Varnost spletnih mest

Ponudniki gostovanj in infrastrukture se zadnje čase aktivno ukvarjamo s težavami zaradi slabo vzdrževanih spletnih mest svojih uporabnikov. Primer sta decembrski napad na Banko First Bank iz ZDA in marčevski napad na Spamhouse, ki sta po večini posledica zanemarjanja dolžnosti nadgrajevanja spletnih mest.

Več o tem si lahko preberete tudi na http://www.cert.si/obvestila/obvestilo/article/si-cert-2013-01-stevilne-zlorabe-joomla-streznikov.html

Obveznosti lastnika spletnega mesta
Lastništvo spletnega mesta se ne konča s postavljanjem spletnega mesta na odprtokodni platformi. Splet je živ, skripte in spletna mesta pa je treba nadgrajevati, saj se sicer pojavijo ranljivosti in vaše spletno mesto lahko zelo hitro postane tarča napadalcev.

Kot lastnik spletnega mesta ste pravno in moralno odgovorni skrbeti zanj, tako kot skrbite tudi za svojo hišo, avtomobil ali pa hišnega ljubljenčka. Saj zanje skrbite, mar ne?

Če nimate vzdrževalca spletnih mest, se morate navaditi, da vsaj enkrat mesečno preverite, ali so na voljo nadgradnje za vaše spletno mesto in ga nadgradite. Če vaše znanje tega ne dopušča, vam lahko za plačilo to opravimo tudi v podjetju Zabec.net.

Najpogosteje prizadete skripte
Po naših izkušnjah so najbolj prizadete skripte Joomla in WordPress, kar pa je v 99 % primerov posledica zanemarjanja lastnikov in tudi po nekaj let starih različic.

Na dan 3. 4. 13 so najnovejše različice teh skript naslednje:

  • Joomla 2.5 – 2.5.9
  • Joomla 3.0 – 3.0.3
  • WordPress – 3.5.1

Katere koli nižje različice NISO sprejemljive in so lahko tarča napada.
Trenutno dostopne različice lahko preverite na http://wordpress.org/download/ ali http://www.joomla.org/download.html

Kako nadgrajujem skripte?
Vsaka od skript ima drugačen način nadgradnje.

Nekaj primerov je spodaj:

Prehod med različicami, ki so korenito spremenjene (velja za Joomlo):

Preizkusne namestitve
Pogosto uporabniki namestijo skripto samo za preizkus in jo kasneje pustijo v strežniku, saj »je ne uporabljamo, prostora pa je dovolj«. Tudi te skripte so velikokrat razlog za zlorabo, zato prosimo, da odstranite datoteke, ki jih ne potrebujete več.

Zaključek
Izgovor »Še včeraj je delalo, pa nismo nič spreminjali že eno leto« je paradoksen in največkrat tudi razlog za izpad delovanja. Kot tehnični službi nam pri ponudniku gostovanja sploh ni treba iskati vzroka, saj nam ta stavek že sam pove kaj je narobe: v večini primerov je vzrok vdor v spletno mesto.

Torej:

  1. Izberite zaupanja vrednega vzdrževalca in izdelovalca, ki bo z vami sodeloval na dolgi rok.
  2. Redno posodabljajte skripte in skrbite za varnost svojega spletnega mesta.
  3. Če tega ne znate sami, vam pri tem lahko pomaga tehnična ekipa ponudnika gostovanja. Vsekakor pa to ni njihova naloga in boste za to storitev verjetno morali doplačati.

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja