SR

Category Archives: Sigurnost


Šta je reCAPTCHA i zašto treba da je koristite na vašem sajtu?

ReCAPTCHA je nešto čemu smo izloženi dok svakodnevno koristimo internet. Nekad i toliko često da smo svi u jednom trenutku pomislili – koja je i poenta ovog, “I am not a robot” dugmeta 😂

Razlog zašto je ReCAPTCHA najčešći alat koji se koristi prilikom online prijava ili popunjavanja obrazaca jeste upravo sprečavanje neželjene pošte (spam) i zloupotrebe web stranice. CAPTCHA je zapravo skraćenica od – Completely Automated Public Turing test to tell Computers and Humans Apart. Zanimljivo, zar ne? 

 

Šta CAPTCHA zapravo radi?

CAPTCHA sprečava spam ili botove da unose podatke u polja na vašoj web stranici. To može uključivati lažne komentare na postovima, lažne email adrese ili lažne transakcije i prijave.

CAPTCHA možete videti u različitim formama:

1. Kao slagalicu zasnovanu na tekstu

2. Slagalicu zasnovanu na slici

3. Ili kao standardnu “I am not a robot” ReCAPTCHA

To su jednostavni i laki zadaci koji mogu sprečiti da vaša web stranica bude preplavljena botovima.

ReCAPTCHA je u vlasništvu Google-a. Koristi naprednu tehnilogiju, a najnovija verzija može da filtrira sumnjive posetioce bez prethodnog rešavanja slagalice. Pregledanjem istorije unosa u ReCAPTCHA sa vaše IP adrese, nalaze se “tragovi” koji mogu odrediti da li ste bot ili ne.

 

Da li je ReCAPTCHA zaista efikasna?

Ukoliko vaša web stranica ima online formu/obrazac bez dugmeta CAPTCHA, moguće je da ćete primiti veliki broj neželjenih poruka (spam). Ovo svakako može predstavljati problem, ali ima i nekoliko drugih posledica s kojima se možete suočiti ako ne koristitke CAPTCHA sistem.

Kao što su:

1. Veće naknade stope za transakcije

2. Stroži sigurnosni protokoli za vaš nalog

3. Moguća suspenzija ili ukidanje vašeg naloga 

Naravno, uvek postoji i negativna strana. Na primer, za rešavanje CAPTCHA slagalice potrebno je u proseku deset sekundi, što može dovesti do toga da korisnik na vašoj web stranici prosto izgubi interesovanje. Takođe, često se dešava da korisnici i ne razumeju samu slagalicu, te ukoliko je CAPTCHA unos više puta netačan, korisnik prosto odustane i napusti stranicu.

 

Da li mi je potrebna reCAPTCHA?

Ako je vaš sajt često izložen botovima, a mail sanduče preplavljeno spam porukama, onda da, trebalo bi da se registrujete za CAPTCHA. Google sugeriše da najnovija verzija pruža još veću sigurnost, kao i bolje korisničko iskustvo (uglavnom preskakanjem potrebe za rešavanjem slagalice). S obzirom na to da se softver može lako dodati, bez dodatnih troškova, dodavanje reCAPTCHA je jednostavan i lak način da zaštitite svoj sajt i email sanduče.

SSL sertifikati: zašto su bitni i kako dodati HTTPS na vaš sajt?

Ako mislite da vaš sajt neće izgubiti svoje posetioce zbog manjka SSL sigurnosti, grešite 🤭

Momenat kada nam svima bezbednost sajta postane od izuzetne važnosti jeste kada treba da unesete podatke svoje kartice i kupite nešto online. Jedno od istraživanja kaže da čak 85% internet kupaca odustane od kupovine na sajtu koji im se ne čini bezbednim. Većina ljudi prepoznaje simbol katanca u URL-u kao znak bezbednosti, ali šta ovo zapravo znači i zbog čega je bitno?

 

Šta je SSL bezbednost?

Ako ste ikad pogledali URL na vrhu ekrana web pretraživača, sigurno ste videli da neki sajtovi počinju sa “HTTP”, a neki sa “HTTPS”. Upravo ovo S znači “secure”, iliti bezbedno – i postiže se obezbeđivanjem vašeg sajta SSL sertifikatom. Ono što zapravo HTTPS sajtovi imaju jeste dodatni sloj zaštite za sve osetljive podatke koji se razmenjuju.

Kao što smo već napomenuli, sajtovi koji su zaštićeni SSL-om obično imaju zeleni katanac koji se prikazuje u prozoru URL-a. Ovo je ikonica koju internet korisnici prepoznaju kao znak poverenja za online prodavce.

SSL je oblik šifrovanja podataka gde web pretraživač koji koristite uspostavlja sigurnu vezu sa web stranicom koju posećujete. To radi tako što podatke deli napred i nazad između ta dva i šifruje ih. Podatke može videti samo sajt koji ima SSL sertifikat, jer poseduje ključ za dešifrovanje. 

 

Online poverenje

Jedno od najstarijih pravila trgovine, fizičke ili online, jeste da ljudi uvek kupuju od brendova kojima veruju. Kada kupujete uživo, ovaj momenat je mnogo lakši, ali, kako možete najlakše da utvrdite to online?

Odgovor je jednostavan – autentifikacijom SSL bezbednosti, jer se tada poverenje između kupca i online prodavca može postići najefikasnije.

Kao protokol, SSL bezbednost je postala popularna alatka za zaštitu podataka. SSL sertifikat omogućava ljudima da koriste kreditnu karticu, svoje privatne podatke poput adrese, JMBG-a i slično, između email servera, pretraživača i sajta. Na ovaj način SSL sertifikati svakodnevno štite milione transakcija na internetu. 

Dakle, ukoliko sajt ima “HTTPS://”, to znači da poseduje SSL sertifikat, dok ukoliko samo vidite “HTTP”, nije bezbedan. Svakako, u julu 2018. godine, Google Chrome je počeo da označava sajtove kao nebezbedne (not secure), pa će vam detekcija biti mnogo lakša.

I, samo razmislite, da li biste pre kupili par cipela na sajtu gde dobijate informaciju da je vaša transakcija bezbedna, ili na onom gde vidite da transakcija nije obezbeđena? 🤔

 

Zašto dodati SSL?

Online korisnici svakog dana postaju sve više obrazovaniji kada je reč o internetu, bezbednosti i slično. Činjenica da imate SSL sertifikat pokazuje vašim klijentima i posetiocima da imate najviši nivo bezbednosti i da mogu da vam veruju. Kao dodatni bonus, u miru ste, jer znate da postoji mala verovatnoća da dođe do kršenja podataka na vašem sajtu. Bez SSL-a, podaci koji putuju između kupca i sajta prilikom online trgovine, u opasnosti su i podložni hakerskim napadima koji kradu podatke onda kada su najosetljiviji.

Pored ovih, postoji još jedan veliki razlog za dodavanja SSL sigurnosti – Google. Google uzima u obzir SSL kao faktor za svoje SEO algoritme, tako da se sajtovi sa SSL-om više rangiraju od onih koji ga nemaju. A, iskreno, u ovim današnjim teškim ratovima za što bolji rang na Google-u, sve ide u prilog da dobijete koji bod više.

 

Kako dodati SSL na vaš sajt?

Možete koristiti besplatan SSL koji je dostupan za sve hosting pakete kod nas, a možete i zakupiti plaćene SSL-ove, razlike između besplatnih i plaćenih su sve manje pa preporučujemo da za početak koristite besplatne.

Ukoliko se odlučite da koristite usluge Web hostinga kod nas, u unlimited.rs, dobijate besplatan Let’s Encrypt sertifikat nevezano za činjenicu koji hosting paket odaberete.

Sertifikat je automatski dostupan po dodavanju domena na hosting, a ako bude potrebna pomoćm možete je dobiti od našeg tima podrške

Osim toga, da bi sajt funkcionisao putem HTTPS-a neophodno je napraviti određene izmene na samom sajtu, ne uvek, ali u većini slučajeva. Najbolje da se obratite programeru koji je radio na sajtu ili našoj podršci.

Bilo da se radi o poboljšanju SEO, zaštiti podataka, izgradnji poverenja, ili čak održavanja postojeće baze klijenata, posedovanje SSL sertifikata je danas zaista postalo neophodno za svaki sajt.

 

Mračna strana interneta?

U današnje vreme internet se smatra glavnim i najvećim izvorom informacija, kao i nešto bez čega ne možemo da funkcionišemo na svakodnevnom nivou. Većina ljudi kada pomisli na internet, prvo na pamet pada Google, Facebook, odnosno mogućnost saznavanja najnovijih informacija i korišćenje društvenih mreža. Ali šta biste pomislili kada bismo vam rekli da te informacije kojima imate pristup zapravo čine neznatni procenat celog weba?

E, pa tako je, ono što većina populacije svakodnevno koristi predstavlja otprilike 10-16% weba i nazivamo ga površinski (surface) web, iliti vidljivi web. Površinski web predstavlja sadržaj kome pristupate preko web pretraživača, poput Google-a, Bing-a, Safarija, itd. To su stranice koje su indeksirane, a prema https://www.worldwidewebsize.com/ danas postoji oko 5.41 milijarde indeksiranih stranica. 5.41 milijarde predstavlja samo oko desetak posto celog weba? Wow 🤯   

Mnogo veći deo interneta čine takozvani duboki (deep) web i mračni (dark) web. Pa,  hajde da vidimo o čemu je reč  🧐

 

Deep Web vs. Dark Web

Duboki (deep) web predstavlja sadržaj kome se, između ostalog može pristupiti i preko web pretraživača, ali ono što ga razlikuje od površinskog weba jeste da stranice nisu indeksirane. Duboki web je sadržaj za koji je potreban određeni vid autentifikacije kako biste mu pristupili  – to su na primer: baze knjiga ili mediji koji zahtevaju subscribe, email i cloud servisi, ili bankarski servisi koji su zaštićeni lozinkama ili paywallom. Duboki web takođe čine i interne mreže kompanija, kao i različite baze podataka i stranica obrazovnih ili vladinih ustanova. 

Zapravo, većina nas koristi duboki web možda i svakodnevno. Da li nas to čini hakerima? Sigurno ne 🤣 Vidite da deep web i nije toliko mističan kako ga neki predstavljaju, već je mesto na kome se čuvaju podaci i anonimnost i to potpuno legalno.

Iako se termini deep i dark web koriste naizmenično, ne podrazumevaju baš istu stvar.  Mračni (dark) web je relativno mali deo dubokog weba. Sadržaju mračnog weba nije moguće pristupiti preko običnih pretraživača, već samo preko specijalnih softvera poput TOR (The Onion Router) ili I2P (Invisible Internet Protocol). Kako oni funkcionišu?

Da biste posetili sajt na dark webu koji koristi npr. TOR enkripciju, vi takođe morate koristiti TOR. Povezivanjem na TOR sakriva se vaš saobraćaj od npr. vašeg internet provajdera kao i drugih servisa koji mapiraju internet saobraćaj. Dakle, može se utvrditi da ste povezani na TOR, ali ne i vaša tačna lokacija, ni sadržaj saobraćaja koji ste generisali i sajtove koje ste posetili. S toga je teško otkriti posetioce sajtova, ali i one koji ih hostuju. 

Potrebno je naglasiti da je upotreba TOR softvera, kao i dubokog weba potpuno legalna. Mnogi ljudi i koriste TOR upravo zbog jake enkripcije i anonimnosti prilikom pretraživanja sadržaja. Između ostalog, ovakvu vrstu softvera koriste i policija, vojska, kao i uzbunjivači (whistleblower) poput osnivača Wikileaks-a Juliana Assangea ili Edwarda Snowdena.  

Međutim, upravo zbog anonimnosti koju nudi, TOR kao i dark web postali su popularno tržište za razne ilegalne aktivnosti. Možda jedna od najpoznatijih priča u vezi sa dark webom je Silk Road, web sajt za trgovinu ilegalnim supstancama. Silk Road je 2011. godine osnovao Ross Ulbricht pod pseudonimom Dread Pirate Roberts, a procenjuje se da je vrednost transakcija preko Silk Road-a dostigla i preko milijardu dolara. Ross Ulbricht je 2013. godine uhapšen, i trenutno služi doživotnu zatvorsku kaznu. Neposredno posle njegovog hapšenja podignut je Silk Road br. 2, ali je i ova stranica ugašena, a njeni osnivači uhapšeni 2014. Danas se šuška da postoji i Silk Road br. 3, ali to ne bismo proveravali 😃

Dakle, niko vam ne može zabraniti da pristupite niti jednom od ovde pomenutih slojeva weba, ali vas svakako molimo da budete oprezni i pametni 🤗  

Kako da osigurate i optimizujete svoj WordPress

WordPress, kao jedan od najpopularnijih CMS-ova današnjice je svakodnevno prvi na udaru kada je reč o pronalaženju sigurnosnih propusta. Naši sistem administratori svakodnevno imaju glavobolje zbog mnogobrojnih propusta u WordPress temama i pluginima jer ljudi obično naprave sajt i više ne brinu o njemu. Iako naš web hosting poseduje napredni Ultimo malware & exploit skener u realnom vremenu, ponekada se desi da je rupa toliko, da niko ne može pomoći takvom sajtu i biva oboren ili još gore – nastavi da funkcioniše sa svim tim skrivenim zlonamernim skriptama sa redirekcijama, reklamama, spam porukama koje šalje u vaše ili tuđe ime.

Znamo da ne želite da se to desi sa vašim sajtom zato predstavljamo 7 koraka za obezbeđivanje i optimizovanje WordPress-a za što bolji rad.

 

1. wp-config.php je ključ!

Verovatno ste videli taj fajl, on pored podataka za vezu sa bazom, može imati neke dodatne parametre, a mi predstavljamo neke od njih i funkcije.

WP_DEBUG uključujete kada imate problem sa sajtom, a ne možete pronaći grešku, u suprotnom treba biti isključen.
WP_POST_REVISIONS ne čuva više od XX revizija, mi smo izabrali da je zlatna sredina 10. Time olakšavate bazu i ne čuvate nepotrebne edite postova i stranica.
Ako želite da očistite svoj WordPress što se tiče revizija, a da ne koristite automatski metod koji je dole ispisan, pratite uputstvo iz našeg članka od pre par godina.

EMPTY_TRASH_DAYS služi za brisanje stranica ili postova koje su u Trash-u (kanti za brisanje). Preporuka da period ne bude manji od 10-20 dana.
WP_ALLOW_REPAIR može biti koristan ukoliko server na kome se nalazi sajt doživi problem, iznenadni reboot ili sličnu grešku hardversku ili softversku. Šansa da se srušila neka od tabela koja je bila aktivna je preko 20%. Tada je neophodan REPAIR odnosno oporavak baze, ova komanda će automatski pokrenuti REPAIR tabele čim dođu posetioci.
WP_MEMORY_LIMIT – limit virtualne memorije koju će koristiti WordPress, preporuka da se postavi barem 512M.
WP_CRON_LOCK_TIMEOUT – korisno podići na 480 sekundi da se ne pokreće sa svakom novom posetom, alternativa je potpuno isključivanje što ne preporučujemo, svakako komanda je prikazana ispod.

Šta je cron? U bukvalnom prevodu posao, okidač. Svaki posetilac služi kao okidač ka WordPress jezgru sa listom zadataka koje treba da uradi. To može biti objava članka, razni tipovi ažuriranja, komentara i sl.

define('WP_DEBUG', false); define('WP_POST_REVISIONS', 10); define('EMPTY_TRASH_DAYS', 20 ); define('WP_ALLOW_REPAIR', true); define('WP_MEMORY_LIMIT', '512M'); define('WP_CRON_LOCK_TIMEOUT', 480 );

WP cron se pokreće sa svakom novom posetom, ako želite da potpuno isključite, što ne preporučujemo (bolja opcija je limitiranje na određeno vreme) to možete uraditi sa komandom ispod.

define('DISABLE_WP_CRON', 'true'); //potpuno isključivanje CRON-a

Želite da onemogućite ažuriranje teme i plugina te onemogućivanje neautorizovanih korisnika da to isto rade? Koristite sledeće komande. Razmotrite da li ćete koristiti ove funkcije.

define( 'DISALLOW_FILE_MODS', true ); define( 'DISALLOW_FILE_EDIT', true ); 

Ako koristite CDN kao što je MaxCDN ili JetPack, preporuka je da definišete cookie, tako ćete ubrzati sam sajt:

define( 'COOKIE_DOMAIN', 'imedomena.com' );

Autosave funkcija dok pišete članak može biti izuzetno korisna, ali prečesto automatsko čuvanje može dodatno opteretiti posećen sajt koji je na manjem paketu, stoga preporuka je da povećate vrednost na 180 sekundi.

define('AUTOSAVE_INTERVAL', 180);

Ako koristite javne WiFi mreže, obavezno koristite HTTPS konekciju za pristupanje Administraciji WordPress-a, ispod imate dodatnu komandu da pristupanje uvek ide preko enkripcije. (Ne podešavajte ukoliko Vaš WordPress nije podešen na HTTPS saobraćaj ili nemate SSL sertifikat na sajtu).

define( 'FORCE_SSL_ADMIN', true );

2. Ni .htaccess nije za bacanje!

.htaccess fajl imate ukoliko koristite Apache ili Litespeed server kao osnovni web server, što je velika verovatnoća. Fajl je sakriven, možete ga videti kroz FTP/SSH, ali je providniji od ostalih zbog prefiksa tačke.

Preporuka je da zabranite javni pristup fajlovima xmlrpc.php i wp-config.php iz sigurnosnih razloga.

<Files "xmlrpc.php"> Order Deny,Allow Deny from all </Files> <Files "wp-config.php"> Order Deny,Allow Deny from all </Files>

.htaccess fajl mora sadržati i sledeći deo (verovatno će već upisan, ali ako nije znajte da je neophodan jer u suprotnom neće raditi mod_rewrite i imaćete greške na sajtu u vidu nepronađenih stranica.

<IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> 

Takođe, neretko se koriste komande mod_deflate, mod_mime, mod_setenvif da bi se omogućilo keširanje.

Veoma je bitno da uključite indeksiranje fajlova, tako ćete sprečiti vršljanje botova po folderima vašeg sajta i svi rezultati će voditi na sam sajt.

Options All -Indexes

Komentari na WordPress-u su generatori spama, može ih biti neverovatno mnogo, svakodnevno. Ako su neophodni koristite Akismet plugin ili Captcha zaštitu. U slučaju da je sajt prezentacionog tipa i komentarisanje vam nije važno, možete potpuno blokirati određene IP range-ove.

ErrorDocument 503 "Komentarisanje zabranjeno" RewriteEngine On RewriteCond %{REMOTE_ADDR} ^60.173 [OR] RewriteCond %{REMOTE_ADDR} ^218.10 RewriteCond %{REQUEST_URI} ^/wp-comments-post.php$ RewriteRule .* - [R=503,L]

No još je lakše da instalirate plugin koji to potpuno onemogućuje, samo potražite i instalirajte “Disable comments”. Postoji još načina, ali o tome ćemo u narednom blogu.
U slučaju da želite WordPress saobraćaj potpuno da usmerite na HTTPS (čak i gde stranica nije podešena tako) koristite ovo:

<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] </IfModule>

3. Dozvole (Permission)

Dozvole na fajlovima menjate kroz File Manager u cPanel-u, FTP ili SSH. Najosetljiviji fajl na čitavom sistemu je wp-config.php, postavite dozvole 0400 odnosno 400 na njega (r——–). U tom slučaju samo vlasnik (server) može da čita taj fajl i niko ne može menjati. Dozvole na folderima wp-content, wp-includes, wp-admin trebaju biti 0755 i to je verovatno već tako podešeno. Na ostalim PHP fajlovima 0644.

 

4. PHP verzija i opcije

Naša hosting platforma omogućuje promenu PHP verzije, počev od prastare 5.3 do najnovije 7.4. Od neverovatnog je značaja da koristite ažurnu PHP verziju, jer osim što starija verzija (PHP 5.4, 5.5 pa i 5.6) neće pružiti puni potencijal WordPress-a, ona će dovesti do potencijalnih sigurnosnih propusta.

Ne morate koristiti najnoviju verziju jer često u prvih par meseci od objave nije kompatibilna sa određenim temama i pluginovima, ali koristite podržanu aktuelnu verziju kao što je trenutno 7.4 i 7.3 (jul 2020.).

Da biste promenili PHP verziju uđite u cPanel i izaberite opciju Select PHP version. Uputstvo možete pronaći OVDE.

Preporuka je da povećate memory_limit na barem  512 MB, zavisno od provajdera. Unlimited.rs dozvoljava do čak 2 GB.

 

5. Promena podrazumevanog pristupa wp-admin

Onemogućite trećim licima pristup wp-admin stranici. Ovo je bitno iz više razloga, jer sve i da neko zna Vašu šifru on neće znati URL na koji pristupate WordPress administraciji. Na stotine bot skripti će vršiti brutal force attack na Vaš sajt svakodnevno, zašto bi dozvolili da se to dešava kada ovaj problem možete rešiti za par minuta?

Jednostavno uđite u administraciju, izaberite Plugin pa Add new i pronađite plugin Rename wp-login.php  ili mnoge druge plugine slične namene.

 

6. Ažuriranje i još ponešto!

Pažljivo birajte broj plugina koji su vam neophodni, svaki od njih je određeni sigurnosni rizik. Birajte samo proverene plugine koji su svežiji od godinu dana, dakle ako plugin nije ažuriran duže od godinu dana razmotrite o opciji da pronađete alternativu za isti.

Nije svako ažuriranje dobro ažuriranje, i “Update” ponekad oteža život, barem 3 puta godišnje ažurirajte plugine, a preporučljivo je i temu jer napadači često ulaze i kroz bušne teme. Sve teme koje ne koristite potpuno obrišite ili stavite dozvole 0000 na njihove foldere. Isto važi i za plugine, nije ih dovoljno deaktivirati.

Ukoliko nema potrebe za tim, ne zaboravite onemogućiti članstva – registraciju korisnika ako ste slučajno uključili opciju (podrazumevano je isključena opcija).

7. reCAPTCHA na kontakt formama

Poželjno je da da postavite neki vid sigurnosne provere na stranice koje zahtevaju interakciju sa korisnicima kao što su kontakt forme ili formulari, kako biste sprečili gomilanje masovnih spam poruka koji prolaze kroz Vaš sajt odnosno hosting. Najčešći CAPTCHA sastoji se od slike sa iskrivljenim slovima, uz moguće razlike u bojama, postojanje šarene pozadine ili uz prisustvo drugih elemenata koji imaju zadatak da softveru učine nemogućim rešavanje testa.

Skoro svi poznatiji plugini imaju integraciju sa reCAPTCHA, dovoljno je samo da preuzmete API pristupajući sa svog google naloga na ovom linku.

Dovoljno “hakerisanja” za danas, nastaviće se.

Mailovi vam se “vraćaju”? Šta činiti?

Stvar o čijoj se prevenciji nedovoljno govori, a može zadati dosta problema vašem poslovanju je takozvana blacklistovana IP adresa.

Šta to znači za vaš sajt?

Pored toga što dovodi do pada reputacije servera, u najgorem slučaju, IP adresa na crnoj listi može biti uzrok i blacklistovanja glavne IP adrese celog Shared Hosting servera.

Što, blago rečeno, nije dobro.

Podsetimo, na Shared Hosting serverima se ne nalazite sami.

Server “delite” sa par stotina drugih korisnika, čiji mailovi mogu biti direktno ugroženi vašom blacklistovanom IP adresom.

 

Kako izbeći blacklistovanje IP adrese?

Hajmo najpre u mini analizu.

U velikom broju slučajeva, ukoliko je vaša adresa na crnoj listi, najpre ćete primetiti da se emailovi koje šaljete vraćaju.

Sva odlazna pošta, u slučaju niske reputacije odlaznog servera, odbija se od strane prijemnog servera, a u slučaju blacklistovanja — jer se server nalazi na nekoj od “crnih lista” jednog ili više RBL servisa.

RBL je skraćenica od Real Time Black List (non-stop aktivna crna lista) i predstavlja skup globalnih IP adresa “onih koji su odbili da zaustave spam”.

RBL liste se najčešće koriste u fazi uspostavljanja SMTP (Simple Mail Transfer Protocol) veze, odnosno u trenutku kada vaš email server, započinje proces prijave radi slanja elektronske pošte ka primaocima.

Zatim prijemni SMTP server proverava postojanje IP adrese predajnog servera na nekoj od izabranih RBL listi.

Ukoliko je predajni server na crnoj listi, komunikacija se prekida pre nego prenos elektronske poruke počne.

Bez panike, svakome sa SMTP serverom dešava se da bude zapisan na nekoj od RBL listi.

U tom slučaju potrebno je pronaći uzrok dolaska na crnu listu, otkloniti grešku i prijaviti sistem na retestiranje i uklanjanje sa crne liste.

Rešavanje ovih problema može da bude zahtevno, prvenstveno jer RBL servisi najčešće na zahteve  za uklanjanje IP adrese sa crne liste, odgovaraju u proseku rasponu od 24-48 sati od podnetog zahteva.

Dakle, i nakon što je tim tehničke podrške otklonio grešku zbog koje se server našao na crnoj listi, u praksi je potrebno još par dana nakon toga, kako bi RBL servis reagovao i uklonio IP adresu sa liste.

U međuvremenu, loša vest može biti da, dok je server na blacklisti, vaše email poruke će odlaziti u SPAM folder primaoca maila. U nekim slučajevima, može se dešavati da pošta i ne stiže krajnjem primaocu.

Takođe, u zavisnosti od hosting provajdera, postoje slučajevi u kojima se radi i outgoing check, odnosno proaktivna provera primaoca takođe.

Tada se testira i postojanje IP adrese vaših primalaca na crnim listama, i ukoliko bude pozitivno, pogađate, pošta neće biti dostavljena.

Iz ovog razloga savetujemo našim korisnicima da vode računa o statusu njihovih IP adresa kako se slične situacije bile prisutne samo u teoriji.

 

Kako da proverite status vaše javne IP adrese?

 

Najpre pronađite svoju tačnu IP adresu preko https://ip.unlimited.rs/.

Zatim, adresu koja se ispisuje na ekranu kopirajte i proverite status na:

https://mxtoolbox.com/blacklists.aspx

 

Moja adresa je blacklistovana! Šta sad?

 

U slučaju da se Vaša javna IP adresa nalazi na nekoj od crnih lista, bez panike.

Kontaktirate svog internet provajdera u najkraćem mogućem roku i zamolite tehničku podršku da vam dodele novu IP adresu ili pokušaju da uklone postojeću IP adresu sa crnih lista.

Najsigurniji metod jeste da zakupite zasebnu (dedicated) IP adresu.

Preventivno, proverite kontakt forme na vašem sajtu i obezbedite ih.

 

Dokaži da si čovek?

 

Bilo bi dobro da postavite neki vid sigurnosne provere na stranice koje zahtevaju interakciju sa korisnicima, kako biste vrlo efikasno sprečili gomilanje masovnih spam poruka u vašem sandučetu.

Kao na unlimited.rs kontakt strani, primerom.

Kao najefikasnija metoda preventive spama pokazala se CAPTCHA. Ovaj sistem “potvrde čovečnosti” nastao je na Univerzitetu Carnegie Mellon 2000. godine. Akronim CAPTCHA bazira se na reči capture i izveden je iz pojma Complete Automated Public Turing test to tell Computers and Humans Apart.

Ideja koja stoji iza sistema je da se napravi automatski generisan izazov, lak za ljude, a nesavladiv za računare i softver. Najčešći CAPTCHA sastoji se od slike sa iskrivljenim slovima, uz moguće razlike u bojama, postojanje šarene pozadine ili uz prisustvo drugih elemenata koji imaju zadatak da softveru učine nemogućim rešavanje testa.

Ova tehnologija deluje štreberski i nezanimljivo, ali, verovali ili ne, svaki put kada ukucate slova i brojeve po zahtevu reCAPTCHA sistema vi pomažete digitalizaciju knjiga i drugih publikacija. Naime, reCAPTCHA ne prikazuje nasumične reči, brojeve i interpunkciju, već sadržaj iz arhive magazina The New York Times i mnogobrojnih knjiga iz projekta Google Books.

Sajtovi koji koriste sistem reCAPTCHA prikazuju slike skeniranih reči koje softver za optičko prepoznavanje karaktera nije mogao da pročita prilikom procesa digitalizacije knjiga i časopisa. Ideja je vrlo jednostavna, ali efektna. Pritom, veoma pametno sprovedena, jer se oslanja na globalnu “radnu snagu” svih korisnika interneta.

No, CAPTCHA sistemi, naravno, nisu savršeni. Sem što nerviraju korisnike, oni su pod konstantim napadom.

Iz tog razloga, reč je o samo jednom malom vidu zaštite vašeg sajta od napada spamera.

Ukoliko niste sigurni da ćete moži efikasno da postavite sve sigurnosne stavke na svoj sajt, poput SSL sertifikata ili dodeljivanja zasebne IP adrese, unlimited.rs tim vam može pomoći.

Kontaktirajte nas putem tiketa odnosno slanjem emaila na [email protected] i usluga će vam biti predstavljena, a problem rešen u vrlo kratkom roku.

Kako da se efikasno odbranite od spam mailova?

Sve znamo.

Kada je reč o internetu, čini se da svi imamo nekog bogatog rođaka plave krvi koji će baš nama ostaviti celo bogatstvo. Ili bar tako kaže njegov advokat koji nas je kontaktirao preko maila i sve što traži su naši podaci.

I tako zilion puta.

Da li ste i vi dobijali ponude od kompanije za koje nikad niste čuli da postoje i za proizvode koje nikad niste istraživali, niti ste tražili ponudu za njih?

Ili, da li ste i vi, kao i mi, bezbroj puta osvojili milione dolara na različitim takmičenjima i igrama na sreću za koje ste nikad niste prijavili?

Savršeno.

Ako vam ove situacije zvuče poznato, po svemu sudeći, bili ste nevina i nasumična žrtva neželjene pošte, odnosno spama,  čak i ukoliko imate svoj poslovni mail, a ne Gmail ili Hotmail.

Dobrodošli u klub.

Iako se GDPR zahuktava, svi građani interneta se dalje bore sa pošasti spam mailova na koje se nikada nisu prijavili.

Statistika kaže sledeće.

SPAM pošta je činila čak 85.32% ukupnog email saobraćaja u septembru 2018. godine, dok je na dnevnom nivou poslato oko neverovatnih 301.95 milijardi spam poruka.

Pošto znamo da zna da bude ponekad veoma dosadno čistiti svoj inbox od neželjene pošte, naročito u slučaju kad je u pitanju veliki broj spam mailova, na unlimited.rs serverima će vas čuvati strah i trepet svakoj spam poruci: SpamAssasin! 💪🏼

Kako bi smo zaštitili korisnike od neželjene pošte na našim serverima svaki korisnik ima mogućnost da aktivira SpamAssasin kroz opciju SPAM FILTERS za svoj account kroz Cpanel I podesiti stepen zaštite koji mu odgovara.

Ono što je potrebno da uradite kako bi vaš account bio zaštićen, je da kliknete na opciju Spam Filters u Vašem Cpanelu.

Nakon toga, prikazaće vam se sledeći meni:

Aktiviranjem opcije Process New Emails and Mark them as Spam aktivirate SpamAssasin za vaš nalog i sve poruke koje se detektuju kao SPAM biće tako i markirane. Ta-da!

A sa opcijom Automatically Delete New Spam (Auto-Delete) aktivirate automatsko brisanje poruka koje SpamAssasin prepozna kao neželjenu poštu.

Za SpamAssasin možete podesiti stepen detekcije spama (Spam Threshold) i tako podesiti koliko “agresivno” će SpamAssasin markirati neželjenu poštu.

Osnovna vrednost je 5.

10 važi za najslabiji stepen zaštite i markiraće samo najočigledniju neželjenu poštu kao SPAM, dok 1 označava najagresivniji vid pregleda vaše pošte i primenjivanja algoritama koje SpamAssasin koristi za detekciju spama i zagarantovano će otkloniti svaki mogući SPAM koji stigne u vaše email sanduče.

Napomena: Na ovaj način, može se desiti i da neka legitimna poruka bude detektovana kao spam (recimo poruka bez naslova, odnosno subjecta).

Kako bi izbegli ovakav scenario, naša preporuka je da koristite osnovnu vrednost 5.

I to bi bilo to! Nakon ovih koraka vaš account je uspešno zaštićen od spama!

Bilo je lako, zar ne?

25 dana do Google penala svim sajtovima bez SSL sertifikata

Približava nam se još jedan događaj do čijeg početka primene korisnici interneta (ne)voljno odbrojavaju dane i doslovno sekunde.

Najpre je to bio GDPR, a sada — takozvano “Not Secure” obeležavanje sajtova na Google Chrome pretraživaču.

Za manje od mesec dana, tačnije 23. jula, Google će započeti etiketiranje i “davanje penala” sajtovima koji nemaju SSL sertifikat (odnosno i HTTPS i zeleni katanac ispred www) sa Ova stranica nije bezbedna, odnosno Not Secure.

Kada je Google najavio ovu regulativu u februaru ove godine, procenat sajtova koji koriste HTTPS porastao je na 69,7.

Samo godinu dana pre toga, svega 52,5% svih sajtova sveta koristio je SSL/TLS — protokol za enkripciju iza HTTPS-a.

Dakle, nade ima, progres je očigledan.

Ipak, i dalje postoji veliki broj, čak i velikih igrača na webu koji ne podržavaju HTTPS (ili naprosto fejluju da ga implementiraju i redirektuju neproverene, sumnjive i nesigurne zahteve).

Oni i njima slični, uskoro će biti penalizovani od strane Google. Šta to tačno znači?

Em će dobiti etiketu nesigurnosti, em će biti zakucani na stranama Google pretrage na koje niko ne zalazi.

Poprilično plemenita namera ovog najkorišćenijeg pretraživača koja zapravo demonstrira svu silu Googla, odnosno kompanije Alphabet. Koliko god plemenito, toliko je i zastrašujuće.

Stavljajući tu realnost na kratko u stranu, skenirajući najposećenije sajtove (njih 946.039) i njihove SSL profile, zapazili smo sledeće:

Na pitanje zašto, oni bez ikakve verzije SSL-a, ne štite svoje sajtove, ali i posetioce, sa prostom implementacijom HTTPS-a, odgovore bismo ugrubo mogli da stavimo u tri grupe:

1. “Ma, to nam ne treba”,

2. “To nam je dosta teško da uradimo sada”,

3. “Sajt će nam biti neviđeno spor sa njim”.

I da, ni jedan od tih argumenata nije legitiman, ali u isto vreme oni predstavljaju veoma česte zablude među stanovnicima našeg divljeg, divljeg weba.

Pa, pređimo svaki od njih i demistifikujmo ih u par rečenica.

 

Mit #1: “HTTPS je komplikovan za implementaciju”

Za pojedince i njihove sajtove, ovo je moglo da pije vodu… ali u devedesitima. Međutim, ovaj iskaz je sve osim tačan u 2018. godini. Tada, iako ste imali zahtev za SSL-om, niste imali ni najmanju ideju kako da ga “nabavite”. Proces je mogao da se iskomplikuje i traje mesecima — tačno.

Ali to zaista više nije slučaj.

Hvala kosmosu, očekivano, dosta smo napredovali od tada. Danas možemo da zaštitimo svoje sajtove SSL-om za svega par sekundi, čak i za 0 dinara, ukoliko nam nije potrebna zahtevna zaštita. Recimo, putem Let’s Encrypt-a kojeg i mi nudimo u web hosting paketima sasvim besplatno. Sigurnost i privatnost na interrnetu (nam) je važna.

 

Mit #2: “HTTPS mi nije potreban”

Ovaj argument je, dozvolićete, čista nelogičnost, pogotovo za ljude koji bi, realno, trebalo da znaju bolje, plus — prikupljaju vaše lične podatke i operišu sa njima. Čak i ako takve igrače performanse ne zanimaju u tolikoj meri (pogledajte mit #3) mora im biti stalo do online bezbednosti, ali i privatnosti korisnika koji posećuju njihove sajove.

Usput, evo jedne zanimljive činjenice:

Bez HTTPS-a, svako ko se nađe između posetioca na vašem websajtu ili API-ju, može da pogleda, pa čak i modifikuje sadržaj bez vaše saglasnosti.

Ovo može da ima najviše efekta na vladine institucije, poslodavce, pa čak i internet provajdere.

Ne sviđa vam se šta čujete? Čitajte dalje šta imamo da vam kažemo.

Ukoliko vam je stalo do vaših korisnika i želite da dobijaju vaš sadržaj u nepromenjenom obliku i ostanu bezbedni, bez uticaja zlonamernih online oglašavanja ili malware-a, potrebno je da obratite pažnju na integrisanje HTTPS-a.

Osim sigurnosti, koja je svakako jedna od najvažnijih stavki, postoje i dodatne koristi, kao što su bolji SEO i pristup novim web funkcijama.

Naročito interesantno jeste da sve više velikih kompanija poput Apple, Googla, Mozille i Microsofta, ograničavaju funkcionalnosti, tako da rad bude u potpunosto omogućen samo putem HTTPS-a.

Kada je reč o mobilnim apikacijama, Google će, takođe, uskoro blokirati otvorene (nešifrovane) konekcije, a ove promene se očekuju u predstojećoj verziji Androida.

Slične inovacije nisu strane ni Apple kompaniji, koja je najavila da će uskoro sve aplikacije u MacOS i iOS operativnim sistemima morati da koriste HTTPS.

Mit #3: “HTTPS me usporava”

Ovu rečenicu čujemo dosta često.

“HTTPS usporava naše onlajn iskustvo.”

A, takvo uverenje datira od trenutka kada je SSL/TLS zapravo i mogao da ima negativan efekat na websajt.

Ipak, stvari su se promenile i to više nije slučaj danas.

Dežurni internet kritizeri obično misle da ih HTTPS usporava iz dva razloga:

1) potrebno je malo više CPU snage za šifrovanje i dešifrovanje podataka i

2) uspostavljanje TLS sesije traje dva mrežna kružna putovanja koja se obavljaju između pretraživača i servera.

Ipak, prema mišljenju Adama Langlija, čak i sa malo starijim hardverom, SSL/TLS dodaje manje od 1% opterećenja na CPU. Isto tako, današnji procesori dolaze sa detaljnim uputstvima kao što su AES-NI, koji pomažu kod povećanja performansi. U budućnosti se očekuje da napredna tehnologija znatno umanji TLS 1.2 i TLS 1.3, ili potpuno eliminiše kružna putovanja.

Kada se pošaje HTTPS sadržaj, obično je potrebno 10-20 milisekunde kako bi on sa websajta došao do vaših korisnika.

Zaključujemo: sajtovi sa SSL/TLS tehnologijom su veoma brzi. Performanse se ne umanjuju, čak ni kada se HTTPS ne postavlja “sa ivice”.

Kako da izbegnem da mi sajt bude obeležen kao nebezbedan?

Ukoliko želite da vas Google ne etiketira kao “Not Secure” u Chrome pretraživaču, sve što vam je potrebno je SSL sertifikat sa kojim ćete svom sajtu “dodati” HTTPS redirekciju.

Svi unlimited.rs korisnici su obezbeđeni sa besplatnim SSL-om, i to na svim našim cPanel Web hosting paketima.

A ukoliko Vaš trenutni hosting provajder ne pruža besplatan SSL, kod nas ćete dobiti 20% popusta za prvu godinu korišćenja, na bilo koji izabrani hosting paket.

Toliko je prosto.

Ukoliko vam je potrebna pomoć u implementaciji, tu smo za vas.

Pišite nam na chatu u dnu ove strane ili putem maila [email protected].

Čekamo vas i pre 23. jula.

Pre toga, proverite da li vaš sajt podržava HTTPS.

Život bez WHOIS

Zamislite situaciju – pokrećete svoj biznis.

Imate sjajan poslovni plan i naravno, već ste odabrali ime svoje kompanije.

Sledeći korak: online prisustvo.

Domen i hosting.

Pokušavate da registrujete baš taj željeni domen, međutim, avaj, dobijate informaciju da je on već zauzet.

Šta vam je sada činiti?

Odustati od imena? Ukoliko je izbor sužen, a ime dobro, pretpostavljamo da ne.

Sledi brza WHOIS pretraga domena, kroz koju saznajete ime trenutnog registranta, kao i njegove/njene javno dostupne kontakt podatke.

Ovo bi vam pomoglo da pokušate sa eventualnim otkupom naziva.

Korisno, zar ne?

Kako iz ovog, tako i iz drugih razloga, najjednostavniji i najbrži način za proveru osnovnih informacija je pretraga kroz WHOIS sistem, koji sadrži javno dostupne podatke o registraciji domena i time zasigurno predstavlja neprocenjivo istraživačko sredstvo za sve vlasnike trgovačkih marki, kao i njihovih zakonskih savetnika.

Poznato je da brendovi zakupljuju cele porodice domena, kako bi se zaštitili od narušavanja svog korporativnog identiteta. Tako je, na primer, poznati glumac Ašton Kučer, samo par dana nakon rođenja svoje ćerke Vajat Izobele, zakupio svaki mogući domen sa njenim imenom, a istom prilikom, kreirao joj i email nalog, kao i profile na društvenim mrežama Facebook i Instagram. Poznati glumac je svoju, naizgled, iracionalnu odluku, odbranio rekavši da želi da izbegne da njegova naslednica bude u konotaciji sa pogrdnim sajtovima i time zaštiti njenu privatnost.

Ipak, sistem kakav mi poznajemo je pred, naizgled, nepovratnom promenom.

 

Kako to sada odjednom?

S obzirom na to da je pre par dana Evropska Unija usvojila propis o zaštiti podataka o ličnim podacima, Internet korporacija za dodeljene nazive i brojeve (Internet Corporation for Assigned Names and Numbers – ICANN), pokušava da finalizuje privremeni model koji će omogućiti registrima domena da se pridržavaju obaveza vezanih za privatnost podataka, a u isto vreme, sačuvaju što više WHOIS podataka što je moguće. U slučaju da ICANN ne uspe da to učini u bliskoj budućnosti, svima nam preti višemesečni period bez WHOIS pretrage tokom kog informacije o registraciji domena neće biti javno dostupne.

GDPR i WHOIS

Opšta uredba o zaštiti podataka o ličnosti (GDPR) je predložena od strane Evropskog parlamenta u aprilu 2016. a stupila na snagu 25. maja 2018. Ova nova regulativa je sa sobom donela mnoštvo promena u načinu na koji se privatni podaci građana Evropske unije prikupljaju i koriste, a, za razilku od ranijih uredbi, GDPR je donet da primeni nova pravila koji će sigurno imati uticaja širom sveta. O tome kako GDPR može da promeni web, pisali smo ranije.

ICANN ima ugovore sa više hiljada operatora domena i registara koji zahtevaju besplatan javni pristup podacima o registrovanim imenima domena, tj. WHOIS podacima, za koje postojih veliki broj besplatnih WHOIS alatki za pretraživanje. S obzirom na to da WHOIS sistem sadrži informacije o nazivima, adresi, email-u, broju telefona, kao i administrativne i tehničke kontakt podatke registranta jednog domena, postoje slučajevi gde ICANN, pak, nema zakonsku osnovu za takvu obradu, a davanje tih informacija može doneti visoke kazne zbog kršenja uredbi koje je GDRP doneo.

 

Kakvu budućnost čekaju WHOIS podaci?

Konflikt između novonastalih promena koje je doneo GDPR i dugogodišnje misije ICANN za pružanje dostupnih i tačnih WHOIS podataka, pokazao se kao veoma teškim za usklađivanje. Iako je ICANN do skoro zahtevao od registara domena da učine dostupnim lične podatke registranata, GDPR ih sada praktično poptpuno skriva. Sve od trenutka kada je GDPR usvojen, ICANN pokušava da predloži privremeni model koji omogućava registrima da istovremeno ispunjavaju svoje obaveze prema ICANN-u i GDPR-u.

Prošlog meseca, članovi ICANN zajednice, sastali su se u San Huanu, u Portoriku, gde se glavna diskusija vodila oko razvoja privremenog modela koji će biti u skladu sa GDPR-om. Ipak, ova tema je proizvela salve kritika sa dve strane — registara domena, ali i vlasnika brendova. Jedni veruju da zahtevi u novom modelu, kao što je predloženo objavljivanje informacija o registracionoj organizaciji, ne podležu GDPR uredbama zato što te informacije mogu da sadrže privatne podatke, dok su, sa druge strane, predstavnici vladinog sektora, sajber-bezbednosti i onih koji se bave intelektualnom svojinom, izrazili svoju zabrinutost da bi objavljivanje imena ili email adresa registranata trebalo da bude obavezno, kako je to neophodno da bi se nastavio put ka potpunoj transaprentnosti.

Život bez WHOIS.

ICANN je planirao da usaglasi kreiranje konačne verzije sa 25. majom kada je GDPR stupio na snagu, međutim, i na početku novog meseca, ne vidimo da je rešenje na pomolu. Sve dok ICANN ne primeni svoj mehanizam akreditacija kako bi se trećim licima omogućio pristup ovim, veoma čuvanim podacima, nećemo biti u mogućnosti da koristimo WHOIS pretragu, a ovaj period će, prema procenama stručnjaka, trajati par meseci.

Sumnja se da će sve ovo imati značajne posledice za vlasnike intelektualne svoje koji se redovno oslanjaju na korišćenje WHOIS pretrage zarad pronalaska krivičnih prekršaja te svojine. Preporuka je da svi oni zainteresovani koji se zalažu za opstanak WHOIS pretrage, kontaktiraju članove odbora ICANN-a, kako bi osigurali postojanje ovog mehanizma i mogućnost pristupa podataka.

Što se naših nacionalnih domena tiče, WHOIS zaštitu i nije potrebno zakupljivati kao dodatnu uslugu ukoliko ste fizičko lice, kako će po novim “pravilima”, vaši podaci biti potpuno sakriveni. Bar za sada.

Šta dalje?

WHOIS sistem kakvim ga mi poznajemo danas, nikada više neće biti isti, iako ICANN radi na tome da kreira održivi model koji je u skladu sa novodonesenim zakonom. Ipak, šta god da se desi,  gotovo je sigurno da svi moramo da se pripremimo za život u svetu gde ne zavisimo od WHOIS sistema.

I, da… Možda ćemo i dalje imati neke korisne javne podatke, kao što su datumi kreiranja i isteka domena, imena servera i zemlja registracije, ali veći deo informacija koje danas koristimo za sprovođenje istraga u vezi sa intelektualnom svojinom, slanje pristanka i odustajanje od pisama koje šalju kompanije, kao i drugi načini komunikacije, biće verovatni sakriveni iza vrata. A, ključ do otključavanja, sistem akreditacije i modifikacije prethodnog, verovatno neće biti u našim rukama još barem šest meseci, ako ne i duže.

Kontaktirajte nas

Telefon

+381 11 428 08 08

Chat uživo
Live Chat