Dobili smo te gledati vroče spletne strani, plačaj ali pa slike pošljemo vsem tvojim stikom!

Šokirani smo nad tvojimi fantazijami! Vse imamo posneto! Plačaj ali pa pošljemo posnetek vsem tvojim stikom!

Leta 2016 je žrtev izsiljevanja z intimnimi posnetki, slikami postalo 35 Slovencev, 2017 je bilo teh 95. Vrjetno pa je ta števlika v realnosti dosti višja, saj jih večina zaradi intimnosti ne prosi za pomoč. (Vir: poročilo o omrežni varnosti 2016 in 2017)

V zadnjem tednu smo opazili ponovno povečano število poslanega lažnega sporočila, prevare, s poizkusom izsiljevanja. 

Uporabnik v svoj elektronski poštni predal prejme (iz neznanega naslova ali celo iz svojega email naslova) sporočilo, da ga imajo posnetega pri gledanju intimnih, vročih spletnih strani, ki jih pogosto obišče ter da so šokirani nad njegovimi fantazijami.
V zameno, da posnetkov, slik ne pošljejo vsem njegovim stikom, pošiljatelji emaila zahtevajo izplačilo 869 dolarjev v kriptovaluti Bitcoin. 

Ker izsiljevalsko sporočilo vsebuje geslo, to se v veliko primerih ujema z geslom, ki ga uporabnik dejansko uporablja, je stiska uporabnika velika.

Iz sporočila je prav tako moč razbrati, da so okužili uporabnikov računalnik ter da mu sprememba gesla ne bo pomagala, saj jim okužen računalnik sporoča vsa nova gesla, s tem se strah še podkrepi.

Za piko na i pa nekateri uporabniki prejmejo email od samega sebe, tako izgleda, kot da so nepridipravi resnično že vdrli v njegov email račun.

S stisko in strahom nepridipravi želijo ustvariti paniko uporabnika, da le-ta razmišlja impulzivno in želi stvar na hitro rešiti.

Storilci pošljejo ogromno takšnih lažnih masovnih sporočil, da bi žrtve prestrašili ter da bi jih čim več plačalo odkupnino.

Kako izgleda sporočilo?

Kje so dobili moje geslo?

Veliko gesel je pridobljenih s krajo preko spletnih strani, družbenih omrežij…Seznami ukradenih gesel se pojavlajo na črnem trgu (tudi zato je preventivno dobro vsake 3 mesece zamenjati geslo).

Kako je možno, da je sporočilo prišlo iz mojega emaila?

Pošiljatelj je v tem primeru ponaredil vaš email naslov, tako izgleda kot da ste si sporočilo poslali sami ali, da je pošiljatelj resnično vdrl v vaš sistem.
Email naslove je namreč dokaj enostavno ponarediti. 

Kako to, da se je sporočilo izognilo spam filtru?

Pošiljatelj, naslov in vsebina sporočila se od uporabnika do uporabnika malce razlikujeta in zato takšnega sporočila običajni spam filtri ne zazajo kot vsiljivega ali nevarnega. 

KAJ NAREDITI, ČE PREJMETE TAKŠNO OBVESTILO?

1. V primeru, da je zapisano geslo pravilno, ga nemudoma zamenjajte (zapisano, da okužen računalnik sporoča novo geslo, ni resnično)
2. Sporočilo označite kot spam ter ga izbrišite
3. Nikar ne odprijate priponk (v kolikor jih sporočilo vsebuje) ali vstopajte v stik s pošiljateljem. 

Vas je še vedno strah in vas skrbi, da je sporočilo resnično?

Naše stranke nas lahko kadarkoli kontaktirajo. Pokličite nas (01 600 10 50) ali nam pišite (info@zabec.net) in preverili bomo vaše sprejeto sporočilo ter vam svetovali kaj storiti.
Nikar naj vas ne bo sram stopiti v stik z nami, izkoristite našo strokovno pomoč ter ostanite varni.

Kaj je e-pisarna?

Naša e-pisara je oblikovana po meri naročnika, saj menimo, da so pred-oblikovane spletne pisarne rigidne in niso prilagojene posameznikovim potrebam ali potrebam podjetjem.

Virtualna pisarna vam je zmeraj na razpolago, neglede na to kje se nahajate.

E-pisarna

Stičišče

Tradicionalno je pisarna mesto, kjer se sodelavci lahko družijo, lahko koristijo skupna sredstva v podjetju, shranjujejo dokumente in varno pospravljajo poslovne skrivnosti. Podjetje, ali podjetnik, lahko v pisarni tudi sprejema svoje poslovne partnerje in odjemalce, organizira poslovna srečanja in seminarje in še marsikaj drugega. Skratka, vsakdo si pisarno uredi popolnoma po svojem okusu. Je stičišče.

Kako pa je z e-pisarno?

Zakaj bi bilo kakorkoli drugače, z izjemo ene bistvene razlike; tradicionalno pisarno definira fizična lokacija, prostor, e-pisarna pa je virtualna, definirana v kiber-prostoru.
To sicer res pomeni, da vanjo ni mogoče fizično vstopiti, vendar pa po drugi strani omogoča sodelovanje ljudem, ki so lahko vsak na svojem delu sveta in te možnosti sicer ne bi imeli. To pa je tudi edino, kar bi moralo pravo e-pisarno razlikovati od tradicionalne pisarne.

WHOIS podatki in GDPR

Ali bomo morali z veljavo GDPR še naprej plačevati WHOIS zaščito podatkov o domenah?

Odbor ICANN odobril začasne specifikacije za podatke o registraciji gTLD

  1. maja 2018 je ICANN sprejel začasno predlagano specifikacijo za podatke o registraciji gTLD1.

Specifikacija je bila sprejeta glede tega, kako bodo ICANN in njegove pogodbene stranke lahko še naprej izpolnjevale obstoječe pogodbene zahteve v skladu z ICANN politiko in s politikami, ki jih razvijajo skupnosti, nanašajoč se na WHOIS in njegovo skladnost z novo uredbo Evropske unije o splošni zaščiti podatkov (GDPR).

Pravijo, da je ohranjanje WHOIS sistema ključnega pomena za varnost in stabilost interneta, ker omogoča enostavno prepoznavanje in ublažitev slabih akterjev, kiberkriminalcev, kršiteljev intelektualne lastnine in drugih zlonamernih dejavnosti, ki se dogajajo na spletu.

Da bi zagotovili skladnost z GDPR, bo dostop do osebnih podatkov omejen na slojni/stopenjski dostop, kjer lahko uporabniki z zakonitim namenom zahtevajo dostop do nejavnih podatkov preko vrhovnega registrarja ali registrarjev.
Dokler ne bo vzpostavljen enoten model dostopa, bodo morali registrarji in registri sami določiti katere poslane zahteve so legitimne oz. dovoljenje po zakonu.

V zvezi s tem se pojavljata 3 ključna vprašanja

1. KAKO SEDAJ VIDIMO WHOIS PODATKE?

Sedaj lahko vidimo:
Ime domene, potek domene, status domene, DNS strežnike in registrarja.

Kaj je zakrito?
Kontakti so postali zakriti – organizacija, imena, priimki, email, telefon, fax, naslov.

Poglejmo si primer:
Zabec.net

GDPR zaščita

GDPR

2. ALI MORAM WHOIS ZAŠČITO ŠE VEDNO PLAČEVATI?

Po sprejetju trenutne specifikacije so vsi podatki gTLD domen zakriti, torej vse kar je prej zakril plačljivi WHOIS je sedaj brezplačno, zakonsko, zakrito.

Takole je pred GDPR-jem izgledal zakrit Whois:

Tako je pred GDPR izgledala Whois zaščita

Whois zaščita

Tako je pred GDPR izgledala Whois zaščita

Whois zaščita

Tako je pred GDPR izgledala Whois zaščita

Whois zaščita

3. KAJ SE DOGAJA Z ZAKRITJEM PODATKOV PRI ccTLD-JIH?

ccTLD2 niso urejeni s pogodbami ICANNa, prav zato morajo nacionalni registri sami urediti skladnost z novim zakonom.
Nekateri so vzeli ICANNovo sprejetje kot priporočilo, drugi bodo sami uredili to področje. Vsekakor pa kaže na to, da bo vsak nacionalni register sam določil katere podatke bo prikazoval in katere ne.

Richard Wein iz Avstrijskega nacionalnega registra je na GDPR konferenci Domain Plus dejal:

“Every ccTLD appears to be doing something different, even if very slightly, and it’s a pity that the industry couldn’t develop one standard. It will mean registrars will have to implement 10, 20, maybe even 28, different solutions depending on how many ccTLDs for EU countries they sell. The situation is a nightmare.”

“Then there comes the problem with no WHOIS available to law enforcement, government bodies and brand protection. How can they get the registrant information? Registries are not allowed to give out information such as to the police without a good reason. Potential buyers of a domain name will have no way of contacting the registrant unless their details are provided on the website. While under the law of many countries, including Austria, the website owner is required to provide information about who owns the website, it is difficult to verify if this is correct, and will be next to impossible when the GDPR comes into effect.”

Poglejmo kaj se je pri nekaterih nacionalnih registrih spremenilo:

  • Domena .be ni objavljala osebnih podatkov fizičnih oseb že od leta 2000, razen email naslova, od uvedbe GDPR zakona, je sedaj tudi ta zakrit.
  • Pri domeni .dk se ni spremenilo nič, podatki so še vedno na voljo. Pravijo:
    “we will continue to publish the information – for the benefit of those who need to know who is behind a given domain name. Regardless of whether it is because you want to protect your brand, investigate a crime, do research or just satisfy your curiosity.”
  • Domena .eu, kot tudi domena .si razkrivata od registrantovih (fizične osebe) podatkov samo email osebe.
  • Domena .ee ne razkriva ničesar od fizičnih oseb.
  • DENIC (.de), največji ccTLD register v Evropi, bo beležil samo kontaktne podatke imetnika domene ter dva dodatna e-mail naslova kot kontaktne točke za poročila o zlorabi ter splošne in tehnične zahteve.

____________________________________________________
1gTLD: generic Top Level Domains (sem spadajo npr. končnice domen .com, .net, .org…)
2ccTLD; country code Top Level Domains (sem spadajo nacionalne končnice držav)

 

Viri:
https://www.icann.org/news/announcement-2018-05-17-en
https://whois.icann.org/en
http://www.domainpulse.com/2018/02/28/gdpr-the-nightmare-on-cctld-street/
https://www.denic.de/en/whats-new/press-releases/article/extensive-innovations-planned-for-denic-whois-domain-query-proactive-approach-for-data-economy-and/

 

Kaj je CSRF ranljivost WordPressa?

CSRF (Cross-Site Request Forgery znan tudi kot Napad z enim klikom ) je napogostejša ranljivost na vtičnikih in temah.

Verzije starejše od 4.0. so ranljive za CSFR – posodobite svoj WP!

Kako lahko uporabimo NONCE?

NONCE (Number used ONCE) .NONCE se uporablja na zahtevo in prepreči nepooblaščen dostop tako, da uporabi skrivni “ključ” in to preveri vsakič, ko se uporabi koda.

Nonce lahko ustvarite in ga dodate v niz poizvedb v URLju, lahko ga dodate v skrito polje v formi ali ga uporabite kako drugače. Če ga boste uporabili v AJAX-u potem ga dodajte v skrito polje, iz kjer ga JavaScript lahko pridobi.

Upoštevati je potrebno, da so Nonce-nci edinstveni za trenutnega uporabnika seje, tako da, če se le ta logira ali odlogira asinhrono noben Nonce-ns na strani ne bo več veljaven.

Kako ga uporabite?
https://codex.wordpress.org/WordPress_Nonces

1. DODAJANJE

  • Dodajanje v URL

Kličite
wp_nonce_url()
navedite čisti URL in niz, ki predstavlja dejanje.

Primer: $complete_url = wp_nonce_url( $bare_url, ‘trash-post_’.$post->ID );

Poskrbite, da bo niz, ki predstavlja dejanje kar se da natančen.

wp_nonce_url() privzeto doda polje z imenom
 _wpnonce,
ime lahko spremenite pri klicu funkcije:
$complete_url = wp_nonce_url( $bare_url, ‘trash-post_’.$post->ID, ‘my_nonce’ );

  •  Dodajanje v formo

Kličite
wp_nonce_field()
natančno določite niz, ki predstavlja dejanje.
wp_nonce_field() privzeto generira dva skrita polja (eno katerega vrednost je Nonce in enega katerega vrednost je trenuten URL (the referrer), kar se odraža kot rezultat)).

Napr:
wp_nonce_field( ‘delete-comment_’.$comment_id );
Morda celo nekaj takega:
<input type=”hidden” id=”_wpnonce” name=”_wpnonce” value=”796c7766b1″ />
<input type=”hidden” name=”_wp_http_referer” value=”/wp-admin/edit-comments.php” />
Bolj podrobno: https://codex.wordpress.org/Function_Reference/wp_nonce_field

Poskrbite, da bo niz, ki predstavlja dejanje karseda natančen.

  • Ustvarjanje Nonce-nsa za uporabo na drug način

Kličite
wp_create_nonce()
natančno določite niz, ki predstavlja dejanje.

Napr:
$nonce = wp_create_nonce( ‘my-action_’.$post->ID );
Kar enostavno vrne nazaj Nonce:
Napr: 295a686963

2. PREVERJANJE

  •  Nonce, ki je bil poslan v URL iz admin zaslona

Kličite
check_admin_referer()
natančno določite niz, ki predstavlja dejanje.

Napr: check_admin_referer( ‘delete-comment_’.$comment_id );

Ta klic preverja Nonce in napotitelja (referrer), če pregled ni uspešen potem se izvede normalna akcija (zaključeno izvjanje skript s “403 Forbidden” odzivom in sporočilo o napaki).

Če niste uporabili privzetega imena polja  (_wpnonce), ko ste ustvarili Nonce, potem določite ime polja:
check_admin_referer( ‘delete-comment_’.$comment_id, ‘my_nonce’ );

  • Nonce, ki je bil poslan v AJAX zahtevo

Za preverjanje kličite
check_ajax_referer()
natančno določite niz, ki predstavlja dejanje.

Napr: check_ajax_referer( ‘process-comment’ );

Če niste uporabili privzetega imena polja (_wpnonce ali _ajax_nonce), ko ste ustvarili Nonce lahko določite dodatne parametre.
Za več glejte: https://codex.wordpress.org/Function_Reference/check_ajax_referer

  • Preverjanje nonce-nsa za uporabo na drug način

Kličite
wp_verify_nonce() določite nonce in niz, ki predstavlja dejanje.

Napr: wp_verify_nonce( $_REQUEST[‘my_nonce’], ‘process-comment’.$comment_id );

Če je rezultat napačen ne nadaljujete s procesom, raje kličite wp_nonce_ays(), kar bo naredilo “403 Forbidden” odziv v brskalniku z error sporočilom: “Are you sure you want to do this?”.

3. SPREMINJANJE NONCE SISTEMA

Nonce sistem lahko prilagodite tako, da dodate različna dejanja in filtre.

  • Spreminjanje Error sporočila

function my_nonce_message ($translation) {
 if ($translation == ‘Are you sure you want to do this?’)
    return ‘No! No! No!’;
  else
    return $translation;
  }

add_filter(‘gettext’, ‘my_nonce_message’);

  • Izvajanje dodatne verifikacije (preverjanja)

Dodajte
check_admin_referer dejanje.
Napr:
function my_additional_check ( $action, $result ) { … }
add_action( ‘check_admin_referrer’, ‘my_additional_check’, 10, 2 );

Za pregled check_ajax_referer() dodaj check_ajax_referer dejanje na isti način.

  • Spreminjanje Nonce Lifetime

Privzeto ima Nonce “življensko dobo” enega dneva, po tem času Nonce ni več veljaven četudi se ujema z nizom dejanj (akcije).

Če želite spremeniti lifetime dodajte
nonce_life
filter in določite lifetime v sekundah.

Napr:
add_filter( ‘nonce_life’, function () { return 4 * HOUR_IN_SECONDS; } );

4. VARNOST

Nonce je generiran tako, da uporablja KEY in SALT, ki sta edinstvena za vašo stran, če ste namestili WP pravilno.
Definirana sta v wp-config.php datoteki (datoteka vsebije komentarje, ki vam bodo dali več informacij).

Nonce se nikoli ne sme sklicevati na avtentikacijo ali avtorizacijo kontole dostopa.
Zaščitite funkcijo z uporabo current_user_can().

Vtičniki za zaščito:

Zadnje ranljivosti lahko spremljate na:

 

Viri:

Kdo, kaj sta ICANN in IANA? Kako sta povezana z internetom, domenami, ip naslovi….?


 

 

 

Internet Corporation for Assigned Names and Numbers ali krajše ICANN je mednarodno organizirana, neprofitna organizacija, ki je odgovorna za dodelitev prostora IP naslovov, dodelitev protokola identifikacijske oznake, gTLD in ccTLD domenskega sistema za upravljanje, funkcije root sistema za upravljanje.

Namen ICANNa je ohranjanje delovanja internetne stabilnosti.

ICANN toraj usklajuje funkcije IANA (Internet Assigned Numbers Authority), ki so tehnične funkcije pomembne/nujne za nadaljne delovanje DNS-ja (Domain Name System).

Naloge IANN-a vključujejo:

  • usklajevanje, dodelitev tehničnih parametrov protokola, vključno z upravljanjem naslov in usmerjanje parametrov (ARPA) vrhnje domene.
  • administracijo določenih obveznosti povezanih z internetnimi DNS root področji (root zone) > kot so gTLDji in ccTLDji.
  • dodeljevanje internetnih številčnih virov, ki vključuje tudi koordinacijo IP naslovov.

Poenostavimo vse zgoraj napisano;

Da bi dosegli željeno osebo preko interneta morate napisati njen nasov – ime ali številko. Ta naslov mora biti edinstven, da računalnik lahko ve, katero osebo iščete in kje jo najti. ICANN koordinira te posebne številke preko celega sveta. Brez teh številk ne bi imeli svetovnega interneta.

SLIKA;  https://whois.icann.org/en/dns-and-whois-how-it-works

  1. vpišemo željeni naslov spletne strani, ki jo želimo obiskati. Ta naslov (domensko ime) je edinstveno.
  2. Domensko ime je poslano na strežnik, ki prevede to ime v številko – IP naslov.
  3. Tem imenom in številkam pravimo tudi posebni identifikatorji in vsebujejo posebne protokole, ki omogočajo, da se računalniki lahko pogovarjajo med seboj ter se razumejo.
  4. Funkcija IANA (ki jo upravla ICANN) je zagotovitev, da pridete preko vseh teh številk in protokolov na pravo mesto, ki ste ga iskali.

Standardizacija internetnih protokolov je bistvena za zagotovitev, da bo internet še naprej deloval ter, da bodo komunikacijski sistem med vsemi, ki uporabljamo različne opreme, še vedno delovali.
Domenska imena ter interntne številke so posebne oblike parametrov protokola, seveda pa je še ogromno ostalih protokolov, ki zahtevajo koordinacijo in morajo biti globalno edinstveni.

Poglejmo si nekatere parametre protokola:

  • številke vrat (port), npr. 80
  • jezikovne značke, npr. fr, en…
  • HTTP statusi kode, napr. 404
  • medijski tipi, napr. formati – video, slike…

Internetne protokole ustvarja in določi IETF (The Internet Engineering Task Force), ti se odražajo v osnutkih dokumentov imenovanih RFC, RFCji opisujejo komunikacijski mehanizem, v uporabi, ali predlagani za uporabo, za internetne protokole, IANA jih pregleda, določi kje morajo biti protokoli nameščeni v registrih, ki jih ohranja/vzdržuje ICANN.

.ARPA (Address and Routing Parameter Area) domena se uporablja izključno za tehnično infrastrukturne namene – napr. protokole, ki zahtevajo neko obliko operativne infrastrukture v sistemu domenskih imen (pot za pretvorbo IP naslova v domensko ime).

Nekaj primerov .arpa domene:

  • arpa = za pretvorbo IPv6 naslovov v internetna domenska imena
  • arpa = za pretvorbo E.164 številk v internetne URLje

Več: https://www.iana.org/domains/arpa

Bližje si oglejmo funkcijo dodeljevanje internetnih številčnih virov, predvsem nalog iz zadev, ki se bolj tičejo naslovov ter domen:

IP naslovi: IPv4 in IPv6

Internet deluje tako, da za pretok podatkov med napravami le-te uporabljajo sistem enotnih identifikatorjev imenovanih IP naslovi.
Poznamo IPv4 in IPv6.

RIR (Regional Internet Registries)

Pet regionalnih internetnih registrov, ki temeljijo na članstvu in delujejo v različnih regijah:

  • ARIN (American Registry for Internet Numbers)
  • LACNIC (Latin America and Caribbean Network Information Centre)
  • AFRINIC (African Network Information Center)
  • RIPE NCC (Réseaux IP Européens Network Coordination Centre)
  • APNIC (Asia Pacific Network Information Centre)

SLIKA: https://www.ripe.net/participate/internet-governance/internet-technical-community/the-rir-system

  • Upravljajo in registrirajo IP številske prostore znotraj določenega območja.
  • Zagotavljajo globalne internetne vire in povezane storitve (IPv4, IPv6 in AS številčne vire) članom njihove storitve v regiji.
  • Vsaka RIR skupnost sodeluje v procesu razvoja pravil. Globalna pravila so toraj konsenz vseh petih regionalnih registrov preden se pravila ratificirajo, nato jih ICANN iplementira.

ICANN je odgovoren za vzdrževanje evidence o dodeljenih in nedodeljenih blokov IPv4, IPv6 naslovov in ASN; je odgovoren za dodeljevanje velikih blokov teh naslovov petim RIR glede na globalno politiko.

Več o domenah

GNSO (Generic Names Supporting Organization) in ccNSO (Country Code Names Supporting Organization) razvijata pravila povezana z večino vrhnjih domen.

DNS (Domain Name System) je hiearhičen. Vsaka “pika” predstavlja nov nivo v hiearhiji.

SLIKA: https://archive.icann.org/en/meetings/saopaulo/presentation-dns-conrad-07dec06.pdf

Na vrhu lestvice je root, ta vsebuje informacije o TLDjih (gTLDji in ccTLDji).

Za delovanje DNSja morajo obstajati (biti vpisani) strežniki, ki se odzivajo na poizvedbe ter sprožijo prevod med domenskim imenom in vrednostjo povezano s tem imenom.
Takšni strežniki se imenujejo root servers.

Glede na vzpostavljeno politiko in postopke se ICANN obnaša kot globalni koordinator DNS roota ter je odgovoren za:

  • Ocenjevanje in priporočanje za odobritev, ustvarjanje, ali spremembe TLDjev v rootu.
  • Preverjanje zahtevanih sprememb v območju root, ki se izvajajo in za izvajanje sporočil prosilcu.
  • Vrednotenje zahtev za spremembe v območju root, da se zagotovi, da so v skladu s sedanjimi politikami in postopki.
  • Posodabljanje podatkov v podatkovni bazi root območja (vključno s podatki, objavljeni v “WHOIS” storitvi), da odražajo spremembe v podatkih, povezanih s TLD.
  • Upravljanje Key Signing Key (KSK) za root območje, ki je osrednjega pomena za izvajanje varnosti DNS uporabljajoč izboljšave na DNSSEC protokolu.

IANA:

  • Poleg upravljanja z DNS root cono, IANA vodi tudi register .int, in .arpa območje;
  • IANA ima pravico usklajevati globalni IP oziroma AS številski prostor, dodeljevanje teh RIRom; IANA tako predstavlja glavno skladišče za številne registre in imenske protokole.

Viri:

http://www.iana.org/about
http://www.iana.org/domains/arpa
https://www.icann.org/resources/pages/welcome-2012-02-25-en

https://www.ripe.net/about-us/what-we-do
https://icannwiki.com/Internet_Assigned_Numbers_Authority#cite_note-2

ICANN logotip slika: https://www.icann.org
IANA logotip slika: https://www.iana.org

 

Kako preusmerim svojo WordPress spletno stran iz HTTP na HTTPS

Ko imate na strežniku nameščen SSL certifikat za varno povezavo preko HTTPS je potrebno vašo spletno stran preusmeriti iz HTTP na HTTPS.

Na primer, da imate domeno vasadomena.nekaj, ki se prikazuje takole; http://www.vasadomena.nekaj

Spletno stran ustvarjeno v WordPress lahko preusmerite na dva načina:

  • preko vtičnika (plug-in) ali
  • preko .htaccess datoteke, ki se nahaja na vašem strežniku.

Ko boste preusmerili vašo spletno stran na HTTPS se bo vaša povezava prikazovala takole; https://www.vasadomena.nekaj
 

POZOR, VAŠA DOMENA MORA IMETI SSL CERTIFIKAT!
SSL certifikati so vam na voljo na naši spletni strani > SSL certifikati
Pri izbiri pravega vam z veseljem pomagamo, pišite nam na info@zabec.net.

  • Preusmeritev spletne strani preko vtičnika (plug-in)

Če ste začeli z uporabo SSL od prvega dane objave vaše spletne strani, potem so že vse statične datoteke (npr. slike) že objavljene tako, da uporabljajo HTTPS.

Če ste si uredili SSL certifikat kasneje, pa imate spletno stran na kateri je veliko statičnih datotek, ki so objavljene na strani z »NON-HTTPS«, torej HTTP naslovi. V tem primeru jih boste morali spremeniti. Če tega ne uredite bo brskalnik prikazal opozorilo o varnostni težavi, tudi če imate na samem strežniku že nameščen SSL certifikat.

Vtičnik »Easy HTTPS Redirection Plugin« vam omogoči, da lahko »na silo« preusmerite statične datoteke na varno povezavo, HTTPS. Tako bo vaša spletna stran v celoti združljiva s SSL certifikatom.

Uporaba vtičnika omogoči samodejno preusmeritev na HTTPS (Enable automatic redirection to the HTTPS).

Ko omogočite to možnost se bo vaša spletna stran http://www.vasadomena.nekaj avtomatsko preusmerila na varno povezavo https://www.vasadomena.nekaj , tako vas bodo obiskovalci vaše spletne strani obiskali preko varne povezave.

Ko namestite vtičnik, ga poiščite v Nastavitvah (Settings) in izberite HTTPS Redirection.

Ko imate pred seboj nastavitve vtičnika pri prvi izbiri določite, da se vaša stran usmeri na HTTPS, pri drugi izbiri pa omogočite, da se vse statične datoteke (slike) prikazuje preko HTTPS povezave.

Vtičnik vas vpraša ali želite preusmeriti celotno stran na HTTPS ali samo določene strani – izberite preusmeritev celotne strani (Whole page) in kliknite Shrani (Save).

  • Preusmeritev vaše spletne strani preko .htaccess datoteke

Če želite vašo spletno stran preusmeriti »ročno« na varno povezavo HTTPS, to storite z urejanjem .htaccess datoteke na vašem gostovanju in pa z urejanjem povezave v administraciji WordPress-a vaše spletne strani.

V administraciji spletne strani poiščite Nastavitve (Settings) in Splošno (General) – Tukaj uredite Naslov za WordPress ((URL) (WordPress Address (URL)) in Naslov spletišča ((URL) (Site Address (URL))

Uredite jih tako, da pri http://www.vasadomena.nekaj spremenite http v https.

Ko ste naredili sledeče, morate v kontrolni plošči urediti še .htaccess datoteko – odprete .htaccess datoteko, ki se nahaja v public_html mapi in čisto na začetku dodate naslednje vrstice:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://www.vasadomena.nekaj/$1 [R,L]

</IfModule>

Bodite pozorni, da »https://www.vasadomena.nekaj« spremenite v vašo kupljeno domeno.

V wp-config.php dodamo še zapis:

define(‘FORCE_SSL_ADMIN’, true);

Čisto na koncu pa ne pozabite dodati vašo https stran ponovno v Google Webmaster Tools, tako boste Googla obvestili o spremembi, ki ste jo naredili.

Kaj je IP in zakaj lahko pride do blokade?


Kaj je IP?

Je številka računalnika v omrežju interneta. Številke se med seboj ločujejo s pikami.
Primer: 91.185.203.178 je IP – naslov našega strežnika Gaja.

IP – naslov je lahko statičen ali dinamičen.

Statičen IP – naslov uporabljamo predvsem pri strežnikih, saj uporabljamo konstantno isti naslov, dinamičen IP – naslov pa je nov naslov vedno, ko vzpostavimo povezavo.

Zakaj lahko pride do blokade?

Požarni zid deluje kot filter med omrežjem strežnika in interneta. Določite pravila kdo oz. kaj se lahko poveže z internetom in kakšne povezave se lahko izvede. Obstaja več različnih pravil katere požarni zid uporablja za filtriranje informacij, nekatere se uporabljajo tudi v kombinacijah. Ta pravila delujejo na različnih plasteh omrežja, ki določa kako specifične so lahko možnosti filtriranja.
Naši požarni zidovi na strežnikih imajo t.i. lfd. To je proces, ki se nenehno izvaja in vsakih nekaj sekund pregleda dnevniške datoteke kjer se zapisujejo neuspeli poizkusi prijave, ki se zgodijo v zelo kratkem času. Lfd proces je namenjen obrambi pred napadom z metodo grobe sile (brute-force attack), kjer napadalec s programom poizkuša uganiti pravilno geslo in se prijavlja v strežnik. To se izvaja v časovnem obdobju sekund. Proces reagira na vzorec in tako blokira IP naslov iz katerega prihajajo neuspele prijave.

Da je vaš IP blokiran izveste tako, da se vam ob prijavi na strežnik izpiše napaka »Povezava je potekla« (connection timed out). Napaka se pojavi ob povezavi na strežnik preko poštnega odjemalca, FTP odjemalca, če želite dostopati do kontrolne plošče ali če obiščete svojo spletno stran medtem, ko vam druge storitve delujejo normalno.

Najbolj tipični razlogi za blokado uporabnika so naslednji:

  1. Uporabnikov poštni odjemalec ima zelo nizki interval preverjanja novih poštnih sporočil, ki povzroča številne poskuse povezave do poštnega strežnika še posebej, če veliko uporabnikov dostopa do pošte prek skupne povezave.
  2. Uporabnik uporablja stara ali napačna gesla za poštni odjemalec, FTP odjemalec ali kontrolno ploščo gostovanja, kar požarni zid zazna kot napad z metodo grobe sile (brute-force attack).
  3. Uporabnik FTP odjemalca ima nastavljene zelo veliko število hkratnih povezav na strežnik, zaradi česar požarni zid zazna kot napad z zavrnitvijo storitve (denial of service attack).
  4. Spletna stran ali aplikacija, ki se posodobi ali zahteva dostop do strani se interpretira kot poskus vdora v spletno mesto preko spletne aplikacije. Zaščita se imenuje mod_security.

Kaj lahko storijo naše stranke v primeru blokade IPja?

1. Svoj IP si lahko odblokirate v portalu moj.zabec.net na vstopni strani ali nam ga sporočite na info@zabec.net (z vsemi potrebnimi podatki)
2. Kako izvem svoj ip? odprite povezavo ip.zabec.net in pokazala se vam bo številka ločena s pikami.

Zgodba o Vidi in Staši

 

To je zgodba o Vidi in Staši. Vida in Staša sta računovodji in vsako leto pride mesec, ko sta zaradi oddaje letnih poročil in bilanc še posebej zasuti z delom, delata tako rekoč od jutra do večera, računalnik pa je pri njunem delu nepogrešljivo orodje. V petek pozno popoldne, sta od Nataše, dobre prijateljice, ki petkovo popoldne običajno popestri s kakšno dobro šalo, prejeli elektronsko sporočilo s povezavo na nadvse zabavno video vsebino, in to v slovenskem jeziku. Ker je to v Natašini navadi, sta Vida in Staša brez pomisleka povezavo obiskali.

A šlo je za prevaro….
Nepridiprav je spretno izkoristil njuno zaupanje in naivnost ter na takšen način v njune računalnike vsilil zlonamerno programsko kodo, izsiljevalski kripto virus. Takoj po obisku povezave, ki je sicer zvito postregla tudi s prikupno video vsebino, v ozadju osebnega računalnika pa je koda spletne strani izkoristila ranljivost in namestila kripto izsiljevalski virus, ki je nemudoma pričel s šifriranjem vseh vsebin v računalniku.

Po ogledu posnetka sta obe nadaljevali z delom. Obe sta sicer opazili, da računalnika delujeta nekoliko upočasnjeno, vendar temu nista posvečali posebne pozornosti, navsezadnje to niti ni nič nenavadnega. Čez nekaj ur je sledilo presenečenje. Oba računalnika sta zahtevala ponoven zagon, ki ga ni bilo mogoče preskočiti, po vnovičnem zagonu, pa je obe na zaslonu pričakalo sporočilo. Sporočilo, da so vsi podatki v njunih računalnikih šifrirani, spletni kriminalci, pa so od njiju za prevzem gesla za dešifriranje zahtevali, da preko plačilnega sistema Bitcoin opravita plačilo v vrednosti 1.000,00 EUR.

Staša čaka v skrbeh ali bo lahko nadaljevala z delom…
Podatki v obeh računalnikih so bili nedostopno šifrirani, tako rekoč edina možnost za povrnitev, vsaj v doglednem času, pa je plačilo izsiljevalske kupnine. Staša je nemudoma stopila v stik s podjetjem, ki vzdržuje programsko opremo za vodenje računovodstva. Obvestili so jo, da ji lahko vzpostavijo stanje na čas, ko je bilo opravljeno zadnje varnostno kopiranje, da zato potrebujejo sveže nameščen računalnik in da bo postopek trajal do dva dni.

Pa Vida? Vida lahko z delom nadaljujeje takoj! Kako je to mogoče…
Vida je, kljub temu, da se ji je pripetila popolnoma enaka situacija, svoje delo lahko nadaljevala že čez pol ure. Kako je to mogoče? Vida je potrebovala le nadomestni računalnik, vse svoje delo namreč opravlja znotraj namizja v oblaku. Tako kot Staši, je, tudi Vidi isti kripto izsiljevalski virus zaklenil vse datoteke v osebnem računalniku, vendar pa Vida v svojem osebnem računalniku ni hranila pomembnih datotek. Je že res, da je izgubila kakšno fotografijo, in morda še kakšno nepomembno reč, za poklicno delo pa je uporabljala izključno storitev namizja v oblaku, kamor je vestno odlagala tudi vse pomembne dokumente.

Staši zaradi časovne stiske žal ni preostalo drugega, kot da spletnim goljufom izplača visok želeni znesek. To je bila najhitrejša pot za povrnitev podatkov, saj bi alternativna možnost, ki bi verjetno bila nekoliko cenejša, prinesla preveliko  izgubo, trajala pa bi predolgo.

Zgodba je izmišljena, ampak to sploh ni važno. Za več informacij obiščite https://zabec.cloud/ .

10 najpogostejših WordPress napak (errors) in rešitve zanje

Pred odpravo napak ali spreminjanjem si ustvarite backup!

1.     Internal Server Error ali tudi “500 Internal Server Error”

Takšna napaka se pojavi kadar strežnik ne more idetificirati težave. Ker nam tudi sama napaka tako ne pove kje iskati težavo je iskane rešitve oteženo, vendar ne nemogoče.

Napaka je največkrat povezana:
* s funkcijami vtičnikov ali teme,
* s PHP memory limit ali
* corrupted .htaccess file.

Možne rešitve

Corrupted .htaccess file > probajte preimenovati glavno .htaccess datoteko v nekaj drugega, naprimer .htaccess_new ali .htaccess_old
Ko ste datoteko preimenovali ponovno osvežite vašo spletno stran.
V kolikor je to pomagalo ne pozabite preimenovati Permalinkov (Settings > Permalinks > Save).

PHP memory limit > Glejte rešitev za napako pod številko 6

Če vidite to napako izključno takrat, ko se želite prijaviti v WP admin ali kadar želite naložiti sliko v wp-admin potem poizkusite sledeče:
1. Ustvarite prazno tekstovno datoteko imenovano php.ini
2. Prilepite kodo memory=64MB vanjo
3. Shranite
4. Preko FTPja jo naložite v /wp-admin/ folder
Ta napaka se zgodi kadar nekaj izčrpava vaš spomin, navadno je to slaba koda vtičnika ali teme.

Vtičniki (Plugins) > v kolikor nič drugega ni delovalo je napaka skoraj sigurno povezana z enim od vaših naloženih vtičnikov ali morda v nekompatibilnosti dveh različnih vtičnikov, ki sta vključena istočasno.
Deaktivirajte vse vaše vtičnike naenkrat. Če se napaka ne pojavi več, potem ste skoraj že odkrili vzrok. Vključite vtičnik po vtičnik nazaj, tako boste našli tistega (ali kombinacijo), ki vam povzroča težave.
Najbolje je, da takšno napako prijavite avtorju vtičnika, da jo ta lahko odpravi.

V kolikor zaradi napake ne morete dostopati do same administracije, lahko vtičnike deaktivirate tudi ročno, tako da se na strežnik povežete preko FTP protokola in preimenujete mape, ki se nahajajo v wp-content/plugins/ mapi. Vsaka mapa je svoj vtičnik, ko mapo preimenujete (npr. myplugin v myplugin_test) se vtičnik avtomatično deaktivira.

Če nič od tega ne pomaga je najbolje, da preverite error log v vaši kontrolni plošči gostovanja, za kar je najbolje, da se obrnete na razvijalca.

2.    Syntax Error

Napaka se največkrat pojavi, ko preizkušamo kaj novega na naši WP strani, posebej pogosta je pri začetnih uporabnikih, navadno gre za to, da smo pozabili kakšno piko, oklepaj…prav tako pa je to za začetnike tudi najbolj straša nakapa, saj povzroči nedosegljivost spletne strani….vendar brez panike.

Poglejte si najpogosteše napake, ki ste jih lahko storili tukaj.

Možne rešitve

Da napako lahko odpravite je potrebno popraviti kodo kar lahko storite preko FTPja. Prijavite se preko FTPja na vašo stran ter poiščite datoteko, ki jo je potrebno poraviti. V kolikor ste vmes pozabili kje se ta koda nahaja poglejte error code > napaka vam bo pokazala v kateri datoteki in katero vrstico kode je potrebno popraviti.

Kodo, ki ste jo nazadnje dodali in je pokvarjena lahko odstranite ali jo popavite. Ko boste storili željeno, shranite stvari ter jih popravljene naložite nazaj na strežnik. Osvežite vašo stran.

Kako uporabljati FTP (Prav tako kot na posnetku, tudi mi priporočamo Filezillo.)

3.    Error Establishing a Database Connection

Kot že sama napaka pove se stran ne more povezati s podatkovno bazo.
To se največkrat zgodi zaradi napačnih vstopov ali prilagoditev v database host, database username in database password.

1. Preverite ali se vam pojavi enaka napaka na front-end (stran) in back-end (wp-admin) > “Error establishing a database connection”.

Možne rešitve

Database password sprememba


Database username


Database host


2. Če napaka ni enaka potem boste morali popraviti vašo podatkovno bazo.
Kar lahko storite tako, da dodate vrstico
define(‘WP_ALLOW_REPAIR’, true); v wp-config.php. pred stavkom ‘That’s all, stop editing! Happy blogging’

Ko ste to storili pojdite na
http://www.vasastran.koncnica /wp-admin/maint/repair.php
Uporabite možnost Repair and Optimize Database. Po tem ne pozabite odstraniti Repaira iz vašega wp-config.php.

4. White Screen

Ena najbolj nadležnih napak, ki ne pokaže težave, poleg tega pa vas še zaklene ven iz WP kontrolne plošče.

1. Če ste stran nalagali na strežnik in se vam pojavi bela stran potem je vrjetno prišlo do napake v izvajanju PHP kode, bodisi zaradi manjkajočega modula ali zaradi napake.  Prvi korak je iskanje vzroka za kar vam bo v veliko pomoč “error log”, ki ga najdete v kontrolni plošči gostovanja.

2. Če se vam kar naenkrat pokaže bela stran pa je pri WP največkrat takšna težava zaradi PHP memory limit, napačno delovanje vtičnika ali slabe kode teme, ki jo uporabljate.

Možne rešitve

Povečajte PHP memory limit, če to ni pomagalo (ali je vaš limit že nastavljen na 256M oz. 512M) potem preverite vtičnike. Izklop in počasen vklop vseh vtičnikov (podroben opis najdete pri napaki pod številko 1), če še to ne reši težave probajte vašo temo nadomestiti s privzeto temo.

Kako nadomestim mojo temo s privzeto?
Naredite backup datoteke Theme folder. Nato izbrišite temo, WP bi tako moral avtomatsko namestiti privzeto temo na vašo stran.

V kolikor nič od naštetega ni pomagalo si z izkanjem napake lahko pomagate tudi tako, da uporabite WordPress debug function.
Spodnjo kodo dodajte v wp-config.php.
Na vašem sedaj praznem zaslonu se vam bodo pokazale vse napake.
1         error_reporting(E_ALL); ini_set(‘display_errors’, 1);
2
3         define( ‘WP_DEBUG’, true);

Pri whitescreenu je velikokrat lahko napaka tudi na vtičniku
Torej v poštev pride ista zgodba z ročnim izklopom in vklopom vtičnikov kot je omenjeno že zgoraj.

5.    404 Error

Zelo pogosta napaka, ki se navadno pojavi samo na eni objavi (ne na celi strani), toraj, ko uporabnik klikne na neko vašo objavo na strani, se pojavi 404 napaka.

To se navadno zgodi, če se je izbrisala datoteka .htaccess ali je šlo nekaj narobe pri prepisu pravil.

Možne rešitve 

Težavo običajno reši popravek nastavitev Permalinkov.

V svojem WP adminu pojdite pod Settings > Permalinks > Save changes (ne spreminjajte ničesar, ubistvu samo shranite nespremembo).
To bo enostavno posodobilo vaše permalinke in ponovno zagnalo prepis pravil.
V večini primerov to reši 404 napako. V kolikor je ne, potem morate najvrjetneje posodobiti ročno svojo .htaccess datoteko.

6. Memory Exhausted Error – Increase PHP Memory

Kadar vaša koda zahteva več spomina, kot je nastavljeno privzeto (kar je navadno 64MB) se vam bo pojavila sledeča napaka:

Fatal error: Allowed memory size of 33554432 bytes exhausted (tried to allocate 2348617 bytes) in /home4/xxx/public_html/wp-includes/plugin.php on line

Možne rešitve

Spremeniti je potrebno wp-config.php datoteko vaše WP strani kar boste najlažje naredili s FTP clientom ali File Manager, ki se nahaja v kontrolni plošči gostovanja.

Prilepite kodo
define( ‘WP_MEMORY_LIMIT’, ‘256M’ );
v wp-config.php tik pred vrstico ‘That’s all, stop editing! Happy blogging.’
Kar pomeni, da ste povečali limit na 256 MB.

7. Image Upload Issue

Se vam slike v medijski knjižnici ne prikazujejo? Potem gre najvrjetneje za napačna dovoljenja kar lahko popravite preko FTP clienta (priporočamo FileZillo).

Možne rešitve

Povežite se z vašo spletno stranjo preko FTP clienta > poiščite mapo /wp-content/ > /uploads/ > v njem je file permissions.

1. Prvo si morate nastaviti dovoljenje za nalaganje > nastavite
*Numeric value na 744 (v kolikor ne bo delovalo probajte 755)
*Owner permissions > obkljukate Read, Write in Execute
* Group permissions > obkljukajte Read
* Public permissions > obkljukajte Read
* Obkljukajte Recurse into subdirectories ter Apply to directories only > OK


2. Potem morate nastaviti dovoljenje za vse datoteke v upload direktoriju
* Kliknite na uploads directory ter izberite Permissions
* Nastavite kot kaže slika


Tako sedaj se prijavite nazaj v vaš WP in naložite slikice.

8. Not Sending Email Issue

Vaša WP spletna stran ne pošilja spletne pošte. Za rešitev si je najlažje ogledati videoposnetek ter slediti navodilom v njem.

9.     Error Too Many Redirects

Pogosta napaka s katero se sreča skoraj vsak uporabnik WP, pojavi se zaradi napačno nastavljenih preusmeritev.

Sam WP, ki je SEO prijazen uporablja redirecte, prav tako jih uporabljajo nekateri vtičniki (napr. WordPress SEO, Cache…). V kolikor pride do napačno nastavljenih preusmeritev v enem od teh orodij se kaj hitro lahko zgodi, da stran prične preusmerjati uporabnike na URL, ki jih potem spet prav za prav preusmerja na klicani (že preusmerjeni) URL. V tem primeru se vaš brskalnik ujame v zanko dveh strani in se vam pojavi omenjena napaka.

Možne rešitve

To lahko rešite v wp-config.php datoteki preko FTP clienta. Ko ste tako povezani na vašo stran, poiščite wp-config.php > prenesite in uredite (download and edit) datoteko (najbolje z uporabo Notepd).
Dodajte sledeči dve vrstici datoteki:
1             define(‘WP_HOME’,’http://example.com’);
2             define(‘WP_SITEURL’,’http://example.com’);
example.com nadomestite s svojo domeno. Shranite spremembo in naložite datoteko nazaj na strežnik.

Probajte sedaj dostopiti do vaše WP strani, v kolikor še vedno ne deluje poizkustite s spremembo z dodanim www. na obeh vrsticah.

Zgoraj opisano lahko naredite tudi preko wp-admina.
Pojdite pod General Settings in poskrbite, da bosta Site URL in WP URL enaka, toraj brez www ali z www ter ista domena.

10.  Fatal Error: Maximum Execution Time Exceeded

WordPress je kodiran v PHP programskem jeziku. Za zaščito spletnih strežnikov pred zlorabo je določen rok, koliko časa lahko teče PHP skripta na strežniku.

Nekateri ponudniki gostovanj imajo te vrednosti na najvišji možni čas medtem, ko drugi na nižji čas. Ko skripta doseže maksimalen možen čas za izvedbo storitev je posledica napaka, da je »it results into maximum execution time exceeded error.« 
Presežen maksimalen čas izvajanja skripte

Možne rešitve

Obstajata dva načina kako lahko odpravimo napako. Prvi način je, da ročno uredimo .htaccess datoteko in drugi način tako, da enako lahko to storite s vtičnikom.

.htaccess datoteka se nahaja na vašem strežniku v enaki mapi kot je /wp-content in /wp-admin. V kodi je napisano, da je maksimalen čas izvedbe nastavljen na 300  sekund oz. 5 minut. Če se vam pojavi zgoraj opisana napaka, to vrednost nastavite na 600 sekund.

Če vam metoda preko .htaccess datoteke ne odgovarja, si lahko naložite WP Maximum Execution Time Exceeded vtičnik. Vtičnik avtomatično prilagaja vrednosti na 300 sekund.
Vir: http://www.wpbeginner.com/wp-tutorials/how-to-fix-error-too-many-redirects-issue-in-wordpress/

Pozor, vaš FB račun bo blokiran! Razen, če kliknete na link…

Ste tudi vi oz. vaša Facebook stran prejela od t.i. Notification Pages (nekateri prejemajo tudi od FB Security Pages), da bo vaš račun blokiran v kolikor ponovno ne potrdite računa? Seveda s klikom na link…

Goljufi z naslovno sliko in uporabo besed kot sta Facebook, Bloking… ter naslova Facebooka želijo prestrašiti uporabnike, da ti kliknejo na link ter ponovno vpišejo uporabniško ime (spletno pošto) in geslo.

Gre za krajo gesel (phishing) s čimer si pridobijo nadzor nad vašo FB stranjo oz. profilom.

Kako veste, da vas niso kontaktirali iz Facebooka?

  • Kot prvo njihove uradne strani imajo modro kljukico.

    Facebook uporablja dve barvno različni kljukici – modro kljukico (pomeni, da je Facebook potrdil profil ali stran kot avtentično. Uporablja se za javne osebnosti, medijska podjetja in znamke) ter sivo kljukico (z njo Facebook potrdi, da gre za pravo, avtentično stran, profil podjetja ali organizacije)
    Žal kljukice še niso vsem (geografsko) na voljo.
  • Facebook vas ne kontaktira z deljenjem objave
  • Stran deli enake komentarje za vsako stran, ki jo bodo “izključili”
  • S klikom na povezavo se več ne nahajate na Facebook strani (domeni)

Kaj lahko storite?

  • Blokirajte sporočila te strani
  • Prijavite stran kot prevaro
  • Povezavo do FB strani, ki je komentirala vašo objavo lahko pošljete tudi na cert@cert.si kjer bodo poskrbeli, da onemogočijo krajo gesel.