Prvi iz serije 7 jednostavnih koraka za poboljšanje bezbednosti vašeg sajta
Stalno ističemo kako je bezbednost naših korisnika bitna i objasnili smo na koji način čuvamo sajtove i poštanske sandučiće naših klijenata. Ali, kako bezbednost treba da bude zajednička odgovornost, želeli bismo da vam pokažemo na koje sve načine možete i sami da je poboljšate. Prethodno smo govorili o bezbednosti sajta, a u sledećim tekstovima ćemo obratiti pažnju na hosting nalog. Krenućemo od zaštite osetljivih podataka na vašem nalogu.
1. Koji podaci se smatraju za osetljive?
Osetljivi podaci su informacije koje moraju biti zaštićene od neovlašćenog pristupa da bi se zaštitila privatnost ili bezbednost pojedinca ili organizacije. Neovlašćeni pristup ili otkrivanje može dovesti do ozbiljnih posledica.
Postoji 4 tipa osetljivih podataka:
- Podaci kompanije – dokumenta, fakture, izjave, izveštaji itd.
- Lični podaci – biometrijski podaci, medicinske informacije, ugovori, fotografije itd.
- Rezervne kopije veb-sajta – rezervna kopija svih fajlova i baza podataka;
- Aplikacija koja pruža administrativni pristup veb-sajtu ili nalogu (forma za otpremanje fajlova, administrativni panel veb-sajta)
2. Načini zaštite osetljivih podataka
2.1. Zaštita direktorijuma u kojem se nalaze osetljivi podaci
Kada se određeni direktorijum nalazi u osnovnom direktorijumu veb-sajta (public_html), on je javno dostupan. To znači da fajlovima na veb-sajtu može da pristupi bilo ko, učitavajući veb-sajt iz svog brauzera. Svako ko ima URL određenog direktorijuma sa veb-sajta može da ga učita u svom brauzeru.
Jedan od načina kako možete da ograničite pristup određenom direktorijumu koji sadrži osetljive podatke jeste premeštanje u root direktorijum (/home /cpuser/), tako da se nalazi jedan nivo iznad direktorijuma public_html.
Ako je premeštanje nemoguće, druga opcija je da mu se ograniči pristup uz pomoć korisničkog imena i lozinke. Ova vrsta zaštite može se aktivirati u cPanelu, meniju Zaštita direktorijuma lozinkom.
Zaštita direktorijuma korišćenjem lozinke zahteva HTTP Basic Autentifikaciju. Ova vrsta zaštite omogućava vam da ograničite pristup određenom resursu koji se nalazi u direktorijumu pomoću lozinke i korisničkog imena.
Podešavanje se vrši sa nekoliko klikova u cPanelu >> Zaštita direktorijuma lozinkom
2.2) Dodatna zaštita za pristupanje administraciji sajta
Kada je URL adresa administracije sajta direktorijum (npr. mojsupersajt.rs/admin), on se može zaštititi upotrebom korisničkog imena i lozinke.
URL-ovi za pristup administraciji veb-sajta zavise od CMS-a i konfiguracije veb-sajta (ako postoji).
Primeri URL adresa za pristup administraciji najčešćih tipova CMS-ova:
- WordPress (mojsupersajt.rs/wp-admin)
- Joomla (mojsupersajt.rs/administrator)
- OpenCart (mojsupersajt.rs/admin)
SAVET: Administraciju sajta u WordPress-u možete lako zaštititi uz pomoć alata WordPress Manager by SuperHosting u opciji Sigurnosne provere > Dodatna zaštita administracije sajta. U ovoj opciji možete pronaći i mnoge druge načine za dodatnu zaštitu vašeg WordPress sajta.
Postoje dva glavna razloga za dodatnu zaštitu administracije sajta:
- Neutralizovanje bot napada – korišćenjem HTTP Bazične autentifikacije u velikoj meri neutrališe bot napade na administrativne URL adrese CMS-ova. Glavni razlog za to je što veliki broj botova ne očekuje da primi HTTP obrazac za prijavu prilikom pristupa WordPress administraciji.
- Smanjuju se resursi koje sajt troši na serveru – ova metoda zaštite takođe može dovesti do znatnog smanjenja korišćenja serverskih resursa (CPU/memorije/diska) jer botovi ne uspevaju da pristupe samom veb-sajtu, već obrascu za prijavu koji se direktno šalje sa servera.
Korisničko ime za administratorski panel
Važno je još jednom napomenuti koliko treba voditi računa o pristupnim podacima za administratorski deo sajta.
Najčešće se, pri instalaciji CMS-a, postavljaju podrazumevana asministratorska imena kao što su admin, administrator i sl. Ovo je već veliki propust za bezbednost sajta.
Korišćenje uobičajenih korisničkih imena čini ih dostupnim za hiljade botova i omogućava im da lako pogode vašu lozinku.
Zato preporučujemo korišćenje nasumičnih korisničkih imena za pristup administraciji koje je teško pogoditi. Ako vam je teško da ih pamtite, zapišite ih umesto upotrebe korisničkih imena poput admin ili administrator.
SAVET: Ovo takođe možete lako izmeniti pomoću alata WordPress Manager by SuperHosting > > Administrativni podaci
2.3) Ograničavanje pristupa određenom fajlu
Spomenuli smo da ako čuvate važne podatke u folderu na hosting nalogu možete im ograničiti pristup pomoću korisničkog imena i lozinke. Međutim, ako se ti podaci nalaze u određenom fajlu, takođe se može ograničiti pristup.
Ako sami niste sigurni koji to podaci ne bi trebalo da budu svima dostupni daćemo vam neke primere:
- Lični podaci ili podaci pravnog lica (dokumenta, fakture itd.)
- Potpuna ili delimična rezervna kopija naloga kojoj se može pristupiti javno
- Logovi generisani od strane sistema samog veb-sajta
Ograničavanje pristupa fajlu se može podesiti unosom određenih direktiva u .htaccess fajl. Detaljnije uputstvo možete videti i u našem članku za pomoć.
2.4) Ograničavanje pristupa za određenu IP adresu:
Ovakav tip ograničenja se može koristiti i u kombinaciji sa ograničenjem pristupa direktorijumu sa korisničkim imenom i lozinkom.
Podešavanje se vrši jednostavno pomoću izmene određenih pravila u .htaccess fajlu.
Šta je potrebno znati pre ovih podešavanja?
- Da li je IP adresa dinamička ili statička?
Internet provajderi najčešće korisnicima daju dinamičke IP adrese. To znači da su te IP adrese promenljive i da ograničenje pristupa istoj neće imati efekta. Dakle, pre ograničavanja pristupa prema određenoj IP adresi, morate biti sigurni da je ta IP adresa statička.
- Proxy servisi (CloudFlare)
Ukoliko vaš sajt koristi proxy servise kao što je CloudFlare, ograničenje pristupa za IP adresu može da napravi problem. Kada koristite proxy servis, korisnici pristupaju proxy-ju, a proxy vašem sajtu. Drugim rečima, vašem sajtu se pristupa sa IP adrese proxy servisa, a ne korisnika.
Ako ograničite pristup resursu svima osim za svoju IP adresu, on će biti potpuno nedostupan čak i za vas, jer se svi upiti šalju sa IP adrese proxy-ja. Ako i dalje želite da ograničite pristup za IP adresu, izvršite ovo podešavanje na proxy serveru.
Da li ste proverili da li su vaši osetljivi podaci na hosting nalogu zaštićeni?
Proverite ih već sada, a sledeće nedelje očekujte sledeći korak iz naše serije o bezbednosti u kom ćemo vam ispričati malo više o važnosti sigurne lozinke i trikovima da izaberete takvu.