Током последњих месеци, наш веб-сајт је био мета великог броја аутоматизованих напада које су извршили такозвани „роботи“ или ботови. Поред тога што смо сајт поново изградили од нуле, имплементирали смо неколико безбедносних мера како бисмо боље заштитили наше системе од ових напада.

Овај документ пружа кратак преглед најважнијих промена. Детаљнији технички извештаји доступни су на немачком и енглеском језику за све заинтересоване. 

Безбедносна побољшања – кратак преглед

1. Миграција на наменски VPS

• Веб сајт сада ради на нашем сопственом виртуелном приватном серверу (VPS) уместо дељеног хостинга.
• Ово нам даје наменски процесор и РАМ меморију, тако да су перформансе и стабилност приметно боље.
• Контролишемо комплетан софтверски стек (веб сервер, PHP, база података), што нам омогућава да много брже примењујемо безбедносна ажурирања и оптимизације.

2. Заштита мреже: Заштитни зид (ufw)

• На VPS-у смо омогућили уграђени заштитни зид ufw („Некомпликовани заштитни зид“).
• Само портови који су нам заправо потребни су доступни са интернета:
  • SSH (безбедан даљински приступ за администраторе)
  • HTTP/HTTPS (приступ јавној веб страници).
• Сви остали портови су блокирани, што значајно смањује површину техничког напада на сервер.

3. Аутоматско блокирање нападача: Fail2ban

• Инсталирали смо Fail2ban , сервис који аутоматски блокира IP адресе које се сумњиво понашају.
• Fail2ban континуирано анализира постојеће лог датотеке (SSH и веб сервер логове).
• Ако нека IP адреса узрокује много неуспешних пријављивања или више пута циља администраторски део Joomla-е, ова IP адреса се аутоматски блокира путем заштитног зида (фајервола) на одређени временски период.
• Ово ефикасно ограничава нападе грубом силом и аутоматизована скенирања сервера и нашег администраторског пријављивања.

4. Заштита на нивоу апликације у Joomla-и (Администраторски алати и 2FA)

• Унутар Joomla-е користимо Admin Tools (Core) као додатни слој безбедности.
• Додаје основни заштитни зид веб апликација (WAF), алате за исправљање дозвола за датотеке и функције за хитне случајеве за брзо закључавање сајта ако је потребно.
• Администраторски налози су додатно заштићени двофакторском аутентификацијом (2FA) , тако да је за пријављивање потребна и лозинка и једнократни код.
• Заједно, ове мере знатно отежавају неовлашћени приступ серверима и уобичајене веб нападе.

5. Добијени ниво безбедности

• Комбинација VPS-а , заштитног зида (firewall) , Fail2ban-а , администраторских алата и 2FA пружа више независних слојева заштите.
• Обични посетиоци и уредници би требало углавном да примете бржи и стабилнији веб-сајт, док систем тихо пресреће и блокира већину аутоматизованих напада у позадини