Viimaste kuude jooksul on meie veebisait langenud suure hulga automatiseeritud rünnakute sihtmärgiks, mida viivad läbi niinimetatud "robotid" ehk botid. Lisaks saidi nullist taastamisele oleme rakendanud mitmeid turvameetmeid, et oma süsteeme nende rünnakute eest paremini kaitsta.

See dokument annab lühikese ülevaate kõige olulisematest muudatustest. Üksikasjalikumad tehnilised aruanded on huvilistele saadaval nii saksa kui ka inglise keeles. 

Turvalisuse täiustused – lühike ülevaade

1. Migreerimine spetsiaalsele VPS-ile

• Veebisait töötab nüüd meie enda virtuaalsel privaatserveril (VPS) jagatud majutuse asemel.
• See annab meile spetsiaalse protsessori ja muutmälu, seega on jõudlus ja stabiilsus märgatavalt paremad.
• Meie kontrolli all on kogu tarkvarapakett (veebiserver, PHP, andmebaas), mis võimaldab meil turvavärskendusi ja optimeeringuid palju kiiremini rakendada.

2. Võrgukaitse: tulemüür (ufw)

• VPS-il lubasime sisseehitatud tulemüüri ufw („Uncommplicated Firewall“).
• Internetist on ligipääsetavad ainult need pordid, mida me tegelikult vajame:
  • SSH (turvaline kaugjuurdepääs administraatoritele)
  • HTTP/HTTPS (juurdepääs avalikule veebisaidile).
• Kõik teised pordid on blokeeritud, mis vähendab oluliselt serveri tehnilist rünnakupinda.

3. Ründajate automaatne blokeerimine: Fail2ban

• Paigaldasime Fail2bani , teenuse, mis blokeerib automaatselt kahtlaselt käituvad IP-aadressid.
• Fail2ban analüüsib pidevalt olemasolevaid logifaile (SSH ja veebiserveri logid).
• Kui IP-aadress põhjustab palju ebaõnnestunud sisselogimisi või sihib korduvalt Joomla administraatori ala, blokeeritakse see IP-aadress tulemüüri kaudu automaatselt kindlaksmääratud ajaperioodiks.
• See piirab tõhusalt serveri ja meie administraatori sisselogimise vastu suunatud jõhkraid rünnakuid ja automatiseeritud skaneeringuid.

4. Rakendustaseme kaitse Joomlas (administraatori tööriistad ja 2FA)

• Joomla sees kasutame täiendava turvakihina administraatori tööriistu (Core)
• See lisab põhilise veebirakenduse tulemüüri (WAF), tööriistad failiõiguste parandamiseks ja hädaolukorra funktsioonid saidi kiireks lukustamiseks vajadusel.
• Administraatori kontosid kaitseb lisaks kahefaktoriline autentimine (2FA) , seega sisselogimiseks on vaja nii parooli kui ka ühekordset koodi.
• Need meetmed muudavad volitamata juurdepääsu serveripoolsele süsteemile ja levinud veebirünnakud oluliselt raskemaks.

5. Saadud turvatase

• VPS-i , tulemüüri , Fail2bani , administraatoritööriistade ja 2FA kombinatsioon pakub mitut sõltumatut kaitsekihti.
• Tavakülastajad ja toimetajad peaksid peamiselt märkama kiiremat ja stabiilsemat veebisaiti, samal ajal kui süsteem blokeerib vaikselt enamiku automatiseeritud rünnakuid taustal