Bezbednost web sajta

Bezbednost web sajta

Posted on


Informaciono društvo, kao naslednik industrijskog društva, je oblik društva u kom je stvaranje, razmena i korišćenje informacija na pravi način vrlo bitna – centralna kulturna i ekonomska aktivnost. Često se citira da se ovo društvo zasniva na „ekonomiji znanja“, jer se profit generiše eksploatacijom znanja, koje je najbitniji faktor, dok su raniji faktori poput prirodnih resursa izgubili na značaju. U ovakvom obliku društva, informacija se tretira kao kapital, tako da je i bezbednost informacija od izuzetno velikog značaja.
Bezbednost web sajtova je grana opšte bezbednosti informacija, koja se bavi svime što je vezano na bezbednost kako samog web sajta, tako i web aplikacija i ostalih web servisa. Kao i u svim ostalim oblastima života, bezbednosne pretnje pojavljuju se i na internetu. Postoji mnogo različitih vrsta pretnji koje se klasifikuju u različite grupe. Neki su direktni napadi na web sajt dok se neki izvode upotrebom ljudskog faktora kao sredstva za „curenje“ informacija. Svi ovi napadi su poznati pod široko korišćenim imenom „hakerski napadi“.

Vrste hakerskih napada mogu biti klasifikovane grubo u sledeće grupe:
• DdoS napadi  (Distributed denial of service)
• BotNet
• Backdoor napadi
• Direct-access attack
• Keylogger napadi
• Spoofing
• Exploits
• Social Engineering
• Indirect attack
• Malware
• Addware
• Ransomware
• Rootkits
• Spyware
• Trojan horses
• Virus
• Worm
• Phishing
• Identity theft
• Brute force attacks
• Kros sajt skriptovanje
• SQL injekcije

Obzirom da se svakodnevno broj načina napada i kreativnost napadača povećava, sama zaštita web sajta nije jednostavan proces koji se vrši jednom, već kontinuirani proces koji zahteva pažnju i koji se odvija bez prestanka, svodeći se na igru mačke i miša između vlasnika web sajta i napadača. I pored primene svih mera zaštite, web sajt koji je siguran 100% ne postoji. Ono što se može učiniti je da se stalno teži da nivo zaštite uvek bude na najvišem mogućem nivou.
U zavisnosti od vrste web sajta (statični, dinamični) zavisi i pristup bezbednosti. Relativno najsigurniji web sajtovi su statični HTML sajtovi, gde treba brinuti samo o bezbednosti HTML fajlova, jer ovi sajtovi ne koriste baze podataka.

Dinamični sajtovi, zasnovani na nekom od CMS rešenja zahtevaju detaljniji pristup, jer je potrebno osigurati i bazu podataka koju koriste.
WordPress, kao trenutno najrasprostranjeniji CMS, potrebno je zaštiti na više nivoa.

  1. Potrebno je izabrati kvalitetnog i pouzdanog hosting provajdera, sa dobrom tehničkom podrškom i najboljim odnosom cene hostinga prema performansama i sigurnosti koje nudi.
  2. Ma koliko da je web sajt obezbeđen, uvek treba raditi redovan backup podataka, jer kao što je prethodno navedeno, ne postoji 100% siguran web sajt. Redovan backup omogućava da se web sajt vrlo brzo vrati u funkcionalno stanje u slučaju uspešno izvedenog napada. Mnogi hosting provajderi nude mogućnost automatskog backup-a, ali je dobra opcija i ručnog pravljenja, jer ponekad backup koji provajder uradi može biti neupotrebljiv iz više razloga: korumpirani fajlovi, neblagovremeni backup (stara verzija web sajta)…
  3. Redovno ažuriranje verzije WordPress-a, svih plug-inova koji su korišćeni i eventualno same teme koja je korišćena za izradu ukoliko je backup dostupan. Vrlo često je moguće napad na web sajt  izvesti baš korišćenjem starih verzija plug-inova u kojima postoje bezbednosni propusti. Dakle, pluginovi koji se ne koriste trebalo bi da budu uklonjeni/izbrisani sa web sajta. Takođe, plugin-ovi bi trebalo da budu iz pouzdanih izvora.
  4. Zaštita .htaccess fajla je takođe od ključnog značaja. Ovaj fajl omogućava kontrolu nad dozvolama fajlova, tako da je moguće da se zlonamerno definišu prava pristupa pojedinim delovima web sajta, koja nisu uobičajena za normalna podešavanja, pa samim tim i veću izloženost web sajta potencijalnom bezbednosnom riziku.
  5. Pored ovog fajla, potrebno je takođe uraditi i akcije poput deaktiviranja listinga direktorijuma, onemogućavanja pristupa wp-login.php sa nepoznatih IP adresa, zaštitu pristupa wp-admin folderu, zaštitu wp-config.php fajla.
  6. Jedan od bitnih faktora je i izbor imena za administratorski nalog. Preporučljivo je izbegavati imena poput „admin“ jer uglavnom svi brute-force napadi počinju korišćenjem baš tog naloga.
  7. Izbor lozinke za administratorski deo web sajta takođe je veoma bitan. Lozinka ne bi trebalo da bude neka jednostavna reč, već kombinacija simbola, brojeva i interpunkcijskih znakova. Što više karaktera lozinka sadrži, manje su šanse da bude „provaljena“ upotrebom grube sile (brute-force). Ovde je bitno da se ne bira lozinka koju ćete lako zapamtiti, već lozinka koja će obezbediti najveću sigurnost vašem web sajtu (preporuka je da bude bar 15 karaktera dužine).
  8. Dobra opcija je i instaliranje nekog od mnogobrojnih bezbednosnih pluginova, koji će se pobrinuti da odradi detaljnija podešavanja parametara, kao i naprednijih podešavanja koja nije uvek jednostavno izvesti.

U ovom tekstu date su samo osnovne smernice i ono na šta treba obratiti pažnju. Bezbednost web sajta je nešto što zahteva svakodnevni rad, praćenje novosti iz te oblasti i primenu najnovijih rešenja i postupaka u zavisnosti od vrste web sajta koji posedujete i ostalih faktora koji se menjaju u realnom vremenu.


Scroll