Sigurnost Archives - unlimited.rs - Hosting visokih performansi | cPanel Web hosting u Srbiji, VPS SSD, registracija domena

Kako dodatno unaprediti bezbednost WordPress sajta?

Pre par godina objavili smo 7 osnovnih načina kako da osigurate i optimizujete svoj WordPress sajt i iako je od tada prošlo dosta vremena, saveti su i dalje važeći i danas predstavljaju osnovu za zaštitu WordPress-a koji bi svaki sajt trebao koristiti.

Pored ovih ranije navedenih 7 načina, postoji i dosta dodatnih (naprednijih) stvari koje se mogu podesiti na WordPress sajtu kako bi se mogućnost za napade ili viruse svela na minimum.

❌ ISKLJUČIVANJE wp-admin

wp-admin se može potpuno isključiti ili samo sakriti od napadača (botova) pomoću plugina kao što je WPS Hide Login ili ručno preko .htaccess fajla.

Međutim treba imati na umu da sam WordPress ili plugini koje koristite na sajtu u velikoj meri zavise od wp-admin foldera i kako bi sajt neometano funkcionisao najbolje je ostaviti wp-admin folder, a samo redirektovati neovlašćene zahteve ka njemu.

Sledeći kod možete dodati na početak .htaccess fajla kako bi redirektovali sve posete, izuzev sa vaše IP adrese ka 404 strani. Na taj način botovi koji budu skenirali vaš sajt dobiće odgovor da wp-admin folder ne postoji.

💡 Izmenite 11.22.33.44 u kodu sa vašom javnom IP adresom.

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^ 11\.22\.33\.44$
RewriteRule ^(.*)$ - [R=403,L]

Takođe možete i javno zabraniti pristup wp-admin folderu sa svih IP adresa sem vaše, dodavnajem sledećeg koda u .htaccess fajl unutar wp-admin foldera:

## .htaccess fajl unutar wp-admin foldera
order deny,allow
deny from all
allow from 11.22.33.44

IZMEŠTANJE wp-config.php FAJLA

wp-config.php fajl sadrži najvažnije podatke vašeg sajta, kao što su npr. pristupni podaci za mysql bazu podataka i salts koje WordPress koristi za sve kolačiće na sajtu. Ukoliko se napadači dočepaju ovih podataka mogu bez ikakvih problema preuzeti potpunu kontrolu nad vašim WordPress sajtom.

Dobra bezbednosna praksa, oko koje su i dalje mišljenja podeljena u WordPress zajednici, je prebacivanje fajla wp-config.php folder iznad (van /public_html foldera).

1. KORAK Kopiranje wp-config.php fajla u drugi folder

U ovom primeru sajt se nalazi u folderu public_html i odatle ćemo fajl wp-config.php kopirati folder iznad:

Nakon što smo kopirali fajl, sledeći korak je izmena originalnog wp-config.php fajla:

2. KORAK Izmena sadržaja originalnog wp-config.php fajla

Otvorite fajl u editoru i obrišite sav sadržaj, potom postavite samo sledeći kod:

<?php
include('/home/cpanel-username/wp-config.php');

💡 Izmenite cpanel-username sa vašim username.

Sačuvajte fajl i testirajte sajt. Ukoliko je putanja do novog fajla urendo unešena ne bi trebalo da ima ikakvih problema.

Na kraju izmena bi ste trebali da imate 2 wp-config.php fajla:

– /home/username/public_html/wp-config.php – koji samo poziva drugi wp-config.php fajl
– /home/username/wp-config.php – novi wp-config.php fajl vam public_html foldera

DODAVANJE CSP-a

Content Security Policy (CSP) je dodatni način zaštite sajta koji je u osnovi dodanti kod koji se doda unutar .htaccess fajla. Pomoću CPS-a određujete sa kojih se sve domena mogu učitavati fajlovi na vašem sajtu, i na taj način blokirate potencijalne XSS napade.

💡 Pre bilo kakvih izmena na sajtu napravite bekap!

Kako bi ste na WordPress sajt definisali CSP, dodajte sledeći kod u .htaccess fajl sajta:

<IfModule mod_headers.c>
Header set Content-Security-Policy "default-src 'self'; img-src 'self' http: https: *.gravatar.com; scrip-src 'self' 'unsafe-inline' http: https: *.google-analytics.com;"
</IfModule>

Ovim kodom na sajtu je dozvoljeno učitavanje fajlova isključivo sa vašeg domena, Gravatara (slike naloga) i Google Analytics. Svi ostali fajlovi sa drugih sajtova neće biti prikazivani.

Ukoliko na sajtu koristite dodatne alate koji pozivaju fajlove sa svojih domena, npr. Jetpack koristi domen https://i0.wp.com/ za generisanje slika, onda je potrebno i taj domen dozvoliti u polisi: scrip-src 'self' 'unsafe-inline' http: https: *.wp.com;.

Ukoliko na sajtu dodate CSP, prepoučujemo da ga ipak isključite za wp-admin sekciju dodavanjem koda u wp-admin/.htaccess:

<IfModule mod_headers.c>
Header unset Content-Security-Policy
</IfModule>

⚠️ Da bi ovaj kod funkcionisao, na serveru headers modul mora biti aktivan. Na svim našim Web hosting paketima ovo je već uključeno.

PODEŠAVANJE 2FA

Dvostruka autentifikacija (Engl. Two Factor Authentication) je dodatni sloj zaštite gde za pristup nalogu pored lozinke potreban je i kod koji može biti prosleđen SMS porukom ili generisan od strane aplikacije na telefonu 📱.

Od 2020. godine Two-factor authentication (2FA) dostupan je i na korisničkom panelu i cPanel-u, uputstvo za podešavanje: https://panel.unlimited.rs/index.php?rp=/announcements/5/Two-factor-authentication-2FA-na-panelu-i-cPanel-u.html

Na WordPress.org sajtu možete naći detaljno uputstvo koje pokriva 2FA kao i listu WordPress plugina koje možete dodati na sajtu kako bi ste podesili dvostruku autentifikaciju.

TESTIRANJE BEZBEDNOSTI

Nažalost, u današnjem Svetu, kada hakeri iz dana u dan postaju sve inovativniji, nije moguće jednom postaviti plugine za bezbednost i dodati kod na WordPress sajtu i potom ga zanemariti. Već je potrebno redovno testirati sigurnost WordPress sajta i preventivno je unapređivati.

Ukoliko na vašem sajtu postoji bezbednosni propust koji napadači mogu iskoristiti, uvek je bolje da taj propust Vi prvi otkrijete i popravite.

Za WordPress postoji više alata odnosno skenera kojima možete skenirati svoj sajt na poznate ranjivosti i dobiti dodatne savete za unapređenje bezbednosti, neki od najpoznatijih su:

– WPSEC (besplatan sajt)
– WPScan (alat za terminal)
– Burp Suite (program za računar)

Sa ovim završavamo (manje poznate) savete za dodatnu zaštitu WordPress sajta od hakera. Ukoliko je Vaš sajt već kompromitovan ispratite sledeće uputstvo za detaljno čišćenje i dodatnu optimizaciju WordPress-a: Kako očistiti hakovan WordPress sajt?

Kako prepoznati i zaštititi se od email prevara (email phishing)

Da li ste stvarno sigurni da je email koji ste dobili od banke zaista poslala Vaša banka? Firme i pojedinci često su meta lažnih mejlova (email phishing) koji izgledaju kao da su poslati od strane banke ili druge firme sa kojom sarađujete, ali nakon što preuzmete fajl na svoj računar ili kliknete na link iz emaila, napadači dobijaju vaše poverljive podatke.

U ovom tekstu proći ćemo 7 karakteristika email phishinga koji će vam pomoći u identifikaciji lažnih mejlova, kao i metode za njihovu prevenciju i blokiranje.

Šta je Phishing?

Phishing (pecanje) je metod prevare gde vam napadači pošalju sadržaj predstavljajući se kao neka stvarna firma, a u cilju otvaranja fajlova ili ostavljanja poverljivih informacija.

Kako prepoznati Phishing email?

Najpoznatiji primer phishing mejla je Princ od Nigerije koji je tražio da mu se uplati novac, a mejlovi su počinjali sa tekstom “Salutations from the son of the deposed Prince of Nigeria…” i bilo je relativno lako prepoznati da se radi o lažnom emailu. Međutim vremenom su phishing mejlovi postali sve sličniji stvarnim mejlovima i znatno ih je teže detektovati.

Ovo su samo neke od najbitnijih karakteristika phishing emailova:

◾ Mejlovi se ne šalju sa domena sa koga se navodi

◾ Koriste generične pozdrave

◾ Linkovi unutar mejla vode na neki treći sajt

◾ Traže vam poverljive podatke putem mejla

◾ Šalju vam fajlove sa čudnim nazivima

Primeri Phishing emailova

Izdvojili smo 7 primera stvarnih Phishing mejlova, napominjemo da su svi podaci uključujući i email adrese i domene na slikama izmenjeni.

1. Traže vam podatke putem emaila

Ukoliko ste dobili email od banke koja traži da preuzmete fajl iz priloga koji sadrži listu transakcija, izmenite ga i pošaljete nazad, velika je verovatnoća da je reč o SPAM / phishing mejlu.

Stvarne firme vam nikada neće tražiti poverljive informacije poput lozinki, broja računa ili kreditne kartice, već će vam poslati link do forme na njihovom sajtu gde se morate prethodno prijaviti kako biste uneli te informacije.

2. Ne oslovljavaju vas po imenu

Phishing mejlovi uglavnom počinju sa generičnim pozdravima, npr. “Dragi gospodine” ili “Poštovani korisniče”. Ovo bi trebalo da vam bude prva crvena zastava jer firme kod kojih imate napravljene naloge imaju vaše podatke i znaju vaše ime, te će vas u većini slučajeva oslovljavati po imenu, npr. Draga Slađana.

3. Ne šalju email sa svog domena

Važno je napomenuti da From adresa u headeru mejla nije nužno i adresa sa koje se zaista šalje mejl. From adresa je samo adresa koja se prikazuje da sa nje dolazi mejl, dok je Sender adrresa zapravo ona sa koje se zaista vrši slanje. Dobra praksa je da obe adrese budu iste, međutim pošto većina email programa kao što su npr. Gmail ili Webmail, prikazuju samo From adresu, ovo se često zloupotrebljava.

Ukoliko sumnjate da mejl dolazi sa neke druge adrese možete klikom na Details, a zatim na All headers.. videti header poruke gde su navedene i From i Sender adrese.

4. Slovne ili pravopisne greške

Sledeći mejl na prvi pogled deluje legitimno, međutim naslov mejla je “PONOVO NARUDŽBITE OVOM PLAĆANJEM” kao da je automatski preveden sa nekog drugog jezika na Srpski jezik.

Naravno to možda nekada i jeste slučaj, ali ovakve slovne ili pravopisne greške u većini slučajeva su znak da se radi o automatskom prevođenju teksta i najčešće i jeste reč o SPAM mejlovima.

5. Teraju vas na svoj sajt

Phishing mejlovi koji su najefektniji su oni koji traže hitne akcije od primaoca pod pretećim izgovorima: Vaš nalog će biti suspendovan, Prešli ste kvotu za mejlove te neće raditi dok ne obrišete klikom na dugme u mejlu, Neko vam je poslao poruku kliknite da je vidite i sl..

6. Šalju vam fajlove za preuzimanje

Ovo je takođe još jedan od znakova phishing mejlova, tipično institucije kao što su banke vam neće slati attachmente u mejlovima kako biste popunili podatke i vratili ih nazad, već će vam poslati linkove ka svom sajtu gde možete preuzeti ili popuniti dokumente ukoliko ste ulogovani na svoj nalog.

Naravno i ovde postoje izuzeci i neke firme će vam slati fajlove kao što su računi ili izvodi, međutim i tu obratite pažnju da li se radi o .exe, .rar ili .zip ekstenzijama koje najčešće sadrže maliciozne fajlove.

7. Linkovi se ne slažu sa sajtom

U ovom primeru mejla navodi se da on dolazi sa adrese facebook.com međutim klikom na link iz potpisa mejla otvara se stranica koja uopšte nije na ovom domenu: https://hf2a6-2iaaa-aaaad-qbx7a-cai.ic.fleek.co/

Ali ne morate kliknuti na link da biste to proverili, na računaru kada pređete mišem preko linka u donjem levom uglu možete videti link koji bi se otvorio ako biste kliknuli.

Kako blokirati ovakve Phishing emailove

Proći ćemo dve opcije blokiranja SPAM mejlova na cPanelu: pomoću Email filtera i pomoću Spam filtera.

Email Filteri

Mejlove možete filtrirati na cPanelu uz pomoć opcija:

Pod Global Email Filters postavljate filtere koji se odnose na sve napravljene email adrese, dok pod Email Filters možete postaviti filtere za svaku email adresu zasebno. Ovi filteri funkcionišu na osnovu pravila npr:

◾ ako mejl dolazi sa određene adrese ili domena treba ga obrisati

◾ ako sadržaj mejla ili naslov imaju neku od sledećih reči onda ga treba prebaciti u SPAM folder

Pod polje Rules možete postaviti uslov (AKO) dok pod polje Actions (ŠTA) postavljate šta treba uraditi sa takvim mejlom.

Primeri email filtera:

OBRISATI SVE MEJLOVE KOJI DOLAZE SA DOMENA

PREBACITI U SPAM FOLDER SVE MEJLOVE KOJI SADRŽE U NASLOVU ODREĐENU REČ

PROSLEDITI NA ODREĐENU EMAIL ADRESU SVE MEJLOVE KOJI SADRŽE U TEKSTU ODREĐENU REČ

Možete mnogo toga uraditi sa email filterima – uključujući slučajno kreiranje filtera koji briše emailove koje niste želeli da izbrišete. Vodite računa kada kreirate filtere i koristite cPanel filter tester da biste proverili da filter zaista radi baš ono što želite.

Spam Filters

Druga opcija koja vam je dostupna na cPanelu i koju možete koristiti za blokiranje phishing mejlova je Spam Filter unutar koga možete podesiti koje se akcije preuzimaju sa mejlovima koje sistem oceni kao spam (da li se brišu) kao i potpuno blokirati dolazne mejlove sa neke adrese ili domena dodavanjem u blacklistu.

Podrazumevano uključena opcija na cPanelu je da se dolazni mejlovi koje sistem oceni kao spam (ocena preko 5) prebacuju u SPAM folder, međutim iako ne preporučujemo auto-delete možete podesiti da se ovakvi mejlovi automatski brišu uključivanjem opcije Automatically Delete New Spam (Auto-Delete).

Pod Additional Configurations nalazi se opcija Blacklist na kojoj možete navesti domene ili email adrese sa kojih nikada ne želite da primite mejlove.

Primeri blacklist unosa:

OBRISATI SVE MEJLOVE KOJI DOLAZE SA NEKE EMAIL ADRESE

Ovo će obisati sve mejlove koji dolaze sa adrese [email protected]

OBRISATI SVE MEJLOVE KOJI DOLAZE SA ODREĐENOG DOMENA

Ovo će obisati sve mejlove koji dolaze sa domena @nekidomen.com

OBRISATI SVE MEJLOVE KOJI DOLAZE SA ADRESA KOJE SE ZAVRŠAVAJU NA SLOVA

Ovo će obisati sve mejlove koji dolaze sa adresa na domenu @nekidomen.com koje se završavaju na slova “na”, npr. [email protected] [email protected]

Pročitajte ostale tekstove na našem blogu, a usput pogledajte i našu ponudu hosting paketa, na kojima možete jednostavno iz cPanela filtrirati svoje mejlove.

Vodite računa o online sigurnosti i svojim podacima! Mi smo tu za sva vaša pitanja!

Do sledećeg čitanja 👋

6 načina za krađu vaših podataka i kako to da sprečite

O sajber kriminalu (visokotehnološki kriminal, e-kriminal, itd.) često slušamo u filmovima. Obično je hakovanje sajtova povezano sa korporacijama i velikim biznisima, pa retko kada razmišljamo da bi moglo da zadesi baš i nas.

Sa razvojem interneta i našeg digitalnog života, razvija se i kriminal u vezi s tim. Pa tako nije neobično da baš pojedinac ili mali biznis bude žrtva ovakvog tipa kriminala.

Pre nego što objasnimo na koji način Vi, Vaš sajt i Vaš biznis mogu biti žrtve e-kriminala, hajde da definišemo šta je to u stvari.

Sajber kriminal predstavlja skup krivičnih dela koja podrazumevaju upotrebu interneta, računara ili drugih elektronskih uređaja.

Kakve koristi hakeri imaju od Vas?

Utisak da ste Vi i Vaš biznis premali da bi bilo ko profitirao od Vas može vrlo lako da zavara.

Dokazano je da su ‘male’ internet prevare mnogo učestalije od onih o kojima možemo da čitamo u novinama, slušamo na vestima ili gledamo u filmovima.

Ovakve prevare nazivaju se ‘phishing’.

Razlog brojnosti ovakvih prevara je pre svega u tome što ih je veoma lako izvesti, i veoma su efikasne.

Po pravilu, veće kompanije su obično i zaštićenije od prodora u njihove mreže, pa takav napad zahteva ne samo veće planiranje, već i veću stručnost.

Krađa identiteta

Ukoliko neko od hakera uspe da dođe do vaših podataka, vrlo lako se može desiti da te podatke iskoristi kako bi počinio prevaru ili neko drugo krivično delo. Koristeći vaš identitet.

Oni mogu iskoristiti Vaše:

▪ Brojeve platnih i kreditnih kartica

▪ Pasoš, ličnu kartu, vozačku dozvolu

▪ Ime

▪ Digitalne novčanike

Kako se ovi prestupnici obično nalaze na suprotnim stranama sveta, vrlo teško ih je uhvatiti.

Ugrožavanje reputacije

Osim što vam mogu našteti novčano, ovakve prevare mogu lako narušiti Vašu reputaciju.

Da li biste verovali svojoj banci da saznate da su hakeri uspeli da dođu do Vaših podataka? Na sam pomen ovakvog događaja, na stotine ljudi izgubi poverenje u firmu i krene u potragu za alternativnim rešenjima.

U našem narodu postoji izreka ‘Što je sigurno – sigurno je.’, pa tako neretko ljudi odluče da se ne upuštaju u rizik poslovanja sa nekim ko nema zaštićene podatke.

Ometanje Vašeg poslovanja

Nezavisno od toga koliko mala ili velika je Vaša firma ili Vaš sajt – svaki sajber napad može naneti određenu štetu.

Čak i ako je u pitanju bezazlen virus, mogu proći dani pre nego što svi kompjuteri u Vašoj firmi budu pregledani, ‘prečišćeni’ i spremni za dalji rad.

Koliko bi Vas koštao svaki dan zatvorenih vrata Vašeg biznisa?

Osim toga, ne dešava se retko da kompanije koriste za svoj sajt hosting koji ne štiti od infekcije virusa, pa tako mogu doći u situaciju da hakeri ‘zaraze’ virusom njihov sajt i da izgube sve podatke ili jedan njihov deo.

Baš iz toga razloga smo u naše hosting pakete uključili i Ultimo Malware Zaštitu, koja vrši aktivno skeniranje Vašeg hostinga u realnom vremenu, te blokira neautorizovane pristupe i maliciozne zahteve.

Najčešći načini internet prevara, odnosno e-kriminala

1. Email phishing

Verovatno najpoznatija i najčešća vrsta prevare ovog tipa jeste email phishing.

Ova vrsta phishing-a predstavlja tehniku kojom hakeri šalju masovni mejl, pretvarajući se da su neko drugi i traže određenu uslugu od primaoca.

Ukoliko ste nekada čuli da je neko primio e-mail od nigerijskog princa, neke žrtve koja je zarobljena u drugoj zemlji ili opisuje svoju porodičnu situaciju, zatim traži novac… u 99,9% slučajeva je reč o prevari.

Budući da su ovakvi prevaranti veoma iskusni, oni se ne oslanjaju na samo traženje novca, već obećavaju ogromna nasledstva ili pozamašne svote novca nakon što ispunite njihove zahteve i ‘pomognete’ im.

Osim ostavljanja linka gde Vas navode da podelite svoje podatke sa njima, ovakvi prevaranti neretko traže i novac.

Osim e-mejla, ovakve prevare se mogu dogoditi i putem SMS poruka i telefona, a krajem devedesetih su se dešavale i putem pošte, kako tvrdi profesor Fakulteta bezbednosti u Beogradu, Goran Mandić.

Prepoznajte prevaru na vreme.

Ukoliko ponuda koju dobijete preko mejla zvuči previše dobra da bi bila istinita, verovatno to i jeste. Sada kada ste upućeni u ovaj način prevare, proverite ko šalje mejl takvog sadržaja. Ukoliko niste sigurni da li je u pitanju prevara ili ne, potrudite se da Vam pošiljaoc pošalje svoje podatke, i nikako ne uplaćujte novac i ne ostavljajte svoje podatke.

2. Email websajta koje inače koristite

Već smo pomenuli da su ovakvi prevaranti iskusni, pa tako znaju da ćete lakše nasesti na prevaru ukoliko mejl dolazi sa vama bliskog izvora (kao što je to PayPal, Instagram, Facebook i slično).

Ovakvi mejlovi obično sadrže navodna upozorenja, kazne ili pretnje.

Na primer, može se desiti da vam stigne mejl koji izgleda skoro identično kao mejl koji inače dobijate od Facebook-a, i koji kaže da će Vam nalog biti ugašen u narednih 24h ukoliko se ne ulogujete na Vaš nalog momentalno.

Onog trenutka kada se budete ulogovali, hakeri će preuzeti Vaše podatke, a samim tim i Vaš Facebook nalog.

Drugi primer, možda i učestaliji, jeste email koji liči na onaj koji PayPal šalje.

Kao i kod prvog primera, na prvi pogled se ne može uočiti da je u pitanju prevara, pa mejl može tvrditi da je na Vaš račun uplaćena određena svota novca. U mejlu će vam ostaviti i dugme (link) preko koga ćete se prijaviti i nesvesno im dati pristup Vašem PayPal računu i svim bankovnim računima povezanim sa njim.

Kako se zaštititi od ovakvih mejlova?

Pre nego što se uspaničite zbog sadržaja mejla, obavezno proverite odakle mejl dolazi. Na primer, zvanični mejl PayPal-a je uvek u ovom formatu – [email protected]. I niko van ove kompanije ne može imati mejl sa istim domenom, odnosno ne može se završavati sa @paypal.com

Hakeri to znaju, pa ovaj phishing mejl može doći sa adrese koja je vrlo slična: [email protected] i na prvi pogled može delovati kao ispravna adresa.

Važno je upamtiti da velike kompanije nikada ne koriste mejlove sa domenima kao što su gmail, outlook, yahoo i slično.

Sledeća stvar koju možete proveriti jeste da li u sadržaju mejla postoje pravopisne greške, jer to najčešće ukazuje na prevaru.

Ukoliko i dalje niste sigurni, ne oklevajte da kontaktirate podršku kompanije iz koje Vam stiže mejl pre nego što ostavite svoje podatke bilo gde.

3. Nagradne igre putem društvenih mreža

Već neko vreme imamo prilike da vidimo da internetom kruže nagradne koje zvuče previše dobro da bi bile istinite.

Jedna od takvih igara jeste lažna podela vaučera kompanija Lidl, Metro, Ikea, Maxi…

Iako su neke od njih bezopasne, može se desiti da Vam obećavaju vaučer od 5000 ili 10000 dinara u zamenu za ‘share’ na društvenim mrežama.

Nakon što objavu podelite sa Vašim prijateljima, stići će Vam poruka gde će od Vas tražiti da pošaljete svoju ličnu kartu, kako bi mogli da Vam pošalju vaučer.

Ono što bi trebalo zapamtiti je da vam ovakve kompanije nikada neće tražiti slanje bilo kog dokumenta putem društvenih mreža.

4. Skraćeni linkovi

Koliko puta Vam se desilo da Vam neko pošalje sumnjiv link preko društvenih mreža? Poruka stiže od Vama poznate osobe, pa i ne slutite da je u pitanju bilo kakva prevara.

Čim vi budete kliknuli na link, vaš računar će biti zaražen virusom, pa će i sa Vašeg naloga početi da stižu sumnjivi linkovi Vašim prijateljima.

Ovakvi linkovi obično nisu u svom originalnom formatu, već koriste softver za skraćivanje (kao što je to bit.ly/…). Opasnost ovakvih linkova leži u tome što nikako ne možete znati šta je iza njih pre nego što kliknete.

Ukoliko poruka deluje sumnjivo, i ne verujete izvoru – nemojte kliktati na ovakve linkove.

5. Prevare putem online prodavnica

U većini slučajeva, online kupovina je bezbedna i Vaši podaci su bezbedno sačuvani. Ovakav vid kupovine je regulisan i Zakonom.

Međutim, internet prevara, krađa podataka i krađa Vašeg novca se može desiti i ovde. Ukoliko unesete podatke svoje kartice, naročito CVC kod koji se nalazi na poleđini Vaše kartice, može se desiti da budete pokradeni.

Kako prepoznati prodavnicu koja nije legitimna?

Kod ovakvih pokušaja prevare, uglavnom se ljudi ‘upecaju’ tako što im je ponuđen neverovatan popust. Dešavalo se da se nude telefoni koji inače koštaju više stotina evra za manje od 20e. U ovakvim situacijama, ljudi pomisle da je to previše dobra ponuda koju ne smeju da propuste, pa unesu broj svoje kartice bez i malo razmišljanja.

Ukoliko ponuda deluje nerealno – verovatno to i jeste.

6. Krađa podataka zbog šifri koje se lako mogu pogoditi

Da li ste znali da su najčešće korišćene šifre na svetu 123456 i ‘password’?

Prosečna osoba u svom životu treba da zapamti oko 25 različitih šifri, tako da nije iznenađujuće ovo pribegavanje šiframa koje se lako pamte.

Korišćenje ovakvih šifri može dovesti do različitih vrsti malverzacija sa vašim podacima.

Kako biste ovo izbegli, potrudite se da vaša šifra sadrži što više karaktera, i to kombinaciju malih i velikih slova, kombinaciju brojeva, slova i simbola.

Da zaključimo…

Niko nije imun na sajber napad, odnosno internet prevare. I velike i male kompanije, pa i pojedinci mogu biti žrtve ovakve vrste kriminala. Kako biste izbegli krađu identiteta, vaših podataka i narušavanje Vaše reputacije, budite posebno pažljivi i ne zaboravite da obraćate pažnju na tipične znakove prevara.

I da ne zaboravimo, zaštitite Vaš sajt.

Kako bi Vaš sajt bio zaštićen od malicioznih napada, potrebno je da se regularno skenira i da Vaš hosting provajder odžava Vaš sajt bezbednim. Za više informacija i preporuku hostinga koji će Vam pružiti najvišu bezbednost, slobodno nas kontaktirajte.

Kako očistiti hakovan WordPress sajt?

Sajt vam se sporo učitava? Redirektuje vas na drugi sajt? Pokazuju vam se reklame (popup)? Ne možete da se ulogujte? Primetili ste foldere i fajlove sa neobičnim nazivima? Dobijate veliki broj failed-deffered mailova koje niste ni slali?

Najčešći su pokazatelji da je vaš WordPress sajt zaražen.

Ukoliko se nešto od ovoga desilo i vama, ne paničite, pokazaćemo vam kako da identifikujete da li je vaš WordPress sajt hakovan, koje korake je potrebno preuzeti kako biste očistili sajt od malicioznih fajlova i kako da ga bolje zaštitite za ubuduće.

BACKUP – Prva pomoć za hakovan WordPress sajt

Vraćanje sajta iz backupa može da bude rešenje – ali tu imamo opet problem – vi ne znate kada je sajt zapravo inficiran. Cyber kriminalci su mogli da ga inficiraju i pre godinu dana i da godinu dana ne vrše nikakve aktivnosti, vi nemate pojma da je sajt inficiran, i onda odjednom krenu u teror. Vama izgleda kao da je sajt hakovan juče – vratite backup od pre mesec dana – ali uzalud– i taj backup od pre mesec dana sadrži njihov malware.

Svim korisnicima UNLIMITED.RS Web hosting paketa dostupan je JetBackup u okviru cPanel-a, uz pomoć koga možete vrlo jednostavno odraditi restore (vraćanje) fajla, foldera, baze, email naloga na neki od dostupnih datuma u proteklih 20 dana – uputstvo kako da to uradite možete pročitati ovde.

U praksi najbolje je pogledati datum stvaranja malicioznih fajlova, i vratiti backup na datum pre nastanka tih fajlova, to ipak nije garancija.

Vraćanje sajta na neki raniji datum (restore bekapa) može samo otkloniti posledice ali ne i sam uzrok problema- ranjivosti WordPress sajta.

Nakon vraćanja sajta iz bekapa potrebno je dodatno unaprediti i osigurati samu instalaciju kako se problem ne bi ponovio.

ČIŠĆENJE WORDPRESS SAJTA

Ukoliko među fajlovima vašeg sajta primećujete fajlove i foldere čudnih naziva ili fajlove koji ne pripadaju standardnoj WordPress instalaciji, jedina ispravna odluka je radikalan rez – a suština se sastoji u tome da sa svog sajta (preko FTP-a ili File Manager-a na cPanelu) obrišete baš sve PHP fajlove i foldere – ostavite samo sledeće:

wp-content/uploads folder koji sadrži sve uploadovane slike

wp-config.php konfiguracioni fajl za povezivanje WordPress-a sa bazom (no proverite da li i on ima maliciozan kod)

Uporedni prikaz standardne WordPress instalacije i zaraženog WordPress sajta

ČIŠĆENJE BAZE

Kako proveriti i očistiti bazu od SQL injekcija i WordPress malware-a?

Za pregled baze predlažemo da exportujete vašu WordPress bazu podataka ručno iz phpMyAdmin-a.

Iz cPanel-a izaberite opciju phpMyAdmin, zatim sa leve strane iz menija kliknite na bazu koju želite preuzeti.

Ukoliko na vašem cPanel nalogu imate više sajtova imaćete i više baza. Ukoliko niste sigurni koju bazu vas WordPress sajt koristi, ime baze možete videti u wp-config.php fajlu u redu: define(‘DB_NAME’, ‘database_name’);

Nakon što sa leve strane izaberete bazu, kliknite na “Export” link u meniju i zatim na “Go” dugme.

Nakon što preuzmete čitavu bazu u .sql formatu možete otvoriti fajl u nekom tekstualnom editoru kao što je Notepad ili Notepad++ i pregledate sadržaj baze.

Šta tražimo? Bilo šta što izgleda sumnjivo odnosno sve što ne izgleda kao da mu je mesto u bazi WordPress sajta. Uglavnom tražimo sledeće tipove koda:

eval()

base64_decode()

gzinflate()

error_reporting(0)

shell_exec()

str_rot13()

Ukoliko naiđete na sumnjiv kod, možete pretražiti na Google ili WordPress forumima da li se radi o legitimnom sadržaju ili ne.

Sav sumnjivi sadržaj je potrebno otkloniti iz .sql fajla a zatim importovati (uvesti) očišćenu bazu nazad u phpMyAdmin.

Pre importovanja očišćene baze potrebno je da sa stare obrišete sve tabele.

Ovo možete uraditi tako što izaberete bazu, označite sve tabele klikom na “Check all“, i pod “With selected:” opcijom izaberete “Drop“.

Klikom na dugme potvrdite brisanje svih tabela i nakon što brisanje bude završeno možete importovati očišćenu bazu.

Ponovo izaberite vašu bazu podataka i kliknite na “Import” u meniju. Izaberite pregledani .sql fajl i kliknite na “Go” dugme.

Nakon importovanja dobićete poruku da je import tabela u bazu uspešno sproveden.

Nakon što ste uklonili sve fajlove WordPress sajta (osim foldera wp-content/uploads i fajla wp-config.php), pregledali i ukoliko je potrebno očistili bazu, potrebno je ponovo dodati novu WordPress instalaciju.

RE-INSTALACIJA WORDPRESS-a

Korak 1: Preuzimanje WordPress instalacije

Preuzmite najnoviju verziju WordPress CMS-a sa ovog linka.

KORAK 2: Dodavanje WordPress-a

WordPress instalaciju zatim dodajte (upload) na sajt preko File Manager opcije u cPanel-u.

Uđite u folder u kome se nalazi vaš sajt (za glavni domen to je /public_html folder) i iz menija izaberite opciju “Upload”. Izaberite preuzetu WordPress instalaciju i sačekajte da se dodavanje završi.

KORAK 3: Extraktovanje WordPress-a

Nakon toga se vratite nazad u folder gde je fajl dodat i desni klik na .zip fajl, potom export i potvrdite.

KORAK 4: Ubacivanje postojećeg Uploads Foldera

Potom se vratite nazad u root folder domena (za glavni domen to je public_html) i uđite u folder wp-content. Iz ovog foldera prebacite folder uploads u tek dodatu WordPress instalaciju.

Označite ovaj folder i zatim desnim klikom na njemu izaberite opciju move to folder i u adresu dodajte /WORDPRESS folder u putanji, tako da na primer putanja public_html/wp-content bude public_html/wordpress/wp-content

KORAK 5: Brisanje starog WP- Content Foldera

Nakon ubacivanja uploads foldera potrebno je da se vratite u /wordpress folder i da iz njega obrišete wp-content folder.

KORAK 6: Prebacivanje WordPress instalacije

Nakon što ste prebacili stari uploads folder u novu WordPress instalaciju obrisali prazni wp-content folder, potrebno je prebaciti sav sadržaj /wordpress foldera u folder iznad. Označite sve fajlove i zatim desnim klikom na nekom od njih izaberite opciju move to folder i iz adrese obrišete /WORDPRESS folder iz putanje.

To je to, sada ste uspešno reinstalirali WordPress i možete se preko browsera ulogovati na admin deo dodavanjem /wp-admin na vaš domen.

Pošto ste ostavili bazu podataka i uploads folder u kome se nalaze sve dodate slike, sajt će imati isti sadržaj kao pre brisanja WordPress fajlova.

RE-INSTALACIJA WORDPRESS TEME I PLUGINA

Nakon reinstalacije WordPress-a potrebno je da ponovo instalirate aktivnu temu i sve dodatke.

Ulogujte se na wp-admin deo vašeg sajta, instalirajte istu temu (skinite najnoviju verziju teme, ne koristite staru) i instalirajte iste pluginove koje ste imali pre brisanja.

Ukoliko niste sigurni koje ste sve pluginove koristili na sajtu, nakon prvog ulaska u Plugins (Dodaci) stranu, prikazaće vam se lista svih plugina koji su sada isključeni a koje trebate ponovo instalirati.

Nakon instalacija biće možda potrebno samo da neka podešavanja u okviru teme ili plugin-ova ponovo podesite.

I na kraju, otvorite sajt kako biste proverili da li sve funkcioniše.

KAKO UNAPREDITI BEZBEDNOST WORDPRESS SAJTA

Kako dodatno obezbediti WordPress sajt?

Nakon čišćenja WordPress-a, teme i svih pluginova, potrebno je dodatno osigurati sam sajt kako se problem ne bi ponovio. Ovo su samo neke od preporuka za unapređenja bezbednosti WP sajta:

Hosting

Kvalitetan Web hosting je od presudnog značaja za sigurnost svakog sajta. Koliko god da obezbedite WordPress, to neće biti dovoljno ukoliko neko može da vam neovlašćeno pristupi hosting nalogu, doda fajlove preko FTP-a ili cPanel-a, ili čak da preko hakovanog sajta drugog korisnika na serveru ubaci fajlove na vaš sajt.

Sa strane hostinga (cPanel) možemo još dodatno ojačati WordPress koristeći .htaccess i wp-config.php konfiguracione fajlove ali i same permisije na folderima. Detaljnije o ovome možete pročitati na našem blogu

Permisije

Permisije foldera i fajlova možete takođe podesiti iz File Manager-a na cPanel-u, za WordPress preporučene vrednosti su sledeće:

/ 0755

wp-includes 0755

wp-admin 0755  

wp-admin/js 0755

wp-content 0755

wp-content/themes 0755

wp-content/plugins 0755

wp-content/uploads 0755

wp-config.php 0400  

.htaccess 0444

Permisije možete videti u File Manager-u u koloni sa desne strane, a duplim klikom na njih možete ih i izmeniti.

Promena lozinki

Promenite WordPress admin password.

Obrišite sve ostale admin korisnike (Upravnike).

Promenite FTP password (to je uglavnom ujedno i password od hosting naloga, tako da to u većini slučajeva možete uraditi u hosting panelu).

Promenite MySQL password (to takođe u većini slučajeva možete da uradite u hosting panelu), a zatim taj novi MySQL password unesite u wp-config.php fajl (preko File Manager-a).

I na kraju, uvek je bolje koristiti korisničko ime koje nije “admin” ili “administrator”.

Salts

WordPress koristi takozvane “Salt” – nasumično generisane vrednosti radi autentifikacije korisnika pomoću kolačića (Eng. cookies).

Kako bismo odjavili sve već prijavljene WordPress korisnike možemo postaviti nove salt vrednosti u fajlu wp-config.php

Na sledećem linku možete generisati nove vrednosti: https://api.wordpress.org/secret-key/1.1/salt/

Dovoljno je kopirati ove kodove i zameniti postojeće u fajlu wp-config.php kako biste poništili sve korisničke kolačiće (cookies).

PODESITE SIGURNOSNI PLUGIN

Na WordPress-u postoji dosta dodatnih funkcija koje je potrebno blokirati ili isključili jer se najčešče zloupotrebljuju. Jedna od ovih funkcija je i XML-RPC koji se danas sve više koristi za brute-force i dictionary napade.

Naša preporuka je iThemes Security dodatak, a neke od korisnih funkcija ovog plugina koje vredi istaknuti su:

▪ blokiranje pristupa xmlrpc.php fajlu

▪ upisivanje svih pristupa (Login log)

▪ ograničavanje pristupa preko .htaccess fajla

▪ forsiranje jakih lozinki i mogućnost 2FA

▪ zakazivanje redovnog bekapa baze

Nakon instalacije iThemes Security plugina videćete preporuku podešavanja koje sam plugin predlaže za sve WordPress sajtove.

Nakon što uključite sve navedene preporučene funkcionalnosti, potrebno je dodatno uključiti još i ova tri modula:

▪ 404 Detection

▪ File Change Detection

▪ SSL

Gore navedene module je dovoljno samo aktivirati i ostaviti na preporučenim vrednostima, međutim ova dva modula je potrebno dodatno konfigurisati:

▪ System Tweaks

▪ WordPress Tweaks

Za njih predlažemo da uključite sve opcije, međutim imajte u vidu da se neke od ovih funkcionalnosti koriste i za druge plugine kao što su JetBackup ili ContactForm7, te svakako nakon što ih aktivirate detaljno proverite da li sve uredno funkcioniše na samom sajtu.

OGRANIČAVANJE PRISTUPA

Preporuka je da sakrijete ili bar ograničite pristup /wp-admin i wp-login.php linkovima

WPS Hide Login je jedan vrlo jednostavan dodatak koji vam omogućava da preimenujete /wp-admin sekciju i time ograničite pristup samo onima sa linkom.

AŽURIRANJE

Poželjno je da uvek koristite najnoviju verziju WordPress-a, ažurirajte vašu temu i dodatake (plugine) čim novija verzija bude dostupna, pre toga naravno testirajte temu i vidite da li sve funkcioniše.

Obrišite WordPress teme i plugine koje ne koristite – ovi plugini se skoro nikada ne ažuriraju te samim tim predstavljaju sigurnosni rizik.

Nikada ne koristite WordPress “null-ovane” premium teme i pluginove – jer često dolaze sa malware-om.

BACKUP

Bekapi su veoma važni jer vam mogu skratiti dosta vremena i truda. Upravo zbog toga je važno praviti redovne bekape fajlova i baze, i što je najbitnije: ne čuvati ih na istoj lokaciji gde je i sajt!

Po definiciji Backup je rezervna kopija, te ga stoga i čuvajte u rezervi na vašem računaru ili nekom drugom nalogu.

Za korak po korak uputstvo kako bezbedno uraditi i preuzeti bekap sajta pročitajte naš članak: Kako da mirno uradite backup WordPress sajta

Ukoliko koristite naše Web hosting uslug e, nećete imati potrebe praviti backup jer uz sve pakete imamo besplatan dnevni backup na više udaljenih lokacija.

I na kraju: Važno je ne preskočiti nijedan korak – čak i ako vam se neki korak čini besmislenim – verujte nam, nijedan nije besmislen. Preskakanjem bilo kog koraka biste rizikovali da hakerima ostavite prolaz do vašeg sajta – i da ponovo inficiraju sajt – pa ste onda uzalud čistili sajt.

BONUS: KAKO SKINUTI “OVAJ SAJT NIJE BEZBEDAN” UPOZORENJE

Ukoliko se umesto vašeg sajta pojavila stranica koja ukazuje da sajt više nije bezbedan, nakon što se očistili i sam WordPress sajt, potrebno je poslati zahtev Google-u da se upozorenje o nebezbednom sajtu ukloni.

Uputstvo za slanje zahteva za skidanje upozorenja na vašem sajtu možete videti ovde: https://developers.google.com/web/fundamentals/security/hacked/request_review

Nakon što pošaljete zahtev, Google će ponovo pregledati sajt i ukoliko potvrde da vaš sajt više ne sadrži malware/phishing sadržaj, dobićete email obaveštenje da je upozorenje uklonjeno.

U slučaju da vam je neophodna pomoć ili dodatne informacije, molimo vas da kontaktirate našu korisničku podršku na e-mail: [email protected] ili otvorite tiket putem korisničkog panela na adresi https://panel.unlimited.rs.

Šta je reCAPTCHA i zašto treba da je koristite na vašem sajtu?

ReCAPTCHA je nešto čemu smo izloženi dok svakodnevno koristimo internet. Nekad i toliko često da smo svi u jednom trenutku pomislili – koja je i poenta ovog, “I am not a robot” dugmeta 😂

Razlog zašto je ReCAPTCHA najčešći alat koji se koristi prilikom online prijava ili popunjavanja obrazaca jeste upravo sprečavanje neželjene pošte (spam) i zloupotrebe web stranice. CAPTCHA je zapravo skraćenica od – Completely Automated Public Turing test to tell Computers and Humans Apart. Zanimljivo, zar ne?

Šta CAPTCHA zapravo radi?

CAPTCHA sprečava spam ili botove da unose podatke u polja na vašoj web stranici. To može uključivati lažne komentare na postovima, lažne email adrese ili lažne transakcije i prijave.

CAPTCHA možete videti u različitim formama:

1. Kao slagalicu zasnovanu na tekstu

2. Slagalicu zasnovanu na slici

3. Ili kao standardnu “I am not a robot” ReCAPTCHA

To su jednostavni i laki zadaci koji mogu sprečiti da vaša web stranica bude preplavljena botovima.

ReCAPTCHA je u vlasništvu Google-a. Koristi naprednu tehnilogiju, a najnovija verzija može da filtrira sumnjive posetioce bez prethodnog rešavanja slagalice. Pregledanjem istorije unosa u ReCAPTCHA sa vaše IP adrese, nalaze se “tragovi” koji mogu odrediti da li ste bot ili ne.

Da li je ReCAPTCHA zaista efikasna?

Ukoliko vaša web stranica ima online formu/obrazac bez dugmeta CAPTCHA, moguće je da ćete primiti veliki broj neželjenih poruka (spam). Ovo svakako može predstavljati problem, ali ima i nekoliko drugih posledica s kojima se možete suočiti ako ne koristitke CAPTCHA sistem.

Kao što su:

1. Veće naknade stope za transakcije

2. Stroži sigurnosni protokoli za vaš nalog

3. Moguća suspenzija ili ukidanje vašeg naloga

Naravno, uvek postoji i negativna strana. Na primer, za rešavanje CAPTCHA slagalice potrebno je u proseku deset sekundi, što može dovesti do toga da korisnik na vašoj web stranici prosto izgubi interesovanje. Takođe, često se dešava da korisnici i ne razumeju samu slagalicu, te ukoliko je CAPTCHA unos više puta netačan, korisnik prosto odustane i napusti stranicu.

Da li mi je potrebna reCAPTCHA?

Ako je vaš sajt često izložen botovima, a mail sanduče preplavljeno spam porukama, onda da, trebalo bi da se registrujete za CAPTCHA. Google sugeriše da najnovija verzija pruža još veću sigurnost, kao i bolje korisničko iskustvo (uglavnom preskakanjem potrebe za rešavanjem slagalice). S obzirom na to da se softver može lako dodati, bez dodatnih troškova, dodavanje reCAPTCHA je jednostavan i lak način da zaštitite svoj sajt i email sanduče.

SSL sertifikati: zašto su bitni i kako dodati HTTPS na vaš sajt?

Ako mislite da vaš sajt neće izgubiti svoje posetioce zbog manjka SSL sigurnosti, grešite 🤭

Momenat kada nam svima bezbednost sajta postane od izuzetne važnosti jeste kada treba da unesete podatke svoje kartice i kupite nešto online. Jedno od istraživanja kaže da čak 85% internet kupaca odustane od kupovine na sajtu koji im se ne čini bezbednim. Većina ljudi prepoznaje simbol katanca u URL-u kao znak bezbednosti, ali šta ovo zapravo znači i zbog čega je bitno?

Šta je SSL bezbednost?

Ako ste ikad pogledali URL na vrhu ekrana web pretraživača, sigurno ste videli da neki sajtovi počinju sa “HTTP”, a neki sa “HTTPS”. Upravo ovo S znači “secure”, iliti bezbedno – i postiže se obezbeđivanjem vašeg sajta SSL sertifikatom. Ono što zapravo HTTPS sajtovi imaju jeste dodatni sloj zaštite za sve osetljive podatke koji se razmenjuju.

Kao što smo već napomenuli, sajtovi koji su zaštićeni SSL-om obično imaju zeleni katanac koji se prikazuje u prozoru URL-a. Ovo je ikonica koju internet korisnici prepoznaju kao znak poverenja za online prodavce.

SSL je oblik šifrovanja podataka gde web pretraživač koji koristite uspostavlja sigurnu vezu sa web stranicom koju posećujete. To radi tako što podatke deli napred i nazad između ta dva i šifruje ih. Podatke može videti samo sajt koji ima SSL sertifikat, jer poseduje ključ za dešifrovanje.

Online poverenje

Jedno od najstarijih pravila trgovine, fizičke ili online, jeste da ljudi uvek kupuju od brendova kojima veruju. Kada kupujete uživo, ovaj momenat je mnogo lakši, ali, kako možete najlakše da utvrdite to online?

Odgovor je jednostavan – autentifikacijom SSL bezbednosti, jer se tada poverenje između kupca i online prodavca može postići najefikasnije.

Kao protokol, SSL bezbednost je postala popularna alatka za zaštitu podataka. SSL sertifikat omogućava ljudima da koriste kreditnu karticu, svoje privatne podatke poput adrese, JMBG-a i slično, između email servera, pretraživača i sajta. Na ovaj način SSL sertifikati svakodnevno štite milione transakcija na internetu.

Dakle, ukoliko sajt ima “HTTPS://”, to znači da poseduje SSL sertifikat, dok ukoliko samo vidite “HTTP”, nije bezbedan. Svakako, u julu 2018. godine, Google Chrome je počeo da označava sajtove kao nebezbedne (not secure), pa će vam detekcija biti mnogo lakša.

I, samo razmislite, da li biste pre kupili par cipela na sajtu gde dobijate informaciju da je vaša transakcija bezbedna, ili na onom gde vidite da transakcija nije obezbeđena? 🤔

Zašto dodati SSL?

Online korisnici svakog dana postaju sve više obrazovaniji kada je reč o internetu, bezbednosti i slično. Činjenica da imate SSL sertifikat pokazuje vašim klijentima i posetiocima da imate najviši nivo bezbednosti i da mogu da vam veruju. Kao dodatni bonus, u miru ste, jer znate da postoji mala verovatnoća da dođe do kršenja podataka na vašem sajtu. Bez SSL-a, podaci koji putuju između kupca i sajta prilikom online trgovine, u opasnosti su i podložni hakerskim napadima koji kradu podatke onda kada su najosetljiviji.

Pored ovih, postoji još jedan veliki razlog za dodavanja SSL sigurnosti – Google. Google uzima u obzir SSL kao faktor za svoje SEO algoritme, tako da se sajtovi sa SSL-om više rangiraju od onih koji ga nemaju. A, iskreno, u ovim današnjim teškim ratovima za što bolji rang na Google-u, sve ide u prilog da dobijete koji bod više.

Kako dodati SSL na vaš sajt?

Možete koristiti besplatan SSL koji je dostupan za sve hosting pakete kod nas, a možete i zakupiti plaćene SSL-ove, razlike između besplatnih i plaćenih su sve manje pa preporučujemo da za početak koristite besplatne.

Ukoliko se odlučite da koristite usluge Web hostinga kod nas, u unlimited.rs, dobijate besplatan Let’s Encrypt sertifikat nevezano za činjenicu koji hosting paket odaberete.

Sertifikat je automatski dostupan po dodavanju domena na hosting, a ako bude potrebna pomoć možete je dobiti od našeg tima podrške.

Osim toga, da bi sajt funkcionisao putem HTTPS-a neophodno je napraviti određene izmene na samom sajtu, ne uvek, ali u većini slučajeva. Najbolje da se obratite programeru koji je radio na sajtu ili našoj podršci.

Bilo da se radi o poboljšanju SEO, zaštiti podataka, izgradnji poverenja, ili čak održavanja postojeće baze klijenata, posedovanje SSL sertifikata je danas zaista postalo neophodno za svaki sajt.

Mračna strana interneta?

U današnje vreme internet se smatra glavnim i najvećim izvorom informacija, kao i nešto bez čega ne možemo da funkcionišemo na svakodnevnom nivou. Većina ljudi kada pomisli na internet, prvo na pamet pada Google, Facebook, odnosno mogućnost saznavanja najnovijih informacija i korišćenje društvenih mreža. Ali šta biste pomislili kada bismo vam rekli da te informacije kojima imate pristup zapravo čine neznatni procenat celog weba?

E, pa tako je, ono što većina populacije svakodnevno koristi predstavlja otprilike 10-16% weba i nazivamo ga površinski (surface) web, iliti vidljivi web. Površinski web predstavlja sadržaj kome pristupate preko web pretraživača, poput Google-a, Bing-a, Safarija, itd. To su stranice koje su indeksirane, a prema https://www.worldwidewebsize.com/ danas postoji oko 5.41 milijarde indeksiranih stranica. 5.41 milijarde predstavlja samo oko desetak posto celog weba? Wow 🤯

Mnogo veći deo interneta čine takozvani duboki (deep) web i mračni (dark) web. Pa, hajde da vidimo o čemu je reč 🧐

Deep Web vs. Dark Web

Duboki (deep) web predstavlja sadržaj kome se, između ostalog može pristupiti i preko web pretraživača, ali ono što ga razlikuje od površinskog weba jeste da stranice nisu indeksirane. Duboki web je sadržaj za koji je potreban određeni vid autentifikacije kako biste mu pristupili – to su na primer: baze knjiga ili mediji koji zahtevaju subscribe, email i cloud servisi, ili bankarski servisi koji su zaštićeni lozinkama ili paywallom. Duboki web takođe čine i interne mreže kompanija, kao i različite baze podataka i stranica obrazovnih ili vladinih ustanova.

Zapravo, većina nas koristi duboki web možda i svakodnevno. Da li nas to čini hakerima? Sigurno ne 🤣 Vidite da deep web i nije toliko mističan kako ga neki predstavljaju, već je mesto na kome se čuvaju podaci i anonimnost i to potpuno legalno.

Iako se termini deep i dark web koriste naizmenično, ne podrazumevaju baš istu stvar. Mračni (dark) web je relativno mali deo dubokog weba. Sadržaju mračnog weba nije moguće pristupiti preko običnih pretraživača, već samo preko specijalnih softvera poput TOR (The Onion Router) ili I2P (Invisible Internet Protocol). Kako oni funkcionišu?

Da biste posetili sajt na dark webu koji koristi npr. TOR enkripciju, vi takođe morate koristiti TOR. Povezivanjem na TOR sakriva se vaš saobraćaj od npr. vašeg internet provajdera kao i drugih servisa koji mapiraju internet saobraćaj. Dakle, može se utvrditi da ste povezani na TOR, ali ne i vaša tačna lokacija, ni sadržaj saobraćaja koji ste generisali i sajtove koje ste posetili. S toga je teško otkriti posetioce sajtova, ali i one koji ih hostuju.

Potrebno je naglasiti da je upotreba TOR softvera, kao i dubokog weba potpuno legalna. Mnogi ljudi i koriste TOR upravo zbog jake enkripcije i anonimnosti prilikom pretraživanja sadržaja. Između ostalog, ovakvu vrstu softvera koriste i policija, vojska, kao i uzbunjivači (whistleblower) poput osnivača Wikileaks-a Juliana Assangea ili Edwarda Snowdena.

Međutim, upravo zbog anonimnosti koju nudi, TOR kao i dark web postali su popularno tržište za razne ilegalne aktivnosti. Možda jedna od najpoznatijih priča u vezi sa dark webom je Silk Road, web sajt za trgovinu ilegalnim supstancama. Silk Road je 2011. godine osnovao Ross Ulbricht pod pseudonimom Dread Pirate Roberts, a procenjuje se da je vrednost transakcija preko Silk Road-a dostigla i preko milijardu dolara. Ross Ulbricht je 2013. godine uhapšen, i trenutno služi doživotnu zatvorsku kaznu. Neposredno posle njegovog hapšenja podignut je Silk Road br. 2, ali je i ova stranica ugašena, a njeni osnivači uhapšeni 2014. Danas se šuška da postoji i Silk Road br. 3, ali to ne bismo proveravali 😃

Dakle, niko vam ne može zabraniti da pristupite niti jednom od ovde pomenutih slojeva weba, ali vas svakako molimo da budete oprezni i pametni 🤗

Kako da osigurate i optimizujete svoj WordPress

WordPress, kao jedan od najpopularnijih CMS-ova današnjice je svakodnevno prvi na udaru kada je reč o pronalaženju sigurnosnih propusta. Naši sistem administratori svakodnevno imaju glavobolje zbog mnogobrojnih propusta u WordPress temama i pluginima jer ljudi obično naprave sajt i više ne brinu o njemu. Iako naš web hosting poseduje napredni Ultimo malware & exploit skener u realnom vremenu, ponekada se desi da je rupa toliko, da niko ne može pomoći takvom sajtu i biva oboren ili još gore – nastavi da funkcioniše sa svim tim skrivenim zlonamernim skriptama sa redirekcijama, reklamama, spam porukama koje šalje u vaše ili tuđe ime.

Znamo da ne želite da se to desi sa vašim sajtom zato predstavljamo 7 koraka za obezbeđivanje i optimizovanje WordPress-a za što bolji rad.

1. wp-config.php je ključ!

Verovatno ste videli taj fajl, on pored podataka za vezu sa bazom, može imati neke dodatne parametre, a mi predstavljamo neke od njih i funkcije.

WP_DEBUG uključujete kada imate problem sa sajtom, a ne možete pronaći grešku, u suprotnom treba biti isključen.
WP_POST_REVISIONS ne čuva više od XX revizija, mi smo izabrali da je zlatna sredina 10. Time olakšavate bazu i ne čuvate nepotrebne edite postova i stranica.
Ako želite da očistite svoj WordPress što se tiče revizija, a da ne koristite automatski metod koji je dole ispisan, pratite uputstvo iz našeg članka od pre par godina.

EMPTY_TRASH_DAYS služi za brisanje stranica ili postova koje su u Trash-u (kanti za brisanje). Preporuka da period ne bude manji od 10-20 dana.
WP_ALLOW_REPAIR može biti koristan ukoliko server na kome se nalazi sajt doživi problem, iznenadni reboot ili sličnu grešku hardversku ili softversku. Šansa da se srušila neka od tabela koja je bila aktivna je preko 20%. Tada je neophodan REPAIR odnosno oporavak baze, ova komanda će automatski pokrenuti REPAIR tabele čim dođu posetioci.
WP_MEMORY_LIMIT – limit virtualne memorije koju će koristiti WordPress, preporuka da se postavi barem 512M.
WP_CRON_LOCK_TIMEOUT – korisno podići na 480 sekundi da se ne pokreće sa svakom novom posetom, alternativa je potpuno isključivanje što ne preporučujemo, svakako komanda je prikazana ispod.

Šta je cron? U bukvalnom prevodu posao, okidač. Svaki posetilac služi kao okidač ka WordPress jezgru sa listom zadataka koje treba da uradi. To može biti objava članka, razni tipovi ažuriranja, komentara i sl.

define('WP_DEBUG', false);
define('WP_POST_REVISIONS', 10);
define('EMPTY_TRASH_DAYS', 20 );
define('WP_ALLOW_REPAIR', true);
define('WP_MEMORY_LIMIT', '512M');
define('WP_CRON_LOCK_TIMEOUT', 480 );

WP cron se pokreće sa svakom novom posetom, ako želite da potpuno isključite, što ne preporučujemo (bolja opcija je limitiranje na određeno vreme) to možete uraditi sa komandom ispod.

define('DISABLE_WP_CRON', 'true'); //potpuno isključivanje CRON-a

Želite da onemogućite ažuriranje teme i plugina te onemogućivanje neautorizovanih korisnika da to isto rade? Koristite sledeće komande. Razmotrite da li ćete koristiti ove funkcije.

define( 'DISALLOW_FILE_MODS', true );
define( 'DISALLOW_FILE_EDIT', true );

Ako koristite CDN kao što je MaxCDN ili JetPack, preporuka je da definišete cookie, tako ćete ubrzati sam sajt:

define( 'COOKIE_DOMAIN', 'imedomena.com' );

Autosave funkcija dok pišete članak može biti izuzetno korisna, ali prečesto automatsko čuvanje može dodatno opteretiti posećen sajt koji je na manjem paketu, stoga preporuka je da povećate vrednost na 180 sekundi.

define('AUTOSAVE_INTERVAL', 180);

Ako koristite javne WiFi mreže, obavezno koristite HTTPS konekciju za pristupanje Administraciji WordPress-a, ispod imate dodatnu komandu da pristupanje uvek ide preko enkripcije. (Ne podešavajte ukoliko Vaš WordPress nije podešen na HTTPS saobraćaj ili nemate SSL sertifikat na sajtu).

define( 'FORCE_SSL_ADMIN', true );

2. Ni .htaccess nije za bacanje!

.htaccess fajl imate ukoliko koristite Apache ili Litespeed server kao osnovni web server, što je velika verovatnoća. Fajl je sakriven, možete ga videti kroz FTP/SSH, ali je providniji od ostalih zbog prefiksa tačke.

Preporuka je da zabranite javni pristup fajlovima xmlrpc.php i wp-config.php iz sigurnosnih razloga.

<Files "xmlrpc.php">
Order Deny,Allow
Deny from all
</Files>
<Files "wp-config.php">
Order Deny,Allow
Deny from all
</Files>

.htaccess fajl mora sadržati i sledeći deo (verovatno će već upisan, ali ako nije znajte da je neophodan jer u suprotnom neće raditi mod_rewrite i imaćete greške na sajtu u vidu nepronađenih stranica.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

Takođe, neretko se koriste komande mod_deflate, mod_mime, mod_setenvif da bi se omogućilo keširanje.

Veoma je bitno da uključite indeksiranje fajlova, tako ćete sprečiti vršljanje botova po folderima vašeg sajta i svi rezultati će voditi na sam sajt.

Options All -Indexes

Komentari na WordPress-u su generatori spama, može ih biti neverovatno mnogo, svakodnevno. Ako su neophodni koristite Akismet plugin ili Captcha zaštitu. U slučaju da je sajt prezentacionog tipa i komentarisanje vam nije važno, možete potpuno blokirati određene IP range-ove.

ErrorDocument 503 "Komentarisanje zabranjeno"
RewriteEngine On
RewriteCond %{REMOTE_ADDR} ^60.173 [OR]
RewriteCond %{REMOTE_ADDR} ^218.10
RewriteCond %{REQUEST_URI} ^/wp-comments-post.php$
RewriteRule .* - [R=503,L]

No još je lakše da instalirate plugin koji to potpuno onemogućuje, samo potražite i instalirajte “Disable comments”. Postoji još načina, ali o tome ćemo u narednom blogu.
U slučaju da želite WordPress saobraćaj potpuno da usmerite na HTTPS (čak i gde stranica nije podešena tako) koristite ovo:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

3. Dozvole (Permission)

Dozvole na fajlovima menjate kroz File Manager u cPanel-u, FTP ili SSH. Najosetljiviji fajl na čitavom sistemu je wp-config.php, postavite dozvole 0400 odnosno 400 na njega (r——–). U tom slučaju samo vlasnik (server) može da čita taj fajl i niko ne može menjati. Dozvole na folderima wp-content, wp-includes, wp-admin trebaju biti 0755 i to je verovatno već tako podešeno. Na ostalim PHP fajlovima 0644.

4. PHP verzija i opcije

Naša hosting platforma omogućuje promenu PHP verzije, počev od prastare 5.3 do najnovije 7.4. Od neverovatnog je značaja da koristite ažurnu PHP verziju, jer osim što starija verzija (PHP 5.4, 5.5 pa i 5.6) neće pružiti puni potencijal WordPress-a, ona će dovesti do potencijalnih sigurnosnih propusta.

Ne morate koristiti najnoviju verziju jer često u prvih par meseci od objave nije kompatibilna sa određenim temama i pluginovima, ali koristite podržanu aktuelnu verziju kao što je trenutno 7.4 i 7.3 (jul 2020.).

Da biste promenili PHP verziju uđite u cPanel i izaberite opciju Select PHP version. Uputstvo možete pronaći OVDE.

Preporuka je da povećate memory_limit na barem 512 MB, zavisno od provajdera. Unlimited.rs dozvoljava do čak 2 GB.

5. Promena podrazumevanog pristupa wp-admin

Onemogućite trećim licima pristup wp-admin stranici. Ovo je bitno iz više razloga, jer sve i da neko zna Vašu šifru on neće znati URL na koji pristupate WordPress administraciji. Na stotine bot skripti će vršiti brutal force attack na Vaš sajt svakodnevno, zašto bi dozvolili da se to dešava kada ovaj problem možete rešiti za par minuta?

Jednostavno uđite u administraciju, izaberite Plugin pa Add new i pronađite plugin Rename wp-login.php ili mnoge druge plugine slične namene.

6. Ažuriranje i još ponešto!

Pažljivo birajte broj plugina koji su vam neophodni, svaki od njih je određeni sigurnosni rizik. Birajte samo proverene plugine koji su svežiji od godinu dana, dakle ako plugin nije ažuriran duže od godinu dana razmotrite o opciji da pronađete alternativu za isti.

Nije svako ažuriranje dobro ažuriranje, i “Update” ponekad oteža život, barem 3 puta godišnje ažurirajte plugine, a preporučljivo je i temu jer napadači često ulaze i kroz bušne teme. Sve teme koje ne koristite potpuno obrišite ili stavite dozvole 0000 na njihove foldere. Isto važi i za plugine, nije ih dovoljno deaktivirati.

Ukoliko nema potrebe za tim, ne zaboravite onemogućiti članstva – registraciju korisnika ako ste slučajno uključili opciju (podrazumevano je isključena opcija).

7. reCAPTCHA na kontakt formama

Poželjno je da da postavite neki vid sigurnosne provere na stranice koje zahtevaju interakciju sa korisnicima kao što su kontakt forme ili formulari, kako biste sprečili gomilanje masovnih spam poruka koji prolaze kroz Vaš sajt odnosno hosting. Najčešći CAPTCHA sastoji se od slike sa iskrivljenim slovima, uz moguće razlike u bojama, postojanje šarene pozadine ili uz prisustvo drugih elemenata koji imaju zadatak da softveru učine nemogućim rešavanje testa.

Skoro svi poznatiji plugini imaju integraciju sa reCAPTCHA, dovoljno je samo da preuzmete API pristupajući sa svog google naloga na ovom linku.

Dovoljno “hakerisanja” za danas, nastaviće se.

Category Archives: Sigurnost