Kaip apsaugoti svetainę nuo įsilaužimo?

Kai kurie svetainių savininkai kartais gali pastebėti, kad vieną rytą vietoje įprasto svetainės vaizdo, būna matomas juodas ekranas su užrašu, kad svetainė yra “nulaužta” vienos ar kitos “hakerių” grupuotės. Tai yra pats demonstratyviausias “nulaužimas” kuris, deja, pasitaiko retai – pasitaiko daug daugiau atvejų, kuomet “įsilaužimo” į svetainę, jos savininkas net nepastebi. Dažniausiai į svetaines “įsilaužiama” siekiant jas panaudoti SEO tikslais – į svetainę įterpti nuorodų su reklamomis ar nukreipti vartotojus į kitas svetaines. Taip pat, iš “nulaužtos” svetainės gali būti pavogti vartotojų duomenys, pirkėjų duomenų bazė gali būti panaudota SPAM laiškams siųsti, o pats serveris gali būti naudojamas kenkėjiškai veiklai – tiek SPAM siuntimui, tiek atakoms prieš kitas svetaines.

Kokios pasekmės laukia “nulaužtos” svetainės savininko? – Neužtikrinus svetainės saugumo, tiesiogiai ar netiesiogiai (pvz.: neatnaujinant TVS) sudarius sąlygas “įsilaužti” į svetainę, rizikuojama paslaugų teikimo sutarties nutraukimu iš tiekėjo pusės, Jūsų svetainė gali būti pripažinta kaip kenkėjiška, o tam tikrais atvejais gali būti skiriamos ir nuobaudos. Žinoma, jei Jūsų svetainė nukreips lankytojus į kitas, nepriimtino turinio svetaines, ar per ją bus siunčiami SPAM tipo laiškai, Jūsų verslo ar projekto reputacija taip pat neišvengiamai nukentės.

Didžioji dalis vartotojų savo svetainių pagrindui naudoja nemokamas, atvirojo kodo turinio valdymo sistemas (pvz.: WordPress, Joomla, Drupal, Opencart, Prestashop ir t.t.) ir tai nėra blogai, tačiau labai svarbu tinkamai pasirūpinti sistemų saugumu. Pvz.: net ketvirtadalis svetainių visame pasaulyje naudoja “WordPress” turinio valdymo sistemą, todėl ieškoti saugumo spragų populiariausiose TVS “įsilaužėliams” yra verta, kadangi atradus jų, bus galima nesudėtingai aptikti nemažai svetainių su tokiomis pačiomis saugumo spragomis, o pasinaudojus atrastu pažeidžiamumu – “įsilaužti”. Dažniausiai “įsilaužimai” vykdomi pasinaudojus tokios programinės įrangos saugumo spragomis, todėl itin svarbu naudoti naujausią TVS versiją. Lygiai taip pat, reikia nepamiršti ir naudojamų trečiųjų šalių įskiepių (angl. plugins) – juos būtina atnaujinti taip pat, kaip ir pačią programą, nors dažnai vartotojai tai pamiršta. Tam tikrais atvejais, į svetaines kenkėjiškas programinis kodas gali būti įkeliamas ir pasinaudojus nesaugiais, silpnais ir lengvai atspėjamais prisijungimo slaptažodžiais arba pasinaudojus neapsaugotais kompiuteriais (juos užkrėtus virusais).

Kaip apsisaugoti?

  • Periodiškai atnaujinti naudojamą turinio valdymo sistemą iki naujausios versijos. Atnaujinimai išleidžiami ne tik dėl naujų funkcionalumų, tačiau svarbiausia – pašalinti atrastas saugumo spragas.
  • Vengti naudoti trečiųjų šalių įskiepius (angl. plugins) ar dizaino temas, kurios nėra patvirtintos TVS kūrėjų arba nėra platinamos per didesnes, gerai žinomas tokio tipo programinės įrangos prekybos sistemas, pvz.:
    https://themeforest.net/
  • Naudojamus trečiųjų šalių įskiepius (angl. plugins), kaip ir pačią TVS, periodiškai atnaujinti iki naujausios versijos.
  • Užtikrinti, kad naudojamame kompiuteryje nebūtų žalingos programinės įrangos (virusų, malware/spyware programų, slaptažodžių skaitytuvų). Naudojama programinė įranga, ypač naršyklės, turėtų būti reguliariai atnaujinamos, rekomenduojama naudoti ir antivirusinę programinę įrangą ir/ar ugniasienę.
  • Būtina užtikrinti, kad turinio valdymo sistemos slaptažodis būtų kuo sudėtingesnis ir kuo sunkiau atspėjamas. Slaptažodyje nenaudokite savo vardo, pavardės, nedubliuokite prisijungimo vardo, nenaudokite labai trumpų (pvz.: admin, test, demo ir t.t.) arba vien iš mažųjų raidžių/skaičių sudarytų slaptažodžių. Papildomai rekomenduojama įsirašyti įskiepį su reikalavimu kaskart prisijungiant prie administravimo įvesti “CAPTCHA”(https://en.wikipedia.org/wiki/CAPTCHA). Tokiu atveju, slaptažodžio nespėlios automatizuotos sistemos.
  • Nepatartina slaptažodžių išsaugoti asmeniniame kompiuteryje esančiose FTP prisijungimo programose. Yra virusų, kurie ieško būtent tokių išsaugotų slaptažodžių, tad jei į Jūsų kompiuterį pateks virusas, jis nuskaitys slaptažodžius ir tada lengvai įeis ir į internetinę svetainę.

Ką daryti, jei į svetainę buvo įterpti žalingi failai/kenkėjiškas kodas?

  • Pakeisti visus su serveriu susijusius slaptažodžius – pagrindinį serverio slaptažodį, FTP ir turinio valdymo sistemos slaptažodžius. Galima pasinaudoti slaptažodžių generatoriais, pvz.:
    https://passwordsgenerator.net/
    https://www.random.org/passwords/
  • Parsisiųsti visus savo svetainės failus į kompiuterį (patogiausia tai atlikti prisijungus prie serverio per FTP) ir nuskenuoti juos. Jei naudojatės Serveriai.lt paslaugomis, rekomenduojame pasinaudoti mūsų “Antivirusu”:
    http://pagalba.iv.lt/Fail%C5%B3_skenavimas
    Pašalinus žalingus failus svetainės failuose, įkelti juos atgal į serverį. Išvalyti žalingus failus/kenkėjišką kodą, pvz.: WordPress galite naudoti įskiepį: https://wordpress.org/plugins/gotmls/
  • Atnaujinti naudojamas turinio valdymo sistemas ir įskiepius (angl. plugins) iki naujausių versijų.
  • Atkreipkite dėmesį į turinio valdymo sistemų tiekėjų rekomendacijas svetainių apsaugojimui.
  • Savo svetainę papildomai galite nuskenuoti šiais viešai prieinamais įrankiais:
    https://sitecheck.sucuri.net/
    https://www.virustotal.com/

7 komentarai

  1. Čia galima sutikti ir ne sutikti. Problema yra kur kas giliau. Slaptažodžio silpnumas yra mažiausiai naudojama priemonė nulaužinėjant www. problema yra ir tuose pačiuose bendro naudojimo serveriuose – jei turi hostingo plana. jau yra tikimybė pasigauti. Antra mysql ar php injekcijos.

    • Sutinkame, kad sudėtingo slaptažodžio naudojimas nėra pagrindinis būdas užtikrinti svetainės saugumą – tai yra tik vienas iš kelių pagrindinių reikalavimų saugumo užtikrinimui. Svetainių „nulaužimo“ tikimybė bendro naudojimo serveriuose gali būti didesnė tik tuo atveju, jei tokių serverių konfigūracija leidžia serverio naudotojui pasiekti kitų naudotojų duomenis bei serverio programinė įranga nėra reguliariai atnaujinama. Serveriai.lt paslaugose kiekvienas naudotojas yra izoliuotas, reguliariai vykdome programinės įrangos atnaujinimus, taip pat nuolat sekame šaltinius su registruojamais programinės įrangos pažeidžiamumais, į kritinius pažeidžiamumus reaguojame nedelsdami.

  2. Na WordPress atveju tai svarbu yra ne tik pats slaptažodis bet ir „SALT“ raktai kurie yra naudojami slaptažodžių ir ne tik kodavimui. Labai lengva pasitikrinti ar raktai įdiegti vien pažiūrėjus į wp-config.php failą. Net gavus duomenų bazės kopiją dešifruoti „salt’intus“ slaptažodžius nėra šansų. Stipresni slaptažodžiai labiau reikalingi siekiant apsisaugoti nuo paprasto slaptažodžio atspėjimo kai automatas bando juos pagal populiariausių slaptažodžių biblioteką. Tuo atveju ant WordPress reikia atjungti XML-RPC servisą, kad elimintuoti galimybę prasukti didelį kiekį slaptažodžių per vieną kartą, o kitas dalykas, kad reikia CAPTCHA apsaugos visoms formoms (apsaugos ir nuo brute force, ir nuo spam’o). Kad apsauga būtų efektyvesnė dar reiktų riboti bandymų skaičių su galimybe blokuoti bandymus duotam IP kažkuriam laikui. Įsimeskit nemokamą ThreatPress saugumo įskiepį kuris yra WordPress įskiepių kataloge ir bus ramu. Tas tikrina ar nėra pažeidžiamos programinės įrangos (įskiepiai, šablonai ir pats WordPress), iš išorės patikrina svetainę per Spamhaus, Google Safebrowsing, Phishtank ir kitus blacklist’us ir jų reCAPTCHA įskiepį įsimetus galima bus kontroliuoti visas prisijungimo, registracijos, komentarų, vertinimų ir kitas formas kurios yra ant WordPress ir WooCommerce.

    Bet šiaip, slaptažodžiai yra mažiausia problema iš visų 😀 Dar yra begalė dalykų ką reikia padaryti norint apsaugoti svetainę…begalė! 🙂

    • Šarūnai, ko gero yra silpna vieta naudojamoje programinėje įrangoje per kurią isilaužia, arba jau ankščiau paliktas taip vadinamas backdoor’as. Realiai reikia pradžiai izoliuoti svetainę nuo išrorės priėjimo, palikti prieigą tik savo IP adresui, po to keisti absoliučiai visus slaptažodžius na ir tada jau tvarkytis su failais esančiais serveryje ir pačia duomenų baze nes ir joje gali būti pridaryta burtų.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *