Bezpieczeństwo - StormIT.pl 👽 👾 🤖

Teczka na Wypadek Śmierci: Starterpack po Śmierci

„Teczka na Wypadek Śmierci: Starterpack po Śmierci”

Witajcie w 48 odcinku naszego podcastu, Sprawny Programista

Omówimy, jak przygotować innych na nasze odejście, tworząc teczkę zawierającą zestaw dokumentów i informacji na wypadek naszej śmierci, pieszczotliwie nazywaną starterpackiem.

Z tego materiału dowiesz się:

Dlaczego warto przygotować teczkę na wypadek śmierci?
Jakie elementy powinna zawierać teczka bezpieczeństwa?
Jak przechowywać ważne dokumenty, aby były bezpieczne i dostępne?
Jak przygotować firmę na ewentualne problemy po śmierci właściciela?
Dlaczego regularne aktualizowanie teczki bezpieczeństwa jest ważne?

Czemu to ważny temat?

O ile mi wiadomo – każdy z nas, prędzej czy później, umrze. Dla mnie to kwestia odpowiedzialności za rodzinę, żonę, dzieci oraz innych bliskich. Plan awaryjny zabezpiecza nas samych i naszych bliskich na wypadek naszego odejścia.

Co można zabezpieczyć?

Dostęp do aktywów: Nieruchomości, inwestycje, konta bankowe.
Dzieci: Opieka i zarządzanie majątkiem.
Firma: Kontynuacja działalności, aktywa i pasywa.
Zobowiązania: Kredyty, pożyczki prywatne, obietnice.

Moje podejście

Uświadomienie i rozmowa: Transparentność w rozmowach z rodziną ułatwia wiele spraw.
Cykliczna aktualizacja: Regularne aktualizowanie dokumentów.
Praktyczne podejście: Minimalizowanie problemów, upraszczanie i automatyzowanie procesów.
Plan awaryjny: Zastanowienie się, co by się stało, gdyby mnie zabrakło? Co z firmą, rodziną?

Teczka bezpieczeństwa

Instrukcja postępowania na wypadek śmierci zawierająca listę aktywów, pasywów i wszelkich przydatnych informacji. Może to być odręcznie napisana kartka lub kilka dokumentów oraz pendrive z danymi.

Jak przechowywać?

Miejsce: Znane i dostępne dla odpowiednich osób, zabezpieczone przed pożarem, zalaniem, zgubieniem, kradzieżą.
Bezpieczeństwo: Sejf, kasetka, depozyt bankowy.
Informowanie: Poinformowanie odpowiednich osób, gdzie znajdują się dokumenty.

Jakie sytuacje warto rozważyć?

Testament i sprawy spadkowe
Zabezpieczenie dzieci
Firma
Hasła i dostępy
Aktywa i informacje finansowe
Pasywa i zobowiązania
Kontakty

Bezpieczeństwo danych

Przechowywanie wrażliwych danych w teczce to duże ryzyko. Należy podchodzić do tego z głową:

Lista instytucji zamiast haseł.
Dokumenty w chmurze.
Manager haseł.
Podział danych dostępowych na więcej niż jedno miejsce.

Podsumowanie

Teczka bezpieczeństwa to instrukcja postępowania na wypadek naszej śmierci, zawierająca listę aktywów i pasywów oraz wszelkie niezbędne informacje. To trudny temat, ale teraz jest 100 razy łatwiejszy do omówienia niż później. Warto o tym pamiętać i regularnie aktualizować dane.

1 Comment

Password Manager ⭐⭐⭐⭐⭐⭐ Menadżer haseł

Witaj w erze cyfrowej, gdzie hasło to nie tylko sposób na zabezpieczenie Twojej skrzynki pocztowej, ale brama do całego uniwersum danych osobowych. W dzisiejszym świecie każdy serwis, każda aplikacja prosi nas o kolejne hasło. Jak więc nie zgubić się w tym labiryncie cyfrowych zamków? Sekretem jest menadżer haseł (ang. Password Manager), narzędzie, które nie tylko ułatwi życie, ale i znacząco podniesie Twoje bezpieczeństwo w sieci.

Password Manager – wprowadzenie

Z tego materiału dowiesz się:

Czym jest menadżer haseł?
Dlaczego menadżer haseł jest istotny?
Jakie są przykładowe menadżery haseł?
Czy można połączyć generator haseł i menadżera haseł?

Password Manager – Twój osobisty ochroniarz

Menadżer haseł to narzędzie, które przechowuje wszystkie Twoje hasła w jednym, bezpiecznym miejscu. Działa jak sejf, który zna tylko jedno główne hasło – klucz do wszystkich Twoich innych haseł. Dzięki temu, zamiast pamiętać dziesiątki skomplikowanych kombinacji, musisz zapamiętać tylko jedno. Ale to nie wszystko. Menadżery haseł oferują również generowanie silnych, losowych haseł, które znacznie utrudniają zadanie potencjalnym hakerom.

Password Manager – dlaczego to takie ważne?

W erze cyfrowej nasze dane są nieustannie na celowniku cyberprzestępców. Używanie tego samego hasła do wielu kont to jak zostawianie wszystkich drzwi do swojego domu otwartych. Menadżer haseł zamyka te drzwi, oferując dodatkowe warstwy zabezpieczeń, takie jak autentykacja dwuskładnikowa, które znacząco zwiększają bezpieczeństwo Twoich danych online.

Password Manager – popularne menedżery haseł

Rynek oferuje wiele narzędzi do zarządzania hasłami, ale kilka z nich wyróżnia się na tle innych:

Intuicyjny i łatwy w obsłudze, doskonały dla tych, którzy dopiero zaczynają przygodę z menadżerami haseł.

Wysoki poziom bezpieczeństwa i bogate opcje personalizacji przyciągają zaawansowanych użytkowników.

Idealny balans między funkcjonalnością a prostotą użycia, dobrze sprawdzi się dla większości użytkowników.

Otwarty kod źródłowy przemawia do osób ceniących transparentność i kontrolę.

Password Manager – menadżer haseł w Chrome

Wiele osób polega na wbudowanym menadżerze haseł w przeglądarce, takim jak Chrome, który automatycznie zapisuje i wypełnia hasła. Choć jest to wygodne, warto pamiętać, że korzystanie z dedykowanego menadżera haseł często oferuje lepsze zabezpieczenia i większą kontrolę nad Twoimi danymi.

Ten menadżer oferuje również sprawdzanie haseł.

Password Manager – połączenie menadżera haseł z generatorem haseł

Połączenie tych dwóch narzędzi to najlepsza strategia dla maksymalnego bezpieczeństwa online. Generator haseł tworzy silne, unikalne hasło dla każdego serwisu lub aplikacji, a menadżer haseł bezpiecznie je przechowuje. Nie musisz już polegać na swojej pamięci ani używać tego samego hasła w wielu miejscach, co znacząco zmniejsza ryzyko cyberataków.

Współczesne menadżery haseł często już zawierają wbudowane generatory haseł, oferując kompleksowe rozwiązanie dla zarządzania bezpieczeństwem Twoich cyfrowych kont. Korzystając z obu tych narzędzi, możesz znacznie ułatwić sobie życie, jednocześnie znacząco podnosząc poziom swojego bezpieczeństwa online.

➡ ZOBACZ 👉: Generowanie haseł – Strong password generator, generator hasła

Password Manager – podsumowanie. Twoje Hasła, Twoje Bezpieczeństwo

Zarządzanie hasłami może wydawać się trudnym zadaniem, ale jest kluczowe dla Twojego bezpieczeństwa online. Wybór odpowiedniego menadżera haseł to inwestycja w spokój ducha i ochronę przed cyfrowymi zagrożeniami. Pamiętaj, w świecie cyfrowym jesteś tak bezpieczny, jak silne są Twoje hasła.

Zachęcam do eksploracji różnych menadżerów haseł i znalezienia tego, który najlepiej odpowiada Twoim potrzebom. Bezpieczeństwo w internecie zaczyna się od Ciebie – a odpowiednie narzędzia mogą uczynić tę podróż znacznie łatwiejszą.

No comments

Jak AI, Sztuczna Inteligencja – zaplanuje Ci czas wolny i pomoże podczas urlopu?

Cześć! Jestem świeżo po dłuższym wolnym – dlatego w głowie jeszcze wakacyjne tematy! 🙂
Natomiast nie byłbym sobą, gdybym nie połączył tego z technologią.

Dziś chciałbym podzielić się z Tobą kilkoma praktycznymi wskazówkami jak wykorzystać sztuczną inteligencję, żeby jeszcze lepiej wykorzystać czas wolny, jaki mamy podczas urlopu.
Zaczniemy od kilku praktycznych przykładów, ale chciałbym też, żebyśmy pomówili o potencjalnych ryzykach.
Bo jak się za chwilę przekonasz całkiem sporo rzeczy może pójść nie tak…

Założenia naszego wakacyjnego wyjazdu

Tym razem na wakacje udajemy się w typową objazdówkę samochodem.
A co za tym idzie do zaplanowania mamy kilka rzeczy:

Noclegi
Trasa przejazdu
Posiłki
Atrakcje na miejscu oraz podczas podróży

I właśnie przy tych zadaniach postaramy się wykorzystać AI do pomocy.

➡ ZOBACZ 👉: Jak profesjonalnie podejść do przerwy w pracy, by uniknąć niepotrzebnych kłopotów – urlop programisty, programista na wakacjach

Standardowe podejście do planowania podróży

Jak w takim razie wygląda takie standardowe, powiedźmy oldschoolowe planowanie podróży? 😉

Wchodzimy na google maps, lub inną alternatywną nawigację i wpisujemy miejsce docelowe.
Następnie szukamy różnych atrakcji i ciekawych miejsc.

Możemy oczywiście wspierać się różnymi zewnętrznymi źródłami np. portalami turystycznymi itp.

Do planowania noclegów możemy wykorzystać np. Booking i/lub Airbnb

Trasa, google maps, Gdańsk – Toruń

➡ ZOBACZ 👉: Wakacje, a nauka programowania – Czy to dobry moment, by DZIAŁAĆ gdy wszyscy śpią…

Jak AI, Sztuczna Inteligencja – zaplanuje Ci czas wolny i pomoże podczas urlopu?

Jak w takim razie wykorzystać w tym celu sztuczną inteligencję i czy rzeczywiście ma to sens?

Zróbmy podobne ćwiczenie tylko tym razem przekażmy to co chcemy osiągnąć do silnika ChatGPT.

Pracuj jako przewodnik turystyczny dobrze znający Polskę.
Jadę z Gdańska do Torunia samochodem.
Zasugeruj ciekawą trasę i ewentualne postoje – co warto po drodze zobaczyć, gdzie się zatrzymać itp.

AI, wakacje, planowanie podróży

Zobacz, co tutaj robimy:

Zaczynamy od kontekstu i sugerujemy, by silnik pracował jako „przewodnik turystyczny dobrze znający Polskę”.
Btw. Podobne zapytania można generować w prawie że dowolnym innym kontekście.
Następnie określamy, co chcemy uzyskać. Im precyzyjniej, tym jest większa szansa, że otrzymamy to co chcemy.

AI, wakacje, planowanie podróży – odpowiedź

Dodatkowe ograniczenia i warunki

Jeżeli pierwotna odpowiedź nas nie satysfakcjonuje, to oczywiście możemy kontynuować nasze poszukiwania.
Osobiście bardzo często dodaję różnego rodzaju dodatkowe ograniczenia lub proszę o pogłębienie niektórych opcji.

Ogranicz się maksymalnie do 2 postojów. 
Dodatkowo znam dobrze Kwidzyn, dlatego nie chcę się tam już zatrzymywać.

Wykorzystanie AI do planowania dnia

Zobaczmy jeszcze kilka przykładów.

AI planowanie wakacji, dzień w Pradze

Raczej nie wykorzystamy tutaj wszystkich propozycji – jest to jednak bardzo dobry punkt wyjścia.
W naszym wypadku np. zatrzymaliśmy się w sugerowanej dzielnicy, ale w innym hotelu.

Niezwykle ciekawą opcją jest możliwość dopytania o konkretne miejsca.

ai-planowanie-wakacji-szczegoly

I jeszcze jeden przykład – tym razem spędzimy 3h w centrum Szczecina 🙂
Zobacz, że jest tutaj ukryte dodatkowe ograniczenie, które przekazuje informację o naszym kontekście – ile mamy czasu.

ai-planowanie-wakacji-szczecin

Ogrom możliwości AI

Jestem naprawdę pod wrażeniem użyteczności tego typu rozwiązań.
Wsparcie się sztuczną inteligencją przy planowaniu ostatniego wyjazdu sprawiło, że oszczędziłem naprawdę sporo czasu i mogłem skupić się na czymś innym np. napisaniu tego wpisu 🙂

Kontekst i dalszy rozwój

Już teraz AI potrafi naprawdę sporo – a teraz puść odrobinę wodze fantazji i wyobraź sobie, że takie rozwiązania będą miały dostęp do większej ilości informacji.

Do informacji o nas, o naszych preferencjach, predyspozycjach.
Do informacji o aktualnej pogodzie.
Do informacji o aktualnym obłożeniu atrakcji, ruchu na drodze itp.

Jak zdobyć takie informacje?

Większość z nich właściwie już jest gromadzona…
Nie wszystkie jednak te informacje są ze sobą i z naszą osobą połączone.

Obecnie możemy je znaleźć w różnych miejscach np.

Instagram / Facebook – informacje o naszych preferencjach
Google Maps – natężenie ruchu
Serwisy pogodowe

Wyzwania i niebezpieczeństwo…

Wszystko wygląda naprawdę super, gdy myślimy o tym tylko z punktu widzenia możliwości np.

Silnik AI zasugeruje nam zajście do restauracji albo jakiegoś sklepu – co swoją drogą już robi i nieźle to działa.
Chociaż (o ile mi wiadomo) nie jest to jeszcze typowo skomercjalizowane.
Dostaniemy lepiej dopasowane atrakcje turystyczne itp.

Problem się pojawia, gdy pomyślimy o potencjalnych zagrożeniach…

A co jak AI wyśle niedoświadczonego turystę w ciekawy szlag w górach – ale w bardzo złą pogodę?
Przejście przez niebezpieczną ulicę/dzielnicę? Albo wejście pod zakaz 🙂 co swoją drogą przecież i tak robi wiele dzisiejszych nawigacji…

Niewątpliwie jest jeszcze wiele wyzwań i potencjalnych niebezpieczeństw np. związanych z gromadzeniem szczegółowych informacji o nas jako użytkownikach, czy przekazywanie nieprawdziwych lub niepełnych informacji.

Jednak już teraz AI jest bardzo praktycznych narzędziem, które możemy wykorzystywać w naszym życiu.
Zaznaczam jednak, że nadal jest to tylko narzędzie, czyli od nas zależy, jak z tego będziemy korzystali.

Powodzenia! I miłych wyjazdów.

No comments

Bezpieczeństwo

Darmowy certyfikat SSL | Rozdajemy zielone kłódki!

Jeszcze jakiś czas temu certyfikaty SSL dla stron WWW były dość trudne we wdrożeniu i przede wszystkim kosztowne w utrzymaniu. W efekcie większość stron zwyczajnie rezygnowała z bezpiecznego połączenia htts i zostawała przy standardowym http.

Z bezpiecznych połączeń przy pomocy certyfikatów SSL korzystały głównie duże serwisy, sklepy internetowe lub banki.

Dzisiaj sytuacja znacząco się zmieniła, przede wszystkim za sprawą Google i Let’s Encrypt.

Co to jest HTTPS i SSL/TLS?

HTTPS (Hypertext Transfer Protocol Secure) to szyfrowana wersja standardowego protokołu HTTP przeznaczonego do przesyłania stron www.

Podczas przesyłania strony przez HTTPS najpierw następuje wymiana kluczy TLS (Transport Layer Security), a dopiero później samo żądanie HTTP. Standardowo protokół https działa na porcie 443, a w przeglądarce możemy go zobaczyć jako zieloną kłódkę.

Natomiast TLS i SSL (Secure Socket Layer) to protokoły kryptograficzne zapewniające bezpieczną komunikację w sieci komputerowej.

Obie nazwy często wykorzystywane są zamiennie, jednak protokół TLS jest rozwinięciem SSL, wersja TLS 1.0 powstała po SSL 3.0.

StormIT https

Dlaczego powinniśmy się tym przejmować?

Idźmy dalej. Fajnie, że to jest, ale czemu właściwie powinniśmy się tym zainteresować?

Jeżeli prowadzimy sklep lub dowolną inną stronę, która przechowuje wrażliwe dane użytkownika, to raczej nie ma coś się zastanawiać. Pod tym względem ludzie są już na tyle wyedukowani, że nawet osoby typowo nietechniczne przed zalogowaniem się do banku sprawdzają, czy w adresie jest „zielona kłódeczka”.

Sprawa jest mniej oczywista, jeżeli zastanawiamy się nad wdrożeniem https dla strony firmowej lub bloga, gdzie jedyny formularz w systemie to formularz kontaktowy.

Bezpieczeństwo przesyłanych danych

Ponieważ podczas przesyłania danych po https najpierw następuje wymiana kluczy, przynajmniej teoretycznie zabezpieczamy się przed podsłuchaniem transmisji przez osoby trzecie oraz atakami typu „man in the middle”.

Widoczność w wyszukiwarkach

Google już oficjalnie potwierdziło, że https jest jednym z czynników rankingowych. Co prawda nie ma on jeszcze większego znaczenia, ale w przyszłości może się to zmienić.

Dobre wrażenie

Ludzie cały czas mają dobre skojarzenia z https i czują się bezpieczniej na takich stronach. Dodatkowo nasza strona wydaje się ważniejsza, bardziej „podobna do banku”, zaufana.

Ile kosztuje certyfikat SSL?

Wszystko zależy od tego, jaki typ certyfikatu wybierzemy. Jednak u najbardziej znanych polskich dostawców (home, kei, az) w promocji podstawową wersję można dostać już od -nastu złotych w pierwszym roku.

To nie wydaje się dużo, jednak jeżeli jednak szukamy jeszcze tańszej alternatywy, warto zainteresować się projektem Let’s Encrypt.

Let’s Encrypt

W ramach projektu Let’s Encrypt na początku 2016 roku udostępniono użytkownikom darmowe certyfikaty TLS (X.509 Transport Layer Security). Cały proces wydawania certyfikatów jest w pełni zautomatyzowany, a same certyfikaty mają ważność tylko 90 dni.

Dlaczego tylko 90 dni?

To pytanie nasuwa się większości osób po zapoznaniu się z projektem. Jednak jak się chwilę nad tym zastanowić, przekłada się to na dwie bardzo ważne cechy tego rozwiązania:

skradzione certyfikaty szybko stracą swoją ważność
Nawet jeżeli dojdzie do utraty certyfikatu, zagrożenie będzie występowało tylko do momentu wygenerowania nowych kluczy. Dodatkowo zawsze można skrócić ten okres.
wymuszenie automatyzacji
Do tej pory większość certyfikatów miała okres ważności jednego roku. Jest to czas na tyle długi, że wiele osób zwyczajnie zapominało o odnowieniu certyfikatu, w efekcie czego stare klucze traciły ważność.
Tak krótki okres ważności certyfikatu wymusza wprowadzenie rozwiązań automatycznych, które będą odnawiały certyfikaty bez ręcznej ingerencji użytkownika.

Jak wdrożyć Let’s Encrypt?

Projekt cieszy się coraz większą popularnością, dlatego coraz więcej dostawców usług hostingowych deklaruje automatyczne wsparcie dla tej usługi. Jeżeli natomiast nie mamy tyle szczęścia i na naszym hostingu nie możemy zrobić tego automatycznie, zawsze możemy skonfigurować usługę ręcznie.

DirectAdmin

Popularny panel administracyjny DirectAdmin od wersji 1.50.1 wspiera już Let’s Encrypt. Wystarczy w konfiguracji przestawić flagę letsencrypt=1 i użytkownik z poziomu panelu administracyjnego będzie mógł aktywować usługę dla swojej domeny [1].

Certbot

Certbot to rekomendowane na stronie projektu oprogramowanie do zarządzania certyfikatami [2].

Ten klient jednak do swego działania potrzebuje dostępu do SSH oraz uprawnień roota, przez co nie można z niego skorzystać na wielu współdzielonych hostingach.

acme-client

Acme-client od Certbot różni się przede wszystkim tym, że do swojego działania nie potrzebuje uprawnień roota.

Wygenerowanie certyfikatu

Pobieramy najnowsze źródła klienta z repozytorium git:

git clone https://github.com/kelunik/acme-client
cd acme-client/

Pobranie i instalacja systemu zarządzania pakietami Composer dla PHP
```
php -version
wget --output-document=composer-setup.php https://getcomposer.org/installer
php composer-setup.php
php composer.phar install --no-dev
```
Biblioteka wymaga PHP w wersji co najmniej 5.5 lub 7 dlatego warto najpierw sprawdzić jaka wersja PHP jest podlinkowana.
Wygenerowanie certyfikatu SSL
```
php bin/acme setup --server letsencrypt --email kontakt@stormit.pl
php bin/acme issue --domains stormit.pl:www.stormit.pl --path /home/[username]/domains/stormit.pl/public_html:/home/[username]/domains/stormit.pl/public_html --server letsencrypt
```
Wygenerowane klucze będą dostępne w poniższej lokalizacji:
- certyfikat
  data/certs/acme-v01.api.letsencrypt.org.directory/stormit.pl/fullchain.pem
- klucz prywatny
  data/certs/acme-v01.api.letsencrypt.org.directory/stormit.pl/key.pem

Ustawienie certyfikatu w panelu administracyjnym hostingu

Każdy panel administracyjny będzie miał ten krok rozwiązany inaczej. W przypadku DirectAdmina trzeba najpierw włączyć obsługę SSL dla domeny, a następnie wkleić wygenerowane wcześniej klucze.

DirectAdmin SSL dla domeny

Klucze wklejamy w zakładce Zaawansowane opcje -> Certyfikaty SSL

DirectAdmin certyfikat SSL

Odnowienie certyfikatu

Po instalacji certyfikatu nie można zapomnieć, że ma on ograniczony czas ważności. Najlepiej zawczasu przygotować automatyczne mechanizmy do odnawiania kluczy.

Certbot udostępnia w tym celu specjalną komendę certbot renew [3], którą należy uruchamiać w cronie.

Natomiast w przypadku DirectAdmina, jeżeli mamy uruchomione natywne wsparcie dla Let’s Encrypt, będzie to odbywało się już bez naszego udziału. Można również przygotować skrypt generujący na nowe klucze, według kroków pokazanych wcześniej i aktualizować je przez API CMD_API_SSL[4].

Wdrożenie HTTS dla strony WordPress

Po odpowiednim skonfigurowaniu serwera możemy przejść do przystosowania naszej strony. W przypadku WordPress mamy do zrobienia prawie to samo, co w przypadku każdej innej strony. Przede wszystkim trzeba zaktualizować wszystkie odwołania z http na https i zapewnić odpowiednie przekierowania.

Zapewnienie tylko jednego adresu

Jest to szczególnie ważne z punktu widzenia SEO. Nasza strona powinna być dostępna tylko pod jednym adresem. Dlatego wszystkie odwołania przekierowujemy na nowy adres.

Najłatwiej będzie to zrobić przy pomocy pliku .htaccess. Ważne jest to, żeby zapewnić stałe przekierowania 301, a nie tymczasowe. Jest to jeden z częstszych błędów.

<IfModule mod_rewrite.c>
        RewriteEngine On
        RewriteCond %{SERVER_PORT} 80
        RewriteRule ^(.*)$ https://stormit.pl/$1 [R=301,L]
</IfModule>

Zmiana adresu w konfiguracji WordPress

W konfiguracji musimy jeszcze zmienić adres strony: Ustawienia -> Ogólne

WordPress zmiana url

Aktualizacja starych odnośników

Pozostaje nam jeszcze aktualizacja wszystkich starych odwołań. Dla WordPress będą to przede wszystkim zaszyte w szablonie odwołania do obrazków oraz adresy url w treści postów.

Treść postów można zmienić jednym zapytaniem SQL. Zrób tylko najpierw kopię bezpieczeństwa i podmień adres domeny na swój.

UPDATE wp_posts SET `post_content` = REPLACE (`post_content`, 'src="http://www.your-site.com', 'src="https://www.your-site.com');

Jeżeli tego nie zrobisz, w przeglądarce będzie pojawiało się ostrzeżenie, że nie wszystkie treści są poprawnie zabezpieczone.

Warto również zaktualizować wszystkie linki prowadzące do naszego serwisu, jednak ponieważ mamy zrobione przekierowanie 301 nie jest to konieczne.

Weryfikacja poprawności certyfikatu

Podstawowy test wykona za nas już sama przeglądarka. Jeżeli widzimy zieloną kłódkę i nie pojawiają się żadne ostrzeżenia, to możemy przejść dalej. Najczęściej ostrzeżenia powodują obrazki, dla których nie został zmieniony adres url.

Do przetestowania samego certyfikatu możemy wykorzystać jeden z testerów online, np. ssllabs.

Przekierowania

Powinniśmy też sprawdzić poprawność przekierowań. Można to zrobić np. przy pomocy Google Chrome i narzędzi dla programistów. Wpisujemy adres z http i sprawdzamy przekierowania w zakładce Network.

Chrome SSL

Podsumowanie

Bezpieczeństwo transakcji w Internecie to temat, któremu poświęca się coraz więcej uwagi. Dopóki takie firmy jak Google będą swoimi działaniami to wspierały i będą powstawały takie projekty jak Let’s Encrypt, możemy liczyć, że sytuacja będzie cały czas się zmieniała, z korzyścią dla wszystkich użytkowników sieci.

Niezależnie od tego, czy prowadzisz sklep internetowy, czy prywatnego bloga warto przynajmniej zapoznać się z najnowszymi trendami, zwłaszcza jeżeli nie wiąże się to z dodatkowymi kosztami.

Linki

No comments

Tags:DSP2017

Bezpieczeństwo

20+ sposobów na zhakowanie Twojego bloga!

Bezpieczeństwo to bardzo ważna rzecz, jednak jego głównym problemem jest to, że zaczynamy się nim interesować, dopiero kiedy jest już za późno na prewencję. Zazwyczaj przypominamy sobie o nim kiedy mamy już poważne kłopoty i bardzo dużo dodatkowej i niepotrzebnej roboty.

Tak było oczywiście i w moim wypadku… Niby robiłem wszystko zgodnie ze sztuką: częste aktualizacje, trudne hasła itp. itd. Jednak jak się okazało, czasem i to jest za mało, a ja mogłem zrobić zdecydowanie więcej.

W tekście zebrałem najczęstsze błędy i niedopatrzenia w zabezpieczeniach skutkujące wrogim przejęciem strony oraz sposoby, jak się przed tym zabezpieczyć.

Wprowadzenie, czyli coś poszło nie tak

Niczego nie podejrzewając, najspokojniej w świecie pisałem sobie kolejny artykuł w administracji WordPress. Po pewnym czasie, gdy chciałem podejrzeć swoje zmiany, przestał mi działać przycisk podglądu i wyskoczył jakiś błąd w Java Script. Zbagatelizowałem problem, myśląc: błąd jak błąd, przy skrypcie WordPressa przecież też pracują normalni developerzy, każdemu może się zdarzyć. Zapisałem projekt z przeświadczeniem, że samo przyszło, samo przejdzie i skończyłem pracę.

Na moje szczęście zainstalowałem wcześniej wtyczkę Wordfence Security i po kilku godzinach przyszedł do mnie mail o groźnym tytule: [Wordfence Alert] Problems found on stormit.pl.

Wtedy nie miałem już najmniejszych wątpliwości co się stało, lektura maila tylko to potwierdziła. Wordfence wykrył zmiany w prawie 800 plikach php!

Tego było już za wiele, czas zacząć działać!

Jak rozpoznać atak, czyli jego najczęstsze objawy

Skoro już wiedziałem, że doszło do włamania, musiałem oszacować straty. Zacząłem od sprawdzenia najczęstszych objawów tego typu ataków.

Modyfikacja plików

Tu sprawdziła się świetnie wspomniana już wcześniej wtyczka Wordfence. Plugin tworzy raport bezpieczeństwa, w którym między innymi porównuje zawartość plików na serwerze z ich pierwotnymi wersjami z głównego repozytorium. Pliki porównywane są dla kodu samego WordPressa, ale również dla zainstalowanych wtyczek. Ponieważ miałem już gotową listę zmienionych plików, sprawdziłem tylko wyrywkowo kilka z nich, szukając zmian.

WordPress włamanie

Wszystkie zmodyfikowane pliki zawierały ten sam fragment kodu PHP, dodany na samym początku skryptu.

Zmieniona baza danych

Złośliwy kod często modyfikuje wpisy w bazie danych, potrafi również wygenerować nowe tabele dla swojego działania. Dlatego zawsze warto zweryfikować, czy w bazie nie pojawiło się coś, co przyciągnie naszą uwagę: dodatkowe tabele, nowe linki wychodzące w treści postów itp.

W moim przypadku, całe szczęście, nie było takich zmian. Jednak gdyby się pojawiły, trzeba by usunąć wszystkie zmodyfikowane dane lub przywrócić cały backup bazy danych.

Dodatkowe zaindeksowane strony w Google

Ataki przeprowadzane są najczęściej w bardzo konkretnym celu. Zazwyczaj jest to wyłudzenie danych lub bardziej przyziemny powód, czyli automatyczne zdobycie linków pozycjonujących z zainfekowanych stron.

Dlatego tego typu kod może generować automatycznie nowe podstrony w naszym serwisie. Żeby taki link miał sens, musi być zaindeksowany przez roboty Google. Większość zaindeksowanych stron danej domeny możemy sprawdzić, korzystać z Google Search Console lub wpisując w wyszukiwarce komendę:

site:stormit.pl

W tym wypadku dla większych stron, jeżeli wiemy, że do ataku doszło niedawno, warto ograniczyć zakres czasu dla zaindeksowanych podstron przez menu: Narzędzia i zmianę opcji z Kiedykolwiek na mniejszy zakres.

Google zaindeksowany strony

Przeglądając nowe zaindeksowane strony, szukamy wszystkiego, co może być podejrzane, jednak przede wszystkim treści w stylu: viagra, chwilówki, sex itp.

No, chyba że sami się pozycjonujemy na te słowa, to wtedy wszystko jest OK 😉

Cloaking

Czasami, żeby tego typu atak było jeszcze trudniej zauważyć, stosuje się technikę Cloackingu – czyli wyświetlania różnych treści w zależności od tego, kto daną stronę ogląda. Może to doprowadzić do tego, że przeglądając kod naszej strony, nie widzimy nic podejrzanego, a Google indeksuje spreparowane treści.

Decyzję o tym, jakie treści w danym momencie mają być serwowane, podejmuje się na podstawie nagłówka HTTP User-Agent. Każda przeglądarka oraz boty sieciowe same wysyłają ten nagłówek, niejako przedstawiając się, jednak można go zmodyfikować np. z poziomu przeglądarki korzystać z wtyczki do Google Chrome User-Agent Switcher for Chrome.

Linki wychodzące

Ponieważ zmodyfikowane treści nie muszą być jeszcze zaindeksowane w Google, trzeba dodatkowo przejrzeć źródło naszej strony, szukając przede wszystkim wszystkich wychodzących linków.

Czas posprzątać ten bajzel, czyli czyszczenie środowiska po włamaniu

Mleko się już rozlało, atak był i to skuteczny. Najwyższy czas zabrać się za sprzątanie tego bałaganu.

Tak naprawdę w procesie sprzątania możemy wyróżnić dwa główne podejścia:

Wyszukanie wszystkich zainfekowanych plików i usunięcie złośliwego kodu
Instalacja czystego systemu i delikatne przeniesienie tylko niezbędnych i sprawdzonych rzeczy z backupu

Ja zdecydowałem się na drugą opcję, ponieważ wydała mi się pewniejsza i przy okazji miałem szansę dokładnie zweryfikować, co siedzi w tym systemie.

Przebieg czyszczenia zainfekowanego systemu

1. Przygotowanie backupu

Wszelkie prace zaczynamy zawsze od zrobienia backupu bazy danych oraz wszystkich plików. To ogólna i bezpieczna zasada dotycząca nie tylko tej sytuacji.

2. Instalacja czystego WordPressa

Wgrywamy najnowsze pliki i rozpoczynamy instalację, analogicznie jak robiliśmy to przy pierwszej instalacji systemu. W ustawieniach bazy danych podajemy tę samą bazę, na której wcześniej pracował skrypt.

Po tym kroku mamy zainstalowany czysty skrypt WordPress, jednak jeszcze wiele rzeczy nie będzie działało. Przede wszystkim brakuje wtyczek i szablonów, dlatego w administracji pojawią się stosowne ostrzeżenia o tym fakcie.

3. Instalacja wszystkich niezbędnych wtyczek oraz szablonów

Najprawdopodobniej pliki szablonu i wtyczek też zawierają złośliwy kod, dlatego nie wolno ich zwyczajnie przekopiować!

Zaczynamy od instalacji wtyczek. Na podstawie backupu plików, który wcześniej zrobiliśmy, przygotowujemy listę wtyczek, które były pierwotnie zainstalowane. Ich pełną listę znajdziemy w katalogu: wp-content/plugins/. W tym miejscu warto się dobrze zastanowić, czy na pewno wszystkie dotychczasowe pluginy są nam potrzebne. Jest bowiem spore prawdopodobieństwo, że do włamania doszło przez jedną z nich. Wybieramy tylko niezbędne wtyczki i instalujemy ich najnowsze, czyste wersje z repozytorium: Kokpit -> Wtyczki -> Dodaj nową.

Podobnie sprawa ma się, jeżeli chodzi o szablon. Jeżeli szablon był dostarczony przez zewnętrznego dostawcę, warto zweryfikować czy nie ma jego nowszej wersji. Wystarczy, że przegramy czyste pliki skórki do katalogu: wp-content/themes/. Warto również zweryfikować, czy nie ma tam niepotrzebnych i nieużywanych innych szablonów

4. Przeniesienie statycznych plików

Nasza strona zaczyna już powoli działać, brakuje jej jednak jeszcze zdjęć, które zostały dodane przez administrację. Przenosimy je z backupu z katalogu: wp-content/uploads/. Tu też należy zweryfikować, czy znajdują się tam tylko statyczne pliki, jak obrazki.

5. Zmiana wszystkich haseł

Strona już działa, jednak konieczna jest oczywiście zmiana wszystkich haseł w systemie. Mowa tu przede wszystkim o koncie do administracji i bazy danych, warto również zmienić hasło do serwera FTP.

Jak zabezpieczyć się przed atakami na przyszłość

Strona jest już oczyszczona z wszelkich śmieci, jednak jej poziom zabezpieczeń jest taki sam, jak przed atakiem. Jeżeli nic nie zrobimy, problem powróci- to tylko kwestia czasu. Trzeba wprowadzić dodatkowe zabezpieczenia.

To niestety również wiem z własnego doświadczenia. Wyczyściłem wszystkie skrypty, jednak zanim udało mi się wprowadzić wszystkie omawiane tu zabezpieczenia, wszystkie pliki na serwerze były już zainfekowane na nowo…

Rezygnacja z niepotrzebnych rzeczy

Nie ma sensu utrzymywać rzeczy, z których nie korzystamy, tyczy to się przede wszystkim:

szablonów
wtyczek
kont użytkowników

Nieużywane lub mało popularne wtyczki i szablony są zazwyczaj nieaktualizowane, czy to przez nas, czy nawet przez ich autorów. Dlatego dobrze jest ograniczyć się tylko do rozszerzeń bardziej popularnych oraz często aktualizowanych.

WordPress instaluje domyślne skórki, z nich też można zrezygnować i je wywalić.

Zabezpieczenie dostępu do administracji

Zazwyczaj łączymy się do administracji z kilku określonych lokalizacji, takich jak dom, czy praca. Jeżeli mamy stałe IP to najlepszym wyjściem jest odcięcie możliwości logowania się dla wszystkich innych. Ja zrobiłem to przez odpowiedni wpis w pliku: wp-admin/.htaccess:

order deny,allow
deny from all
allow from xx.xx.xx.xxx
allow from xx.xx.xx.xxx

Podmieniamy tylko swoje IP. To, pod jakim numerem IP jesteśmy widoczni w sieci, można np. sprawdzić w serwisie ip.wp.pl.

Dzięki temu zabiegowi tylko my powinniśmy mieć dostęp do administracji, natomiast jeżeli zajdzie taka potrzeba, zawsze można dodać kolejne wpisy, korzystając ze swojego konta FTP do edycji pliku .htaccess.

Automatyczne aktualizacje

Od wersji 3.7 WordPress domyślnie przeprowadza mniejsze aktualizacja automatycznie, np. z wersji 4.6.1 do 4.6.2. Tego typu aktualizacje zazwyczaj dotyczą bezpieczeństwa i nie powinny powodować np. kłopotów z kompatybilnością z wtyczkami.

Jednak większe aktualizacje np. z wersji 4.6 do 4.7 domyślnie wymagają ręcznej ingerencji. Tego typu aktualizacje potencjalnie mogą już spowodować konflikt z zainstalowanymi wtyczkami, jednak prawdopodobieństwo jego wystąpienia jest stosunkowo małe i ze względów bezpieczeństwa zdecydowałem, żeby te aktualizacje też były przeprowadzane automatycznie.

To, jakie aktualizacje mają odbywać się automatycznie, a jakie nie, można skonfigurować przy pomocy wtyczki: Update Control. Ja jednak wolałem zrobić to ręcznie, ponieważ, jak zaznaczyłem wcześniej, wolę minimalizować ilość zainstalowanych wtyczek.

W tym celu do pliku wp-config.php dodajemy poniższy wpis:

define(’WP_AUTO_UPDATE_CORE’, true );

Podobnie sprawa ma się, jeżeli chodzi o aktualizację pluginów i skórek. Tym razem jednak trzeba dodać stosowny wpis w pliku wp-content/themes/[nazwa szablonu]/functions.php

add_filter( 'auto_update_plugin’, '__return_true’ );
add_filter( 'auto_update_theme’, '__return_true’ );

Więcej na ten temat można przeczytać w oficjalnej dokumentacji: Configuring Automatic Background Updates.

Zadbaj o dobre sąsiedztwo

To również niezwykle ważna rzecz, a niestety często o niej zapominamy. Tak było oczywiście i w moim przypadku. Najprawdopodobniej właśnie ten błąd przepłaciłem wspomnianym wcześniej atakiem.

To, że my zabezpieczymy nasz skrypt na wszelkie możliwe sposoby, a nie zadbamy o inne rzeczy znajdujące się na tym samym serwerze, porównałbym do montowania najnowszych drzwi antywłamaniowych w mieszkaniu i jednoczesne zostawienie starego drewnianego okienka w piwnicy. Nasz system zabezpieczeń jest tak dobry, jak najsłabszy jego punkt.

Idealnym wyjściem byłoby trzymanie każdej aplikacji na osobnych serwerach, jednak jak wiemy, ze względów głównie ekonomicznych, robi się tak tylko przy większych projektach.

Jeżeli mamy do dyspozycji serwer dedykowany lub VPS zalecałbym stworzenie dla każdego projektu osobnego użytkownika, o możliwie najmniejszych uprawnieniach. Dzięki temu, jeżeli jeden serwis ucierpi, to jest duża szansa, że pozostałe nie oberwą rykoszetem.

Trochę gorsza sytuacja jest, jeżeli dysponujemy tylko hostingiem współdzielonym. Tutaj zalecałbym daleko posuniętą ostrożność. Co prawda nie mamy wpływu na to, jakie inne systemy będą z nami współdzieliły fizyczną maszynę, ale przynajmniej sami nie trzymajmy starych śmieci na takim serwerze. Jeżeli mamy kilka serwisów, a na jednym zależy nam bardziej, to warto je rozdzielić ze względów bezpieczeństwa, a nie dlatego że wykorzystaliśmy już wszystkie przydzielone zasoby. Nie jest to duży koszt, bo zazwyczaj takie serwery można dostać już za kilkadziesiąt złotych rocznie, a zwiększa to nasz poziom bezpieczeństwa.

Zablokowanie edycji kodu źródłowego z poziomu panelu administracyjnego

Bardzo kusząca i wygodna opcja, ale… niezbyt bezpieczna, zwłaszcza jeżeli z administracji korzysta więcej osób. Zalecałbym wyłączenie takiej możliwości, a jeżeli zajdzie potrzeba edycji plików, to skorzystanie z bezpośredniej edycji na serwerze przez SSH lub FTP.

Możemy to wyłączyć przez nowy wpis w pliku wp-config.php:

define(’DISALLOW_FILE_EDIT’, true );

Ukrycie informacji o błędach

Informacje o błędach z poziomu skryptu PHP są bardzo pomocne, szczególnie na środowisku developerskim, ale pokazywanie ich już na produkcji nie dość, że wygląda bardzo mało profesjonalnie, to jest to zwyczajnie proszenie się o kłopoty. Takie komunikaty bardzo często wykorzystywane są przez atakujących do poznania szczegółów na temat skryptu, do którego chcą się włamać.

Idealną opcją byłoby przechwycenie takich błędów, zapisanie ich do logu, a użytkownikowi wyświetlenie odpowiednio sformatowanego komunikatu o chwilowych problemach na serwerze. Jednak w wersji minimalistycznej wystarczy ukrycie tych błędów, użytkownik natomiast zobaczy w takim wypadku tylko białą stronę.

Błędy ukrywamy przez dodanie poniższego kodu w pliku wp-config.php:

error_reporting(0);
@ini_set(’display_errors’, 0);

Hasła są jak bielizna

Hasła są jak bielizna – to bardzo popularny slogan, który pokazuje dość dosadnie, jak powinno podchodzić się do zmiany haseł. Może niekoniecznie trzeba je zmieniać codziennie, ale jednak dobrym zwyczajem jest ich zmiana raz na pewien czas oraz nieużywanie tego samego hasła w kilku miejscach.

Jeżeli mamy więcej użytkowników, może też okazać się przydatne wymuszenie odpowiedniego poziomu skomplikowania hasła, np. przy pomocy wtyczki: Force Strong Passwords.

Standardowa nazwa użytkownika

Domyślne nazwy użytkownika, w stylu: admin, root itp. są oczywiście jako pierwsze wpisywane przy próbie złamania zabezpieczeń, dlatego warto wysilić się minimalnie i zmienić domyślny login.

Ukrycie informacji o WordPress

Ukrycie wszystkich informacji na temat tego, że strona została wygenerowana przy pomocy skryptu WordPress, jest praktycznie niemożliwe. Pozbycie się jednak przynajmniej podstawowych rzeczy wskazujących na to, z jaką wersją skryptu mamy do czynienia spowoduje, że znaczna część ataków przeprowadzanych automatycznie ominie naszą stronę.

Dwie podstawowe rzeczy to usunięcie pliku readme.html oraz meta tagu generator.

Plik readme.html jest dodawany automatycznie po aktualizacjach, dlatego trzeba go usuwać za każdym razem lub skorzystać z mechanizmów robiących to automatycznie. Można to zrobić przy pomocy wtyczki: Readme Detonator lub zwyczajnie dodać kolejny wpis blokujący w pliku .htaccess:

<FilesMatch „^(readme.html)$”>
order allow,deny
deny from all
</FilesMatch>

Przykładowy meta tag generator wygląda w ten sposób:

<meta name=”generator” content=”WordPress x.x.x” />

Usuwamy go przez dodanie poniższego wpisu w pliku wp-content/themes/[nazwa szablonu]/functions.php:

<?php remove_action(’wp_head’, 'wp_generator’); ?>

Wyłączenie XML-RPC

XML-RPC to prosty protokół XML wykorzystywany do zdalnego wywoływania metod. W WordPress Xml-RPC wykorzystywany jest między innymi do zdalnego dodawania lub edycji postów!

Oczywiście, jeżeli nie chcemy korzystać z tej możliwości, powinniśmy ją zablokować. Więcej o samym API można przeczytać w oficjalnej dokumentacji: XML-RPC Support.

W celu zablokowania dostępu do API dodajemy poniższą komendę do pliku: wp-content/themes/[nazwa szablonu]/functions.php

add_filter( 'xmlrpc_enabled’, '__return_false’ );

lub blokujemy dostęp do pliku przy pomocy pliku .htaccess:

<FilesMatch „^(xmlrpc.php|readme.html|wp-config.php)$”>
order allow,deny
deny from all
</FilesMatch>

Listowanie zawartości katalogu

Wpisując nazwę katalogu w przeglądarce, np. stormit.pl/wp-content/plugins niektóre hostingi pozwalają na wyświetlenie wszystkich plików znajdujących się w tym katalogu. Można w ten sposób uzyskać np. informacje o zainstalowanych wtyczkach, pluginach, czy innych plikach, których obecności nie chcielibyśmy ujawniać.

Możemy to zablokować, np. dodając w takim katalogu pusty plik index.php lub index.html, wtedy przeglądarka wyświetli ten plik, a nie listę wszystkich plików z tego katalogu. Jednak to rozwiązanie działa tylko na jednym wybranym katalogu. Żeby zablokować listowanie plików bardziej globalnie, można dodać do pliku .htaccess poniższy wpis:

Options -Indexes

Uprawnienia do plików

Ze względów bezpieczeństwa zaleca się również modyfikację uprawnień plików na serwerze na następujące:

katalogi: 755, czyli właściciel posiada prawa do odczytu, zapisu i wykonywania, grupa oraz wszyscy pozostali mają uprawnienia do odczytu i wykonania;
pliki: 644, czyli właściciel posiada prawa do odczytu i zapisu, grupa oraz wszyscy pozostali tylko do odczytu;
plik wp-config: 640, czy właściciel posiada prawa do odczytu i zapisu, grupa tylko do odczytu, a wszyscy pozostali nie mają uprawnień do tego pliku;

Poniższymi poleceniami można nadać takie uprawnienia:

find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chmod 640 wp-config.php

Wyłączenie możliwości rejestracji użytkowników

Jeżeli nie potrzebujemy rejestracji na stronie, to powinniśmy ją wyłączyć. Można to zrobić przez Ustawienia -> Ogólne ->Członkostwo -> Każdy może się zarejestrować.

Ograniczenie ilości nieudanych prób logowania

Przed atakami siłowymi (brute force) warto się zabezpieczyć przez ograniczenie ilości prób logowania się do systemu. Ataki tego typu polegają na wielokrotnych próbach logowania się przy pomocy losowych loginów i haseł lub korzystając z przygotowanej wcześniej bazy najczęściej występujących kombinacji.

Zablokowanie możliwości logowania się np. po 5 nieudanych próbach na 15 minut skutecznie ogranicza możliwości takich ataków. Taki efekt możemy osiągnąć przy pomocy wtyczki: Limit Login Attempts lub Wordfence Security.

Wtyczki pilnujące zabezpieczeń

Znaczną część ręcznej roboty przy zabezpieczeniach można zautomatyzować, korzystając z gotowych wtyczek. Ja bliżej przyjrzałem się dwóm z nich: Wordfence oraz iThemes Security.

Wordfence Security

Wordfence – to wtyczka, która nie bez powodu cieszy się bardzo dużym zainteresowaniem oraz wysokimi ocenami użytkowników WordPressa.

Wordfence

Plugin dostępny jest w dwóch wersjach: darmowej oraz płatnej. Wersja płatna zawiera kilka dodatkowych funkcjonalności oraz wsparcie ze strony producenta wtyczki, jednak jej darmowy odpowiednik powinien być wystarczający dla większości stron.

Wybrane funkcjonalności Wordfence Security

porównywanie wersji plików – skanowaniu podlegają pliki samego WordPress, wtyczek oraz motywów. Porównywane są one automatycznie z dostępnymi wersjami w oficjalnym repozytorium. Dzięki temu można bardzo szybko wykryć ataki polegające na modyfikacji plików.
skanowanie plików – przeszukiwanie zawartości plików pod kątem wszystkich znanych zagrożeń
skanowanie adresów URL – wtyczka weryfikuje np. adresy url w komentarzach, porównując je z bazą niebezpiecznych adresów wykorzystujących phishing lub malware.
limitowanie prób logowania – blokowany jest dostęp do strony dla danego adresu IP po określonej liczbie nieudanych logowań.
ochrona online przed znanymi atakami – flagowa funkcjonalność Wordfence Security, polegająca na współdzieleniu między użytkownikami pluginu bazy informacji o znanych atakach oraz ich sprawcach. Dzięki temu, po wykryciu ataku przez jedną ze stron, automatycznie wszystkie inne również blokują napastnika.
FireWall – pozwalający na blokowanie złośliwych robotów oraz automatów generujących sztuczny ruch. Istnieje również możliwość ręcznego blokowania konkretnych adresów IP i ich klas.

Wordfence skanowanie

iThemes Security

iThemes Security to kolejna bardzo popularna i ceniona wtyczka zwiększająca bezpieczeństwo. Część jej funkcjonalności pokrywa się z Wordfence Security, jednak ta zawiera również kilka ciekawych dodatków.

iThemes Security skanowanie

Wybrane funkcjonalności iThemes Security

blokowanie użytkowników generujących błędy 404 – częste występowanie błędów typu HTTP 404, czyli brak strony, może świadczyć o błędzie w systemie, ale również o próbie ataku, polegającego na przeszukiwaniu serwera w celu znalezienia ukrytych plików.
czasowa blokada administracji – możemy zablokować dostęp do administracji w określonych godzinach, kiedy mamy pewność, że nie będziemy z niej korzystać, np. w nocy.
banowanie użytkowników – blokowanie dostępu do systemu użytkownikom na podstawie ich adresu IP lub nagłówka User Agent.
zabezpieczenie przed Brute Force lokalne oraz globalne – wspomniane już wcześniej ograniczenie błędnych prób logowania do systemu. Wtyczka umożliwia ochronę lokalnie oraz daje możliwość współdzielenia informacji o IP, z którego doszło do ataku z pozostałymi stronami korzystającymi z wtyczki. Dzięki czemu atakujący zostanie zablokowany globalnie na wielu stronach.
backup bazy danych – możliwość cyklicznego i w pełni automatycznego robienia backupów bazy danych i kopiowania ich na serwer oraz wysyłania na wskazany adres email.
wykrywanie modyfikacji plików – cykliczne lub na żądanie szukanie zmodyfikowanych plików, z możliwością wysłania raportu na maila.
wymuszenie silnego hasła – można wymusić korzystanie z bardziej skomplikowanych haseł przez użytkowników administracji.
zablokowanie możliwości edycji plików z poziomu administracji
wyłączenie XML-RPC

iThemes Security

WPScan

WpScan to ciekawy projekt umożliwiający przeprowadzenie symulowanego ataku na naszą stronę opartą o WordPress. Skaner wykorzystuje metodę black-box, czyli przeprowadza atak z zewnątrz, bez znajomości kodu. Skrypt stara się wyciągnąć możliwie jak najwięcej informacji o naszej stronie.

Przy jego pomocy można między innymi wyciągnąć informacje o:

liście zainstalowanych pluginów i ich wersji;
dostępnych skórkach i ich wersji;
nazwach użytkowników;
serwerze www;
zainstalowanej wersji PHP;

To, ile informacji uda się w ten sposób wyciągnąć, zależy od tego, jak dobrze zabezpieczyliśmy nasz system.

Zachęcam do przetestowania swojej strony pod tym kątem. Daje to bardzo dobry obraz tego, w jaki sposób mogą być przeprowadzane automatyczne ataki i jak dużo informacji udostępniamy o swoim blogu.

Jak unikać zagrożeń

Nawet mając dobrze zabezpieczony system, możemy paść ofiarą ataku, jeżeli nie będziemy przestrzegać kilku podstawowych reguł bezpieczeństwa.

Regularne kopie zapasowe

Proces tworzenia kopii zapasowych najlepiej zautomatyzować, tak by nie musieć już o tym pamiętać. W zależności od częstotliwości zmian na stronie powinno to się odbywać najlepiej codziennie lub co najmniej raz w tygodniu. Automatyczne kopie można skonfigurować przy pomocy wtyczki: iThemes Security lub pisząc własny skrypt odpalany przez crona.

Dobrze by było, gdyby tego typu kopie zawierały całą bazę danych (ewentualnie z pominięciem kilku tabel zawierających generowane rzeczy) oraz pliki dodawane do repozytorium, czyli domyślnie katalog: wp-content/uploads/.

Instalacja rozszerzeń oraz szablonów tylko z zaufanych źródeł

Często w Internecie można znaleźć płatne pluginy lub skórki udostępniane za darmo. Prawda jest taka, że 99% z nich zawiera już złośliwy kod i udostępniane są zdecydowanie nie bezinteresownie.

Monitorowanie

Niestety trzeba pogodzić się z tym, że nawet najlepsze systemy zabezpieczeń czasem zawodzą. Dlatego właśnie wykonujemy kopie bezpieczeństwa, ale również trzeba na bieżąco monitorować, co się dzieje w naszym systemie. Tylko dzięki temu mamy możliwość reagować, jeżeli już dojdzie do przełamania zabezpieczeń.

Monitorowanie dostępności: Zabbix

Stronę warto podpiąć do narzędzi monitorujących jej dostępność, np. do systemu Zabbix. Dzięki czemu zostaniemy poinformowani o jej niedostępności, co może świadczyć o ataku na nią lub zwyczajnie o problemach z serwerem.

Monitorowanie zaindeksowanych podstron: Google Search Console

Google Search Console również może dostarczyć ciekawych informacji na temat niebezpiecznych zaindeksowanych podstron. Google zależy, żeby strony do których kieruje z wyników wyszukiwania, nie były niebezpieczne dla użytkownika, dlatego monitoruje je pod kątem różnych zagrożeń.

Podsumowanie i wnioski

Decydując się na utrzymywaniu strony na skrypcie tak popularnym, jak WordPress, trzeba liczyć się z faktem, że zabezpieczyć jej łatwo nie będzie. Z racji swojej popularności oraz otwartego kodu jest to jeden z częściej atakowanych systemów.

Wpis przedstawia całą masę zabezpieczeń, które można lub nawet powinno się wprowadzić na swojej stronie. Jednak sama znajomość mechanizmów nie zabezpieczy naszej strony. Warto cyklicznie sprawdzać, czy wszystkie nasze zabezpieczenia działają oraz czy nie dzieje się nic złego w naszym systemie.

Cały czas należy również pamiętać, że o sile wprowadzonych przez nas zabezpieczeń stanowi ich najsłabszy punkt. Tym najsłabszym punktem najczęściej jest sam użytkownik, dlatego zdrowy rozsądek przede wszystkim.

Ze swojej strony życzę powodzenia i wytrwałości we wprowadzaniu zabezpieczeń, bo crackerzy i spamerzy nie śpią 🙂

2 komentarze