Hľadanie v komunite
Zobrazujú sa výsledky pre kľúčové slová ''bezpečnosť''.
-
Najčastejšou príčinou napadnutej stránky, vytvorenej vo WordPresse, je zastaralá verzia WordPress alebo pluginov. Hoci samotný WordPress sa dokáže sám aktualizovať, neplatí to pre pluginy či vlastné šablóny a v tomto prípade môže nastať situácia, že WordPress po automatickej aktualizácii prestane fungovať. Niektorí webmasteri si môžu zvoliť možnosť vypnúť automatické aktualizácie a ponechať ich na vlastnú zodpovednosť. Ak kvôli manuálnej aktualizácii potrebujete zistiť aktuálnu verziu WordPress, akú používate, a nezáleží či je to kvôli vypnutým automatickým aktualizáciám alebo z iného dôvodu, spôsobov ako to zistiť, je niekoľko. Kontrola verzie v administrácii WordPress Prihláste sa do administrácie WordPress a hneď na úvodnej stránke dole vpravo uvidíte verziu Wordpress, napríklad: Verzia 6.2.2 alebo v administrácii za /wp-admin/ pridajte about.php: /wp-admin/about.php a zobrazí sa stránka, na ktorej dostanete viac informácií o danej verzii. Kontrola verzie v zdrojovom kóde WordPress Na hociktorej stránke WordPress kliknite pravým tlačidlom myši a v menu, ktoré sa objaví, kliknite na "Zobraziť zdrojový kód stránky". V zdrojom kóde niekde okolo riadku 46. (orientačne, táto pozícia sa môže mierne meniť) uvidíte kúsok kódu s verziu WordPress: <meta name="generator" content="WordPress 6.2.2" /> Ak sa neviete k zdrojového kódu prepracovať a zároveň nemáte prístup do administrácie, tak treťou možnosťou je prístup k súborom WordPress pomocou FTP, viď nižšie. Kontrola verzie v súboroch WordPress Prihláste sa na server stránky pomocou protokolu FTP a v zložke /public_html/wp-content/ nájdite súbor version.php. Otvorte si ho napr. v Notepade a okolo riadku 19. nájdete informáciu o verzii: $wp_version = '6.2.2'; Kontrola verzie WordPress externými stránkami Niektoré stránky, ktoré sa používajú na externý sken napadnutých webových stránok, dokážu zistiť na akom systéme stránka beží a dokonca aj jeho verziu. Medzi tieto stránky patrí napr. Sucuri sitecheck ktorá vie zistiť aj verziu WordPress. Do poľa zadajte adresu vašej stránky a po preskenovaní dostanete hlásenie s výpisom verzie: Odhad verzie WordPress Ak všetky pokusy zlyhali - to sa môže stať napríklad v prípade, ak nejakým nedopatrením ste si zmazali súbor version.php (ak nie je možnosť ho ani obnoviť zo záloh), tak môžete skúsiť odhadnúť verziu WordPress z toho zoznamu. Najprv sa prihláste do SQL databázy pomocou phpMyAdmin (ako, nájdete napr. na začiatku tohto návodu v sekcii Prihlásenie sa do databázy SQL) a v databáze nájdite tabuľku wp_options. Ďalej v tabuľke si nájdite (okolo riadku 48, plus mínus) riadok db_version a napravo by ste mali vidieť nejaké číslo, napr. 44719. Pomocou zoznamu uvedeného vyššie, si pohľadajte v tabuľke, pri akých verziách WordPress sa táto verzia databázy nachádza a podľa toho môžete odhadnúť verziu WordPress. Majte na pamäti, že ide len o hrubý odhad, keďže danú verziu databázy môžete nájsť pri viacerých verziách WordPress. Odporúčanie Upozornenie: Verziu WordPress si pravidelne kontrolujte v rámci údržby stránok. Aktuálny WordPress, šablóny a pluginy sú cestou k tomu, aby vaše stránky neboli napadnuté útočníkmi a zneužité na pochybné účely. -
Postup pri získaní plateného bezpečnostného (SSL/TLS) certifikátu
EXO Hosting zverejnil návod v Bezpečnostné certifikáty
V návode Výber bezpečnostného (SSL/TLS) certifikátu sme si stručne popísali, ako si vybrať vhodný certifikát pre svoju doménu. Ak vám nestačí bezplatný certifikát Let's Encrypt, resp. vaša webová stránka vyžaduje vyšší stupeň bezpečnosti, v tomto návode si vysvetlíme, ako postupovať pri získaní plateného certifikátu. Získanie plateného bezpečnostného certifikátu Objednávku na zakúpenie a inštaláciu plateného certifikátu si môžete vytvoriť priamo počas objednávky novej domény. Ak si chcete objednať certifikát k existujúcej doméne odporúčame zaslať z Control panela autorizovanú požiadavku cez sekciu Zmeny, kde si pošlete autorizovanú požiadavku typu Iná požiadavka a tam napíšete o aký certifikát máte záujem zo zoznamu ponúkaných certifikátov. Po objednávke vám vystavíme predfaktúru na úhradu a po úhrade vám príde informačný email pre doplnenie informácií k objednávke. Ide o nasledovné informácie: 1. V prípade klasického SSL certifikátu budeme potrebovať vedieť tzv. common name, čiže názov domény, na ktorej chcete mať certifikát nainštalovaný. Môže to byť www.domena.tld alebo domena.tld, pretože vami zvolený certifikát je určený len pre doménu s alebo bez www alebo inú subdoménu napr. eshop.domena.tld. V prípade, ak ste si objednali Wildcard certifikát, tak common name nie je potrebné uviesť, certifikát sa bude uplatňovať na celú doménu, vrátane všetkých subdomén. 2. Potrebujeme, aby ste mali vytvorený a poslali nám adresu z jedného emailov v tvare: admin@ administrator@ hostmaster@ webmaster@ postmaster@domena.tld čo je podmienka vytvorenia certifikátu. Schránku si iba vytvorte (alebo ak si ju nemôžete vytvoriť, tak si len vytvorte alias a nastavte k nejakej svojej funkčnej schránke) a pošlite nám jej názov (do tejto schránky (resp. na tento alias) vám príde potom potvrdenie o objednávke bezpečnostného certifikátu u autorizačnej spoločnosti, kde bude postup, ako požiadať o certifikát). Zároveň nám napíšte informáciu, či certifikát chcete nainštalovať na naše servery (platí pre klasické hostingy ako napr. Puzzle X alebo Biznis X) alebo na vlastný server mimo našej spoločnosti (toto platí aj pre virtuálne servery - VPS). 3. Následne vytvoríme objednávku na certifikát u autorizačnej spoločnosti. 4. Po objednávke vám príde emailová správa do schránky (viď bod 2.) od vydavateľa certifikátu pre potvrdenie objednávky. V texte uvidíte odkaz, na ktorý musíte kliknúť (alebo ho skopírovať do prehliadača a otvoriť). Po vašom potvrdení bude certifikát nainštalovaný na server a v priebehu niekoľko málo desiatok minút plne funkčný. 4.1. Inštalácia SSL certifikátu mimo serverov EXO Hosting Ak si chcete nainštalovať certifikát na svoj server (platí aj pre virtuálne servery - VPS), certifikát vám príde na emailovú adresu, spolu s privátnym kľúčom, ktorý bude v zaheslovanom .ZIP súbore. Heslo k zaheslovanému .ZIP súboru vám pošleme na telefónne číslo uvedené v administratívnom kontakte domény, tak sa uistite, že číslo je správne a prijíma SMS. V prípade inštalácie certifikátu na virtuálny server (VPS) je možné o inštaláciu požiadať aj našu technickú podporu. Tento úkon je spoplatnený podľa aktuálneho cenníka (služba Inštalácia certifikátu na VPS). Obnova plateného certifikátu Platené certifikáty sa objednávajú vždy na jeden rok, takže krátko pred uplynutím tohto obdobia vám vystavíme predfaktúru na ďalší rok a po úhrade vám krátko pred vypršaním platnosti pôvodného certifikátu príde email od vydavateľa certifikátu, kde bude potrebné predĺženie certifikátu opäť potvrdiť (na tej istej emailovej adrese (resp. aliase), ktorú ste nám zaslali pri prvej inštalácii certifikátu) preto je potrebné aby táto emailová adresa (resp. alias) boli plne funkčné. V prípade obnovy bezpečnostného certifikátu na serveroch mimo našej spoločnosti (platí aj pre VPS) vám budú informácie o novom certifikáte zaslané na email. V prípade obnovy certifikátu na virtuálnom serveri (VPS) je možné o obnovu požiadať aj našu technickú podporu. Tento úkon je spoplatnený podľa aktuálneho cenníka (služba Výmena SSL certifikátu na VPS). Ak o certifikát na ďalší rok nebudete mať záujem, je potrebné nás o tom informovať formou autorizovanej požiadavky typu Iná a certifikát následne zrušíme. Následne si musíte zaistiť, aby vaša stránka bola dostupná na adrese HTTP alebo si nainštalujte Let' Encrypt certifikát ak naďalej chcete používať protokol HTTPS na svojej doméne. -
Inštalácia vlastného certifikátu Ak máte vlastný certifikát, tak si ho môžete nainštalovať v Control Paneli v časti SSL certifikáty: Kliknite na tlačidlo Pridať vlastný certifikát: Po kliknutí sa objavia dve polia: Certifikát - CRT Privátny kľúč Do polí vložte požadované údaje (Certifikát aj Privátny kľúč), pričom musia obsahovať všetky údaje (takže zadávate ich aj s označeniami -----BEGIN CERTIFICATE----- resp. -----END CERTIFICATE----- atď) - vzory ako vyzerá certifikát a privátny kľúč nájdete tu. Kliknite na Inštalovať certifikát a počkajte 1-2 hodiny. Či sa certifikát úspešne nainštaloval, zistíte keď vaša stránka sa bude zobrazovať na adrese HTTPS alebo si stav certifikátu môžete skontrolovať pomocou stránky SSL Checker. Problémy s inštaláciou vlastného certifikátu V prípade, ak by ste mali problém s inštaláciou, tak postupujte podľa návodu nižšie: Všetky potrebné súbory ako napr. SSL certifikát, Privátny kľúč a Intermediate certifikát (CA) nahrajte do webového priestoru vašej domény, konkrétne do adresára /data/: Pomenujte ich podľa príkladu v tabuľke (namiesto domena.tld pomenute súbory vlastnou doménou): Certifikát: domena.tld.crt Privátny kľúč: domena.tld.key Intermediate certifikát: intermediate.crt V Control Paneli cez Zmeny nám pošlite autorizovanú požiadavku typu Iná, do poznámky pre zmenu napíšte, že potrebujete nahrať vlastný certifikát a súbory ste nahrali do adresára /data/. V priebehu dňa vás budeme informovať o stave inštalácie. -
Let's Encrypt je bezplatný certifikát, ktorý si môže nainštalovať každý zákazník cez svoj Control Panel ku svojej doméne ak hostuje na našich serveroch - táto možnosť nie je dostupná pre služby DNS Parking a DNS Parking plus (okrem DNS Parking plus new, ktorý už nemáme v aktívnej ponuke), je však možné aj pre tieto balíky si vygenerovať Let's Encrypt certifikát, ak si doménu nastavíte ako WWW alias k inej doméne. Let's Encrypt je taktiež možné vygenerovať aj k novej službe Presmerovanie domény. Inštalácia Let's Encrypt certifikátu Prihláste sa do svojho Control Panela, v prípade, ak v Control Paneli máte viac domén, vyberte doménu, ku ktorej chcete certifikát nainštalovať a v sekcii služieb nájdite službu SSL certifikáty: Po kliknutí na odkaz, ak ste doteraz neinštalovali žiadny certifikát, uvidíte len informáciu, že nemáte aktivovaný žiadny certifikát (platí to aj v prípade platených certifikátov). Kliknite na tlačidlo Pridať LetsEncrypt certifikát: Na ďalšej stránke uvidíte možnosti - ak potrebujete vygenerovať certifikát len pre hlavnú (koreňovú, root) doménu, tieto nastavenia môžete nechať tak, ako sú na obrázku nižšie: Dané nastavenie vygeneruje certifikát pre hlavnú (koreňovú, root) doménu a zároveň aj pre verziu s www - v tomto prípade je nepodstatné, ak máte v poli URL Adresa zadané www aj označenú možnosť WWW prefix. Do poľa Subdomény(SAN) si môžete zapísať až 20 subdomén, pričom zadávate len ich názvy a každú subdoménu zadávate na nový riadok, ako v príklade nižšie: Ak by ste potrebovali viac subdomén, zadajte si ich do ďalšieho certifikátu. Kliknite na Požiadať o certifikát a následne sa obnoví stránka s aktuálnym stavom: V stave spracováva sa by mal byť certifikát najviac 5 minút, keď nenastane žiadny problém, tak sa prepne do stavu Aktivovaný: Kliknite na odkaz (v stĺpci Common name) a overte si funkčnosť vašej webovej stránky na adrese HTTPS. Ak by zabezpečenie hlásilo, že na stránke máte zmiešaný obsah alebo niektoré časti stránky nie sú zabezpečené, preverte si nastavenie vášho redakčného systému (mali by byť všade nastavené adresy na HTTPS) alebo v zdrojovom kóde vašej HTML stránky si skontrolujte odkazy, či ich nemáte v tvare HTTP. Všetky odkazy je potrebné upraviť na HTTPS, k tomu vám môže pomôcť aj stránka whynopadlock.com, pomocou ktorej si môžete preskenovať svoj web a nájsť potencionálne problémy. Ak stránka bude na adrese HTTPS plne funkčná, odporúčame si aktivovať automatické presmerovanie na HTTPS adresu. Presmerovanie bude plne funkčné do 5 minút. Problém s vygenerovaním certifikátu V niektorých prípadoch sa môže stať, že vygenerovanie certifikátu skončí chybou neúspešne vygenerovaný: Zmažte certifikát a vytvorte si ho nanovo, pričom starostlivo skontrolujte, či doména a subdomény, ktoré zadávate do nastavení certifikátu mieria na naše servery. Ak by problém s vygenerovaním certifikátu pokračoval, kontaktujte našu technickú podporu. -
DNSSEC (Domain Name System Security Extensions) slúži ako ochrana DNS záznamov domény proti ich zmene počas prenosu a podvrhnutiu zmenených záznamov. V podstate je to elektronický podpis, podobne ako DKIM u emailov a funguje podobne - pomocou DNSSEC záznamu sa overuje pravosť DNS záznamov domény. Vďaka DNSSEC vám alebo návštevníkom vašej stránky útočník nedokáže podvrhnúť IP adresu svojho servera, kde by napodobil vašu stránku a kradol napríklad prihlasovacie údaje. DNSSEC v praxi funguje tak, že používa asymetrické šifrovanie. Vlastník domény vygeneruje privátne a verejné kľúče. Privátnymi kľúčmi sa podpisujú technické údaje - DNS záznamy, ktoré aj s podpisom uverejňujú naše servery. Verejným kľúčom sa potom overuje pravosť tohto podpisu. Registre doménových koncoviek (napr. u .SK domény je to sk-nic.sk) potom zverejňujú takzvané DS (Delegation Signer) záznamy ktoré určujú, aký kľúč je pre doménu povolený. Tieto všetky veci za vás urobí náš systém automaticky. Krátke video od SK-NIC ako DNSSEC funguje Podrobnejšie informácie o DNSSEC nájdete na stránke SK-NIC. Ako si aktivovať DNSSEC? Novým .SK a .CZ doménam aktivujeme DNSSEC automaticky, či vaša slovenská alebo česká doména má aktívny DNSSEC zistíte napr. pomocou nastavení v Control Paneli. Prihláste sa do Control Panela a pri doméne kliknite na službu DNS záznamy: Následne kliknite v sekcii DNS záznamy na kartu DNSSEC a uvidíte stav tejto služby: EXO Hosting v súvislosti s DNSSEC používa službu CDS skenovanie, vďaka čomu vieme podpísať aj domény, ktoré využívajú naše menné servery, ale nie sme ich registrátorom. V DNS záznamoch zverejňujeme CDS a CDNSKEY, registre ktoré podporujú CDS skenovanie si tieto záznamy kontrolujú a ak ich u domény nájdu a nedôjde k ich zmene (alebo nefunkčnosti) počas nasledujúcich niekoľkých dní (.SK - 3 dni, .CZ - 7 dní ), tak zverejnia pre doménu DS záznam, vďaka čomu sa vaša doména stane zabezpečenou DNSSECom. CDS je zatiaľ podporované na doménach .SK (Slovensko), .CZ (Česko), .CH (Švajčiarsko), .CR (Kostarika) a .LI (Lichtenštajnsko). V EXO Hosting CDS podporujeme zatiaľ len pri .SK a .CZ doménach. Keď kliknete na Zapnúť (CDS), stav sa zmení do pár sekúnd: Následne stav DNSSEC - CDS si môžete overiť napr. na stránke dnssec-analyzer.verisignlabs.com, príklad záznamov, ak doména nemá aktívny DNSSEC - CDS (čo bude trvať niekoľko hodín a červených záznamov bude postupne ubúdať na úkor zelených) Keď na .SK doméne sa aktivuje záznam DNSSEC - CDS (po 72 hodinách, ak všetko prebehlo v poriadku), tak vám do schránky (uvedenej vo WHOIS) príde informačný email: V prípade .CZ domén vám príde email v podobnom znení: Po zhruba ďalšej hodine navyše (pokým sa aktuálne dáta nacachujú), sa stav zmení a mali by ste vidieť všetko v zelenom: Od tejto chvíle sú vaše DNS záznamy domény zabezpečené. -
Zapnutie a vypnutie ochrany SMTP servera
EXO Hosting zverejnil návod v Nastavenie emailovej schránky
Špeciálna ochrana SMTP servera slúži k tomu, aby ste si sami mohli určiť resp. nastaviť, z ktorých krajín chcete či môžete posielať emaily. nastavenie Špeciálnej ochrany SMTP servera Špeciálnu ochranu SMTP servera odporúčame zapnúť pre prípad, ak chcete mať istotu, že z vašej schránky budete bezpečne odosielať emaily iba vy z vašich IP adries alebo z krajiny, v ktorej sa nachádzate. V základnom nastavení je táto možnosť vypnutá, takže v prípade použitia SMTP servera na odosielanie pošty môžete emaily odosielať kdekoľvek na svete. Hoci je toto pohodlný spôsob, ako spravovať a odosielať emaily, pre zvýšenie bezpečnosti pokračujte čítaním článku ďalej. Prihláste sa do svojho Control Panela a kliknite na E-mailové účty: Tu máte dve možnosti, buď si Špeciálnu ochranu SMTP servera nastavte cez tlačidlo Hromadná zmena (ak chcete rovnaké nastavenia zrealizovať pre všetky schránky rovnako)... Upozornenie: Ak zrealizujete nastavenia cez Hromadnú zmenu funguje to tak, že nastavenia ochrany SMTP servera sa pre všetky schránky nastavia automaticky na rovnaké hodnoty. Vtedy uvidíte, že ochrana SMTP servera je pod tlačidlom Hromadná zmena aktívna pre vybrané krajiny. Ale ak upravíte nastavenia ochrany SMTP servera pre čo i len jednu schránku, tak pod tlačidlom Hromadná zmena bude ochrana SMTP servera označená len ako zapnutá, ale už bez vybraných krajín. Ak ochranu SMTP servera vypnete pre hociktorú schránku, tak pod tlačidlom Hromadná zmena bude ochrana SMTP servera označená ako vypnutá, hoci pre ostatné schránky môže byť stále aktívna. Nastavenia ochrany SMTP servera odporúčame nastavovať jednorazovo a potom podľa potreby upravovať konkrétne emailové schránky. ...alebo u konkrétnej schránky kliknutím na modrú ceruzku (v pravom hornom rohu) - týmto si zrealizujete nastavenia len pre konkrétnu schránku (môžete kliknúť aj na Vypnuté na riadku Špeciálna ochrana SMTP servera, technicky je to jedno na čo kliknete): Označte pole Špeciálna ochrana SMTP servera a objavia sa možnosti Rozsah adries - sem si môžete zapísať rozsah IP adries, z ktorých môžete posielať emaily. Ide o pomerne reštriktívne nastavenie, pretože ak sa pripojíte v internetovej sieti s inou IP adresou, ktorej rozsah nebudete mať zadaný v poli, tak email nebudete môcť odoslať. Krajiny - v ľavom stĺpci kliknite na krajiny, z v ktorých sa zvyknete vyskytovať a kliknutím na ne si ich presuňte do stĺpca vpravo (obdobne kliknutím na krajiny v stĺpci vpravo ich odoberiete). Aké krajiny budete mať v stĺpci vpravo, iba z tých budete môcť odoslať email. Treba brať na vedomie, že databáza IP adries sa z času na čas aktualizuje, takže napríklad ak si do zoznamu zaradíte Španielsko a niekde v Madride sa pripojíte do siete nejakého lokálneho poskytovateľa, ktorého IP adresa sa nenachádza v zozname IP adries pridelených pre Španielsko, tak email neodošlete a budete musieť ochranu SMTP servera vypnúť. Toto isté platí aj pre prípad, ak používate nejakú VPN sieť, v častých prípadoch nebudete môcť emaily odosielať. Po nastavení nezabudnite dole kliknúť na Zmeniť a zmeny sa prejavia do 1-2 minút. Výhody ochrany SMTP servera Aktivovaná ochrana SMTP servera je dobrou voľbou, ak máte vážny dôvod na to, aby ste možnosť odosielania povolili len z určitých krajín. Napríklad ak necestujete do cudziny a väčšinu času trávite výhradne na Slovensku, tak si ochranu môžete aktivovať a do zoznamu pridať Slovensko, prípadne Česko a z iných krajín nikto nebude vedieť odoslať emaily alebo rozosielať spamy, ak by náhodou získal heslo k vašej schránke. Nevýhody ochrany SMTP servera Ak veľa cestujete alebo používate nie príliš známe lokálne siete, či VPN, tak odporúčame ochranu SMTP servera vypnúť. Lepšou voľbou je používanie silných hesiel, aby nikto nedokázal zneužiť vašu schránku a odosielať emaily zo zahraničia. V príkladoch nižšie sú popísané chybové hlásenia, ktoré uvidíte, ak by ste chceli odoslať email z krajiny, ktorú ste si nepridali do zoznamu povolených. RoundCube Ak budete chcieť v RoundCube Webmail odoslať email z krajiny inej, akú ste si povolili v ochrane SMTP servera, tak email sa neodošle, namiesto toho uvidíte v pravom dolnom rohu chybové hlásenie: Chyba SMTP: [550] Administrative prohibition Thunderbird Pri pokuse odoslať email v Thunderbirde vyskočí hlásenie, ktoré môže nabudiť dojem, že máte nesprávne heslo: Žiadne heslo zatiaľ netreba zadávať znovu, kliknite na Zrušiť, vyskočí druhé okno, ktoré len informuje o tom, že email sa nepodarilo odoslať, čo je v našom prípade logické: Kliknite na OK a otestujte prihlásenie s vašim heslom na RoundCube Webmail (pre prípad, či niekto náhodou naozaj nezmenil vaše heslo). Ak sa úspešne prihlásite, odošlite email priamo z RoundCube a ak dostanete chybové hlásenie Chyba SMTP: [550], tak si v Control Paneli skontrolujte či nemáte zapnutú ochranu SMTP a aké krajiny tam máte pridané. Gmail To isté platí, ak svoju schránku používate v prostredí Gmailu. Takto vaša pošta "cestuje" cez servery Google, ktoré sa nachádzajú v rôznych krajinách a tie tiež treba pridať do zoznamu. V prvom rade o Spojené štáty americké (USA), odporúčame pridať aj Francúzsko a Fínsko, keďže Gmail využíva servery aj v týchto krajinách. Ak nebudete mať v zozname povolených krajín všetky krajiny, ktoré tam musíte mať, tak síce email sa odošle, ale adresátovi nedorazí a vráti sa naspäť s chybou: Tak ako v predchádzajúcom prípade, aj v tomto platí to isté: skúste sa prihlásiť na RoundCube Webmail, či sa viete prihlásiť (pre prípad, či niekto náhodou naozaj nezmenil vaše heslo). Ak sa úspešne prihlásite, odošlite email priamo z RoundCube a ak dostanete chybové hlásenie Chyba SMTP: [550], tak si v Control Paneli skontrolujte či nemáte zapnutú ochranu SMTP a aké krajiny tam máte pridané. Upozornenie: Ani v jednom prípade zo všetkých spomenutých sa nepokúšajte email odosielať znovu a znovu, náš systém to bude považovať za neplatné pokusy o prihlásenie sa a takto si môžete zablokovať prístup úplne. -
Bezpečnostná kontrola emailovej schránky
EXO Hosting zverejnil návod v Nastavenie emailovej schránky
Zvláštne správanie sa emailovej schránky Niekedy sa môže stať, že vaša emailová schránka sa začne správať zvláštne, začnú sa vám doručovať zvláštne emaily zo zvláštnych adries a navyše môžete mať ešte problém s odosielaním, že emailový klient (napr. Outlook) odmieta správu odoslať alebo že vám do schránky začalo chodiť akosi podozrivo veľa spamu. Podobné problémy môžu zaznamenať aj vaši známi, ktorí keď vám odošlú email, tak im sa vráti zvláštna notifikácia, napr. podobná tejto: -----Original Message----- From: Mail Delivery System [mailto:Mailer-Daemon@mail3s41.dnsserver.eu] Sent: Tuesday, December 03, 2019 3:04 AM To: info@mojadomena.tld Subject: Mail delivery failed: returning message to sender This message was created automatically by mail delivery software. A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: hacker@spam.tld V tomto prípade, keď v notifikácii vy alebo vaši známi vidia neznáme emailové adresy, už je evidentné, že vaša emailová schránka bola veľmi pravdepodobne hacknutá, niekto uhádol vaše nedostatočne silné heslo a schránku upravil tak, aby sa mu vaše emaily preposielali na jeho emailovú adresu. V tomto prípade treba rýchlo konať, lebo vaša schránka je súčasťou rozosielania spamu, čím ohrozíte nielen jej reputáciu, ale aj reputáciu svojej celej domény, čo môže mať negatívny dopad na jej postavenie vo výsledkoch vyhľadávania v Google alebo aj vaša riadna pošta začne končiť v spame. Krok č. 1 - Zmena hesla k emailovej schránke Najprv je dôležité, aby ste si zmenili svoje heslo k emailovej schránke na zložitejšie, ako ste doteraz používali, odporúčame použiť funkciu vygenerovania hesla, ktorá vygeneruje bezpečné heslo spĺňajúce všetky požiadavky. Po zmene hesla hacker stratí možnosť zneužívať vašu schránku na rozosielanie nevyžiadanej pošty, ale ešte stále môže vedieť preposielať vašu emailovú komunikáciu do svojej schránky a preto je nutné zrealizovať nasledujúce body vo Webmaile: Kontrola Identity (v prípade, ak odošlete email a vám sa vráti nedoručenka obsahujúcu neznámu adresu) Kontrola Filtrov (v prípade, ak vám niekto pošle email a vráti sa mu nedoručenka obsahujúcu neznámu adresu) Krok č. 2 - Kontrola identity Prihláste sa na RoundCube Webmail a kliknite naľavo v menu na Nastavenia: a potom v stĺpci naľavo kliknite na položku Identity. Po kliknutí na Identity v druhom stĺpci uvidíte najmenej jednu identitu, ktorá by mala byť označená vašou emailovou adresou: Kliknite na názov svojej emailovej schránky a uistite sa, že vidíte aspoň takto vyplnené údaje, kde bude zadaná len vaša emailová adresa. V žiadnom prípade v políčkach Odpovedať na a (alebo) Skrytá kópia nesmie byť zadaná žiadna neznáma emailová adresa, ak áno, ihneď ju zmažte a kliknite dole na Uložiť. V ostatných políčkach môžete mať vypísané svoje vlastné údaje, vrátane podpisu. V podpise neodporúčame používať presmerované odkazy, spam filtre zvyknú takúto poštu blokovať. Upozornenie: Práve pre tento dôvod, keď vo vašej identite sú pochybné údaje, spôsobuje to, že ak odošlete email, tak kópia sa odošle na pochybný email - antispamové filtre na základe takejto pochybnej identity emailové správy zablokujú a nepustia ďalej, takže adresát, ktorému ste písali, email nedostane alebo ak podozrivá emailová adresa má -nejaký- problém s prijímaním, tak sa vám vráti nedoručenka (ako v príklade úplne hore). Krok č. 3 - Kontrola Filtrov Po uistení, že dáta v Identite sú v poriadku, kliknite na Filtre a mali by ste tam vidieť toto (za predpokladu, že už ste si medzitým nevytvorili nejaký vlastný filter): Ak tam budete vidieť nejaký neznámy filter, kliknite naň a uvidíte takéto niečo: a to znamená, že vám niekto uhádol do schránky heslo a pridal tam pravidlo, aby všetky emaily, ktoré vám poslali známi, boli automaticky presmerované na email hackera. Ak by ste tam videli akýkoľvek neznámy, či podozrivý filter, kliknite hore na ikonu koša a filter zmažte. Stáva sa, že tieto pravidlá vytvárajú automatizovaní roboti, ktorí tam vkladajú presmerovania na nezmyselné schránky, takže presmerované emaily sa nemajú kam doručiť a vašim známym sa správa vráti ako nedoručená a myslia si, že vaša schránka neexistuje alebo tam vidia odkaz na inú zvláštnu adresu (viď príklad úplne hore). Záverečné odporúčania Dôvod, prečo nastali takéto situácie, je jednoduchý a často je to kvôli tomu, že si užívatelia k svojim schránkam nastavili nedostatočne silné heslá. Preto odporúčame vždy nastavovať silné heslá. Silným heslom výrazne zabezpečíte svoju schránku a prakticky úplne znemožníte jej hacknutie. Keď si preveríte, že vaša schránka na Webmaile už je v poriadku a vie prijímať a odosielať emaily bez problémov, tak potom skontrolujte svojho emailového klienta (ak používate) Outlook alebo Thunderbird vo vašom počítači, či tiež vedia prijímať a odosielať emaily (pri pokuse prijať a odoslať emaily, budete musieť zadať nové heslo, ktoré ste si nastavili v Kroku č. 1.) V prípade, ak by problémy v klientoch pretrvávali aj po kontrole schránky cez RoundCube Webmail, tak je potrebné, aby ste si preverili správne nastavenie serverov a portov. Nezabudnite si aktualizovať operačný systém vo vašom zariadení (počítač, notebook), aktualizovať antivírový program a preskenovať počítač. Nakoniec odporúčame ešte zvýšiť dôveryhodnosť svojich emailových schránok a celej domény pomocou SPF, DKIM a prípadne aj DMARC záznamov, čím výrazne obmedzíte rozosielanie nevyžiadaných správ. Pre zvýšenie bezpečnosti odporúčame používať aj ochranu SMTP servera, kde si po aktivácii môžete pridať zoznam povolených krajín , z ktorých je možné odosielať emaily. -
K čomu slúži bezpečnostný certifikát? Bezpečnostný certifikát (pomerne často v hovorenej reči označovaný ako SSL certifikát) všeobecne slúži na šifrovanie dát - inak povedané zabezpečuje bezpečnú komunikáciu cez internet, či pri prehliadaní webových stránok, odosielaní emailov, četovaní a pod. V praxi to znamená, že ak napr. niekomu odošlete email, bez zabezpečenej komunikácie by sa dátovo odoslal čistý text, ktorý ste napísali a hacker by ho vedel odchytiť a prečítať, ale vďaka bezpečnostnému certifikátu sa text zašifruje a tým nie je možné ho "počas cesty" prečítať. Rozšifruje sa až u prijímateľa. Ako prvý protokol pre zabezpečenú komunikáciu sa používal SSL (Secure Sockets Layer), odtiaľ pochádza ešte stále časté označovanie bezpečnostných certifikátov ako "SSL certifikáty", čo v zásade nie je nesprávne, ale protokol SSL už bol dávnejšie nahradený vylepšeným protokolom TLS (Transport Layer Security), tak skôr by sa malo hovoriť o TLS certifikátoch. Rozdiely medzi SSL a TLS nie sú však nejako markantné a pre bežného používateľa nepodstatné. Webová stránka / doména zabezpečená SSL/TLS certifikátom sa vo webovom prehliadači (Chrome či Firefox) začína na HTTPS (stránka bez bezpečnostného certifikátu začína na HTTP) a v dnešnej dobe (zhruba od leta 2018) sa považuje za štandard a pri nezabezpečených stránkach je zobrazené upozornenie, že stránky nepožívajú protokol HTTPS. Príklad zobrazenia zabezpečenej stránky exohosting.sk... ...v Chrome ... a vo Firefoxe Aký certifikát si môžem vybrať? V našej ponuke máme bezplatný certifikát Let's Encrypt aj platené SSL certifikáty, ktoré sa delia na klasické a wildcard. Kompletný prehľad všetkých certifikátov si môžete pozrieť na našej stránke SSL certifikáty. Bezplatný certifikát Let's Encrypt Let's Encrypt certifikát si môže nainštalovať každý náš zákazník sám vo svojom Control Paneli, pomocou služby SSL certifikáty. Podmienkou je, aby doména, pre ktorú sa certifikát má inštalovať, hostovala na našich serveroch (stačí dokonca služba DNS Parking). Let's Encrypt má v rámci SAN (Storage Area Network) do 20 subdomén, čo znamená, že jeden certifikát môžete uplatniť na maximálne 20 subdomén. Pred inštaláciou je potrebné rozhodnúť sa, na ktoré všetky subdomény chcete inštaláciu certifikátu Let's Encrypt inštalovať. Samozrejme nie je problém si subdomény dodatočne doplniť alebo vytvoriť úplne nový (ďalší) certifikát s novým zoznamom subdomén. Viac informácií o bezplatnom certifikáte Let's Encrypt nájdete v tomto návode. Platený klasický certifikát Klasické certifikáty šifrujú vybraný tvar domény (jedno Common Name) napr. www.exohosting.sk alebo exohosting.sk alebo napr. blog.exohosting.sk, preto pred inštaláciou je potrebné sa rozhodnúť v akom tvare chcete doménu používať (s www alebo bez www), prípadne na akú subdoménu sa má certifikát nainštalovať. Platený wildcard certifikát Wildcard certifikáty šifrujú prenos v rámci celej domény a všetkých subdomén, takže nemusíte sa rozhodovať či chcete doménu používať s www alebo bez a na aké subdomény sa má inštalácia aplikovať. Šifrované budú všetky subdomény, ktoré si dodatočne vytvoríte aj po inštalácii certifikátu. Spravidla sú drahšie ako klasické certifikáty. Iné certifikáty Okrem tejto bežnej ponuky vieme zabezpečiť aj iné certifikáty, v prípade záujmu nás kontaktujte emailom na support@exohosting.sk. V prípade, ak máte vlastný certifikát, ktorý ste si zakúpili inde, postupujte podľa návodu Inštalácia vlastného SSL/TLS certifikátu. Je medzi certifikátmi nejaký rozdiel? Z hľadiska funkčnosti sú všetky klasické bezpečnostné certifikáty rovnaké. Rozdiel v cene je hlavne v značke vydavateľa, technickej podpore v prípade problémov a napr. aj výšky sumy pri náhrade škody v prípade zneužitia citlivých informácií, ktoré boli šifrované. V prípade, ak chcete na doméne prevádzkovať eshop, odporúčame si vybrať medzi platenými certifikátmi. Potrebujem niečo zmeniť v ohľade certifikátu V prípade, ak z nejakého dôvodu potrebujete vykonať zmeny v ohľade certifikátov, tak majte na pamäti: ak máte nainštalovaný klasický certifikát, ktorý šifruje len jedno Common name (napr. hlavnú doménu) a chcete uplatniť šifrovanie aj na subdomény, tak si musíte buď nainštalovať Let's Encrypt certifikát (v priebehu inštalácie si nastavíte na ktoré subdomény sa má šifrovanie uplatňovať) alebo vybraný wildcard certifikát. ak máte nainštalovaný Let's Encrypt certifikát a dodatočne si vytvoríte nové subdomény a chcete šifrovanie uplatniť aj na ne, tak Let's Encrypt certifikát si môžete upraviť doplnením nových subdomén (max. 20), na ktoré chcete šifrovanie aplikovať alebo si nainštalujte ďalší Let's Encrypt certifikát a doplňte si tam nové subdomény. -
Prístupové heslá sú pre mnohých ľudí španielskou dedinou, keď si ich musia pamätať a často sa stáva, že ich zabudnú a potom sa nevedia prihlásiť tam, kam potrebujú. Obzvlášť je to nepríjemné, keď sa treba prihlásiť rýchlo a zrealizovať nejakú dôležitú operáciu. Aby takéto „problémy“ nemuseli riešiť, volia si jednoduché heslá, ako svoje meno, či meno manželky, nebodaj svokry, prípadne klasické heslá ako 0000, abcd, či univerzálne heslo vo svete IT nbusr123. Takéto heslá sú síce dobré na zapamätanie, na ktoré si spomeniete aj po neplánovanej víkendovej akcii, ale čo je dobré pre Vás, to je ešte lepšie pre rôznych záškodníkov, hackerov, spamovacích robotov a iné indivíduá, ktoré sa vždy potešia, keď natrafia na takéto slabé heslo. V prípade, ak uhádnu heslo, ktoré používate na nejakej hernej stránke, kde ste sa zaregistrovali pred 10 rokmi len preto, aby ste si zahrali nejakú flash hru, tak veľké škody nenastanú (v prípade, ak Vám neprekáža, že uvidia všetky interné informácie o Vašom konte, vrátane emailovej adresy), horšie však je, ak uhádnu heslo k nejakému dôležitému kontu, či už finančnému alebo úradnému alebo kontu, kde máte údaje o Vašej doméne. Keďže nie sme finančná poradňa, ani daňový úrad, bližšie sa zameriame na konta v ohľade domén a hostingu. V tomto článku si predstavíme, čo všetko sa môže stať, keď hacker uhádne Vaše slabé heslo, napr. ku Control Panelu, emailovej schránke a pod. Tak si predstavme modelový príklad: že Jano sa rozhodne zaregistrovať si novú doménu (a hosting) pre svoj biznis. S registráciou domény sa vytvára aj Control Panel, ku ktorému si zvolí prihlasovacie údaje – meno a heslo. Keďže nemá čas rozmýšľať, či skôr sa mu nechce vôbec rozmýšľať, zvolí si heslo jano123. Rovnaké heslo sa zároveň nastaví k základnému FTP účtu a prvej emailovej schránke, ktorá bola automaticky vytvorená v rámci hostingovej služby. Jano je spokojný, zo začiatku všetko funguje ako má. Časom si však začne všímať, že už nie všetko funguje tak, ako by malo a jedného dňa z ničoho nič už nefunguje nič, ako by malo. Ak Jano nezmenil svoje základné heslo jano123, ktoré používa aj pri emailovej schránke, tak je pravdepodobné, že jeho heslo uhádol robot na zisťovanie hesiel, čím sa hackerom otvorí cesta k tomu, aby tento nedostatok vedeli využiť. Ak hacker uhádol Janove heslo k emailovej schránke, tak si môže vo Webmaili vytvoriť presmerovanie na svoj email a takto zachytávať komunikáciu medzi obeťou (teda Janom) a napr. jeho obchodnými partnermi. Týmto spôsobom hacker bude vedieť o všetkom, o čom si Jano píše s ostatnými. A keďže má hacker prístup k Janovej schránke, môže túto komunikáciu dokonca na seba prevziať a obchodní partneri bez toho, aby vôbec niečo tušili, budú komunikovať s hackerom, ktorý im podstrčí svoj bankový účet, aby peniaze z obchodov chodili jemu. Okrem hackerov si na svoje prídu aj spamovací roboti. Ak prelomia slabé heslo do emailovej schránky, začnú na všetky zozbierané emailové adresy, ktoré nájdu v Janovej schránke, odosielať veľké množstvo nevyžiadaných emailov, čo prinesie ďalšie problémy. Tieto spamy sa však môžu začať odosielať aj na iné, vymyslené adresy a Janovi sa začnú vracať nedoručenky, ktoré mu zahltia schránku zbytočnými emailami. V tomto bode je to zatiaľ ešte "len" nepríjemné, ďalšie problémy však čoskoro prídu takmer hneď. Ďalším problémom, ktorý čoskoro nastane, bude najskôr ten, že schránka ľahko môže dosiahnuť limity odosielania emailov za určitý čas (čo platí vtedy, keď spamovací robot odosiela množstvo emailov kade-tade), čím sa odosielanie z emailových schránok z bezpečnostných dôvodov zablokuje, takže Jano nebude môcť poslať ani „normálne“ emaily. Odblokovať posielanie správ je síce možné, ale ak Jano nespraví nič, teda aspoň si nezmení heslo na nejaké bezpečné, tak odblokovanie nemá žiadny zmysel a onedlho bude zablokovaný znovu. Odosielaním spamu sa jeho schránka čoskoro stane nedôveryhodnou a môže to mať negatívne dôsledky na ďalšiu komunikáciu s jeho obchodnými partnermi. Keďže servery, cez ktoré prechádza pošta, sú chránené rôznymi nástrojmi na zachytávanie spamu, časom sa stane, že aj normálne Janove emaily začnú označovať za spam, čo výrazne zhorší jeho reputáciu. Navyše si začnú všímať aj IP adresy serverov, z ktorých je spam odosielaný, čím ich zaradia na Blacklist a tým spravia nedôveryhodný celý server, čo má zlý dopad na všetky ostatné domény, ktoré sa na danom serveri nachádzajú. Výsledkom je, že aj z iných domén bude sťažené posielanie emailov, ktoré buď budú „padať“ do spamu alebo sa nedoručia vôbec, keďže servery ich odmietli. Napravenie týchto škôd môže trvať dlho, aj celé týždne a ak sa po čase podarí škody napraviť, ale neodstránia sa príčiny, tak problémy s doručovaním emailov sa vrátia veľmi rýchlo a budeme tam, kde sme boli. Ak teda heslo do Janovej schránky už bolo uhádnuté a Jano doteraz nič nespozoroval (teda okrem obligátneho "doteraz všetko fungovalo, ale od minulého týždňa moje emaily končia v spame") a to isté heslo Jano používa na prihlásenie do Control Panela, tak hacker sa môže ľahko dostať k doméne a nastaveniam hostingu, získať FTP prístup, stiahnuť si databázy alebo dokonca previesť Janovu doménu na seba, ak emailovú schránku s uhádnutým heslom mal zaregistrovanú ku doméne. Výsledok je taký, že Jano prišiel o celú doménu a môže začať odznova. On sám samozrejme najskôr netuší, kde je problém, tak zavolá nám na technickú podporu, či evidujeme nejaký problém so servermi, keď jeho doména má akési zvláštne problémy, emaily sa nevedia doručiť a pod. Bohužiaľ tento problém si Jano zapríčinil sám a my mu môžeme len odporučiť, čo spraviť, aby aspoň zachránil čo sa dá, ak je to vôbec v tomto štádiu ešte možné. Táto situácia sa môže stať ľahko aj vám, preto dbajte na tieto základné veci: nepoužívajte rovnaké heslo pre všetky možné emailové schránky, ani iné služby a už vôbec nie externé (neznáme stránky). Ak chcete používať jedno heslo pre niekoľko vašich emailových schránok v rámci domény, zvoľte zložité heslo, viď nižšie. heslá vždy voľte dostatočne silné, nepoužívajte jednoduché kombinácie písmen napr. ako qwerty, abcd, či čísiel 12345 a pod. Roboty vďaka svojim prešpekulovaným algoritmom takého heslá uhádnu veľmi rýchlo. Pri zadávaní hesiel voľte kombinácie veľkých a malých písmen, čísiel a špeciálnych znakov. Heslá by nemali byť kratšie ako 8 znakov, dlhšie sa odporúčajú. svoje heslá nikdy s nikým nezdieľajte. Ak potrebujete zmeniť niečo na vašej stránke a veľmi sa v tom nevyznáte, ale máte na to svojho webmastera, z bezpečnostných dôvodov mu vytvorte subúčet, ktorému povolíte prístup len k tej doméne, u ktorej má previesť úpravy. vždy udržiavajte svoje stránky aktuálne, najmä ak používate redakčné systémy napr. WordPress alebo Joomla. Starý, dlho neaktualizovaný systém je plný chýb, ktoré hackeri využívajú na to, aby sa dostali k citlivým informáciám, ktoré v konečnom dôsledku môžu viesť k strate identity. aktívne sledujte svoje stránky, nie je to myslené tak, aby ste si kontrolovali stránky každú polhodinu, ale ak svoje stránky nechávate bez akejkoľvek kontroly a návštevy dlhé mesiace alebo dokonca roky, a medzitým ju vám niekto napadne, tak o tomto probléme nemusíte tušiť veľmi dlho, čo je dostatok času pre záškodníka, aby spôsobil čo najviac škôd Nastavenie silného hesla pre emailovú schránku Heslo k emailovej schránke si môžete zmeniť jednoducho viacerými spôsobmi, ktoré nájdete v našom návode. Systém na zadanie hesla obsahuje reštrikcie, ktoré vyžadujú kombináciu veľkých a malých písmen, čísiel a špeciálnych znakov. V Control Paneli si môžete nechať heslo vygenerovať, generátor vytvorí dostatočne silné heslo za vás a zároveň vám ukáže či sú splnené podmienky: Po vygenerovaní hesla si nové nastavenia uložte a môžete sa prihlásiť novým heslom.
-
Závažná zraniteľnosť platformy WordPress (december 2021)
Roman zverejnil zápis v blogu v EXO HOSTING Blog
WordPress je veľmi rozšírený redakčný systém, ktorý sa teší veľkej popularite a nielen medzi užívateľmi, webmastermi, ale aj hackermi. Práve z tohto dôvodu býva WordPress terčom častých útokov, ktoré hľadajú bezpečnostné chyby a výsledkom môže napadnutá stránka, ktorá buď začne z ničoho nič fungovať veľmi zvláštne alebo prestane fungovať, či dokonca sa presmeruje na nejaký iný, veľmi zvláštny web. Pred pár dňami sa objavil bezpečnostný problém týkajúci sa pluginov a tém neregistrovanými na WordPress.org. Bezpečnostný problém je v tom, že ak používate plugin alebo tému, ktorá nie je zaregistrovaná na WordPress.org, hacker si môže zaregistrovať plugin alebo tému s rovnakým názvom a váš WordPress ten podvrh bude považovať za aktualizáciu pluginu, ktorú si stiahne a nainštaluje. Viac informácií nájdete v tomto článku. Je potrebné, aby ste svoj WordPress udržiavali vždy aktuálny, na najvyššej aktuálnej verzii, sťahovali a inštalovali iba dôveryhodné pluginy a témy, ktoré majú vysoké hodnotenie. Štatistiky Za posledných 10 dní naše IDS/IPS – bezpečnostné systémy na monitorovanie prevádzky zachytili okolo 24 miliónov pokusov o útoky na vaše webové stránky. Množstvo útokov je niekoľkonásobne vyšší, avšak po určitom počte pokusov o útok je zla IP adresa pridaná do firewallu, kde už neevidujeme počty útokov. Väčšinou ide o bruteforce (pokusy na prihlásenie do admin systému CMS), wordpress xmlrpc.php, comment spam a pod., približne 20 miliónov pokusov, za posledný týždeň boli značne zastúpene útoky na zraniteľnosť Apache, ďalej pokusy o path traversal a RCE, čo zahŕňa okolo ďalších 100 tisíc útokov. Nakoniec sú dlhodobo zastúpené tiež SQL injection, ktorých v danom období bolo okolo 127 tisíc. Aj na základe týchto štatistík môžete vidieť, že je dôležité, aby ste nepodceňovali aktualizácie svojich CMS systémov, každá aktualizácia obsahuje opravy chýb a vylepšenia, ktoré sťažia útočníkom napadnúť vaše webové stránky. Počty útokov v období 5.12. – 15.12.2021
