Во текот на последните месеци, нашата веб-страница беше цел на голем број автоматизирани напади извршени од таканаречени „роботи“ или ботови. Покрај обновата на страницата од нула, имплементиравме неколку безбедносни мерки за подобра заштита на нашите системи од овие напади.

Овој документ дава краток преглед на најважните промени. Подетални технички извештаи се достапни и на германски и на англиски јазик за секој што е заинтересиран. 

Безбедносни подобрувања – краток преглед

1. Миграција кон наменски VPS

• Веб-страницата сега работи на наш сопствен виртуелен приватен сервер (VPS) наместо на споделен хостинг.
• Ова ни дава наменски процесор и RAM меморија, така што перформансите и стабилноста се значително подобри.
• Го контролираме целиот софтверски стек (веб сервер, PHP, база на податоци), што ни овозможува многу побрзо да применуваме безбедносни ажурирања и оптимизации.

2. Заштита на мрежата: Заштитен ѕид (ufw)

• На VPS го овозможивме вградениот заштитен ѕид ufw („Некомплициран заштитен ѕид“).
• Само портите што ни се потребни се достапни од интернет:
  • SSH (безбеден далечински пристап за администратори)
  • HTTP/HTTPS (јавен пристап до веб-страница).
• Сите други порти се блокирани, што значително ја намалува површината за технички напад на серверот.

3. Автоматско блокирање на напаѓачи: Fail2ban

• Инсталиравме Fail2ban , услуга што автоматски ги блокира IP адресите што се однесуваат сомнително.
• Fail2ban континуирано ги анализира постоечките лог-датотеки (логови на SSH и веб-сервер).
• Доколку IP адресата предизвика многу неуспешни најавувања или постојано ја таргетира администраторската област на Joomla, оваа IP адреса автоматски се блокира преку заштитниот ѕид за дефиниран временски период.
• Ова ефикасно ги ограничува нападите со брутална сила и автоматизираните скенирања на серверот и нашето администраторски најавување.

4. Заштита на ниво на апликација во Joomla (Алатки за администратори и 2FA)

• Внатре во Joomla користиме алатки за администратори (Core) како дополнителен безбедносен слој.
• Додава основен заштитен ѕид за веб-апликации (WAF), алатки за поправање на дозволи за датотеки и функции за итни случаи за брзо заклучување на страницата доколку е потребно.
• Администраторските сметки се дополнително заштитени со двофакторска автентикација (2FA) , па затоа за најавување се потребни и лозинка и еднократен код.
• Заедно, овие мерки значително го отежнуваат неовластениот пристап до бекенд и вообичаените веб-напади.

5. Резултирачко ниво на безбедност

• Комбинацијата од VPS , firewall , Fail2ban , Admin Tools и 2FA обезбедува повеќе независни слоеви на заштита.
• Нормалните посетители и уредници главно треба да забележат побрза и постабилна веб-страница, додека системот тивко ги пресретнува и блокира повеќето автоматизирани напади во позадина