Saugumo įrankis
Dažniausiai apie svetainės saugumą pradedama galvoti po laiko - kai svetainė jau būna nulaužta. Tai padaro didelę žalą tiek svetainės savininkui tiek jos lankytojams. Todėl svarbu pradėti rūpintis tuo kaip įmanoma anksčiau. Kadangi šis darbas gali būti sunkus ne tik svetainės užsakovui, bet ir programuotojui, o taip pat turi būti vykdomas reguliariai, į pagalbą dažnai būna pasitelkiami įrankiai atliekantis šį darbą už mus. Saugumo įrankis - pagalbininkas padedantis apsaugoti svetainę nuo įsilaužimų bei nepageidaujamo kodo įterpimų.
Turinys
Saugumo įrankio SiteLock planai
Saugumo įrankio plano Secure Web suteikiamos funkcijos:
- Pažeidžiamumo skenavimas;
- Žalingo kodo paieška;
- SSL tiekėjo patikra;
- Laiku neatnaujintų ar pažeidžiamų aplikacijų skenavimas;
- Visų svetainės failų skenavimas;
- Tikrinimas ar svetainė nėra įtraukta į juoduosius sąrašus;
- SQL intarpų skenavimas;
- XSS įsilaužimų patikra;
- Suteikiamas bendras rizikos balas;
- Pateikia rekomendacijas, kaip galima pagerinti svetainės saugumą;
- Detalesnis skenavimas WordPress ir Joomla sistemas naudojančioms svetainėms;
- Tinklo pažeidžiamumo patikra.
Saugumo įrankio Secure Web Plus suteikiamos funkcijos:
- Visos plano Secure Web suteikiamas funkcijos;
- CDN (angl. Content Delivery Network) paslauga:
- Bendra lankytojų statistika;
- Svetainės apsilankymų statistika pagal šalis;
- Internetinių robotų apsilankymo statistika;
- Lankytojų žemėlapis;
- Detali kiekvieno apsilankymo informacija;
- Laikinojoje atmintyje išsaugotos svetainės duomenų informacija.
- Svetainės ugniasienė.
Saugumo įrankio Emergency Cleanup suteikiamos funkcijos:
- Svetainės išvalymas per 2 valandas;
- Žalingo kodo šalinimą atlieka SiteLock specialistas;
- Svetainės pašalinimas iš juodųjų sąrašų;
- Papildomai atliekamas saugumo spragų ištaisymas (jeigu tokia galimybė yra).
Prisijungimas prie Saugumo įrankio valdymo pulto
Atskiri prisijungimo duomenys nereikalingi - prisijungti prie Saugumo įrankio valdymo sistemos galima per klientų sistemą:
- Viršuje pilkame fone pasirinkite "Paslaugos" ir atsidariusiame puslapyje matysite "Saugumo įrankis". Joje pasirinkite ant nuorodą "planas Secure Web mano-svetaine.lt".
- Paspauskite mygtuką "Saugumo įrankio valdymas".
Naudojimasis Saugumo įrankiu
Prisijungę prie SiteLock įrankio matysite dvi pagrindines skiltis, kurios skirtos įrankio valdymui:
Viršuje matoma balta juosta (iš kairės į dešinę):
- trys lygiagretūs brūkšniai - išskleidžia/suskleidžia kairėje esantį meniu;
- šauktuko simbolis - rodomas, jeigu įrankis nėra pilnai sukonfigūruotas. Pasirinkus nukreipiama į konfigūraciją;
- SiteLock Trust Seal - ženklelio Trust Seal konfigūravimo skiltis. Atsidarius šią skiltį galima susikonfigūruoti šio ženklelio naudojimą svetainėje. Ženklelis informuoja Jūsų svetainės lankytojus, ar svetainė yra saugi pagal SiteLock reikalavimus;
- laiško simbolis - šioje skiltyje galite matyti pranešimus įrankio atliktus veiksmus;
- parsisiuntimo simbolis - pasirinkus šį simbolį Jums bus parsiunčiama svetainės saugumo savaitinė ataskaita;
- English - galite pasirinkti norimą kalbą (lietuvių kalbos nėra tarp pasirinkimų);
- rodyklė į dešinę - pasirinkite šį simbolį norėdami atsijungti iš įrankio.
Kairiau matysite pagrindinį meniu, kuriame (nuo viršaus žemyn):
- Dashboard - pagrindinė įrankio valdymo skiltis. Joje pateikiamos visos įrankio suteikiamos funkcijos, kada atlikti paskutiniai skenavimai ir pan. Jeigu kažkuri iš funkcijų nėra sukonfigūruota, nurodoma, kaip tai atlikti. Taip pat galite atsisiųsti pasirinkto periodo ataskaitas.
- Sites - svetainės, kurioms apsaugoti naudojamas šis įrankis. Mūsų siūlomi planai suteikia galimybę apsaugoti vieną svetainę.
- User - ši skiltis nėra aktuali, kadangi nėra suteikiama galimybė jungtis iš išorės.
- Settings - skiltis, kurioje galėsite nustatyti skenavimo periodiškumą ir kitus parametrus.
- Account - šioje skiltyje galite matyti užsakyti planą, suvesti savo įmones duomenis bei matyti atliktų veiksmų istoriją.
- Help - skiltis, kurioje galite rasti instrukcijas paslaugų valdymui anglų kalba.
Prietaisų skydelis "Dashboard"
Prisijungus prie įrankio Jums iš karto bus pateikiama pagrindinis valdymo skydelis "Dashboard". Jame matysite apskritimus su tam tikrai simboliais:
- Žalia varnytė - šis apskritimas nurodo, kad tam tikras funkcionalumas yra tinkamai sukonfigūruotas ir veikiantis. Tame pačiame apskritime galite matyti ir kada buvo atlikti paskutiniai veiksmai.
- Geltonas šauktumas - šis apskritimas nurodo, kad tam tikri veiksmai dar neatlikti. Tai gali reikšti, kad reikalinga konfigūracija arba reikia dar palaukti, kol skenavimas bus įvykdytas.
- Raudomas X simbolis - šis apskritimas nurodo, kad atsirado tam tiktų problemų: aptikti tam tikri žalingi failai arba skenavimas negali būti atliekamas dėl tam tikrų priežasčių.
- Pilka rodyklė - šis apskritimas reiškia, kad turi būti užsakytas kitas planas norint, kad ši funkcija galima būtų naudoti.
Apsilankę kiekviename iš apskritimų galite matyti detalesnę informaciją apie atliktus veiksmus t.y. kada įvykdytas skenavimas, jo statusą, aptiktus failus ir pan.
Nustatymai
Nustatymų skiltyje (angl. Settings galite pagrindinius įrankio veikimo, saugumo bei pranešimų nustatymus. Čia rasite šias nustatymų sritis:
- Security Settings ir Two-Factor Authentication skiltys nėra aktualios, nes nesuteikiama galimybė jungtis prie įrankio iš išorės.
- Email Subscription - galite nustatyti, kad norite gauti reklaminius laiškus iš SiteLock įrankio kūrėjų.
- Scan Settings - galite nustatyti kiek dažnai bus vykdomas pažeidžiamumo (angl. Vulnerability) skenavimas, SMART (svetainės failų) ir SMART/Database (duomenų bazės) skenavimai. Atlikus korekcijas nepamirškite jų išsaugoti pasirinkę Submit:
- Download Settings - nustatymai reikalingi svetainės failų skenavimui. Atlikus SMART Wizard konfigūraciją šie nustatymai jau būna suvesti automatiškai. Šioje skiltyje taip pat yra papildomi du nustatymai:
Select a speed for FTP file downloads - nurodo, kiek FTP susijungimų bus vykdoma vienu metu. Rekomenduojame pasirinkti Normal (1 connections) Maximum Download Time - nurodo, kiek ilgiausiai gali būti vykdomas siuntimas. Įrankis parsisiunčia failui į savo vidinį serverį tam, kad galėtų atlikti skenavimą. Rekomenduojame naudoti mažiausią reikšmę 60 minutes/day.
Atlikus pakeitimus išsaugokite juos pasirinkę Save mygtuką:
- TrueShield Settings - nustatymai matomi tik plano Secure Web Plus naudotojams. Šioje skiltyje galite valdyti ugniasienės nustatymus. Jeigu dėl tam tiktų priežasčių norite išjungti lankytojų srautą einantį per CDN serverį, tai galite atlikti skiltyje General Seetings:
Route my traffic via SiteLock's network - srauto vykdymas per įrankio apsauginį serverį; Use TrueSpeed for acceleration - naudoti svetainės užkrovimo spartinimą; Use TrueShield for prevention - naudoti svetainės apsaugą nuo bandymų įsilaužti; Temporary Bypass SiteLock's network - laikinai išjungti srauto perdavimą per SiteLock apsauginį serverį.
Atlikite pakeitimus ir nustatę norimą veikimą pasirinkite mygtuką Save Traffic Routing.
Šioje skiltyje žemiau taip pat matysite kitus nustatymus:
Pasirinkite:
Upload Certificate - jeigu pasikeitė Jūsų turimas svetainės raktas, atlikite naują įkėlimą; Change IP - jeigu pasikeitė serveris, kuriame laikoma svetainė; Purge Cache Now - jeigu norite išvalyti laikinąją atmintį iš SiteLock serverio. Naudojama tada kai atliekate pakeitimus svetainėje ir jų nesimato atidarant svetainę iš išorės.
Įrankio konfigūravimas
Tam, kad įrankis galėtų pradėti nuolatinę svetainės patikrą ir priežiūra, turi būti atliekami tam tikri konfigūravimo veiksmai suteikiantis prieigą prie svetainės.
Domeno patvirtinimas
Visų pirma reikia atlikti domeno patvirtinimą. Šiuo veiksmu patvirtinate įrankiui, kad domenas yra Jūsų nuosavybę ir SiteLock apsaugojimo veiksmai gali būti vykdomi su Jūsų leidimu. Skiltyje Dashboard pasirinkite apskritimą Domain verification:
Atsidariusiame lange matysite tris domeno patvirtinimo pasirinkimus:
- HTML Meta Tag - pateikiamas kodas, kurį turite įterpti į savo svetainės pagrindinį HTML failą tarp <head></head> dalies.
- Upload HTML File - HTML failo įkėlimas tarp svetainės failų katalogo (talpinimo planuose tai yra "public_html" katalogas). Pasirinkite Download mygtuką Jums bus parsiunčiamas failą, kurį turėsite įkelti į katalogą.
Rekomenduojame:
- DNS Record - pasirinkus šį patvirtinimo tipą Jums reikės įkelti nurodytą TXT įrašą redaguojant domeno zoną pagal kitą mūsų pamoką. Atlikus įtraukimą turite palaukti apie 60 minučių, kol įrašas įsigalios.
Prie kiekvieno metodo dešiniau galite matyti mygtuką Instructions, kurį pasirinkus bus pateikiama bendrojo pobūdžio instrukcija anglų kalba.
Atlikus, kurį nors iš pasirinktų metodų, žemiau pasirinkite mygtuką Verify. Jeigu nurodytus veiksmus atlikote teisingai, apskritimo statusas pasikeis į Pending ir praėjus tam tikram laikui bus užbaigtas.
Failų tvarkymo prieiga Smart Wizard
Smart Wizard funkcija atlieka visų svetainės failų skenavimą bei gali ištrinti žalingus failus savarankiškai arba įspėti Jus apie įtartinų failų egzistavimą. Norint, kad ši funkcija pradėtų darbą reikia suteikti prieigą prie svetainės failus. Skiltyje Dashboard pasirinkite apskritimą SMART:
Turėsite įvesti FTP naudotojo duomenis. Papildomas FTP naudotojas yra sukuriamas pagal šią instrukciją. Sukūrę naudotoją palaukite 2 minutes ir suveskite šiuos duomenis:
- Method for File Transfer - FTP. Galite pasirinkti ir kitą protokolą, jeigu turite VPS paslaugą.
- FTP Host or IP Address - įveskite savo serverio, kuriame yra laikoma svetainė, pavadinimą.
- (S)FTP Port Number - nurodykite prisijungimo prievadą. Jeigu naudojate FTP pirmame laukelyje, prievadas bus 21.
- User ID - FTP naudotojo vardas.
- Password - FTP naudotojo prisijungimo slaptažodis.
Suvedę visus duomenis pasirinkite Test Connection.
Sekančiame žingsnyje įveskite pasirinkite katalogą, kuriame yra laikomi svetainės duomenys. Jeigu naudojate bendro naudojimo serverio planą, katalogas bus "public_html". Pasirinktas katalogas pasirodys laukelyje Root Directory. Atlikę pasirinkimą paspauskite This is it:
Atlikus sėkmingą prisijungimą Jums pateikiamas pasiūlymas apsilankyti SMART Settings skiltyje, kur galėsite atlikti papildomus nustatymus:
Nustatymų skiltyje matysite pagrindinį SMART Settings nustatymą Automatically remove malware. Rekomenduojame pasirinkti No, just warn me.'. Kitu atveju, davus leidimą trinti failus, gali būtų ištrinami įtartinai atrodantys failai, kurie gali būti reikalingi sklandžiam svetainės veikimui. Todėl geriau pasirinkite, kad sistema įspėtų Jus apie aptiktą įtartiną failą.
Taip pat šioje skiltyje matysite mygtuką Manage Exclusions. Jį pasirinkę galite nustatyti, kurių katalogų netikrintų sistema bei kokio dydžio failai nebūtų tikrinami. Aktualu, jeigu laikote kelis daug vietos užimančius failus, kurie nėra tiesiogiai susiję su svetainę.
SMART/DB konfigūravimas
Sekantis žingsnis bus matomas meniu kairėje (Settings skiltyje) - SMART Database (SMART/DB) Settings. Ši skiltis taip pat bus matoma ir Dashboard panelėje, SMART/DATABASE apskritime:
Šioje skiltyje galite nustatyti, kokius veiksmus atlikti su aptinkamu:
- Spam Code - kodas, dažniausiai naudojantis HTML programinį kodą ir naudojamas slėpti nuorodas į kitas žalingas svetaines.
- Spam Links - nuorodos į svetaines, kurios buvo pažymėtos taip talpinančios nepageidaujamą reklamą.
- Malware - žalingas kodas, galintis padaryti neigiamą įtaką svetainės lankytojui.
Visus (išskyrus ties Malware - Yes) nustatymus rekomenduojame palikti su No, just warn me pasirinkimu. Žemiau taip pat matysite perklausimą, kaip įrankis turėtų elgtis, jeigu aptiktas kodas buvo visų pirma aptiktas SiteLock ir tada pakoreguotas nespėjus įrankiui atlikti kodo deaktyvavimo veiksmų (angl. How should we handle edit conflicts?).
Žemiau matysite skiltį Platform Access Settings. Šie nustatymai reikalingi duomenų bazės skenavimams. Žemiau pasirinkite Update.
Pirmame žingsnyje matysite šiuos pasirinkimus:
- Does your site have an SSL certificate - pasirinkite ar Jūsų svetainė turi SSL sertifikatą ar ne.
- Domain or Subdomain? - nurodykite savo domeno vardą.
- Platform - nurodykite naudojamą turinio valdymo sistemą. Jeigu naudojate kitą sistemą nei WordPress ar Joomla!, turėsite suvesti duomenų bazės prisijungimo duomenis.
Tolimesni veiksmai yra tokie patys, kaip ir pirmieji du žingsniai failų prieigos suteikimas Smart Wizard konfigūracijoje. Papildomai bus patiektas pranešimas apie serveryje suteikiamų funkcijų galimybę. Pasirinkite Continue ir bus atliekamas patikrinimas. Sėkmingo patikrinimo metu visos funkcijos bus nurodomos kaip aktyvios.
Atlikus šiuos veiksmus SMART/DB konfigūracija bus užbaigta.
SMART/PATCH nustatymas
SMART/PATCH įrankis suteikiantis galimybę koreguoti failų, kurių kodas turi būti atnaujintas, programinį kodą. Sistema tikrina visą programinį kodą ir jeigu pastebi naudojamą seną nesaugią koduotę, gali arba pakoreguoti kodą arba įspėti apie tokio kodo egzistavimą. Šį nustatymą galite rasti Dashboard skiltyje pasirinkę SMART/PATCH apskritimą:
SMART/PATCH rasite taip pat ir nustatymuose pasirinkę meniu punktą SMART/PATCH Settings. Jame matysite nustatymą, kokius veiksmus įrankis turi atlikti aptikus tokio tipo failą:
Galite pasirinkti tarp:
- Scan automatically but do not patch - atlikti skenavimą nekoreguojant programinio kodo. Pastebėjus tokius failus gausite perspėjimą.
- Scan and patch automatically - atlikti skenavimą ir koregavimą automatiškai.
- Turn off scanning - išjungti šio tipo skenavimą.
Pasirinkę pageidaujamą variantą spauskite Save mygtuką.
SSL SCAN pajungimas
Jeigu naudojate SSL sertifikatą, reikalingas veiksmas nurodant, kad svetainė naudoja sertifikatą. Jeigu sertifikato neturite, rekomenduojame jį įsigyti mūsų svetainėje adresu https://www.iv.lt/sertifikatai/.
Sertifikato skenavimo pajungimas vykdomas paspaudus ant šio apskritimo:
Čia turėsite įvesti sertifikato išdavimo organizacijos svetainės adresą (be https:// pradžios). Jeigu sertifikatą įsigijote iš mūsų, įveskite gogetssl.com domeną ir pasirinkite Submit:
Vėliau bus atliekamas skenavimas ir galėsite matyti jo rezultatus.
TrueShield konfigūravimas
Užsakius planą Secure Web Plus prie visų anksčiau išvardintų Secure Web funkcijų, Jums bus papildomai suteikiama svetainės ugniasienė bei statistinė apsilankymų istorija. Konfigūravimas atliekamas pasirinkus TrueShield apskritimą:
Visų pirma Jums reikės atlikti domeno patvirtinimą. Atsidarykite STEP 1 Manage SSL skiltį. Patvirtinimas atliekamas sukūrus TXT įrašą domeno zonos redagavimo skiltyje. Plačiau apie zonos redagavimą rasite kitoje mūsų pamokoje. Turėsite įtraukti įrašą matomą TXT Value eilutėje:
Papildomai atkreipkite dėmesį į užrašą esantį žemiau Validating domain ownership skilties pavadinimo:
- Jeigu domenas turi SSL sertifikatą, sistema praneša, kad SSL sertifikatas matomas - Its looks like you have an SSL certificate.
- Jeigu domenas turi SSL sertifikatą, tačiau toks pranešimas nenurodomas, turite atlikti veiksmus sekančioje skiltyje Manage Certificate (žingsniai aprašyti žemiau).
- Jeigu neturite domeno sertifikato, rekomenduojame jį įsigyti. Tai galite atlikti mūsų svetainėje adresu: https://www.iv.lt/sertifikatai/
Atlikus pirmą veiksmą gali reikėti palaukti iki 24 valandų. Užrašas Site DNS returned no matching TXT record was found pasikeis į Great news a matching DNS TXT Record was found. Please wait for DS propogation. Patvirtinimas bus pilnai baigtas kai matysite prierašą Complete.
Jeigu turite SSL sertifikatą, tačiau įrankis jo neaptinka: Tokiu atveju turite pridėti sertifikato raktą bei privatų raktą skiltyje Manage cetificate. Šioje skiltyje pasirinkite mygtuką Upload Certificate ir pridėkite: * Certificate - sertifikato raktą (prasideda tekstu "-----BEGIN CERTIFICATE-----"); * Private Key - privatų raktą (prasideda tekstu "-----BEGIN RSA PRIVATE KEY-----"): Turite palaukti iki 24 valandų kol sertifikatas bus patvirtintas.
Atlikus domeno patvirtinimą (bei sertifikato įkėlimą, jeigu įrankis neaptinka) galite pereiti prie sekančio žingsnio - domeno nukreipimo į CDN serverį. Pereikite į kitą žingsnį STEP 2 Manage Routing. Pranešime nurodyta, kuriuos įrašus reikia pašalinti (angl. Remove) iš domeno zonos ir kuriuos pridėti (angl. Add). Norime atkreipti dėmesį, kad reikia sukurti du "A" tipo įrašus naudojant tą patį "@" pavadinimą, tačiau reikšmėje nurodant skirtingus IP adresus:
Kaip ir atlikus kitus veiksmus su DNS zona, gali tekti palaukti iki 24 valandų. Sėkmingai atlikus nukreipimus, bus pateikiamas pranešimas Routing is complete. Šių veiksmų užtenka pajungti CDN funkciją, kuri aktyvuoja ugniasienę. Jeigu įrankį pradėjote konfigūruoti nuo TrueShield, atlikite SMART wizard skenavimų konfigūravimą, kuris nurodytas aukščiau.