Kaj je CSRF ranljivost WordPressa?

CSRF (Cross-Site Request Forgery znan tudi kot Napad z enim klikom ) je napogostejša ranljivost na vtičnikih in temah.

Verzije starejše od 4.0. so ranljive za CSFR – posodobite svoj WP!

Kako lahko uporabimo NONCE?

NONCE (Number used ONCE) .NONCE se uporablja na zahtevo in prepreči nepooblaščen dostop tako, da uporabi skrivni “ključ” in to preveri vsakič, ko se uporabi koda.

Nonce lahko ustvarite in ga dodate v niz poizvedb v URLju, lahko ga dodate v skrito polje v formi ali ga uporabite kako drugače. Če ga boste uporabili v AJAX-u potem ga dodajte v skrito polje, iz kjer ga JavaScript lahko pridobi.

Upoštevati je potrebno, da so Nonce-nci edinstveni za trenutnega uporabnika seje, tako da, če se le ta logira ali odlogira asinhrono noben Nonce-ns na strani ne bo več veljaven.

Kako ga uporabite?
https://codex.wordpress.org/WordPress_Nonces

1. DODAJANJE

  • Dodajanje v URL

Kličite
wp_nonce_url()
navedite čisti URL in niz, ki predstavlja dejanje.

Primer: $complete_url = wp_nonce_url( $bare_url, ‘trash-post_’.$post->ID );

Poskrbite, da bo niz, ki predstavlja dejanje kar se da natančen.

wp_nonce_url() privzeto doda polje z imenom
 _wpnonce,
ime lahko spremenite pri klicu funkcije:
$complete_url = wp_nonce_url( $bare_url, ‘trash-post_’.$post->ID, ‘my_nonce’ );

  •  Dodajanje v formo

Kličite
wp_nonce_field()
natančno določite niz, ki predstavlja dejanje.
wp_nonce_field() privzeto generira dva skrita polja (eno katerega vrednost je Nonce in enega katerega vrednost je trenuten URL (the referrer), kar se odraža kot rezultat)).

Napr:
wp_nonce_field( ‘delete-comment_’.$comment_id );
Morda celo nekaj takega:
<input type=”hidden” id=”_wpnonce” name=”_wpnonce” value=”796c7766b1″ />
<input type=”hidden” name=”_wp_http_referer” value=”/wp-admin/edit-comments.php” />
Bolj podrobno: https://codex.wordpress.org/Function_Reference/wp_nonce_field

Poskrbite, da bo niz, ki predstavlja dejanje karseda natančen.

  • Ustvarjanje Nonce-nsa za uporabo na drug način

Kličite
wp_create_nonce()
natančno določite niz, ki predstavlja dejanje.

Napr:
$nonce = wp_create_nonce( ‘my-action_’.$post->ID );
Kar enostavno vrne nazaj Nonce:
Napr: 295a686963

2. PREVERJANJE

  •  Nonce, ki je bil poslan v URL iz admin zaslona

Kličite
check_admin_referer()
natančno določite niz, ki predstavlja dejanje.

Napr: check_admin_referer( ‘delete-comment_’.$comment_id );

Ta klic preverja Nonce in napotitelja (referrer), če pregled ni uspešen potem se izvede normalna akcija (zaključeno izvjanje skript s “403 Forbidden” odzivom in sporočilo o napaki).

Če niste uporabili privzetega imena polja  (_wpnonce), ko ste ustvarili Nonce, potem določite ime polja:
check_admin_referer( ‘delete-comment_’.$comment_id, ‘my_nonce’ );

  • Nonce, ki je bil poslan v AJAX zahtevo

Za preverjanje kličite
check_ajax_referer()
natančno določite niz, ki predstavlja dejanje.

Napr: check_ajax_referer( ‘process-comment’ );

Če niste uporabili privzetega imena polja (_wpnonce ali _ajax_nonce), ko ste ustvarili Nonce lahko določite dodatne parametre.
Za več glejte: https://codex.wordpress.org/Function_Reference/check_ajax_referer

  • Preverjanje nonce-nsa za uporabo na drug način

Kličite
wp_verify_nonce() določite nonce in niz, ki predstavlja dejanje.

Napr: wp_verify_nonce( $_REQUEST[‘my_nonce’], ‘process-comment’.$comment_id );

Če je rezultat napačen ne nadaljujete s procesom, raje kličite wp_nonce_ays(), kar bo naredilo “403 Forbidden” odziv v brskalniku z error sporočilom: “Are you sure you want to do this?”.

3. SPREMINJANJE NONCE SISTEMA

Nonce sistem lahko prilagodite tako, da dodate različna dejanja in filtre.

  • Spreminjanje Error sporočila

function my_nonce_message ($translation) {
 if ($translation == ‘Are you sure you want to do this?’)
    return ‘No! No! No!’;
  else
    return $translation;
  }

add_filter(‘gettext’, ‘my_nonce_message’);

  • Izvajanje dodatne verifikacije (preverjanja)

Dodajte
check_admin_referer dejanje.
Napr:
function my_additional_check ( $action, $result ) { … }
add_action( ‘check_admin_referrer’, ‘my_additional_check’, 10, 2 );

Za pregled check_ajax_referer() dodaj check_ajax_referer dejanje na isti način.

  • Spreminjanje Nonce Lifetime

Privzeto ima Nonce “življensko dobo” enega dneva, po tem času Nonce ni več veljaven četudi se ujema z nizom dejanj (akcije).

Če želite spremeniti lifetime dodajte
nonce_life
filter in določite lifetime v sekundah.

Napr:
add_filter( ‘nonce_life’, function () { return 4 * HOUR_IN_SECONDS; } );

4. VARNOST

Nonce je generiran tako, da uporablja KEY in SALT, ki sta edinstvena za vašo stran, če ste namestili WP pravilno.
Definirana sta v wp-config.php datoteki (datoteka vsebije komentarje, ki vam bodo dali več informacij).

Nonce se nikoli ne sme sklicevati na avtentikacijo ali avtorizacijo kontole dostopa.
Zaščitite funkcijo z uporabo current_user_can().

Vtičniki za zaščito:

Zadnje ranljivosti lahko spremljate na:

 

Viri:

Kako preusmerim svojo WordPress spletno stran iz HTTP na HTTPS

Ko imate na strežniku nameščen SSL certifikat za varno povezavo preko HTTPS je potrebno vašo spletno stran preusmeriti iz HTTP na HTTPS.

Na primer, da imate domeno vasadomena.nekaj, ki se prikazuje takole; http://www.vasadomena.nekaj

Spletno stran ustvarjeno v WordPress lahko preusmerite na dva načina:

  • preko vtičnika (plug-in) ali
  • preko .htaccess datoteke, ki se nahaja na vašem strežniku.

Ko boste preusmerili vašo spletno stran na HTTPS se bo vaša povezava prikazovala takole; https://www.vasadomena.nekaj
 

POZOR, VAŠA DOMENA MORA IMETI SSL CERTIFIKAT!
SSL certifikati so vam na voljo na naši spletni strani > SSL certifikati
Pri izbiri pravega vam z veseljem pomagamo, pišite nam na info@zabec.net.

  • Preusmeritev spletne strani preko vtičnika (plug-in)

Če ste začeli z uporabo SSL od prvega dane objave vaše spletne strani, potem so že vse statične datoteke (npr. slike) že objavljene tako, da uporabljajo HTTPS.

Če ste si uredili SSL certifikat kasneje, pa imate spletno stran na kateri je veliko statičnih datotek, ki so objavljene na strani z »NON-HTTPS«, torej HTTP naslovi. V tem primeru jih boste morali spremeniti. Če tega ne uredite bo brskalnik prikazal opozorilo o varnostni težavi, tudi če imate na samem strežniku že nameščen SSL certifikat.

Vtičnik »Easy HTTPS Redirection Plugin« vam omogoči, da lahko »na silo« preusmerite statične datoteke na varno povezavo, HTTPS. Tako bo vaša spletna stran v celoti združljiva s SSL certifikatom.

Uporaba vtičnika omogoči samodejno preusmeritev na HTTPS (Enable automatic redirection to the HTTPS).

Ko omogočite to možnost se bo vaša spletna stran http://www.vasadomena.nekaj avtomatsko preusmerila na varno povezavo https://www.vasadomena.nekaj , tako vas bodo obiskovalci vaše spletne strani obiskali preko varne povezave.

Ko namestite vtičnik, ga poiščite v Nastavitvah (Settings) in izberite HTTPS Redirection.

Ko imate pred seboj nastavitve vtičnika pri prvi izbiri določite, da se vaša stran usmeri na HTTPS, pri drugi izbiri pa omogočite, da se vse statične datoteke (slike) prikazuje preko HTTPS povezave.

Vtičnik vas vpraša ali želite preusmeriti celotno stran na HTTPS ali samo določene strani – izberite preusmeritev celotne strani (Whole page) in kliknite Shrani (Save).

  • Preusmeritev vaše spletne strani preko .htaccess datoteke

Če želite vašo spletno stran preusmeriti »ročno« na varno povezavo HTTPS, to storite z urejanjem .htaccess datoteke na vašem gostovanju in pa z urejanjem povezave v administraciji WordPress-a vaše spletne strani.

V administraciji spletne strani poiščite Nastavitve (Settings) in Splošno (General) – Tukaj uredite Naslov za WordPress ((URL) (WordPress Address (URL)) in Naslov spletišča ((URL) (Site Address (URL))

Uredite jih tako, da pri http://www.vasadomena.nekaj spremenite http v https.

Ko ste naredili sledeče, morate v kontrolni plošči urediti še .htaccess datoteko – odprete .htaccess datoteko, ki se nahaja v public_html mapi in čisto na začetku dodate naslednje vrstice:

<IfModule mod_rewrite.c>

RewriteEngine On

RewriteCond %{SERVER_PORT} 80

RewriteRule ^(.*)$ https://www.vasadomena.nekaj/$1 [R,L]

</IfModule>

Bodite pozorni, da »https://www.vasadomena.nekaj« spremenite v vašo kupljeno domeno.

V wp-config.php dodamo še zapis:

define(‘FORCE_SSL_ADMIN’, true);

Čisto na koncu pa ne pozabite dodati vašo https stran ponovno v Google Webmaster Tools, tako boste Googla obvestili o spremembi, ki ste jo naredili.

Zgodba o Vidi in Staši

 

To je zgodba o Vidi in Staši. Vida in Staša sta računovodji in vsako leto pride mesec, ko sta zaradi oddaje letnih poročil in bilanc še posebej zasuti z delom, delata tako rekoč od jutra do večera, računalnik pa je pri njunem delu nepogrešljivo orodje. V petek pozno popoldne, sta od Nataše, dobre prijateljice, ki petkovo popoldne običajno popestri s kakšno dobro šalo, prejeli elektronsko sporočilo s povezavo na nadvse zabavno video vsebino, in to v slovenskem jeziku. Ker je to v Natašini navadi, sta Vida in Staša brez pomisleka povezavo obiskali.

A šlo je za prevaro….
Nepridiprav je spretno izkoristil njuno zaupanje in naivnost ter na takšen način v njune računalnike vsilil zlonamerno programsko kodo, izsiljevalski kripto virus. Takoj po obisku povezave, ki je sicer zvito postregla tudi s prikupno video vsebino, v ozadju osebnega računalnika pa je koda spletne strani izkoristila ranljivost in namestila kripto izsiljevalski virus, ki je nemudoma pričel s šifriranjem vseh vsebin v računalniku.

Po ogledu posnetka sta obe nadaljevali z delom. Obe sta sicer opazili, da računalnika delujeta nekoliko upočasnjeno, vendar temu nista posvečali posebne pozornosti, navsezadnje to niti ni nič nenavadnega. Čez nekaj ur je sledilo presenečenje. Oba računalnika sta zahtevala ponoven zagon, ki ga ni bilo mogoče preskočiti, po vnovičnem zagonu, pa je obe na zaslonu pričakalo sporočilo. Sporočilo, da so vsi podatki v njunih računalnikih šifrirani, spletni kriminalci, pa so od njiju za prevzem gesla za dešifriranje zahtevali, da preko plačilnega sistema Bitcoin opravita plačilo v vrednosti 1.000,00 EUR.

Staša čaka v skrbeh ali bo lahko nadaljevala z delom…
Podatki v obeh računalnikih so bili nedostopno šifrirani, tako rekoč edina možnost za povrnitev, vsaj v doglednem času, pa je plačilo izsiljevalske kupnine. Staša je nemudoma stopila v stik s podjetjem, ki vzdržuje programsko opremo za vodenje računovodstva. Obvestili so jo, da ji lahko vzpostavijo stanje na čas, ko je bilo opravljeno zadnje varnostno kopiranje, da zato potrebujejo sveže nameščen računalnik in da bo postopek trajal do dva dni.

Pa Vida? Vida lahko z delom nadaljujeje takoj! Kako je to mogoče…
Vida je, kljub temu, da se ji je pripetila popolnoma enaka situacija, svoje delo lahko nadaljevala že čez pol ure. Kako je to mogoče? Vida je potrebovala le nadomestni računalnik, vse svoje delo namreč opravlja znotraj namizja v oblaku. Tako kot Staši, je, tudi Vidi isti kripto izsiljevalski virus zaklenil vse datoteke v osebnem računalniku, vendar pa Vida v svojem osebnem računalniku ni hranila pomembnih datotek. Je že res, da je izgubila kakšno fotografijo, in morda še kakšno nepomembno reč, za poklicno delo pa je uporabljala izključno storitev namizja v oblaku, kamor je vestno odlagala tudi vse pomembne dokumente.

Staši zaradi časovne stiske žal ni preostalo drugega, kot da spletnim goljufom izplača visok želeni znesek. To je bila najhitrejša pot za povrnitev podatkov, saj bi alternativna možnost, ki bi verjetno bila nekoliko cenejša, prinesla preveliko  izgubo, trajala pa bi predolgo.

Zgodba je izmišljena, ampak to sploh ni važno. Za več informacij obiščite https://zabec.cloud/ .

Pozor, vaš FB račun bo blokiran! Razen, če kliknete na link…

Ste tudi vi oz. vaša Facebook stran prejela od t.i. Notification Pages (nekateri prejemajo tudi od FB Security Pages), da bo vaš račun blokiran v kolikor ponovno ne potrdite računa? Seveda s klikom na link…

Goljufi z naslovno sliko in uporabo besed kot sta Facebook, Bloking… ter naslova Facebooka želijo prestrašiti uporabnike, da ti kliknejo na link ter ponovno vpišejo uporabniško ime (spletno pošto) in geslo.

Gre za krajo gesel (phishing) s čimer si pridobijo nadzor nad vašo FB stranjo oz. profilom.

Kako veste, da vas niso kontaktirali iz Facebooka?

  • Kot prvo njihove uradne strani imajo modro kljukico.

    Facebook uporablja dve barvno različni kljukici – modro kljukico (pomeni, da je Facebook potrdil profil ali stran kot avtentično. Uporablja se za javne osebnosti, medijska podjetja in znamke) ter sivo kljukico (z njo Facebook potrdi, da gre za pravo, avtentično stran, profil podjetja ali organizacije)
    Žal kljukice še niso vsem (geografsko) na voljo.
  • Facebook vas ne kontaktira z deljenjem objave
  • Stran deli enake komentarje za vsako stran, ki jo bodo “izključili”
  • S klikom na povezavo se več ne nahajate na Facebook strani (domeni)

Kaj lahko storite?

  • Blokirajte sporočila te strani
  • Prijavite stran kot prevaro
  • Povezavo do FB strani, ki je komentirala vašo objavo lahko pošljete tudi na cert@cert.si kjer bodo poskrbeli, da onemogočijo krajo gesel.

Kako izboljšati varnost Joomla spletne strani v 6 korakih

  1. Geslo
    – Ko ste si ustvarili spletno stran, ne obdržite prednastavljenega uporabniškega imena in gesla (ta je navadno kar admin).
    – Za vstop v administratorsko okolje zahtevajte geslo.

    Za pomoč:
    – Najslabša gesla, kako ustvariti dobro geslo:
    https://blog.zabec.net/kraja-gesel-najslabsa-gesla-so/
    – Administrativno okolje > ustvarite .httaccess v administrator directory: https://docs.joomla.org/How_do_you_password_protect_directories_using_htaccess%3F

  1. Razširitve
    Joomla vam ponuja ogromno možnosti razširitev, kadarkoli potrebujete kaj novega, vam je na voljo malo morje razširitev, ki jih lahko opravite s samo nekaj kliki.
    Pa vendar je potrebno pri tem biti izjemno previden, veliko razširitev je t.i. third party, kar pomeni, da niso uradne in večina vdorov se zgodi prav preko njih.

    – V kolikor razširitev več ne uporabljate, potrebujete, jih izbrišite. Več ko imate neposodobljene kode v vaši spletni strani, večja je možnost vdora in zlorabe.

    – Posodabljajte razširitve! Največkrat so na voljo t.i. security fixes, ki odpravljajo varnostne pomankljivosti. Nikoli jih ne izpustite.

    Za pomoč:
    – Lista ranljivih razširitev, ki se sproti posodablja:
    https://vel.joomla.org/live-vel
    – Testiranje razširitev v varnem okolju:
    https://www.joomlatools.com/developer/tools/vagrant/
    Sporočanje posodobitev razširitev:
    https://docs.joomla.org/Help36:Extensions_Extension_Manager_Update

  1. Dovoljenja
    Največji problem predstavlja dovoljenje, ki prav vsem dovoljuje, da lahko prilagajajo, dostopajo do datotek in jih gledajo, dovoljenje se imenuje 777.

    – Dovoljenja uporabljate samo tam kjer jih resnično potrebujete (pa še ta lahko omejite), vse ostalo naj ostane zaklenjeno.

    Za pomoč:
    – Tipična Joomla dovoljenja:
    PHP nastavljen na 0444 > nihče ne more zapisovati v dokument
    Imeniki nastavljeni na 0755 > samo lastnik imenika lahko zapisuje vanj, ostali ga lahko berejo in izvedejo.
    Datoteke nastavljene na 0644 > lastnik lahko zapisuje, ostali jih lahko samo berejo

  2. SSL certifikati
    SSL certifikat potrebujete v kolikor želite ustvariti varno komunikacijo med vašo spletno stranjo in uporabnikom.
    Če imate t.i. e-commerce spletno stran potem je ta certifikat nujno potreben (s SSLjem se med spletno prijavo v trgovino in uporabnikom ustvari kriptirana povezava, v kolikor SSLja nimate je prijava uporabnika v t.i. plain textu), za manjše spletne strani lahko sami precenite ali ga potrebujete ali ne. Vsekakor pa bo doprinesel https zaupanje v vašo spletno stran.

    Za pomoč:
    – Varna in zaupanja vredna spletna trgovina:
    https://blog.zabec.net/varna-in-zaupanja-vredna-spletna-trgovina/
    – Kateri SSL certifikat naj izberem:
    https://blog.zabec.net/kateri-ssl-certifikat-naj-izberem/
    Za pomoč pri izbiri se lahko obrnete tudi na naš podporni center: info@zabec.net
    Ponujamo vam več kot 30 različnih certifikatov: https://www.zabec.net/gostovanje/ssl-certifikati

  3. Posodobljena različica Joomle
    Ena izmed najbolj pomembnih stvari je redno posodabljanje Joomle na najnovejšo različico.
    Vendar pred vsako večjo posodobitvijo naredite backup.

    Za pomoč:
    – Joomla obvestila:
    https://www.joomla.org/announcements.html

  1. Utrdite PHP konfikuracijo
    Če potrebujete prenos dokumentov za upravljalca dokumentov, kot je napr. DOCman ali FILEman, sledečih možnosti ne nastavljajte.

    PHP directives lahko spremenite v vašem php.ini datoteki:

  • expose_php = 0 :
    s tem prikrijete katero različico PHPja uporabljate, tako napadalcem otežite delo, saj ne vedo točno katero ranljivost je najbolje izrabiti.
  • open_basedir = “/var/www/yoursite.com:/tmp/” :
    s tem ukažete PHPju, da lahko uporablja samo to mapo (privzeto je na shared strežnikih nastavljeno pravilno)
  • display_errors = 0 :
    s tem boste preprečili, da bi napadalci vedeli kje je možnost vdora v vašo stran
  • disable_functions = exec,passthru,shell_exec,system,
proc_open,proc_close,proc_terminate,popen,curl_exec,curl_multi_exec,
show_source,posix_kill,posix_getpwuid,posix_mkfifo,posix_setpgid,
posix_setsid,posix_setuid,posix_setuid,posix_uname,php_uname,syslog
    s tem onemogočite (izklopite) nevarne PHP metode, tako, da jih napadalci ne morejo uporabiti oz. škodovati vašemu sistemu.

Vir: https://www.incapsula.com/blog/10-tips-to-improve-your-joomla-website-security.html

Varna in zaupanja vredna spletna trgovina

Kako v porastu kiber-kriminala uspešno voditi
Varna in zaupanja vredna spletna trgovina
Oziroma, kaj potrebujem, da bo moji spletni trgovini zaupal širok krog uporabnikov

varnostrn

Porast spletnih trgovin
V zadnjem desetletju smo priča velikemu porastu spletnih trgovin in ostalih »e-commerce« rešitev, posledično pa se, razumljivo, povečujejo tudi aktivnosti spletnih kriminalcev, ki bodisi z goljufijami izkoriščajo naivnost uporabnikov, ali pa lahko-miselnost tistih upravljalcev spletnih trgovin, ki neustrezno skrbijo za varnost in s tem nepridipravom omogočijo odtujitev osebnih podatkov svojih kupcev.

Uporabniki so zaradi slabih izkušenj in odmevnih zgodb v medijih vse bolj previdni pri svojem nakupovanju. Statistike kažejo, da spletni uporabniki levji delež spletnih nakupov opravijo pri ponudnikih v tujini, zmotno pa je prepričanje, da je cena edini razlog, da se tako odločajo. Pogosto je razlog tudi v tem, da veliki mednarodni spletni trgovci praviloma poskrbijo za pozitivno varnostno izkušnjo uporabnika, med tem ko se mali domači trgovci običajno to plat popolnoma zanemarijo.

Enkripcija, varnost in zaupanje
Za varno in zaupanja vredno spletno trgovino je naloga upravljalca, iz vidika varnosti, predvsem zagotoviti, da spletna stran vsebuje elemente prepoznave, ki so se jih uporabniki naučili prepoznati kot varne, ter da navsezadnje zaupanje tudi upraviči s skrbnim ravnanjem. Najpomembnejši dejavnik pri pridobivanju zaupanja je uporaba pravega varnostnega SSL potrdila. SSL potrdilo zagotavlja v svoji osnovni definiciji dve zadevi;

  • Podatki, ki se prenašajo med obiskovalcem spletne trgovine in samo spletno trgovino, se na podlagi SSL potrdila globoko šifrirajo, kar ščiti uporabnika, ter uporabnikove osebne podatke, ter po drugi strani, z izpostavitvijo t.i. »zelene pasice«, oziroma »green bar-a«, uporabnika obvesti, da je spletna trgovina, v katero je vstopil, pristna in vredna zaupanja.
    Na voljo je cela kopica SSL potrdil, od brezplačnih, do osnovni, plačljivih in v končni fazi naprednih potrdil, ki vsebujejo osebno preverjanje in ob uporabi upravljalca spletne trgovine nadgradijo s popolno zeleno pasico, ki poleg oznake, da je stran vredna zaupanja, izpostavijo tudi naziv spletnega mesta in prav slednji način je edini pravi način za uporabo pri spletni trgovini.
    Brezplačna SSL potrdila, kot je denimo sistem Let’s encrypt, ki ga že ponujajo nekateri ponudniki spletnih gostovanj je v osnovi namenjen SSL zaščiti najbolj enostavnim stranem, za katere do danes niti ni bilo v navadi, da so opremljene z SSL zaščito, in zaradi tega popolnoma neprimeren za uporabo v spletni trgovini. Takšna potrdila se izdajo samodejno, brez človekovega posredovanja, kar pomeni, da je pristnost takšnega potrdila mnogo enostavneje potrditi.
    Najbolj osnovna, že plačljiva, oblika SSL potrdila, denimo Comodo PositiveSSL, zagotavlja osnovno preverjanje pristnosti z minimalnim človeskim posredovanjem. Takšna oblika je načeloma primerna, iz tehničnega vidika, saj zagotavlja minimalne varnostne standarde, vendar nima znakov posebne prepoznave, že prej omenjene razširjene zelene pasice.
    Potrdilo SSL z naprednim preverjanjem, kar pomeni, da izdajatelj certifikata naročnika osebno preveri, tudi s telefonskim klicem, se v spletnem brskalniku izrazi kot razširjena zelena pasica, ki uporabniku takoj pade v oči in to je najpomembnejši razlog, da bi to moralo biti edino SSL varnostno potrdilo, sprejemljivo za spletne trgovine.

Gostovanje
Ko uporabnik spletnemu trgovcu enkrat zaupa, je dolžnost trgovca, da to zaupanje upraviči. Pomemben dejavnik pri temu je skrb za zaščito in ustrezna hramba osebnih podatkov. Spletno stran, in torej tudi spletno trgovino, je moč v splet umestiti na več različnih načinov. Najbolj osnovni, in s tem tudi najbolj ugoden način, je umestitev spletne trgovine v nek sistem skupinskega, »shared hosting«, gostovanja.
Podatki spletne trgovine, skupaj z vsemi osebnimi podatki kupcev, se v tem primeru hranijo v skupnem strežniku, ki si ga trgovina deli skupaj z nekaj sto, ali celo tisoč, drugimi spletnimi mesti. Noben ponudnik gostovanja na takšen način ne more zagotavljati, da ne bo prislo do vdora, ali zlorabe ranljivosti, na kakšni drugi od teh strani.

VPS način gostovanja bi moral biti za spletne trgovine takorekoč nek minimalni standard.
V sistemih VPS, pri ponudnikih ki to ponujajo na pravilen način, to smo ponudniki, ki VPS gostovanja ponujamo na osnovi strojne virtualizacije, in ne »paravirtualizacije«, oziroma virtualizacije na podlagi skupnega jedra operacijskega sistema. Tako so podatki, in deovanje, spletnega sistema hermetično ločeni od ostalih uporabnikov, ponudniki gostovanj pa pri takšnih oblikah lahko ponudimo izredno visoko, skoraj 100 odstotno zagotovilo za varnost. Posledično spletna trgovina, ki jo poganja sistem VPS, deluje bolje in bolj ozivno, kar z varnostnega stališča sicer ni pombmeno, nudi pa vseeno bistveno boljšo uporabniško izkušnjo, kar pa je pomembno.

Za uspešen zagon in upravljanje spletne trgovino tako še zdaleč niso ključni le privlačna vsebina, ugodna ponudba in nabor artiklov, temveč tudi pravilna umestitev spletne trgovine v spletni prostor, zato je priporočljivo, da se upošteva navodila strokovnjakov za spletno varnost, čeprav se morda v začetku zdi to nepomemben in odvečen strošek.

Kako očistiti in popraviti okuženo (vlomljeno) WordPress spletno stran?

Kako vem, da so mi vdrli v mojo WP spletno stran?

6 najpogostejših znakov, ki kažejo na vdor:

  • Opozorila od Googla, da je vaša stran na t.i. Blacklist
  • Opozorila vašega ponudnika spletnega gostovanja, da je prišlo do okužbe/vdora
    Od Zabec.net prejmete sledeče sporočilo:screen-shot-2016-12-05-at-14-31-29screen-shot-2016-12-05-at-14-33-01
  • Nenavadno obnašanje spletnega brsklanika
  • Spam v iskalniku vsebine strani
  • Spremenjena vsebina ali opozorilo na spletni strani
  • Opozorila v samem Google iskalniku

Kaj storiti?

Držali se bomo 3 ključnih korakov:
1. idetifikacija vdora, 2. odstranjevanje posledic ter 3. kako ravnati naprej, da do tega več ne bi prišlo.

  1. Idetifikacija vdora
  • Eden boljših vtičnikov za idetifikacijo ali je prišlo do vdora v vašo WP stran, je vtičnik Sucuri security plugin > opravite inštalacijo.
  • Naredite t.i. scan svoje spletne strani > uporabite Securi vtičnik.
    Pojdite pod njihov Malware ter kliknite na Scan Website.
    V kolikor imate več strani na enem gostovanju, svetujemo, da opravite scan prav vseh.
    Če je vaša stran okužena se vam prikaže spodnji zapis (primer):

screen-shot-2016-12-05-at-14-48-48Pomembno je povedati, da se nekatere večje varnostne težave ne prikažejo ob malware scanu – napr. phishing, servers-based scripts…prikažejo pa se na strežniku. 

  • Preverite jedro
    Uporabite že prej omenjen Securi vtičnik, pojdite pod Dashboard ter Review the Core Integrity. Vsaka sprememba / dodane datoteke so lahko znak vdora.

Svetujemo da za hitro preverbo v direktoriju wp-content mawarea uporabite FTP client > FTPS, SSH sta boljša kot nekriptiran FTP.

  • Preverite ali je prišlo v dokumentih do sprememb
    Securi vtičnik > Dashboard > Review the Audit Logs.
    Neznane prilagoditve stare nekje 7-30 dni so sumljive.
  • Kdo vse se je prijavil?
    Uporabite Securi vtičnik > Last login
    Nepričakovane / nezane prijave so znak, da je nekdo nepovabljen vstopil v vaš račun.

Da je nekdo izrabil spletno stran se lahko prepričate tudi tako, da primerjate zdajšnje stanje vaše spletne strani s prejšnjim stanjem (backup).

2. Odstranimo posledice vdora

  • Počistimo datoteke
    V kolikor se okužba nanaša na jedro ali na vtičnike zadevo lahko odstranite z uporabo Securi vtičnika.
    Seveda lahko to naredite tudi ročno, vendar ne odstranite oz. ne prepišite wp-config.php ali wp-content datoteke.Prijavite se v Securi > Dashboard > pregeljte obvestila pod Core Integrity > isberite Modified in Removed files ter izberite restore source. Obkljukate I understand that thi operation can not be reverted > kliknite Proceed > Izberite Added files in izberite delete files.

    Datoteke povrnete s kopijami ali backupom.Opozorilo!
    Ročno odstranjevanje datotek in dokumentov iz vaše spletne strani je lahko izjemno rizično (v kolikor ne veste kaj delate), zato ga nikoli ne izvajajte brez backupa!
  • Počistimo okuženo podatkovno bazo tabel
    Za čiščene uporabite database admin panel s katerim se povežete na podatkovno bazo.
    Začetniki lahko uporabite vsebino sporočila, ki vam jo je podal malware scanner, tisti bolj napredni pa lahko uporabite PHP funkcije kot mapr. eval, base64_decode, gzinflate, preg_replace, str_replace…

Opozorilo!
Ročno odstranjevanje okužene kode iz vaše spletne strani je lahko izjemno rizično, zato ga nikoli ne izvajajte brez backupa, v kolikor niste prepričani v dejanja, vam svetujemo, da pošiščete profesionalno ekipo, ki vam bo uredila zadeve.

  • Zaščitite uporabniše račune
    V kolikor ste opazili nenavadne oz. nepoznane uporabnike jih odstranite iz računa.
    Poenostavite ostala gesla uporabnikom.
    Brisanje nepoznanih uporabnikov > Prijavite se v WP kot admin > Users > Delete.
  • Odstranite skrite prehode
    Heckerji si skoraj vedno pustijo nekakšne skrite prehode preko katerih lahko še vedno vstopajo v vašo spletno stran.
    Pri Securi so odkrili več različnih tipov skritih prehodov pri WP straneh.
    Pravijo, da so ti prehodi pogosto vgrajeni v dokumente, ki so zelo podobno poimenovani kot WordPress core dokumenti, datoteke.
    Pogosto pa lahko vlomilci vstavijo te prehode v datoteke kot so wp-config.php in direktorije kot so themes, plugins, uploads.Takšni skriti prehodi pogosto vsebujejo sledeče PHP funkcije:
    – base64
    – system
    – assert
    – stripsplashes
    – preg_replace (with /e/)
    – move_uploaded_file
    – str_rot13
    – gzuncompress
    – eval
    – exec
    – create_functionPozor!
    Te funkcije lahko čisto legitimno uporabljajo tudi vtičniki, zato prej zadeve testirajte.
  • Odstranjevanje sporočil o Malwaru
    Če ste pristali na Googlovi Blacklisti lahko zahtevate ponovni pregled strani, seveda, ko ste odstranili in popravili “poškodovane” stvari.
    Takšni pregled in odstranjevanje lahko trajata več dni.

3. Kako naprej?

  • Posodobite in ponastavite konfiguracijske nastavitve
    To velja prav za vse – posodobitev programske opreme, vtičnikov, tem, aplikacij…Kako ročno ponastaviti in uporabiti posodobitve WP software:
    – Prijavite se preko SSHja ali SFTPja
    – Naredite backup strani, baz…
    – Odstranite wp-admin in wp-includes direktorije
    – Nadomestite wp-admin in wp-includes z uporabo kopij iz uradnega WP gradiva
    – Ročno odstranite in zamenjajte teme, vtičnike…s kopijami iz uradnega vira.
    – Prijavite se v WP kot admin in kliknite na Dashboard > Updates
    – Vnesite manjkakoče posodobitve
    – Odprite vašo spletno stran, da vidite, če deluje. 

Opozorilo!
Ne dotikajte se wp-config ali wp-content, saj bo to pokvarilo vašo spletno stran. 

  • Ponastavite vsa dostopna gesla
    WP uporabniške račune, kontrolna plošča, SSH, FTP) > le ta naj bodo močna.
  • Ustvarite nove skrite ključe
  • Izvajajte varnostne kopije (backup)
  • Prečiščite svoj računalnik s protivirusnim programom (nekateri brezplačni: Avast, Avria, Malwarebytes…)
  • Redno posodabljanje WP (tem, vtičnikov), tudi tistih, ki jih ne potrebujete ali pa jih odstranite.

Z vdorom v vašo spletno stran ste lahko odgovorni tudi za oškodovanje ostalih, saj v večini nepridipravi ne ciljajo natanko vas, vendar izrabijo vaše neposodobljene spletne strani za (tudi ciljane) napade in okužbe ostalih uporabnikov.
S tem da ne skrbte za vašo spletno stran, ne škodujete samo sebi in svojemu poslu, ogledu… temveč tudi ostalim.

Vir in bolj natančna navodila: https://sucuri.net/guides/how-to-clean-hacked-wordpress

Kateri SSL certifikat naj izberem?

Kaj je SSL in zakaj je pomemben?

paglavec

SSL (Secure Sockets Layer) je protokol, ki omogoča šifrirano povezavo med strežnikom in odjemalcem (uporabnikom), podatki se tako prenašajo na varen način.

SSL certifikat je predvsem priporočljiv takrat kadar se preko spletnega mesta pretakajo osebni podatki, bančne transakcije.

Tudi Facebook aplikacije obvezujejo svoje uporabnike, da na svojih straneh uporabljajo SSL zaščito.

Že leta 2014 je Google pričel s kampanjo kako pomemben je SSL, začel pozivati vse imetnike spletnih strani, da pričnejo uporabljati zaščitene povezave, s tem bodo tudi uvrščeni višje v njihovem iskalniku – bolj ko boste vlagali v varnost spletne strani, bolj boste za Google pomembni.

Z januarjem 2017 pa bo Google Chrome 56 pričel označevati HTTP strani na katerih je potrebno vpisati geslo ali kreditno kartico kot “not secure”.

Kaj lahko storite? Priskrbite si SSL certifikat, ki bo vašemu HTTP dodal S > HTTPS (s stoji za secure).

Kater certifikat izbrati in v čem se razlikujejo?

1. SSL certifikati za domensko potrditev

Te certifikate priporočamo vsem manjšim spletnim stranem, primerni so tudi za Facebook aplikacije in Google.

2. SSL certifikati poslovne potrditve (tudi za organizacije)

Za večjo varnost uporabnikov in večje zaupanje uporabnikov v vas. Priporočamo ga vsem podjetjem, ki imajo svoje spletne strani.

3. SSL certifikati razširjene potrditve

To so certifikati z visoko stopnjo zaupanja. Priporočamo jih vsem, ki imajo spletne trgovine, saj omogočajo visok nivo varnosti pri prenašanju osebnih podatkov in denarnih transakcij.
Značilnost: Uporabnik bo videl zeleno naslovno vrstico, ko bo prišel na stran, prav tako pa bo vidno ime podjetja, ki je izdalo certifikat.

4. SGC SSL certifikati
SGC = strežniško omejena kriptografija.

Priporočamo za vladne organizacije, banke in vse spletne strani z zelo visokim številom uporabnikov.

5. WildCard SSL certifikati

WildCard certifikati so vedno bolj priljubljeni, saj nudijo popolno rešitev zaščiteneomejenega števila poddomen, ki so pod eno domeno. Prav tako s tem prihranite denar, saj ne potrebujete več dedicated IPjev za vsako poddomeno, tako lahko uporabite isti IP za zaščito vseh poddomen.

Večina teh certifikatov omogoča neomejeno strežniško licenco, kar pomeni, da lahkonaložite en SSL na več serverjev z različnimi IP naslovi, tako da lahko zaščititer zlične poddomene na različnih strežnikih.

Vsi te certifikati pa zaščitijo tudi glavno domeno.

Prav tako pa se te certifikati uporabljajo za zaščito poštnih strežnikov in kontrolnih plošč, kot je cPanel.

6. Večdomenski UCC/SAN certifikati

Subject Alternative Name (SAN) SSL certifikati so znani tudi kot UnifiedCommunication Certificates (UCC) ali tudi kot Multi-Domain (večdomenski) SSLcertifikati.

Te so razviti za zaščito vseh vaših domen/poddomen s samo enim SSL certifikatom.SAN SSL so popolnoma kompatibilni z Microsoft Office komunikacijskim strežnikom inMicrosoft Exchange produkti. Zaščitite lahko različna skupna imena ali domenskaimena s samo enim certifikatom. Delujejo tako z notranjim imenom omrežja kot tudizunanjimi domenskimi imeni.

Poglejmo si nekaj primerov kako najbolje izbrati SSL certifikat

  1. Imamo spletno stran, blog, kjer preko spleta ne prodajam izdelkov. Stran prikazuje moje delo, kontakt, kakšen video ter je povezana s Facebookom in Instagramom. Želeli bi, da se uporabniki ob brskanju po vsebini in galerijah počutijo varno, kateri certifikat je prvi za nas?

    V tem primeru potrebujete najbolj osnoven certifikat, takšen, ki bo vašemu HTTPju dodal še S > HTTPS.
    V kolikor imate samo eno domeno in ne tudi poddomen, potem je za vas popolnoma dovolj certifikat domenske potrditve.

  2. Smo srednje veliko podjetje, na naši spletni strani lahko uporabniki naročijo naše storitve, želeli bi, da bi uporabniki vedeli, da lahko na naši strani brez skrbi naročijo željen izdelek.

    V tem primeru vam svetujemo, da pogledate certifikate razširjene potrditve, te so namenjeni spletnim trgovinam. Pomembno zaupanje kupcem v vašo spletno trgovino pa jim bo dala zelena url vrstica.

  3. Smo srednje veliko/veliko podjetje, imamo svojo spleto trgovino, ki je tudi na večih poddomenah, uporabniki lahko dostopajo do različnih kontrolnih plošč, ki jim pomagajo pri urejanju naših kompleksih storitev. Želeli bi, da se uporabniki prav na vseh straneh počutijo varne oz. da vedo, da so varni.

    Glede na bolj kompleksno stukturo vaših storitev vam predlagamo, da si ogledate t.i. WildCard certifikate, te so namenjeni domeni in večim poddomenam, prav tako pa se uporabljajo za zaščito strežnikov in kontrolnih plošč.

Za wwwarne počitnice

Končno je prišel čas počitnic, sprostitve, vendar lifebelt-1315942-1280x1920to nikakor ne pomeni, da so šli na počitnice
tudi nepridipravi, za njih je zdaj popoln čas.

Presenetite jih in pojdite z glavo na dopust! Z vami delimo nekaj najbolj osnovnih nasvetov.

INTERNETNA POVEZAVA

  • JAVNI RAČUNALNIK

Nevarnost: okužen računalnik
Primeren: za branje novic, vremena, blogov…
Svetujemo: da uporabljate strani s https. Če se vam ob brskanju prikaže obvestilo, da je povezava nepreverjena, predlagamo, da ne nadaljujete na to stran.
Odvsetujemo: strani, kamor morate vpisati svoje osebne podatke, email in geslo. Toraj na javnih računalnikih odsvetujemo pregledovanje epošte, Facebooka, Twitterja, Snapchata, Instagrama….

  • JAVNI WI-FI

Nevarnost: prestrezanje omrežnega prometa
Primerno: načeloma bolj varno od uporabe javnega računalnika – branje novic, blogov.
Svetujemo: uporabo VPNja, SSLja – glejte za znakom ključavnica oz. https ali uporabo SSHja). Če ste na pametnem telefonu pa raje uporabite dostop do računov preko aplikacije.
Odsvetujemo: uporabo t.i. ad-hoc omrežja (navadno je to omrežje, ki ga je ustvaril nekdo drug na svojem računalniku).

  • MOBILNI INTERNET (GSM, GPRS, EDGE, UMTS, HSDPA)

Trenutno najbolj varna uporaba za brskanje po spletu. Pri Varni na internetu pravijo, da v praksi še niso zaznali napadov na tako vrsto povezave. Načeloma je varno preverjati spletno pošto, za dostop napr. Facebooka uporabite aplikacijo.

NAPRAVE

  1. Predlagamo, da pred dopustom POSODOBITE vaše naprave, jih ZAKLENETE (geslo) ter si nastavite DVOJNO AVTENTIKACIJO.
  2. Med dopustom, ko ne potrebujete več BLUETHOOTHa ali BREZŽIČNEGA OMREŽJA oboje izklopite.
  3. Preverite ali imate naprave ZAVAROVANE pred poškodabami, krajo…
  4. NAMESTITE oz. ODSTRANITE aplikacije že doma.
  5. Uredite VARNOSTNE kopije (v primeru izgube, kraje in vdora pridejo še kako prav). Če ste lastnik Adroida, pa imate na voljo tudi to, da lahko na daljavo izbrišete vse podatke iz telefona, lahko ga prisilite, da začne zvoniti ali da se zaklene (aplikacija: Upravitelj naprav Androidhttps://play.google.com/store/apps/details?id=com.google.android.apps.adm), Jabolčki (Apple) pa imate na voljo Find my iPhonehttp://www.apple.com/icloud/find-my-iphone.html

DRUŽABNA OMREŽJA
(spoštujmo sebe in druge)

Viri in priporočeno branje:

  1. http://safe.si/nasveti/druzabna-omrezja
  2. https://www.varninainternetu.si/2016/internet-na-dopustu/
  3. https://www.varninainternetu.si/2016/ukradli-so-mi-pametni-telefon-kaj-zdaj/

Pregled omrežne varnosti Slovenija 2015

Screen Shot 2016-06-03 at 11.18.48

Povzetek / hiter pregled SI-CERTovega poročila o omrežni varnosti za leto 2015.

Kdo je (so) SI-CERT in s čim se ukvarja?

Sloveanian Computer Emergency Response Team ali SI-CERT je nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij.

Si-Cert deluje že od leta 1995 (jeseni 2015 je minilo 20 let od prve prijave incidenta na Si-Cert) in sicer pod okriljem javnega zavoda Arnes.

Si-Cert koordinira razreševanje incidentov, izdaja opozorila o okužbah, grožnjah na elektronskih omrežjih ter izvaja nacionalni program za ozaveščanje in izobraževanje imenovan Varni na internetu.

 

Screen Shot 2016-06-03 at 11.19.08

Stran SI-CERTa: https://cert.si
Stran Varni na internetu: https://www.varninainternetu.si

 

Screen Shot 2016-06-03 at 11.18.01

ALI IMAMO SLOVENCI HEKERJE?

Okroglo obletnico so proslavili s filmom #HEKERJI.SI s katerim so širši javnosti želeli prikazati ozadje in celotno zgodbo razvoja hekerske skupnosti pri nas.

Film si lahko ogledate na: http://www.hekerji.si/film/

Screen Shot 2016-06-03 at 10.57.35

STATISTIKA

Screen Shot 2016-06-03 at 11.19.27

(Tehnični napadi, goljufije in prevare, vprašanja in zahtevki, drugo)

V letu 2015 so na SI-CERTU obravnavali:

  • v povprečju 11 prijav incidentov na dan
  • zgodilo se je 283 phishing incidentov
  • več kot 400 primerov škodljive kode

Oškodovanje v letu 2015:

  • 720 EUR je znašalo povprečno oškodovanje pri spletnem nakupovanju ( v letu 2014 je bil znesek 1000 EUR)
  • 1.140 EUR je znašalo povprečno oškodovanje pri spletni goljufiji (v letu 2014 se je znesek gibal okoli 500 EUR)
  • 18.000 EUR je znašalo največje posamezno oškodavanje pri nigerijski prevari

Nekaj izbranih SI-CERT incidentov:

  • Januar: Phishing napad na komitente šestih slovenskih bank
  • Maj: Mumblehad okuži Linux strežnike
  • Junij: Izsiljevanje “sextortion” z intimnimi posnetki
  • Julij: Stagefright android ranljivost
  • November: TeslaCrypt

Nekaj izbranih incidentov, ki smo si jih najbolje zapomnili mi:

  • Januar: Phishing napad na komitente slovenskih bank
  • Februar: Ghost, ki prizadene večino Linux sistema
  • Avgust: Stagefright ranljivost Android telefonov, phisihing maili “Delavske hranilnice, pojav reklam na FB za lažno spletno trgovino Michael Kors, W10 ransomware
  • September: phishing strani na ebay. de, cryptolocker izsiljevalski virus
  • Oktober: WordPress Heartbeat, pojav reklam za lažno spletno Ugg trgovino na FB
  • November: pojavi se phishing na nosilce generičnih domen
  • December: Joomla 0-day Remote Command Execution Vulnerability, Telekom opozori na lažno raziskavo zadovoljstva

logo_1

PROGRAM VARNI NA INTERNETU

“Skrbi pa nas lahko dejstvo, da za izpeljavo večine teh goljufij napadalci niso potrebovali naprednega računalniška znanja, zadostovale so že preproste tehnike socialnega inženiringa. Davek za našo neozaveščenost, naivnost in nepoznavanje spletnih mehanizmov torej že plačujemo.” Pravi Marta Štefanič, program Varni na internetu

Cilji programa so:

  • poučiti uporabnike spleta, kako kar najbolje prepoznajo različne spletne goljufije
  • informirati o varnem spletnem nakupovanju in uporabi bančnih sistemov
  • kako zavarovati svojo identiteto, predvsem na družabnih omrežjih

Menimo, da svoje delo opravljajo odlično, jasno in enostavno razumljivo uporabniku.

Se spomnite njihovih akcij
Ne bodi osel na spletu, pozanimaj se!
Neverjetna ponudba

Absolutno priporočamo vsem, da redno obiskujete njihov spletni portal https://www.varninainternetu.si ali jim sledite na Facebooku, Twitterju.

Celotno Poročilo o omrežni varnosti za leto 2015 pa vam je na voljo tukaj: https://cert.si/wp-content/uploads/2016/06/SI-CERT_LP_2015.pdf