Autor Tema: Korisničke web stranice  (Posjeta: 688 )

0 Članova i 1 Gost pregledava ovu temu.

Offline 9A8MM

  • Master in Training
  • *****
  • Postova: 391
    • http://www.rkp.hr
Korisničke web stranice
« : 15. Svibanj 2017, 13:10:49 »
Pozdrav svima.

Ove su informacije namijenjene prvenstveno onima koji već imaju svoje web stranice na HRS-ovom hosting paketu (web.hamradio.hr), ali su korisne i onima koji će ih tek imati ili ih žele imati.

Trenutno web stranice na HRS-ovom hostingu ima 70 radioamatera i radioklubova. Većina tih webova su statički (HTML + ostalo), a manji dio ih ima neki CMS (Joomla, Wordpress, nešto vlastito). Neovisno o sustavu koji imate, vrlo je važno da ga održavate. Ovo se odnosi čak i na one koji imaju "samo par PHP skripti". Trenutno na paketu imamo nekoliko Joomla 1.5 instalacija koje već neko vrijeme nisu podržane. Primjetio sam i komentare u obliku "ja o webu ne znam ništa, meni je web postavio 9A1ABC". Bilo bi fer da se takve situacije ne događaju. Hosting paket je zajednički - ako se zbog nečijeg nemara onemogući paket, onemogućit će se svi korisnički webovi.

Veličina diskovnog prostora je nešto o čemu bi također trebalo voditi računa. S obzirom da nekima treba više, a nekima manje, ne postoji fiksna veličina koja se dodjeljuje svakom korisniku, već se to određuje (i povećava) ovisno o potrebama. Ako bude trebalo više diskovnog prostora, savez će ga nabaviti, ali to nije razlog da unutar svoje mape držite razne arhivske i backup podatke kojima se ne pristupa.

Sigurna kopija je nešto što se izrađuje na dnevnoj bazi, ali bi se o tome trebali brinuti sami: podaci su vaši, pa je i odgovornost za sigurnosnu kopiju podataka vaša.

Neovisno o korisničkim webovima, podsjećam svih da si ažuriraju email adresu u postavkama profila (na forumu ili naslovnici). Taj se email koristi za funkcionalnost "Zaboravili ste lozinku?" pa je važno da ona uvijek bude ažurna.

Marko, 9A8MM

Offline 9A8MM

  • Master in Training
  • *****
  • Postova: 391
    • http://www.rkp.hr
Odg: Korisničke web stranice
« Odgovori #1 : 02. Lipanj 2017, 10:13:26 »
Pozdrav svima.

Proteklih tjedan dana imali smo problem sa zarazom korisničkih web stranica koje koriste CMSove (vlastite i open source). Ono što se dogodilo opisano je ovdje: https://www.polaris64.net/blog/cyber-security/2017/wordpress-hacks-jquery-js-script-injection. Bile su zaražene sve javascript datoteke koje imamo na hosting paketu. Čišćenje je trajalo nekoliko sati, uz pomoć nekoliko skripti (ako nekome bude trebalo: https://pastebin.com/tth6pUSe)

Analizirajući kako je napad došao, svelo se na dvije osnovne stvari:
- vrlo slabe administratorske lozinke
- lozinke (administratorske i FTP) spremljene u raznim programima i na raznim mjestima

Napominjem: lozinke "darko", "12345" i "Administrator5" nisu sigurne lozinke! Promijenite vaše lozinke za administratorski pristup webovima, nemojte ih spremati nego ih zapamtite. Postoji puno "najboljih praksi" oko lozinki (od zamjene slova u riječi specijalnim znakovima, do pamtljivih rečenica). Koristan link: https://www.avalon.hr/blog/2016/06/kako-kreirati-i-cuvati-lozinke/.

Osim toga, velik sigurnosni problem predstavljaju zastarjele instalacije CMS-a. Konkretno, imamo jednu instalaciju Joomle 1.0 (End Of Life 2009) i tri instalacije Joomle 1.5 (End Of Support 2012). S novijim wordpressima i joomlama ažuriranje weba je prilično jednostavno i zahtjeva da se administrator logira i potvrdi ažuriranje (iako je ponekad i to automatizirano). Međutim, vidim da se administratori niti jednom u nekoliko mjeseci ne logiraju. Migraciju ovih Joomla 1.0 i 1.5 webova je nužno napraviti što prije, pa molim administratore da se za to pobrinu.

Još jednom molim: držite svoje webove ažurnima. Ako dođe do zaraze, napravili ste problem svim ostalim radioamaterima koji koriste isti hosting, a ne samo sebi. Briga o vašim webovima je na vama.

S obzirom na prestanak razvoja PHP-a 5.6, u narednih mjesec dana planiram prelazak paketa s korisničkim webovima na PHP 7.1. Molim svih da se pobrinu za svoje webove, alate i skripte koje imaju na hostingu na način da provjere dali su kompatibilni, te ih eventualno prepišu. Sve nove verzije CMSova podržavaju PHP 7.1.

Marko, 9A8MM