V posledných mesiacoch sa naša webová stránka stala terčom veľkého počtu automatizovaných útokov vykonávaných takzvanými „robotmi“ alebo botmi. Okrem úplnej prestavby stránky sme zaviedli aj niekoľko bezpečnostných opatrení na lepšiu ochranu našich systémov pred týmito útokmi.

Tento dokument poskytuje stručný prehľad najdôležitejších zmien. Podrobnejšie technické správy sú k dispozícii v nemčine aj angličtine pre každého, kto má záujem. 

Vylepšenia zabezpečenia – Stručný prehľad

1. Migrácia na vyhradený VPS

  • Webová stránka teraz beží na našom vlastnom virtuálnom privátnom serveri (VPS) namiesto zdieľaného hostingu.
  • Vďaka tomu máme vyhradený procesor a RAM, takže výkon a stabilita sú citeľne lepšie.
  • Kontrolujeme celý softvérový stack (webový server, PHP, databázu), čo nám umožňuje oveľa rýchlejšie aplikovať bezpečnostné aktualizácie a optimalizácie.

2. Ochrana siete: Firewall (ufw)

  • Na VPS sme povolili vstavaný firewall ufw („Nekomplikovaný firewall“).
  • Z internetu sú dostupné iba porty, ktoré skutočne potrebujeme:
    • SSH (zabezpečený vzdialený prístup pre administrátorov)
    • HTTP/HTTPS (prístup k verejným webovým stránkam).
  • Všetky ostatné porty sú blokované, čo výrazne znižuje povrch technického útoku na server.

3. Automatické blokovanie útočníkov: Fail2ban

  • Nainštalovali sme si Fail2ban , službu, ktorá automaticky blokuje IP adresy, ktoré sa správajú podozrivo.
  • Fail2ban priebežne analyzuje existujúce protokolové súbory (protokoly SSH a webového servera).
  • Ak IP adresa spôsobuje veľa neúspešných prihlásení alebo opakovane útočí na administrátorskú oblasť Joomly, táto IP adresa sa automaticky zablokuje cez firewall na definované časové obdobie.
  • Toto efektívne obmedzuje útoky hrubou silou a automatizované skenovanie servera a nášho administrátorského prihlásenia.

4. Ochrana na úrovni aplikácií v systéme Joomla (nástroje pre správcu a 2FA)

  • V rámci Joomly používame Admin Tools (Core) ako dodatočnú vrstvu zabezpečenia.
  • Pridáva základný firewall webových aplikácií (WAF), nástroje na opravu oprávnení súborov a núdzové funkcie na rýchle uzamknutie stránky v prípade potreby.
  • Účty správcov sú ďalej chránené dvojfaktorovým overovaním (2FA) , takže prihlásenie vyžaduje heslo aj jednorazový kód.
  • Tieto opatrenia spolu výrazne sťažujú neoprávnený prístup k backendovým systémom a bežné webové útoky.

5. Výsledná úroveň bezpečnosti

  • Kombinácia VPS , firewallu , Fail2ban , administrátorských nástrojov a 2FA poskytuje viacero nezávislých vrstiev ochrany.
  • Bežní návštevníci a editori by si mali všimnúť najmä rýchlejšiu a stabilnejšiu webovú stránku, zatiaľ čo systém potichu zachytáva a blokuje väčšinu automatizovaných útokov na pozadí