Per pastaruosius mėnesius mūsų svetainė tapo daugybės automatinių atakų, kurias vykdė vadinamieji „robotai“ arba botai, taikiniu. Be svetainės atkūrimo nuo nulio, įdiegėme keletą saugumo priemonių, kad geriau apsaugotume savo sistemas nuo šių atakų.

Šiame dokumente pateikiama trumpa svarbiausių pakeitimų apžvalga. Išsamesnės techninės ataskaitos yra prieinamos vokiečių ir anglų kalbomis visiems susidomėjusiems. 

Saugumo patobulinimai – trumpa apžvalga

1. Migracija į dedikuotą VPS

  • Svetainė dabar veikia mūsų pačių virtualiame privačiame serveryje (VPS), o ne bendrame talpinime.
  • Tai suteikia mums atskirą procesorių ir RAM, todėl našumas ir stabilumas yra pastebimai geresni.
  • Mes kontroliuojame visą programinės įrangos paketą (žiniatinklio serverį, PHP, duomenų bazę), todėl galime daug greičiau įdiegti saugos atnaujinimus ir optimizavimus.

2. Tinklo apsauga: užkarda (ufw)

  • VPS serveryje įjungėme integruotą užkardą ufw („Uncomplicated Firewall“).
  • Iš interneto pasiekiami tik tie prievadai, kurių mums iš tikrųjų reikia:
    • SSH (saugi nuotolinė prieiga administratoriams)
    • HTTP/HTTPS (prieiga prie viešos svetainės).
  • Visi kiti prievadai yra blokuojami, o tai žymiai sumažina serverio techninę atakų sritį.

3. Automatinis užpuolikų blokavimas: Fail2ban

  • Įdiegėme „Fail2ban“ – paslaugą, kuri automatiškai blokuoja įtartinai elgiančius IP adresus.
  • „Fail2ban“ nuolat analizuoja esamus žurnalų failus (SSH ir žiniatinklio serverio žurnalus).
  • Jei IP adresas sukelia daug nepavykusių prisijungimų arba pakartotinai nukreipiamas į „Joomla“ administratoriaus sritį, šis IP adresas automatiškai blokuojamas ugniasienės nustatytam laikotarpiui.
  • Tai efektyviai apriboja „brute-force“ atakas ir automatinius serverio bei mūsų administratoriaus prisijungimo nuskaitymus.

4. Programos lygio apsauga „Joomla“ sistemoje (administratoriaus įrankiai ir 2FA)

  • kaip papildomą saugumo sluoksnį naudojame administratoriaus įrankius („Core“)
  • Pridedama pagrindinė žiniatinklio programų užkarda (WAF), įrankiai failų leidimams taisyti ir avarinės funkcijos, kad prireikus būtų galima greitai užrakinti svetainę.
  • Administratoriaus paskyros yra papildomai apsaugotos dviejų veiksnių autentifikavimu (2FA) , todėl prisijungimui reikia ir slaptažodžio, ir vienkartinio kodo.
  • Visos šios priemonės gerokai apsunkina neteisėtą prieigą prie serverių ir įprastas internetines atakas.

5. Gaunamas saugumo lygis

  • VPS , užkardos , „Fail2ban“ , administratoriaus įrankių ir 2FA derinys suteikia kelis nepriklausomus apsaugos sluoksnius.
  • Įprasti lankytojai ir redaktoriai turėtų pastebėti spartesnę ir stabilesnę svetainę, o sistema tyliai perima ir blokuoja daugumą automatinių atakų fone