V zadnjih mesecih je bilo naše spletno mesto tarča številnih avtomatiziranih napadov, ki so jih izvedli tako imenovani "roboti" ali boti. Poleg ponovne izdelave spletnega mesta smo uvedli tudi več varnostnih ukrepov za boljšo zaščito naših sistemov pred temi napadi.
Ta dokument ponuja kratek pregled najpomembnejših sprememb. Podrobnejša tehnična poročila so na voljo v nemščini in angleščini za vse zainteresirane.
Varnostne izboljšave – kratek pregled
1. Selitev na namenski VPS
- Spletna stran sedaj deluje na našem lastnem virtualnem zasebnem strežniku (VPS) namesto na deljenem gostovanju.
- To nam daje namensko procesorsko enoto in RAM, zato sta zmogljivost in stabilnost opazno boljši.
- Nadzorujemo celoten programski sklad (spletni strežnik, PHP, baza podatkov), kar nam omogoča veliko hitrejše nameščanje varnostnih posodobitev in optimizacij.
2. Zaščita omrežja: požarni zid (ufw)
- Na VPS-ju smo omogočili vgrajeni požarni zid ufw (»Nezapleteni požarni zid«).
- Iz interneta so dosegljiva samo vrata, ki jih dejansko potrebujemo:
- SSH (zaščiten oddaljeni dostop za skrbnike)
- HTTP/HTTPS (dostop do javnega spletnega mesta).
- Vsa ostala vrata so blokirana, kar znatno zmanjša površino tehničnega napada na strežnik.
3. Samodejno blokiranje napadalcev: Fail2ban
- Namestili smo Fail2ban , storitev, ki samodejno blokira IP-naslove, ki se sumljivo obnašajo.
- Fail2ban nenehno analizira obstoječe dnevniške datoteke (dnevnike SSH in spletnega strežnika).
- Če IP-naslov povzroči veliko neuspelih prijav ali večkrat cilja na skrbniško območje Joomle, se ta IP-naslov za določeno časovno obdobje samodejno blokira prek požarnega zidu.
- To učinkovito omejuje napade z grobo silo in avtomatizirana skeniranja strežnika in naše skrbniške prijave.
4. Zaščita na ravni aplikacije v Joomli (skrbniška orodja in 2FA)
- Znotraj Joomle uporabljamo skrbniška orodja (Core) kot dodatno varnostno plast.
- Dodaja osnovni požarni zid spletnih aplikacij (WAF), orodja za popravljanje dovoljenj datotek in funkcije za nujne primere za hitro zaklepanje spletnega mesta, če je potrebno.
- Skrbniški računi so dodatno zaščiteni z dvofaktorsko avtentikacijo (2FA) , zato je za prijavo potrebno tako geslo kot enkratna koda.
- Ti ukrepi skupaj znatno otežujejo nepooblaščen dostop do zalednih sistemov in običajne spletne napade.
5. Nastala raven varnosti
- Kombinacija VPS-ja , požarnega zidu , Fail2ban-a , skrbniških orodij in 2FA zagotavlja več neodvisnih plasti zaščite.
- Običajni obiskovalci in uredniki bi morali opaziti predvsem hitrejše in stabilnejše spletno mesto, medtem ko sistem v ozadju tiho prestreže in blokira večino avtomatiziranih napadov