obavezno koristite HTTPS konekciju za pristupanje Administraciji WordPress-a, ispod imate dodatnu komandu da pristupanje uvek ide preko enkripcije. (Ne podešavajte ukoliko Vaš WordPress nije podešen na HTTPS saobraćaj ili nemate SSL sertifikat na sajtu).

define( 'FORCE_SSL_ADMIN', true );

2. Ni .htaccess nije za bacanje!

.htaccess fajl imate ukoliko koristite Apache ili Litespeed server kao osnovni web server, što je velika verovatnoća. Fajl je sakriven, možete ga videti kroz FTP/SSH, ali je providniji od ostalih zbog prefiksa tačke.

Preporuka je da zabranite javni pristup fajlovima xmlrpc.php i wp-config.php iz sigurnosnih razloga.

<Files "xmlrpc.php">
Order Deny,Allow
Deny from all
</Files>
<Files "wp-config.php">
Order Deny,Allow
Deny from all
</Files>

.htaccess fajl mora sadržati i sledeći deo (verovatno će već upisan, ali ako nije znajte da je neophodan jer u suprotnom neće raditi mod_rewrite i imaćete greške na sajtu u vidu nepronađenih stranica.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Takođe, neretko se koriste komande mod_deflate, mod_mime, mod_setenvif da bi se omogućilo keširanje.

Veoma je bitno da uključite indeksiranje fajlova, tako ćete sprečiti vršljanje botova po folderima vašeg sajta i svi rezultati će voditi na sam sajt.

Options All -Indexes

Komentari na WordPress-u su generatori spama, može ih biti neverovatno mnogo, svakodnevno. Ako su neophodni koristite Akismet plugin ili Captcha zaštitu. U slučaju da je sajt prezentacionog tipa i komentarisanje vam nije važno, možete potpuno blokirati određene IP range-ove.

ErrorDocument 503 "Komentarisanje zabranjeno"
RewriteEngine On
RewriteCond %{REMOTE_ADDR} ^60.173 [OR]
RewriteCond %{REMOTE_ADDR} ^218.10
RewriteCond %{REQUEST_URI} ^/wp-comments-post.php$
RewriteRule .* - [R=503,L]

No još je lakše da instalirate plugin koji to potpuno onemogućuje, samo potražite i instalirajte “Disable comments”. Postoji još načina, ali o tome ćemo u narednom blogu.
U slučaju da želite WordPress saobraćaj potpuno da usmerite na HTTPS (čak i gde stranica nije podešena tako) koristite ovo:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

3. Dozvole (Permission)

Dozvole na fajlovima menjate kroz File Manager u cPanel-u, FTP ili SSH. Najosetljiviji fajl na čitavom sistemu je wp-config.php, postavite dozvole 0400 odnosno 400 na njega (r——–). U tom slučaju samo vlasnik (server) može da čita taj fajl i niko ne može menjati. Dozvole na folderima wp-content, wp-includes, wp-admin trebaju biti 0755 i to je verovatno već tako podešeno. Na ostalim PHP fajlovima 0644.

 

4. PHP verzija i opcije

Naša hosting platforma omogućuje promenu PHP verzije, počev od prastare 5.3 do najnovije 7.4. Od neverovatnog je značaja da koristite ažurnu PHP verziju, jer osim što starija verzija (PHP 5.4, 5.5 pa i 5.6) neće pružiti puni potencijal WordPress-a, ona će dovesti do potencijalnih sigurnosnih propusta.

Ne morate koristiti najnoviju verziju jer često u prvih par meseci od objave nije kompatibilna sa određenim temama i pluginovima, ali koristite podržanu aktuelnu verziju kao što je trenutno 7.4 i 7.3 (jul 2020.).

Da biste promenili PHP verziju uđite u cPanel i izaberite opciju Select PHP version. Uputstvo možete pronaći OVDE.

Preporuka je da povećate memory_limit na barem  512 MB, zavisno od provajdera. Unlimited.rs dozvoljava do čak 2 GB.

 

5. Promena podrazumevanog pristupa wp-admin

Onemogućite trećim licima pristup wp-admin stranici. Ovo je bitno iz više razloga, jer sve i da neko zna Vašu šifru on neće znati URL na koji pristupate WordPress administraciji. Na stotine bot skripti će vršiti brutal force attack na Vaš sajt svakodnevno, zašto bi dozvolili da se to dešava kada ovaj problem možete rešiti za par minuta?

Jednostavno uđite u administraciju, izaberite Plugin pa Add new i pronađite plugin Rename wp-login.php  ili mnoge druge plugine slične namene.

 

6. Ažuriranje i još ponešto!

Pažljivo birajte broj plugina koji su vam neophodni, svaki od njih je određeni sigurnosni rizik. Birajte samo proverene plugine koji su svežiji od godinu dana, dakle ako plugin nije ažuriran duže od godinu dana razmotrite o opciji da pronađete alternativu za isti.

Nije svako ažuriranje dobro ažuriranje, i “Update” ponekad oteža život, barem 3 puta godišnje ažurirajte plugine, a preporučljivo je i temu jer napadači često ulaze i kroz bušne teme. Sve teme koje ne koristite potpuno obrišite ili stavite dozvole 0000 na njihove foldere. Isto važi i za plugine, nije ih dovoljno deaktivirati.

Ukoliko nema potrebe za tim, ne zaboravite onemogućiti članstva – registraciju korisnika ako ste slučajno uključili opciju (podrazumevano je isključena opcija).

7. reCAPTCHA na kontakt formama

Poželjno je da da postavite neki vid sigurnosne provere na stranice koje zahtevaju interakciju sa korisnicima kao što su kontakt forme ili formulari, kako biste sprečili gomilanje masovnih spam poruka koji prolaze kroz Vaš sajt odnosno hosting. Najčešći CAPTCHA sastoji se od slike sa iskrivljenim slovima, uz moguće razlike u bojama, postojanje šarene pozadine ili uz prisustvo drugih elemenata koji imaju zadatak da softveru učine nemogućim rešavanje testa.

Skoro svi poznatiji plugini imaju integraciju sa reCAPTCHA, dovoljno je samo da preuzmete API pristupajući sa svog google naloga na ovom linku.

Dovoljno “hakerisanja” za danas, nastaviće se.

Mailovi vam se “vraćaju”? Šta činiti?

Stvar o čijoj se prevenciji nedovoljno govori, a može zadati dosta problema vašem poslovanju je takozvana blacklistovana IP adresa.

Šta to znači za vaš sajt?

Pored toga što dovodi do pada reputacije servera, u najgorem slučaju, IP adresa na crnoj listi može biti uzrok i blacklistovanja glavne IP adrese celog Shared Hosting servera.

Što, blago rečeno, nije dobro.

Podsetimo, na Shared Hosting serverima se ne nalazite sami.

Server “delite” sa par stotina drugih korisnika, čiji mailovi mogu biti direktno ugroženi vašom blacklistovanom IP adresom.

 

Kako izbeći blacklistovanje IP adrese?

Hajmo najpre u mini analizu.

U velikom broju slučajeva, ukoliko je vaša adresa na crnoj listi, najpre ćete primetiti da se emailovi koje šaljete vraćaju.

Sva odlazna pošta, u slučaju niske reputacije odlaznog servera, odbija se od strane prijemnog servera, a u slučaju blacklistovanja — jer se server nalazi na nekoj od “crnih lista” jednog ili više RBL servisa.

RBL je skraćenica od Real Time Black List (non-stop aktivna crna lista) i predstavlja skup globalnih IP adresa “onih koji su odbili da zaustave spam”.

RBL liste se najčešće koriste u fazi uspostavljanja SMTP (Simple Mail Transfer Protocol) veze, odnosno u trenutku kada vaš email server, započinje proces prijave radi slanja elektronske pošte ka primaocima.

Zatim prijemni SMTP server proverava postojanje IP adrese predajnog servera na nekoj od izabranih RBL listi.

Ukoliko je predajni server na crnoj listi, komunikacija se prekida pre nego prenos elektronske poruke počne.

Bez panike, svakome sa SMTP serverom dešava se da bude zapisan na nekoj od RBL listi.

U tom slučaju potrebno je pronaći uzrok dolaska na crnu listu, otkloniti grešku i prijaviti sistem na retestiranje i uklanjanje sa crne liste.

Rešavanje ovih problema može da bude zahtevno, prvenstveno jer RBL servisi najčešće na zahteve  za uklanjanje IP adrese sa crne liste, odgovaraju u proseku rasponu od 24-48 sati od podnetog zahteva.

Dakle, i nakon što je tim tehničke podrške otklonio grešku zbog koje se server našao na crnoj listi, u praksi je potrebno još par dana nakon toga, kako bi RBL servis reagovao i uklonio IP adresu sa liste.

U međuvremenu, loša vest može biti da, dok je server na blacklisti, vaše email poruke će odlaziti u SPAM folder primaoca maila. U nekim slučajevima, može se dešavati da pošta i ne stiže krajnjem primaocu.

Takođe, u zavisnosti od hosting provajdera, postoje slučajevi u kojima se radi i outgoing check, odnosno proaktivna provera primaoca takođe.

Tada se testira i postojanje IP adrese vaših primalaca na crnim listama, i ukoliko bude pozitivno, pogađate, pošta neće biti dostavljena.

Iz ovog razloga savetujemo našim korisnicima da vode računa o statusu njihovih IP adresa kako se slične situacije bile prisutne samo u teoriji.

 

Kako da proverite status vaše javne IP adrese?

 

Najpre pronađite svoju tačnu IP adresu preko https://ip.unlimited.rs/.

Zatim, adresu koja se ispisuje na ekranu kopirajte i proverite status na:

https://mxtoolbox.com/blacklists.aspx

 

Moja adresa je blacklistovana! Šta sad?

 

U slučaju da se Vaša javna IP adresa nalazi na nekoj od crnih lista, bez panike.

Kontaktirate svog internet provajdera u najkraćem mogućem roku i zamolite tehničku podršku da vam dodele novu IP adresu ili pokušaju da uklone postojeću IP adresu sa crnih lista.

Najsigurniji metod jeste da zakupite zasebnu (dedicated) IP adresu.

Preventivno, proverite kontakt forme na vašem sajtu i obezbedite ih.

 

Dokaži da si čovek?

 

Bilo bi dobro da postavite neki vid sigurnosne provere na stranice koje zahtevaju interakciju sa korisnicima, kako biste vrlo efikasno sprečili gomilanje masovnih spam poruka u vašem sandučetu.

Kao na unlimited.rs kontakt strani, primerom.

Kao najefikasnija metoda preventive spama pokazala se CAPTCHA. Ovaj sistem “potvrde čovečnosti” nastao je na Univerzitetu Carnegie Mellon 2000. godine. Akronim CAPTCHA bazira se na reči capture i izveden je iz pojma Complete Automated Public Turing test to tell Computers and Humans Apart.

Ideja koja stoji iza sistema je da se napravi automatski generisan izazov, lak za ljude, a nesavladiv za računare i softver. Najčešći CAPTCHA sastoji se od slike sa iskrivljenim slovima, uz moguće razlike u bojama, postojanje šarene pozadine ili uz prisustvo drugih elemenata koji imaju zadatak da softveru učine nemogućim rešavanje testa.

Ova tehnologija deluje štreberski i nezanimljivo, ali, verovali ili ne, svaki put kada ukucate slova i brojeve po zahtevu reCAPTCHA sistema vi pomažete digitalizaciju knjiga i drugih publikacija. Naime, reCAPTCHA ne prikazuje nasumične reči, brojeve i interpunkciju, već sadržaj iz arhive magazina The New York Times i mnogobrojnih knjiga iz projekta Google Books.

Sajtovi koji koriste sistem reCAPTCHA prikazuju slike skeniranih reči koje softver za optičko prepoznavanje karaktera nije mogao da pročita prilikom procesa digitalizacije knjiga i časopisa. Ideja je vrlo jednostavna, ali efektna. Pritom, veoma pametno sprovedena, jer se oslanja na globalnu “radnu snagu” svih korisnika interneta.

No, CAPTCHA sistemi, naravno, nisu savršeni. Sem što nerviraju korisnike, oni su pod konstantim napadom.

Iz tog razloga, reč je o samo jednom malom vidu zaštite vašeg sajta od napada spamera.

Ukoliko niste sigurni da ćete moži efikasno da postavite sve sigurnosne stavke na svoj sajt, poput SSL sertifikata ili dodeljivanja zasebne IP adrese, unlimited.rs tim vam može pomoći.

Kontaktirajte nas putem tiketa odnosno slanjem emaila na [email protected] i usluga će vam biti predstavljena, a problem rešen u vrlo kratkom roku.

Kako da se efikasno odbranite od spam mailova?

Sve znamo.

Kada je reč o internetu, čini se da svi imamo nekog bogatog rođaka plave krvi koji će baš nama ostaviti celo bogatstvo. Ili bar tako kaže njegov advokat koji nas je kontaktirao preko maila i sve što traži su naši podaci.

I tako zilion puta.

Da li ste i vi dobijali ponude od kompanije za koje nikad niste čuli da postoje i za proizvode koje nikad niste istraživali, niti ste tražili ponudu za njih?

Ili, da li ste i vi, kao i mi, bezbroj puta osvojili milione dolara na različitim takmičenjima i igrama na sreću za koje ste nikad niste prijavili?

Savršeno.

Ako vam ove situacije zvuče poznato, po svemu sudeći, bili ste nevina i nasumična žrtva neželjene pošte, odnosno spama,  čak i ukoliko imate svoj poslovni mail, a ne Gmail ili Hotmail.

Dobrodošli u klub.

Iako se GDPR zahuktava, svi građani interneta se dalje bore sa pošasti spam mailova na koje se nikada nisu prijavili.

Statistika kaže sledeće.

SPAM pošta je činila čak 85.32% ukupnog email saobraćaja u septembru 2018. godine, dok je na dnevnom nivou poslato oko neverovatnih 301.95 milijardi spam poruka.

Pošto znamo da zna da bude ponekad veoma dosadno čistiti svoj inbox od neželjene pošte, naročito u slučaju kad je u pitanju veliki broj spam mailova, na unlimited.rs serverima će vas čuvati strah i trepet svakoj spam poruci: SpamAssasin! 💪🏼

Kako bi smo zaštitili korisnike od neželjene pošte na našim serverima svaki korisnik ima mogućnost da aktivira SpamAssasin kroz opciju SPAM FILTERS za svoj account kroz Cpanel I podesiti stepen zaštite koji mu odgovara.

Ono što je potrebno da uradite kako bi vaš account bio zaštićen, je da kliknete na opciju Spam Filters u Vašem Cpanelu.

Nakon toga, prikazaće vam se sledeći meni:

Aktiviranjem opcije Process New Emails and Mark them as Spam aktivirate SpamAssasin za vaš nalog i sve poruke koje se detektuju kao SPAM biće tako i markirane. Ta-da!

A sa opcijom Automatically Delete New Spam (Auto-Delete) aktivirate automatsko brisanje poruka koje SpamAssasin prepozna kao neželjenu poštu.

Za SpamAssasin možete podesiti stepen detekcije spama (Spam Threshold) i tako podesiti koliko “agresivno” će SpamAssasin markirati neželjenu poštu.

Osnovna vrednost je 5.

10 važi za najslabiji stepen zaštite i markiraće samo najočigledniju neželjenu poštu kao SPAM, dok 1 označava najagresivniji vid pregleda vaše pošte i primenjivanja algoritama koje SpamAssasin koristi za detekciju spama i zagarantovano će otkloniti svaki mogući SPAM koji stigne u vaše email sanduče.

Napomena: Na ovaj način, može se desiti i da neka legitimna poruka bude detektovana kao spam (recimo poruka bez naslova, odnosno subjecta).

Kako bi izbegli ovakav scenario, naša preporuka je da koristite osnovnu vrednost 5.

I to bi bilo to! Nakon ovih koraka vaš account je uspešno zaštićen od spama!

Bilo je lako, zar ne?

Kontaktirajte nas

Telefon

+381 11 428 08 08

Chat uživo
Live Chat