Robert Mali u rubrici Programiranje od
Kako se sve može zaštiti web stranica od hakerski napada? Na što paziti kod postavljanja stranice te kakve trikove i smicalice koristiti da hakeru onemogućimo upad na naše web stranice?

Prijavite se ili registrirajte kako biste odgovorili na ovo pitanje.

3 odgovor(a)

+7 glasa
Bernard Toplak od
odabran od Robert Mali
 
Najbolji odgovor

Ovo je vrlo općenito pitanje, i @Oskar je dobro primjetio - niste rekli na ćemu se bazira web koji štitite. S obzirom da postoji veliki broj tehnologija, frameworka, aplikacija, ne postoji baš savršeno i univerzalno "rješenje"/"lijek"/"protuotrov"/"cjepivo".


Koje su općenite preporuke slijedom dugogodišnjih iskustava mojih kolega i mene osobno ? 

(sastavljeno iz nekoliko relevantnih izvora kojima kontribuiram)

  • Izrađujte sigurnosne kopije često i redovito : postavite i testirajte procedure za redoviti backup. Ako ste to dobro obavili, to će vam omogućiti da svoj website vrlo brzo vratite "među žive" nakon bilo kakve havarije
  • Nadograđujte webapp često i redovito : ako koristite open-source rješenja - odmah po primanju obavijesti da je izašla najnovija verzija aplikacije koju koristite, ili bilo koje njene ekstenzije - nadogradite bez odlaganja. To će osigurati da vam je webapp uvijek zaštićen od svih poznatih sigurnosnih propusta, te ste zaštićeni i od najnovijih nizova napada.
  • Koristite siguran hosting : odaberite kvalitetnog hosting providera, pretražite internet i komentare o njima, te ih direktno pitajte kakve su im sigurnosne procedure, kako štite vaš website od hackerskih napada, i što će se dogoditi ako vam stranica ipak bude hackirana. Jer mogli biste završiti blokirane stranice danima, bez posebne najave. I ne padajte na trikove 'unlimited bandwidth, unlimited hard drive space, unlimited databases, etc'.
  • Redovito kontrolirajte log datoteke (access, error) i statistike: time ćete steći iskustvo o normalnom ponašanju vašeg websitea, te moći brzo i jednostavno prepoznati bilo kakve anomalije, jer to bi mogli biti simptomi nekih sigurnosnih problema.
  • Koristite poznatije CDN (content delivery network) / WAF (web application firewall) / anti DDoS cloud sustave: pomoći će u podizanju brzine učitavanja, te ujedno štititi vaš website od velike većine poznatih sigurnosnih napada. Neki imaju i free početne pakete.
  • Pripremite strategiju za slučaj hackiranja webstranice : dobro planirajte što ćete sve trebati napraviti da što prije oporavite website nakon hackiranja. I zapišite u neki uvijek dostupan dokument. Time ćete biti uvijek spremni za bilo što.


Loše vijesti:

  • Ne postoji savršena sigurnost na Webu! "There's no free lunch." Održavanje sigurnosti na vlastitom webu na "otvorenom Internetu" nije lak posao. Održavanje prikladne sigurnosti traži širok (i uvijek rastući) spektar iskustava i tehničkog znanja, budnost i pripravnost, te kvalitetan backup & recovery plan.
  • Ne postoji samo jedan "pravi način"! Moderni web sustavi su kompleksni, pa ne mogu postojati "one-size-fits-all" rješenja za sigurnosne rizike. Vi (ili netko kome vjerujete) mora naučiti dovoljno o webserverskoj infrastrukturi da bi mogao donositi ispravne odluke o sigurnosti. Jaku sigurnost nije lako postići. Današnji stručnjaci već sutra mogu biti žrtve. Dobrodošli na bojno polje...
  • Nema zamjene za iskustvo! Doslovce. Da biste zaista zaštitili svoj website, morate steći pravo iskustvo (nažalost, neka na vlastitoj koži), ili zatražite pomoć od iskusnijih. Ako niste uložili značajnije vrijeme koje je potrebno da naučite kako održavati siguran website, nemojte propustiti konzultirati se s nekim stručnim.


A sad dobre vijesti:

  • Čak i početnici mogu biti predvodnici u sigurnosti. Ako proučavate ovaj popis, te ćete i poduzeti sve u vašoj moći da primjenite što više koraka prema ultimativnoj sigurnosnih vašeg weba, već ste daleko ispred većine ostalih.
  • Nije ni teško kako se isprva čini. Ako vam je to prvi website, sigurnosne tematike mogu vam se činiti prezahtjevnima, ogromnima. No, ne morate se odmah hrvati sa svima istovremeno. Počnite s najkritičnijim problemima. Što više budete upoznavali moguće sigurnosne probleme, njihove uzroke ali i posljedice, sve ćete biti profinjenjiji u svojim sigurnosnim taktikama.
  • Ne paničarite ako vam se ipak dogodi da vam hackiraju website. Zatražite pomoć stručnih osoba ili tvrtki. Isključite privremeno website i bez odlaganja obavjestite pružatelja hostinga. Ako ste poslušali moj savjet da imate "plan za krizne situacije" - slijedite svoju listu.


Sretno!

Robert Mali od
hvala na odgovoru! malo se kasnije javljam... :)
+2 glasa
Marketing odjel d.o.o. od
uređen od Marketing odjel d.o.o.

Kompanij Cloudflare, specijalizirana je za proizvode iz područja sigurnosti, performansi i pouzdanosti, koja pomaže u izgradnji boljeg Interneta i u zaštiti web stranica od hakerskih napada. 

Zdeněk Bínek, izvršni direktor kompanije Zebra Systems je po tom pitanju ove godine izjavio:

Vođenje sigurne web stranice organizacije stoji puno truda, vremena i znanja – posebno u današnje vrijeme. Cloudflare usluge omogućuju pojednostavljenje i automatizaciju brojnih procesa i fokus na važnija poslovna pitanja.

Svjetski poznata Cloudflare platforma štiti i ubrzava bilo koju web aplikaciju (web stranice), bez potrebe za dodatnim hardverom, instalacijom softvera ili promjenama koda. Uz Cloudflare podršku, sav web promet usmjerava se kroz
inteligentnu globalnu mrežu, koja se svakodnevno poboljšava sa svakim zahtjevom. Rezultat primjene Cloudflare platforme je značajan porast performansi i smanjenje razine neželjene pošte i drugih napada.

Inače, Cloudflare je globalna tvrtka sa sjedištem u San Francisco-u, SAD.

Nino Marić 22.12.2021. pitanje u rubrici Internet od Nino Marić Kako radi Cloudflare?
–4 glasa
Oskar Novak od

Pozdrav,

Ovako, prvo morate odrediti jednu stvar. Tj. i ja je moram odrediti iako ću vam dati odgovor na oba scenarija. Da li vaš website koristi neki custom, dakle ne vaš nego CMS poput Joomla, Wordpress itd.? Ili ste vi napravili gotovo cijeli website programiranjem i dizajniranjem?

Ukoliko je slučaj da koristite neki custom CMS onda se u principu ne bi trebali previše brinuti, osim - ako otkrijete neki propust. Onda javite to proizvođaču CMS-a i on kreće na ispravljanje problema (pošaljete mu rješenje npr?). I to je to. Takvi timovi stalno gledjau na sigurnost njihovog CMS-a kojeg vi koristite. U tom slučaju nemate preivše razloga za brigu, ali uvijek budite na oprezu i prijavite problem.

Ukoliko baš želite, onda za CMS možete potražiti neke plug-inove koji stvaraju "dodatnu" zaštitu, a u biti ti plug-inovi tj. dodaci samo "zaključavaju" potencijalno opasne opcije i tako dalje. Ali eto, ukoliko upišete "Wordpress firewall plugin" - naći će ga. Isto vrijedi i za druge kao što je Joomla.

Problem nastaje kada sami održavate sve. Kad ste "tvorac". Gazda. Nema velikog tima koji motri na propuste. Sami protiv svih bi rekli. Ali evo savjeta:

Sigurno znate programirati u ovom slučaju, možda i dizajnirati stranice. Trebaju vam izvori "exploit" koda kojeg objavljuju svi ti "black hat hackeri" kako bi mogli što prije napraviti sigurnosni "fix". Evo primjera:

Evo jedne bitne stranice, na njoj su propusti vezani uz konfiguraciju vašeg poslužitelja:

Na kraju dana savjetujem vam da i kontaktirate pružatelja hostinga. Neka vam kažu koji vatrozid koriste. Koja im je infrastruktura mreže. Što oni sve čine da zaštite stranice? Backup? To su bitna pitanja koja možete iskoristiti da "pozatvarate stražnja vrata". Sretno

Bernard Toplak od
@Oskar: Nikako se ne slažem da je korištenje poznatih open-source rješenja nesigurnije od "garaža" ili "Jura & Mate Co." uradaka ... http://en.wikipedia.org/wiki/Security_through_obscurity
https://www.owasp.org/index.php/Avoid_security_by_obscurity
Tzv. "script kiddies" možda neće svojim skriptama često napasti "nepoznati webapp" ali svaki iole ozbiljniji napadač će bez obzira na "black box" kod vrlo brzo ispipkati i zloupotrijebiti loše napisan kod.
Developeri, brinite o sigurnosti vlastitog koda - više, ili barem jednako kao i sigurnosti open-source koda. Kod open-source koda imate najčešće veliku prednost, netko drugi će vjerojatno brzo popraviti propust. A vaš vlastiti kod ovisi isključivo o vašem znanju o sigurnosti web aplikacija, te želji i znanju da identificirate i ispravite možebitni sigurnosni propust.‌

Možda Vas zanimaju i ova pitanja...

2 odgovora 789 👀
1 odgovor 465 👀
2 odgovora 1.2k 👀
1 odgovor 476 👀
Ivana Basar 17.09.2020. pitanje u rubrici Internet od Ivana Basar
Znatko predstavlja

Ući, rasti i poveži se!

Zagreb
22. 02. 2025.

KUPI ULAZNICU

Medijska platforma Znatko

NAJNOVIJE VIJESTI

Impressum | Znatkova redakcija

15.6k pitanja

25.4k odgovora

10.2k komentara

1.7k korisnika

...