Kako zaštiti web site od hakerskih napada?

234 pogleda
Dimitrije-Vuk Veličković pitano 01.09.2014. u kategoriji Web Programiranje od korisnika Dimitrije-Vuk Veličković Superaktivan (4,949 bodova)
Kako se sve može zaštiti web stranica od hakerski napada? Na što paziti kod postavljanja stranice te kakve trikove i smicalice koristiti da hakeru onemogućimo upad na naše web stranice?

2 odgovor(a)

–2 glasova
Oskar odgovoreno 01.09.2014. od korisnika Oskar Superaktivan (2,231 bodova)

Pozdrav,

Ovako, prvo morate odrediti jednu stvar. Tj. i ja je moram odrediti iako ću vam dati odgovor na oba scenarija. Da li vaš website koristi neki custom, dakle ne vaš nego CMS poput Joomla, Wordpress itd.? Ili ste vi napravili gotovo cijeli website programiranjem i dizajniranjem?

Ukoliko je slučaj da koristite neki custom CMS onda se u principu ne bi trebali previše brinuti, osim - ako otkrijete neki propust. Onda javite to proizvođaču CMS-a i on kreće na ispravljanje problema (pošaljete mu rješenje npr?). I to je to. Takvi timovi stalno gledjau na sigurnost njihovog CMS-a kojeg vi koristite. U tom slučaju nemate preivše razloga za brigu, ali uvijek budite na oprezu i prijavite problem.

Ukoliko baš želite, onda za CMS možete potražiti neke plug-inove koji stvaraju "dodatnu" zaštitu, a u biti ti plug-inovi tj. dodaci samo "zaključavaju" potencijalno opasne opcije i tako dalje. Ali eto, ukoliko upišete "Wordpress firewall plugin" - naći će ga. Isto vrijedi i za druge kao što je Joomla.

Problem nastaje kada sami održavate sve. Kad ste "tvorac". Gazda. Nema velikog tima koji motri na propuste. Sami protiv svih bi rekli. Ali evo savjeta:

Sigurno znate programirati u ovom slučaju, možda i dizajnirati stranice. Trebaju vam izvori "exploit" koda kojeg objavljuju svi ti "black hat hackeri" kako bi mogli što prije napraviti sigurnosni "fix". Evo primjera:

Evo jedne bitne stranice, na njoj su propusti vezani uz konfiguraciju vašeg poslužitelja:

Na kraju dana savjetujem vam da i kontaktirate pružatelja hostinga. Neka vam kažu koji vatrozid koriste. Koja im je infrastruktura mreže. Što oni sve čine da zaštite stranice? Backup? To su bitna pitanja koja možete iskoristiti da "pozatvarate stražnja vrata". Sretno

Bernard Toplak commented 10.06.2015. od korisnika Bernard Toplak Aktivan (199 bodova)
@Oskar: Nikako se ne slažem da je korištenje poznatih open-source rješenja nesigurnije od "garaža" ili "Jura & Mate Co." uradaka ... http://en.wikipedia.org/wiki/Security_through_obscurity
https://www.owasp.org/index.php/Avoid_security_by_obscurity
Tzv. "script kiddies" možda neće svojim skriptama često napasti "nepoznati webapp" ali svaki iole ozbiljniji napadač će bez obzira na "black box" kod vrlo brzo ispipkati i zloupotrijebiti loše napisan kod.
Developeri, brinite o sigurnosti vlastitog koda - više, ili barem jednako kao i sigurnosti open-source koda. Kod open-source koda imate najčešće veliku prednost, netko drugi će vjerojatno brzo popraviti propust. A vaš vlastiti kod ovisi isključivo o vašem znanju o sigurnosti web aplikacija, te želji i znanju da identificirate i ispravite možebitni sigurnosni propust.
+3 glasova
Bernard Toplak odgovoreno 10.06.2015. od korisnika Bernard Toplak Aktivan (199 bodova)
selected 04.04.2016. od korisnika Dimitrije-Vuk Veličković
 
Najbolji odgovor

Ovo je vrlo općenito pitanje, i @Oskar je dobro primjetio - niste rekli na ćemu se bazira web koji štitite. S obzirom da postoji veliki broj tehnologija, frameworka, aplikacija, ne postoji baš savršeno i univerzalno "rješenje"/"lijek"/"protuotrov"/"cjepivo".


Koje su općenite preporuke slijedom dugogodišnjih iskustava mojih kolega i mene osobno ? 

(sastavljeno iz nekoliko relevantnih izvora kojima kontribuiram)

  • Izrađujte sigurnosne kopije često i redovito : postavite i testirajte procedure za redoviti backup. Ako ste to dobro obavili, to će vam omogućiti da svoj website vrlo brzo vratite "među žive" nakon bilo kakve havarije
  • Nadograđujte webapp često i redovito : ako koristite open-source rješenja - odmah po primanju obavijesti da je izašla najnovija verzija aplikacije koju koristite, ili bilo koje njene ekstenzije - nadogradite bez odlaganja. To će osigurati da vam je webapp uvijek zaštićen od svih poznatih sigurnosnih propusta, te ste zaštićeni i od najnovijih nizova napada.
  • Koristite siguran hosting : odaberite kvalitetnog hosting providera, pretražite internet i komentare o njima, te ih direktno pitajte kakve su im sigurnosne procedure, kako štite vaš website od hackerskih napada, i što će se dogoditi ako vam stranica ipak bude hackirana. Jer mogli biste završiti blokirane stranice danima, bez posebne najave. I ne padajte na trikove 'unlimited bandwidth, unlimited hard drive space, unlimited databases, etc'.
  • Redovito kontrolirajte log datoteke (access, error) i statistike: time ćete steći iskustvo o normalnom ponašanju vašeg websitea, te moći brzo i jednostavno prepoznati bilo kakve anomalije, jer to bi mogli biti simptomi nekih sigurnosnih problema.
  • Koristite poznatije CDN (content delivery network) / WAF (web application firewall) / anti DDoS cloud sustave: pomoći će u podizanju brzine učitavanja, te ujedno štititi vaš website od velike većine poznatih sigurnosnih napada. Neki imaju i free početne pakete.
  • Pripremite strategiju za slučaj hackiranja webstranice : dobro planirajte što ćete sve trebati napraviti da što prije oporavite website nakon hackiranja. I zapišite u neki uvijek dostupan dokument. Time ćete biti uvijek spremni za bilo što.


Loše vijesti:

  • Ne postoji savršena sigurnost na Webu! "There's no free lunch." Održavanje sigurnosti na vlastitom webu na "otvorenom Internetu" nije lak posao. Održavanje prikladne sigurnosti traži širok (i uvijek rastući) spektar iskustava i tehničkog znanja, budnost i pripravnost, te kvalitetan backup & recovery plan.
  • Ne postoji samo jedan "pravi način"! Moderni web sustavi su kompleksni, pa ne mogu postojati "one-size-fits-all" rješenja za sigurnosne rizike. Vi (ili netko kome vjerujete) mora naučiti dovoljno o webserverskoj infrastrukturi da bi mogao donositi ispravne odluke o sigurnosti. Jaku sigurnost nije lako postići. Današnji stručnjaci već sutra mogu biti žrtve. Dobrodošli na bojno polje...
  • Nema zamjene za iskustvo! Doslovce. Da biste zaista zaštitili svoj website, morate steći pravo iskustvo (nažalost, neka na vlastitoj koži), ili zatražite pomoć od iskusnijih. Ako niste uložili značajnije vrijeme koje je potrebno da naučite kako održavati siguran website, nemojte propustiti konzultirati se s nekim stručnim.


A sad dobre vijesti:

  • Čak i početnici mogu biti predvodnici u sigurnosti. Ako proučavate ovaj popis, te ćete i poduzeti sve u vašoj moći da primjenite što više koraka prema ultimativnoj sigurnosnih vašeg weba, već ste daleko ispred većine ostalih.
  • Nije ni teško kako se isprva čini. Ako vam je to prvi website, sigurnosne tematike mogu vam se činiti prezahtjevnima, ogromnima. No, ne morate se odmah hrvati sa svima istovremeno. Počnite s najkritičnijim problemima. Što više budete upoznavali moguće sigurnosne probleme, njihove uzroke ali i posljedice, sve ćete biti profinjenjiji u svojim sigurnosnim taktikama.
  • Ne paničarite ako vam se ipak dogodi da vam hackiraju website. Zatražite pomoć stručnih osoba ili tvrtki. Isključite privremeno website i bez odlaganja obavjestite pružatelja hostinga. Ako ste poslušali moj savjet da imate "plan za krizne situacije" - slijedite svoju listu.


Sretno!

Dimitrije-Vuk Veličković commented 04.04.2016. od korisnika Dimitrije-Vuk Veličković Superaktivan (4,949 bodova)
hvala na odgovoru! malo se kasnije javljam... :)

Slična pitanja

2 odgovora 236 pogleda
1 odgovor 354 pogleda
Hrvoje pitano 30.06.2014. u kategoriji Web Programiranje od korisnika Hrvoje Superaktivan (5,824 bodova)
1 odgovor 384 pogleda
2 odgovora 658 pogleda
1 odgovor 340 pogleda
3 odgovora 684 pogleda
0 odgovora 482 pogleda
Neznani Neznalica pitano 31.05.2016. u kategoriji Web Primjena od korisnika Neznani Neznalica Aktivan (642 bodova)
0 odgovora 125 pogleda
2 odgovora 143 pogleda
Gospodin26 pitano 25.04.2014. u kategoriji Web Primjena od korisnika Gospodin26 Aktivan (908 bodova)
Znatko

Znatko je edukativni web servis online zajednice za pretraživanje pitanja, postavljanje pitanja i odgovaranje na pitanja.

..:: POSTAVITE PITANJE ::..

Znatko Vam može pomoći!

2,046 pitanja

2,664 odgovora

1,319 komentara

703 korisnika

Gdje pratiti Znatka?

Koga preporuča Znatko?



Web::Edukacija

CISEx

Kontaktirajte Znatka kako biste mogli i Vi postati preporučeni partneri te sudjelovati u mjesečnom nagradnom fondu!
...