Протягом останніх місяців наш вебсайт став мішенню великої кількості автоматизованих атак, здійснених так званими «роботами» або ботами. Окрім відновлення сайту з нуля, ми впровадили кілька заходів безпеки для кращого захисту наших систем від цих атак.

Цей документ містить короткий огляд найважливіших змін. Більш детальні технічні звіти доступні німецькою та англійською мовами для всіх зацікавлених. 

Покращення безпеки – короткий огляд

1. Міграція на виділений VPS

• Тепер вебсайт працює на нашому власному віртуальному приватному сервері (VPS) замість спільного хостингу.
• Це дає нам виділений процесор та оперативну пам'ять, тому продуктивність та стабільність помітно кращі.
• Ми контролюємо весь програмний стек (веб-сервер, PHP, база даних), що дозволяє нам набагато швидше застосовувати оновлення безпеки та оптимізації.

2. Захист мережі: Брандмауер (ufw)

• На VPS ми ввімкнули вбудований брандмауер ufw («Нескладний брандмауер»).
• З інтернету доступні лише ті порти, які нам дійсно потрібні:
  • SSH (захищений віддалений доступ для адміністраторів)
  • HTTP/HTTPS (доступ до загальнодоступного веб-сайту).
• Всі інші порти блокуються, що значно зменшує поверхню технічної атаки на сервер.

3. Автоматичне блокування зловмисників: Fail2ban

• Ми встановили Fail2ban , сервіс, який автоматично блокує IP-адреси з підозрілою поведінкою.
• Fail2ban постійно аналізує існуючі файли журналів (журнали SSH та веб-сервера).
• Якщо IP-адреса спричиняє багато невдалих входів або неодноразово націлюється на адміністративну панель Joomla, ця IP-адреса автоматично блокується брандмауером на певний період часу.
• Це ефективно обмежує атаки методом перебору та автоматичне сканування сервера й нашого входу адміністратора.

4. Захист на рівні застосунків у Joomla (інструменти адміністрування та 2FA)

• Всередині Joomla ми використовуємо інструменти адміністрування (Core) як додатковий рівень безпеки.
• Він додає базовий брандмауер веб-застосунків (WAF), інструменти для виправлення дозволів на доступ до файлів та функції екстреного доступу для швидкого блокування сайту за потреби.
• Облікові записи адміністраторів додатково захищені двофакторною автентифікацією (2FA) , тому для входу потрібен як пароль, так і одноразовий код.
• Разом ці заходи значно ускладнюють несанкціонований доступ до серверної частини та поширені веб-атаки.

5. Результуючий рівень безпеки

• Поєднання VPS , брандмауера , Fail2ban , інструментів адміністрування та 2FA забезпечує кілька незалежних рівнів захисту.
• Звичайні відвідувачі та редактори повинні помітити швидшу та стабільнішу роботу веб-сайту, тоді як система непомітно перехоплює та блокує більшість автоматизованих атак у фоновому режимі