Toto se týká i vás, tak se podle toho nějak zařiďte část 3

Nezapomeňte Kecy k věci.cz sledovat také na sociálních sítích!

Tak a mám tu pro vás další díl, který navazuje na tento první a tento druhý. Jestli nevíte o co přesně jde, tak doporučuji začít nejprve prvním dílem.

Stručné připomenutí, jaké otázky byli vlastně položené můžete vidět níže.

Otázky byly následující:

1. Jak často pozorujete snahu o Brute force attak u webů vašich zákazníků?

2. Děláte aktivně nějaká opatření proti těmto útokům?

3. Co by jste doporučily zákazníkům s weby na WordPressu udělat, aby je měli co nejvíce chráněné?

Tentokrát jsem se rozhodl oslovit hostingovou společnost Websupport, které bych chtěl poděkovat za velice rychlou odezvu na můj dotaz. Za Websupport mi odpověděl pan František Droják.

Dobry den,

bezpecnost CMS je skutocne tema, s ktorou sa stretavame pravidelne a aj pri weboch nasich klientov mozeme potvrdit, ze casto dochadza k podceneniu tejto hrozby.

Vacsinou sa vsak nestretavame s brute force utokom, v pripade velkeho mnozsta requestov, co vyzaduje brute force su tieto blokovane/ spomalene.

Rozumne komplexne heslo je vsak samozrejme prvou bastou ochrany, (nazov stranky nie je rozumne heslo, ani ziaden udaj, co je mozne dedukovat).

Vzhladom k tomu, ze existuju aj sluzby ako LastPass ci ine password managery, v principe nie je ziaden dovod nemat rozumne bezpecne heslo, pricom toto sa dat aj napisat tak , aby bolo zapamatatelne (R3t4rd0v4n4_v3v3r!ck4)

Casto sa vsak skor stretavame s utokom zo strany roznych botnetov, ktore masovo hladaju zranitelnosti v ramci WP ci inych CMS a tieto zneuzivaju na rozposielanie spamu, phishing apod. Tieto vyuzivaju rozne bugy, sql injection, pripadne dalsie mozne zranitelnosti tak, ze nasledne eskaluju privilegia.

Prvym krokom je samozrejme pravidelne instalovanie aktualizacii a nepouzitie defaultneho admin username.

Nasledne existuje viacero pluginov/modulov, ktore sa okrem ineho vedia starat prave aj o automaticke aktualizovanie a zalohovanie, sledovanie zmien v suboroch (IDS) a tiez dokazu robit upravy v kode stranky a formularov tak ,aby ju chranili pred SQL injection, XSS.

Takisto poskytujeme aj cez externeho dodavatela sluzbu ochrana webu, ktoru poskytuje firma s dlhorocnymi skusenostami v obore, nakolko dokonale zabezpecit rozsiahly system nie je rozhodne jednoduche a vyzaduje detailnejsie znalosti o tom ,ako CMS funguje „pod kapotou“

Prajem prijemny den.

S pozdravom
František Droják

Další odpověď od další hostingové společnosti najdete již brzy v dalším díle ;-).

Líbil se vám tento článek? Tak ho neváhejte šířit dál!

Podobné články, které by vás mohli též zaujmout:

1 komentář k: Toto se týká i vás, tak se podle toho nějak zařiďte část 3

  1. Kutil napsal:
    U Websupport hostuji některé stránky, tak mě rozhovor potěšil. Bezpečnost WordPressu jsem s nima řešil minulý týden, kdy na prohlížeči Firefox 21 (a nižší) dával server 403 Forbidden na stránku administrace WP, i když ze stejné IP adresy a PC na MSIE 8 administrace byla přístupná. Nakonec jsme to vyřešili. Je dobře, že hostingová firma chrání své servery i své klienty.
    Ovšem i tak dbám (už) na bezpečnost svých webů v první řadě já sám.

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *