39. Сигурност на сайт

Изграждане на система за сигурност е едно от най-важните неща при създаване на институционален сайт. Тя започва още с проектираните и определянето на потребителските права и публикуване на страницата „политика за сигурност“. Най-добре е изобщо да не се  предоставят права на други хора да администрират сайта, но понякога това се налага.

От анализа на проведения емпиричен експеримент с Postvai.com се указа, че най-добрия начин за това е технология наречена САРТСНА – съкращение от „Completely Automated Public Turing Test to Tell Computers and Humans Apart“, на български се превежда „Напълно автоматизиран публичен тест на Тюринг за разграничаване на компютри от хора“. Представлява визуален код, който трябва да се въведе ръчно. Използва се с цел да ограничи спама от автоматичен софтуер за публикуване и от ботове опитващи се да сканират цялата ви база данни.

Друг важен проблем е опазването и защита на уебсайта от вируси. Чрез Google Search Console може да проверявате редовно за вируси и друг зловреден софтуер за да се вземат мерки навреме. В противен случай Google ще забрани сайта ви. Много хостинг компании предлагат услуги като Security & Reputation и сканират ежедневно на сайтовете. Все пак ако сайтът ви се зарази ще получите съобщение в Google Search Console или в резултатите от търсене ще се появи предупреждение да не влизате в този сайт. Тогава трябва незабавно да прегледате кода си за странни символи и непознати кодове. Това е трудоемка работа ако трябва да го правите ръчно, файл по файл.

Единственото решение е да пазите свалени стари файлове от сайта си на вашия компютър и да ги качите на хостинга си, след като изтриете всичко от там. Затова се препоръчва редовно правене на бекъп на главната директория и на базата данни за да може да реагирате в такива случай. Веднага след като го оправите влезте пак във  Google Search Console секция „Злонамерен софтуер“ и пуснете искане за преразглеждане състоянието на Google Webmaster[1].

Експертите в областта препоръчват винаги да обновявате CMS до последната версия. Ако използвате Joomla, WordPress, Drupal или други системи винаги ги обновявайте при излизане на нова версия, както и използваните теми и разширения. В новите версии се добавят поправки на открити пробиви в сигурността.

Препоръчително е да промените адреса за вход в системата тъй като ако използвате CMS система те са стандартни и хакерите лесно ги разбират. Друг вариант за защита е да ограничите влизанията по IP, но тогава няма да може да влизате от друго място в сайта.

Използвайте SSL (Secure Socket Layer) сертификат. Това е задължителна технология за криптиране на връзката между уеб сървър и браузъра на крайния потребител, днес вече е преименуван на TLS (защита на транспортния слой), но все още се нарича TLS / SSL.

Повечето съвременни браузъри показват сайтовете без SSL сертификат като несигурни. В следствие на това някои от посетителите ще се откажат да следват подобни връзки и трафикът към сайта ще намалее. От друга страна търсещите машини приоритезират връзките с HTTPS (Hypertext Transfer Protocol Secure) и дори понякога даден сайт се класира с HTTPS версията си без да има валиден сертификат, защото е отворен порт 443, например. Такъв беше случая със сайта на Военна академия преди да премине към новия дизайн. На първо място при търсене на ключова дума „военна академия“ излизаше връзка с https без сайта да има инсталиран SSL. Когато посетителя кликне на нея му дава грешка, че няма такава страница и съответно се получава отлив на трафик.

Така когато ви се появят такива връзки към сайта, употребата на SSL става задължителна дори и за лични блогове, не само заради това, че повишава сигурността и доверието, а и от SEO гледна точка. От Google обявиха, че като фактор за класиране наличието на SSL сертификат има влияние върху алгоритъма.

За да проверим това твърдение в настоящия експеримент се наложи postvai.com да премине към SSL и използване на протокол HTTP/2.

Фиг. 44. Снимка на Google Analytics  от преминаване
към SSL и HTTP/2 през юли 2016 г.

Освен това използването на HTTP/2 прави зареждането на страниците значително по-бързо, което си е важен фактор. За да може да използвате този модерен протокол трябва да имате сигурна връзка и инсталиран SSL сертификат. HTTP/2 е новият двоичен вместо текстуален протокол и компресира заглавията, използвайки кеша на браузъра. Работи в ALPN (Application-Layer Protocol Negotiation), което е разширено TLS и дава възможност за по-бързи криптирани връзки.

Фиг.45. Работа на SSL

По принцип има три вида сертификати: за валидиране на домейн, валидиране на организация с мултидомейн и за разширено валидиране включително на поддомейни. До скоро цената на тези сертификати за сигурност беше доста голяма, но днес на пазара се предлагат няколко възможности за закупуването им и дори безплатния SSL сертификат Let’s Encrypt. Той валидира само домейна, но не и идентичността на организацията, което означава, че в браузъра няма да се изпише информация за институцията т.е. URL адреса става с HTTPS:// и зелен катинар, но за разлика от платените сертификати не поддържа зелена адресна лента.

Такъв е случаят със сайта на Министерство на отбраната, докато за сравнение ако погледнем сайта на Центъра за управление на кризи cmdrcoe.org ще видим, че те използват платен сертификат със зелена лента, който посочва местонахождението на организацията.

Към момента на писане на монографията сайта mod.bg е със смесено съдържание, на някои страници има https, на други http. Това се получава, защото след преминаване към SSL задължително трябва да се променят всички вътрешни връзки от http към https. Освен това от SEO гледна точка е много важно да не се получава дублираното съдържание, тъй като ботовете възприемат старите и новите URL на страниците като различни, затова е крайно наложително да се направи редирект от http към https.

Това лесно може да стане, като във файла .htaccess се вмъкне следния код:

# BEGIN mySSL

<IfModule mod_rewrite.c>

RewriteEngine on

RewriteCond %{HTTPS} !=on [NC]

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

</IfModule>

# END mySSL

За да определим влиянието на HTTPS в българското интернет пространство бе направен малък експеримент. По търсене на думата „Отбрана“ бяха извадени първите 100 сайта в 10 страници от резултатите на Google.BG и се установи, че HTTPS е умерено корелира с по-високите резултати в ранглиста на Google.BG.

На първите страници се намират повече сайтове използващи HTTPS.

Фиг. 46. Класиране според наличието на сертификат за SSL


[1]https://www.google.com/webmasters/tools/reconsideration [прегледан 22.06.2019]

Leave a Comment