Namestitev SSL certifikata

Pohitite z namestitvijo SSL certifikata!

Google je 8. februarja 2018 na svojem uradnem blogu objavil novico, da bo brskalnik Chrome od julija 2018 naprej vse spletne strani, dostopne na nezavarovanem http:// protokolu, označil z Not secure oznako. To se bo zgodilo, ko bo izšla verzija brskalnika Google Chrome 68. Kaj to pomeni? Da si morate do takrat na spletno stran namestiti SSL certifikat, saj v nasprotnem primeru lahko pričakujete upad obiskovalcev.

Google Chrome opozorilo - Not secure

Da Google spodbuja prehod na zavarovani https:// protokol, ni prav nič novega. Gre namreč za zelo dobro načrtovane ukrepe, ki potekajo že od 6. avgusta 2014 dalje. Takrat so pri globalni korporaciji oznanili, da so spletne strani, dostopne na https:// povezavi, deležne manjše prednosti v iskalniku. Če bi torej primerjali uvrstitve dveh popolnoma enakih spletnih strani, bi bila tista, na katero je nameščen SSL certifikat, uvrščena pred nezavarovano spletno stranjo.

Nadaljevalo se je januarja 2017, ko je bil izdan brskalnik Google Chrome 56. Takrat so oznako Not secure dobile vse http:// strani, na katerih so bili dostopni obrazci za vpis gesla ali številke kreditne kartice.

Tudi Google Chome 62 je prinesel spremembo na tem področju, in sicer oktobra 2017. Od takrat naprej ima vsaka http:// stran oznako Not secure, če jo odprete v zasebnem načinu brskanja (ang. Incognito Window).

Googlu sledijo tudi drugi brskalniki

Google je nedavno sporočil, da se na Windows in Android napravah prek zavarovanega https:// protokola odvije več kot 68 % prometa, v Chrome OS in Mac pa kar 78 %. Ko bo izšel Google Chrome 68, bosta številki zagotovo še precej višji.

Zato ne preseneča, da Googlu sledijo tudi drugi večji brskalniki. Mozilla Firefox podobne ukrepe izvaja že od prejšnjega decembra, ni pa še jasno, kdaj točno bodo v omenjenem brskalniku vse http:// strani označene z Not secure.

Se vaša spletna stran še vedno nahaja na nezavarovani http:// povezavi? Svetujemo vam, da si čim prej priskrbite SSL certifikat, ki vam je na voljo pri nekaterih ponudnikih spletnega gostovanja. Eden izmed njih je denimo NEOSERV.si, pri katerem poleg brezplačnega SSL certifikata Let’s Encrypt lahko izberete tudi katerega izmed plačljivih Comodo certifikatov.

Spletni napadalec

Moja WordPress stran je okužena, kaj naj naredim?

WordPress je najbolj popularen sistem za izdelavo spletnih strani, saj jih je bilo z njim izdelanih že več kot 15,8 milijona. Tega se zavedajo tudi spletni napadalci, zato so prav WordPress strani najpogostejša tarča njihovih napadov. Tudi če je vaša spletna stran samo spletna vizitka, morate poskrbeti za njeno varnost. Ko pride do okužbe, hitro nastopi panika, saj vsak želi svojo stran čim prej vrniti na stanje pred okužbo. V današnjem prispevku si preberite, kako ukrepati v takšnem primeru.

Obnovitev iz neokužene varnostne kopije

Še preden pride do okužbe vaše spletne strani, je potrebno, da naredite rezervno kopijo:

  • krovnih datotek WordPressa,
  • grafične predloge, ki vključuje tako glavno kot »child« temo, če slednjo uporabljate,
  • vtičnikov,
  • baze podatkov.

Če pride do okužbe vaše strani, je potrebno, da zaženete obnovitev varnostne kopije in s tem povrnete stran na stanje pred okužbo. Na ta način pridete do rešitve s samo nekaj kliki.

Žal je to popoln scenarij, ki je izvedljiv le redko. Rešitev okužene WordPress strani je namreč običajno veliko bolj kompleksen proces. Obnovitev iz rezervne kopije je šele prvi korak. Velikokrat se namreč zgodi, da spletni napadalci nepooblaščeno dostopajo do strani mnogo prej, preden izvedejo dejanski napad. To pomeni, da če boste spletno stran povrnili na prejšnjo obnovitveno točko, bo stran še vedno okužena.

Spletni napadalec

Spletni napadalec lahko prevzame popolno kontrolo nad vašo spletno stranjo.

Da se izognete temu scenariju, izvedite naslednje štiri korake:

  1. Blokirajte dostop do strani, tako da je dosegljiva samo prek IP-ja vašega računalnika.
  2. Vsi uporabniki, ki imajo dostop do administracije vaše WordPress strani, naj spremenijo geslo.
  3. Spremenite geslo za dostop do paketa spletnega gostovanja.
  4. Preverite strani in odstranite vse datoteke, ki imajo dostop skozi skriti vhod (ang. Backdoor Files).

Datoteke z dostopom skozi skriti vhod

Datoteke z dostopom skozi skriti vhod so datoteke, ki s pomočjo kode nepooblaščeno dostopajo do administracije spletne strani. Ker gre za precej tehnično zadevo, se odstranjevanja tovrstnih datotek sami lotite le v primeru, če imate dovolj ustreznega znanja.

Pri reševanju vam je lahko v pomoč vtičnik Wordfence Security. Najprej preverite zadnje spremenjene datoteke. Če jih niste spreminjali sami, obstaja sum, da gre za okužene datoteke ali njihove dele. Priporočamo vam, da si ogledate njihovo vsebino, preden jih izbrišete. S tem boste dobili predstavo, kako so videti, zato boste lažje poiskali še ostale okužene datoteke ali njihove dele.
Če za katero datoteko niste prepričani, ali je škodljiva, jo dodatno preverite, da ne boste nenamerno pokvarili delovanja svoje spletne strani.

Ustrezno spletno gostovanje

Nimate varnostnih kopij svoje strani? Potem je ne boste mogli povrniti na stanje pred okužbo. Zato je pomembno, da izberete zanesljivega ponudnika gostovanja. Preverite, kako pogosto izdeluje varnostne kopije in kakšen nivo varnosti nudi za spletne strani, ki gostujejo na njegovih strežnikih.

Spletno gostovanje

Izbira kakovostnega ponudnika spletnega gostovanja je izjemno pomembna.

V primeru, da vaš ponudnik ne izdeluje varnostih kopij, in tudi če jih, lahko dodatne naredite z ustreznim vtičnikom. Eden najbolj priljubljenih in učinkovitih je UpdraftPlus, s katerim izdelate varnostno kopijo svoje strani v le nekaj korakih.

Skrb za varnost in posodobitve

Če je bila vaša WordPress stran okužena, popravilo nastale situacije, kot smo že omenili, praviloma nikoli ni enostavno. Vse se vrti okoli tega, kako varni so temelji vaše spletne strani, uporabniki in njihova gesla, vtičniki in teme. Bolj kot se trudite z varnostjo in posodobitvami, manjša je verjetnost, da bo prišlo do okužbe.

Okužena spletna stran vam lahko povzroči ogromno škodo, zato je pomembno, da ničesar ne prepustite naključju. Poskrbite, da boste imeli učinkovit sistem izdelave varnostnih kopij (ali ponudnika gostovanja, ki to omogoča). Brez dobre varnostne kopije ni garancije, da bo vaša stran še kdaj normalno delovala, če pride do njene okužbe.

Dvo-faktrorska avtentikacija

WordPress in uporaba dvofaktorske avtentikacije

Kot že ime pove, je dvofaktorska avtentikacija sestavljena iz dveh delov. Prvi del predstavlja nekaj, kar poznamo (na primer geslo), drugi del pa nekaj, kar imamo (na primer pametni telefon). Z uporabo dvofaktorske avtentikacije lahko med drugim poskrbimo tudi za večjo varnost svoje WordPress spletne strani.

Dvofaktrorska avtentikacija v sistemu WordPress

Ko na svojo domeno namestite sistem WordPress, je eden od prvih korakov, da nastavite ustrezno uporabniško ime in geslo:

  • spremenite privzeto uporabniško ime admin v nekaj drugega,
  • uporabite varno geslo iz vsaj 12 znakov, ki vključujejo velike in male črke, številke in posebne znake (na primer #$*@{^€).

Drugi korak za večjo varnost pa je, da namestite ustrezen vtičnik, ki omogoča dvofaktorsko avtentikacijo. Da boste lažje izbrali pravega, smo pripravili seznam najbolj priljubljenih.

WordFence

WordFence

WordFence spada med najbolj priljubljene WordPress varnostne vtičnike.

WordFence spada med najbolj priljubljene WordPress varnostne vtičnike, saj beleži že več kot 2 milijona namestitev. Njegova plačljiva verzija omogoča tudi dvofaktorsko avtentikacijo, ki jo lahko uporabite na dva načina:

  • v kombinaciji z aplikacijo Google Authenticator,
  • pošiljanje kode za enkratno uporabo preko SMS-a.

Google Authenticator

Google Authenticator

Google Authenticator deluje kot aplikacija in vtičnik.

Podjetje Google je prisotno na mnogih področjih spleta, med drugim nudijo tudi varnostne produkte, kot je na primer Google Authenticator. To je brezplačna aplikacija za pametne telefone, ki delujejo na operacijskem sistemu Android ali iOS. Poleg aplikacije potrebujete še istoimenski vtičnik, s katerim si nastavite učinkovito dvofaktorsko avtentikacijo.

Duo Two-Factor Authentication

Duo Two-Factor Authentication

Vtičnik Duo je razvilo varnostno podjetje.

Duo je tehnološko-varnostno podjetje, ki ponuja dvofaktorsko zaščito za globalne korporacije in podjetja. Poleg tega so razvili tudi varnostni WordPress vtičnik. Kljub temu, da je zabeležil samo nekaj tisoč prenosov, gre za izjemno učinkovit vtičnik, ki je primeren za vse, ki potrebujete dvofaktorsko avtentikacijo.

Rublon

Rublon

Rublon deluje na drugačen način kot ostali predstavljeni vtičniki.

Za konec smo prihranili še en zanimiv varnostni vtičnik. Rublon ponuja povsem drugačen pristop zaščite. Namesto pošiljanja kode za enkratno uporabo prek SMS-a, Rublon kodo pošlje na elektronski naslov. Ko se enkrat uspešno vpišete v svoj WordPress prek določene naprave, si Rublon to napravo zapomni kot varno. Brezplačna verzija je na voljo za en uporabniški račun, za dodatne uporabnike pa je potrebna nadgradnja na plačljivo verzijo.

Poleg zgoraj omenjenih imate na voljo še več vtičnikov za dvofaktorsko avtentikacijo, zato izgovorov za njeno neuporabo ni. Že res, da bo s tem prijavni postopek podaljšan za en korak, ampak bistveno večja stopnja varnosti je tega vredna. Da zagotovite še dodatno varnost, poleg dvofaktorske avtentikacije izdelujte še redne varnostne kopije svoje strani, poskrbite za posodobitve jedra WordPressa, grafične predloge in vseh vtičnikov, ter za ustrezno antivirusno zaščito računalnikov, na katerih dostopate do svoje WordPress spletne strani.

Certifikat Let's Encrypt

Brezplačen SSL certifikat Let’s Encrypt – da ali ne?

Google je napovedal, da bo v svojem iskalniku Google Chrome uporabnike obveščal, če se nahajajo na nezavarovani HTTP povezavi. To je močno vplivalo na povpraševanje po SSL certifikatih, ki omogočajo, da se spletna stran namesto na HTTP nahaja na zavarovani povezani HTTPS. Poleg tega pa se tudi vedno več lastnikov spletnih strani zaveda, kako pomembno je, da začnejo za svoje strani uporabljati HTTPS povezavo.

Na voljo so domenski, poslovni in razširjeni SSL certifikati. Velika večina je plačljivih, obstaja pa tudi brezplačen domenski certifikat izdajatelja Let’s Encrypt, ki si ga bomo podrobneje ogledali v tokratni objavi.

Kaj je Let’s Encrypt?

Izdajatelj certifikatov Let’s Encrypt na svoji spletni strani ponuja brezplačen, avtomatiziran in odprtokoden SSL certifikat. Da je certifikat avtomatiziran, pomeni, da pri izdaji ali podaljšanju le-tega ni potrebo ročno posredovanje izdajatelja certifikata. K razvoju Let’s Encrypt certifikata prispevajo usposobljeni razvijalci, zato je odprtokoden, kar mu tudi omogoča, da je na voljo brezplačno.

Let's Encrypt

SSL certifikat Let’s Encrypt je brezplačen, avtomatiziran in odprtokoden.

Vsaka stvar ima svoje prednosti in slabosti. Običajno velja, da imajo brezplačne več slabosti, včasih pa temu ni tako. V nadaljevanju si zato poglejmo, katere so glavne prednosti in katere so tiste slabosti, ki bi vas utegnile odvrniti od namestitve certifikata Let’s Encrypt.

Prednosti in slabosti brezplačnega SSL certifikata

Glavna prednost je, kot smo že omenili, da je brezplačen. Ostale prednosti, ki jih velja omeniti, pa so:

  • Certifikat omogoča enako stopnjo šifriranja podatkov, kot jo omogočajo certifikati priznanih izdajateljev.
  • Let’s Encrypt certifikat je na voljo vsem pravnim in fizičnim osebam, brez omejitev.
  • Razvoj certifikata podpirajo večje svetovne korporacije, na primer Facebook, HP, Cisco, Google Chrome itn.
Prednosti in slabosti brezplačnega SSL certifikata

SSL certifikat Let’s Encrypt ima tako prednosti kot slabosti.

Glede na to, da gre za brezplačen certifikat, pa lahko pričakujemo tudi določene slabosti. Izpostavimo samo najpomembnejše:

  • Na voljo je le domenski certifikat, ki ne zadošča za splete strani, kjer je potreben vnos osebnih ali bančnih podatkov. Domenski certifikat namreč verificira le lastništvo domene, ne pa tudi podjetja, kot to velja za poslovne in razširjene certifikate. Zaradi tega je možnost zlorab višja.
  • Za namestitev in konfiguracijo je potrebno ustrezno tehnično znanje.
  • Veljavnost je omejena na samo 90 dni, za razliko od plačljivih SSL certifikatov, kjer le-ta znaša od enega do treh let.
  • Nameščajo ga tudi spletni prevaranti, kar je glavni razlog za kratko veljavnost, saj ponudnik s tem želi preprečiti morebitne zlorabe.
  • Namestitev na IDN domene še ni mogoča.
  • Združljivost z operacijskimi sistemi in spletnimi brskalniki je manjša kot pri plačljivih certifikatih.

Ali naj namestim Let’s Encrypt certifikat?

Glede na prednosti in slabosti, ki smo jih opisali zgoraj, se lahko odločite, ali je ta vrsta SSL certifikata dobra izbira za vašo spletno stran. Certifikat je na primer primeren za blog ali osnovno spletno stran. Pri tem velja upoštevati, da boste za namestitev potrebovali ustrezen nivo znanja. Omeniti je potrebno še, da vam bo napačno nameščen SSL certifikat povzročil nevšečnosti, saj bodo obiskovalci vaše spletne strani videli opozorilo, da so nekateri elementi spletne strani še vedno nezavarovani.

Pozorni morate biti tudi, da ga ne pozabite podaljšati, preden se izteče. V nasprotnem primeru bodo obiskovalci zagledali obvestilo o neveljavnem certifikatu, kar bo negativno vplivalo na obisk in zaupanje v vašo spletno stran.

Spletna trgovina

Kako prepoznati varno spletno trgovino?

Verjetno ste opazili, da je na spletu prisotnih iz dneva v dan več spletnih trgovin. Prav gotovo ste kdaj preko spleta kaj naročili tudi sami. Dejstvo je, da spletna naročila vztrajno naraščajo, z njimi pa tudi število primerov, ko pride do kraje in zlorabe podatkov. Ste tudi sami že kdaj bili v dvomih, ko ste v spletni trgovini nekaj naročili? Da bi morda bilo bolje, da svojih podatkov ne bi vpisali v za to pripravljena okenca? Po vsej verjetnosti je bil dvom odveč, a vsekakor nikoli ne veste, kje na napake spletnih uporabnikov prežijo nepridipravi, ki se na nelegalen način želijo polastiti občutljivih podatkov.

Vprašanje torej je, kako se prepričati, da je nakup v določeni spletni trgovini varen. Vsekakor vam lahko veliko pove že vizualni izgled spletne trgovine. Če je ta na videz privlačna in je takoj videti, da je bilo vanjo vloženega veliko dela, potem najverjetneje ne gre za prevaro, še vseeno pa morate biti previdni. Možno namreč je, da je nekdo kopiral grafično predlogo znane trgovine, vas pa želi prelisičiti, da na njej vpišete svoje podatke. V takšnem primeru govorimo o tako imenovani phishing prevari oz. o spletnem ribarjenju. Na tem mestu velja opozoriti, da si pozorno ogledate spletni naslov trgovine, torej URL naslov, saj po njem lahko prepoznate, ali gre za phishing prevaro ali ne.

Phishing prevara

Preden spletni strani zaupate svoje podatke, se dvakrat prepričajte, če je to varno.

Ostanimo še malo pri URL naslovu. Varno spletno trgovino lahko prepoznate tudi po tem, če se ta nahaja na HTTPS ali HTTP povezavi. Sicer še zdaleč ni nujno, da spletna trgovina na HTTP naslovu ni varna za uporabo, je pa res, da se vse več trgovin odloča za HTTPS, za vse tiste, ki omogočajo plačilo s kreditno kartico, pa je to obvezno. HTTPS povezavo pridobite tako, da si na strežnik oz. na izbrano domeno namestite SSL certifikat, ki ga nudijo ponudniki spletnega gostovanja. Ta poskrbi za šifriranje vseh občutljivih podatkov v procesu prenosa podatkov med strežnikom in brskalnikom spletnega obiskovalca.

HTTPS - varna povezavaZa konec naj torej še enkrat poudarimo, da je za prepoznavo varne spletne trgovine najbolje uporabljati zdravo kmečko pamet, hkrati pa je potrebno biti pozoren tudi na spletni naslov, ki naj se prične s HTTPS oz. naj bo na levi strani URL vrstice izrisana varnostna ključavnica. Pri tem je zelo pomembno, da vam, ko boste obiskali spletno trgovino z nameščenim SSL certifikatom, ni potrebno potrjevati varnostnega opozorila o nameščenem certifikatu. Če se vam ob obisku spletne trgovine pojavi okno, kjer naj bi se strinjali z obiskom spletišča in potrdili varnostno izjemo, tega raje ne storite. To pa zato, ker bi morala biti varnostna izjema že predhodno shranjena v vašem brskalniku. Praktično vsi brskalniki imajo shranjene varnostne izjeme vseh najbolj poznanih, verodostojnih in zaupanja vrednih organizacij, ki so akreditirane za izdajanje varnostnih SSL certifikatov.