A·R
EN SR

Bezbednosni i performansni hardening

Sveobuhvatne revizije, hardening i optimizacija. Mirno spavajte znajući da vaš sajt može da izdrži stvaran saobraćaj i stvarne pretnje.

Započni projekat Pogledaj naš proces
Kontrolna tabla bezbednosti servera sa metrikama performansi i praćenjem pretnji

Sporo i ranjivo su dve strane istog novčića

Spor sajt gubi posetioce — svaka sekunda učitavanja vas košta 7% konverzija. Ali performanse i bezbednost su nerazdvojive. Ista loša podešavanja koja čine vaš sajt sporim — preveliki fajlovi slika, neoptimizovani upiti ka bazi, gomila nepotrebnih dodataka — takođe šire prostor za napad. Dodatak koji ste instalirali zbog jedne funkcionalnosti pre tri godine, i na koji ste zaboravili, u međuvremenu je imao šest bezbednosnih upozorenja. Vaša baza ima 40.000 spam komentara koji naduvavaju veličinu rezervnih kopija i predstavljaju vektore za napad. Podrazumevani WordPress URL za prijavu, bez ograničenja broja pokušaja, botovi napadaju grubom silom 2.000 puta dnevno. Svaka ranjivost je potencijalno curenje podataka, udarac na reputaciju, ili kazna koja samo čeka da se desi.

Naša usluga hardening-a tretira performanse i bezbednost kao jedinstven sistem. Sprovodimo bezbednosnu reviziju od 47 tačaka koja pokriva konfiguraciju servera, integritet WordPress jezgra, ranjivosti dodataka, obrasce pristupa korisnika, i izloženost mreže. Zatim optimizujemo svaki sloj — keširanje upita ka bazi, opcode keširanje, keširanje celih stranica, konfiguraciju CDN-a, obradu slika — dok se vaš sajt ne bude učitavao za manje od 1,5 sekunde i izdržavao automatizovane alate za napad. Rezultat je sajt koji se bolje rangira, pretvara više posetilaca u klijente, i ne pojavljuje se na Have I Been Pwned sajtu.

Bezbednosno ojačano

Revizija od 47 tačaka, zakrpe ranjivosti, zaključavanje servera, i stalan nadzor protiv stvarnih obrazaca napada.

Podešene performanse

Vreme učitavanja ispod 1,5 sekunde kroz optimizaciju upita, višeslojno keširanje, obradu slika, i podešavanje na nivou servera.

Nadzor 24/7

Provere dostupnosti na svakih 60 sekundi, dnevna bezbednosna skeniranja, i sistemi upozorenja koji nas bude ako nešto pukne.

Svaki sloj vašeg sistema, zaključan i ubrzan

Bezbednosna revizija i penetraciono testiranje

Naša revizija prati kontrolnu listu od 47 tačaka, izvedenu iz OWASP Top 10 liste, CIS WordPress standarda, i našeg iskustva u jačanju preko 200 produkcionih sajtova. Pregledamo podešavanje servera: autentifikaciju samo preko SSH ključa sa isključenom root prijavom, fail2ban pravila koja blokiraju pokušaje grube sile posle 3 neuspeha, i UFW firewall pravila koja dozvoljavaju samo HTTP/HTTPS/SSH saobraćaj. Provere specifične za WordPress uključuju dozvole fajlova (direktorijumi na 755, fajlovi na 644, wp-config.php na 600), validnost salt ključeva, nasumičnost prefiksa tabela baze, i procenu statusa XML-RPC-a. Skeniramo sve instalirane dodatke i teme protiv WPScan baze ranjivosti — dodatak sa poznatim CVE koji nije zakrpljen u roku od 90 dana se označava za hitno uklanjanje ili zamenu. Koristeći OWASP ZAP, pokrećemo automatizovane penetracione testove protiv formi vašeg sajta, parametara upita, i autentifikovanih endpoint-a kako bismo otkrili SQL injekcije, XSS, CSRF i SSRF ranjivosti. Rezultat je izveštaj sa prioritetima za otklanjanje, sa ocenama ozbiljnosti (Kritično / Visoko / Srednje / Nisko) i konkretnim uputstvima za popravku.

Hardening servera

Hardening servera ide dalje od WordPress-a, u samu infrastrukturu. Na Nginx-u isključujemo server tokene (server_tokens off;) tako da brojevi verzija ne cure ka alatima za izviđanje, podešavamo bezbednosna zaglavlja (HSTS sa max-age od godinu dana, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, i strog Content-Security-Policy), i ograničavamo endpoint-e za prijavu na 5 zahteva u minuti po IP adresi. PHP-FPM radi kao poseban korisnik od web servera, sa open_basedir ograničenjima koja sprečavaju PHP skripte da pristupe fajlovima van web root-a. Isključujemo opasne PHP funkcije — exec, shell_exec, system, passthru, proc_open — osim ako ih izričito ne zahteva proveren dodatak. Za Apache okruženja, podešavamo ModSecurity sa OWASP Core Rule Set-om, blokirajući uobičajene obrasce napada na nivou web servera pre nego što stignu do WordPress-a. Zaštite na nivou kernela uključuju ASLR (nasumičan raspored adresnog prostora) i oznake neizvršivog steka. Svaka izmena podešavanja je dokumentovana i pod verzijskom kontrolom, tako da tačno znate šta je izmenjeno i zašto.

Optimizacija performansi

Podešavanje performansi radi od pregledača do baze podataka. U pregledaču, ugrađujemo kritičan CSS za sadržaj iznad linije uvijanja, odlažemo nebitan JavaScript preko defer i async atributa, i implementiramo naznake resursa (dns-prefetch, preconnect, preload) za domene trećih strana poput Google Fonts-a i analitike. Slike prolaze kroz proces optimizacije: originali se arhiviraju, WebP varijante se generišu preko cwebp-a na kvalitetu 85, responzivne srcset prelomne tačke na 400w/800w/1200w/1600w, i lenjo učitavanje preko nativnog loading="lazy" sa LQIP (placeholder-ima niskog kvaliteta) radi sprečavanja pomeranja rasporeda. Na serveru, uključujemo Nginx Brotli kompresiju (bolju od gzip-a za 15-25%), podešavamo Redis keširanje objekata da sačuva WordPress transiente i rezultate upita kroz zahteve, i postavljamo potrošnju memorije OPcache-a na 256MB sa strogom revalidacijom za PHP 8.2. Vreme upita ka bazi se profiliše preko Query Monitor-a — svaki upit koji traje preko 100ms dobija preporuku za indeks ili prepravku.

Strategija keširanja

Efikasno keširanje zahteva više slojeva, svaki za drugačiji profil kašnjenja. Na ivici mreže, Cloudflare CDN kešira statičke resurse (CSS, JS, slike, fontove) na preko 300 lokacija širom sveta, smanjujući vreme odziva sa 200ms na 20ms za posetioce koji se vraćaju. Keširanje celih stranica preko Nginx fastcgi_cache-a servira HTML bez diranja PHP-a — keširan odgovor početne stranice pada sa 800ms na 40ms. Podešavamo ključeve keša koji poštuju status prijave, varijacije upitnog niza, i razlike u kolačićima, tako da personalizacija i dalje radi dok anonimni saobraćaj dobija najbrži put. Keširanje objekata preko Redis-a čuva WordPress transiente, meta podatke objava, i hijerarhije taksonomija u memoriji, eliminišući ponavljajuće upite ka bazi. Za sajtove sa oblastima za prijavljene korisnike, implementiramo pravila selektivnog izuzimanja iz keša — stranice naloga i tokovi zakazivanja/plaćanja u toku zaobilaze keš cele stranice, dok javne stranice dobijaju agresivne TTL vrednosti. Keširanje upita ka bazi preko MariaDB query_cache-a čuva rezultate pripremljenih upita za ponavljajuće obrasce čitanja. Svaki sloj keša ima odgovarajuće TTL vrednosti: edge CDN na godinu dana za resurse sa oznakom verzije, keš stranice na 24 časa za sadržaj, keš objekata na 1 čas za meta podatke.

Optimizacija baze podataka

WordPress baza podataka vremenom gomila nepotreban balast: revizije objava (preko 50 po objavi na aktivnim sajtovima), spam komentare, zaostatke isteklih transienta, i napuštene meta podatke od obrisanih objava. Čistimo i optimizujemo sistematski. Prvo, brišemo suvišne revizije — zadržavamo poslednje 3 po objavi i arhiviramo starije u hladno skladište — što tipično smanjuje wp_posts tabelu za 60-80%. Spam komentari se masovno brišu zajedno sa svojim meta podacima. Napušteni postmeta i veze termina se prepoznaju posebnim SQL upitima i uklanjaju. Zatim pokrećemo OPTIMIZE TABLE na MyISAM tabelama i analiziramo statistiku InnoDB tabela za planer upita. Nedostajući indeksi se dodaju — čest problem je da wp_options tabeli nedostaje indeks na autoload polju, što uzrokuje potpuno skeniranje tabele pri svakom učitavanju stranice. Za sajtove sa velikim saobraćajem, implementiramo read replike baze: upiti za pisanje idu na primarnu bazu, upiti za čitanje (SELECT) se usmeravaju na replike preko HyperDB-a, horizontalno skalirajući kapacitet za čitanje. Beleženje sporih upita (granica 1 sekunda) se prosleđuje u naš sistem nadzora radi stalnog podešavanja.

Podešavanje SSL i HTTPS-a

HTTPS nije opcija — pregledači označavaju HTTP sajtove kao "Nije bezbedno", Gugl ga koristi kao signal za rangiranje, a propisi poput GDPR-a zahtevaju šifrovanje podataka u prenosu. Implementiramo SSL od početka do kraja: Let's Encrypt sertifikate automatski dodeljene preko Certbot-a sa cron poslovima za automatsko obnavljanje, ECDSA P-256 ključeve za brže rukovanje od RSA 2048, i OCSP stapling radi eliminisanja dodatnih koraka provere sertifikata. Podešavanje servera nameće TLS 1.2+ sa modernim šifarskim paketima (bez CBC režima, bez SHA-1), i HSTS preload prijavu kako bi vaš domen bio uključen u ugrađene liste pregledača. Skeniranje mešovitog sadržaja prepoznaje HTTP adrese ugrađene u vašu bazu i fajlove teme — one se popravljaju preko search-replace u bazi i ažuriranjem koda šablona. Za sajtove koji obrađuju podatke o plaćanju, podešavamo TLS postavke usklađene sa PCI-DSS standardom i dokumentujemo lanac šifrovanja za revizije usklađenosti. Istek sertifikata se prati 30 dana pre isteka, sa upozorenjima koja eskaliraju — email na 30 dana, SMS na 7 dana, poziv na 3 dana.

Uklanjanje malvera i oporavak

Ako je vaš sajt već ugrožen, obezbeđujemo hitnu reakciju na incident. Prvi korak je obuzdavanje: sajt gasimo ili ga stavljamo iza stranice za održavanje kako bismo sprečili dalju štetu i zaštitili posetioce od zlonamernih preuzimanja. Zatim forenzički analiziramo svaki fajl — fajlove teme, fajlove dodataka, direktorijum otpremljenih fajlova, i fajlove WordPress jezgra — upoređujući kontrolne sume sa zvaničnim WordPress SVN repozitorijumom kako bismo prepoznali izmenjen ili ubačen kod. Uobičajeni indikatori koje tražimo: base64-enkodovani sadržaj u fajlovima slika, zamagljen JavaScript u header/footer šablonima, neovlašćeni admin nalozi u wp_users, i zakazani backdoor-ovi u wp_cron. Tabele baze se skeniraju za ubačene spam linkove u sadržaju objava i zlonamerna preusmerenja u vrednostima opcija. Kada je sajt očišćen, ojačavamo tačke ulaska — ažuriramo sav softver, resetujemo sve lozinke, menjamo salt vrednosti, i pregledamo logove pristupa kako bismo identifikovali vektor infekcije. Konačan izveštaj dokumentuje vremensku liniju upada, pogođene fajlove, preduzete akcije uklanjanja, i sprovedene preventivne mere. Tipično vreme oporavka je 24-72 časa, u zavisnosti od dubine infekcije.

Podešavanje nadzora 24/7

Nadzor je razlika između saznanja o problemu iz poziva klijenta i popravke pre nego što iko primeti. Implementiramo višeslojni sistem nadzora. UptimeRobot proverava vaš sajt na svakih 60 sekundi sa 5 lokacija širom sveta (istočna i zapadna obala SAD, Evropa, Azija, Južna Amerika) i šalje SMS i email upozorenja ako dve uzastopne provere ne uspeju. Praćenje vremena odziva prati p95 i p99 kašnjenje — trajno povećanje iznad osnovne linije često ukazuje na zaključavanje baze ili kvar dodatka pre nego što sajt zaista padne. Bezbednosni nadzor preko Wordfence-a pokreće dnevna skeniranja malvera, prati integritet fajlova u odnosu na poznate ispravne kontrolne sume, i prati pokušaje prijave grubom silom sa automatskim blokiranjem IP adrese posle 5 neuspeha. Praćenje crnih lista proverava da li se vaš domen pojavljuje na Google Safe Browsing, SURBL, ili Spamhaus listama — ključno za isporuku emailova i SEO. Praćenje SSL sertifikata prati datume isteka. Sva upozorenja objedinjujemo u jedan sistem upravljanja incidentima (PagerDuty ili Opsgenie) sa rotacijom dežurstva i pravilima eskalacije. Mesečni izveštaji nadzora sažimaju procenat dostupnosti (cilj: 99,9%), broj incidenata, prosečno vreme do rešenja, i sve trendove koji zahtevaju pažnju.

Kako radimo

1

Početna revizija

Počinjemo sveobuhvatnom polaznom procenom. Bezbednosno skeniranje kombinuje automatizovane alate — Wordfence za integritet fajlova i otkrivanje malvera, OWASP ZAP za penetraciono testiranje, i WPScan za proveru ranjivosti dodataka — sa ručnim pregledom konfiguracionih fajlova servera (nginx.conf, php.ini, wp-config.php). Testiranje performansi pokreće Lighthouse, WebPageTest (9 lokacija širom sveta, profili kablovske i 4G konekcije), i Blackfire.io za profilisanje PHP-a. Baza podataka se analizira alatom Query Monitor radi prepoznavanja sporih upita, a tabela opcija se proverava zbog autoload balasta — čest problem gde dodaci učitavaju kilobajte podataka pri svakom zahtevu stranice. Takođe pregledamo vaše hosting okruženje: verziju PHP-a, ograničenja memorije, maksimalno vreme izvršavanja, i dostupne ekstenzije. Rezultat je izveštaj revizije od 20-30 strana sa ocenama ozbiljnosti, konkretnim nalazima, i preporučenim popravkama poređanim po uticaju i utrošku truda.

2

Procena ranjivosti

Procena ranjivosti ide dublje od početnog skeniranja. Ručno pregledamo svaki instaliran dodatak i temu — čak i neaktivne, koje su i dalje dostupna meta za napad — proveravajući brojeve verzija u odnosu na WPScan i CVE baze. Custom kod se proverava na uobičajene bezbednosne greške: neizbežen izlaz (XSS vektori), nepripremljeni SQL upiti (vektori za injekciju), nedostajuće nonce provere na obrascima (CSRF vektori), i direktan pristup fajlovima bez provere ovlašćenja. Higijena korisničkih naloga se proverava: admin nalozi sa slabim lozinkama, nekorišćeni nalozi bivših zaposlenih, nalozi sa povišenim ovlašćenjima koja im ne trebaju, i prisustvo podrazumevanog korisničkog imena "admin". Pregledamo logove pristupa za poslednjih 90 dana kako bismo prepoznali obrasce napada: ponovljene 404 greške koje ispituju poznate putanje dodataka, POST zahteve ka xmlrpc.php, i neuspele pokušaje prijave grupisane po IP adresi ili korisničkom imenu. Procena daje registar ranjivosti sa CVSS ocenama, analizom iskoristivosti, i rokovima za otklanjanje.

3

Sprovođenje hardening-a

Hardening se prvo sprovodi na staging okruženju, nikad direktno na produkciji. Popravke iz revizije sprovodimo po prioritetu: kritične ranjivosti se odmah zakrpe (ažuriranja dodataka, popravke dozvola fajlova, promena salt vrednosti), zatim slede stavke visokog prioriteta (hardening podešavanja servera, dodavanje bezbednosnih zaglavlja, ograničavanje pokušaja prijave), a srednje/niske stavke se zakazuju. Svaka izmena se testira funkcionalno pre prelaska na sledeću — bezbednosna popravka koja pokvari vašu kontakt formu nije popravka. Gde je moguće, koristimo princip infrastrukture kao koda: izmene Nginx konfiguracije su šablonizovane i pod verzijskom kontrolom, WordPress hardening pravila se implementiraju kao must-use dodatak (wp-content/mu-plugins/) tako da prežive promenu teme, a firewall pravila se definišu u konfiguracionim fajlovima umesto ručnog unosa. Posle provere na staging okruženju, postavljamo na produkciju tokom zakazanog termina za održavanje, sa spremnim planom za vraćanje na prethodno stanje.

4

Podešavanje performansi

Kada je bezbednost zaključana, prelazimo na performanse. Optimizacija baze podataka ide prva: čišćenje revizija, brisanje spam komentara, uklanjanje napuštenih meta podataka, i dodavanje indeksa. Zatim implementiramo sistem keširanja — Redis keširanje objekata, Nginx fastcgi_cache za keširanje celih stranica, i podešavanje Cloudflare CDN-a sa pravilima za agresivno keširanje resursa. Optimizacija slika obrađuje celu biblioteku medija kroz naš proces: originali se čuvaju kao rezervne kopije, generišu se WebP varijante, i srcset atributi se dodaju na sve oznake slika. Profilišemo PHP aplikaciju alatom Blackfire.io kako bismo prepoznali spore funkcije i upite ka bazi — čest nalaz su nekеširani get_posts() pozivi unutar petlji koji bi trebalo da koriste WP_Query sa keširanjem objekata. Optimizacija frontend-a ugrađuje kritičan CSS, odlaže JavaScript, i implementira naznake resursa. Posle svake optimizacije, ponovo pokrećemo Lighthouse i WebPageTest kako bismo izmerili uticaj. Cilj je LCP ispod 1,5 sekunde na mobilnom i TTFB ispod 800ms globalno.

5

Testiranje opterećenja

Optimizacije koje rade sa 10 istovremenih korisnika često ne uspevaju sa 1.000. Proveravamo performanse pod realnim opterećenjem koristeći alate k6.io i Artillery.io. Test scenariji simuliraju stvarno ponašanje korisnika: posetu početnoj stranici, prelazak na stranicu usluge, slanje kontakt forme, i dodavanje proizvoda u korpu. Povećavamo opterećenje sa 50 na 500 pa na 2.000 istovremenih virtuelnih korisnika tokom 10 minuta, prateći vreme odziva, stopu grešaka, i iskorišćenost resursa servera (CPU, memorija, disk I/O, propusnost mreže). Testovi se pokreću iz više geografskih regiona kako bi se proverila efikasnost CDN-a. Ako p95 vreme odziva pređe 2 sekunde na bilo kom nivou opterećenja, prepoznajemo usko grlo — obično iscrpljivanje pool-a konekcija baze, nedovoljno PHP-FPM radnika, ili nedostajuće zagrevanje keša — i ponovo podešavamo. Rezultati testiranja opterećenja se dokumentuju sa poređenjem pre/posle, analizom uskih grla, i preporučenim graničnim vrednostima za skaliranje infrastrukture.

6

Stalni nadzor

Hardening nije jednokratan događaj — nove ranjivosti se otkrivaju svakodnevno, dodaci izlaze sa ažuriranjima, a obrasci saobraćaja se menjaju. Naš sistem nadzora prati sve: UptimeRobot za dostupnost (provere na 60 sekundi, 5 lokacija), Wordfence za bezbednosna skeniranja i otkrivanje grube sile, Query Monitor za regresiju performansi baze, i New Relic za praćenje performansi na nivou aplikacije. Automatizovani nedeljni izveštaji sažimaju sve podatke nadzora: procenat dostupnosti, dostupna ažuriranja dodataka, rezultate skeniranja, i grafikone trendova performansi. Kritična upozorenja (sajt ne radi, otkriven malver, sertifikat ističe) pokreću trenutna obaveštenja preko SMS-a i PagerDuty-ja. Mesečni pozivi za pregled razmatraju nalaze iz izveštaja, predstojeće održavanje, i sve preporučene unapređenja. Godišnji penetracioni testovi pružaju svežu bezbednosnu procenu i potvrđuju da mere hardening-a ostaju efikasne protiv sve novijih pretnji. Vaš sajt ostaje brz, bezbedan i pouzdan — ne samo prvog dana, već tokom cele godine.

Tehnologije koje koristimo

PHP 8.2 Nginx Varnish Redis CloudFlare Wordfence OWASP ZAP Blackfire.io New Relic UptimeRobot Let's Encrypt ModSecurity k6.io Lighthouse CI WebPageTest PagerDuty
"
Bezbednosni hardening koji je Aleksandar Rašević sproveo na našem portalu za državne institucije prošao je svaki penetracioni test koji je naš tim za usklađenost pokušao. Metodičan, temeljan rad.
Nadia Al-Rashid, Direktorka bezbednosti informacija, Bayt Al-Mal Financial, Dubai, UAE

Često postavljana pitanja

Koliko često treba da radimo reviziju?

Potpuna bezbednosna revizija treba da se radi bar jednom godišnje za standardne poslovne sajtove, a kvartalno za sajtove koji rade sa osetljivim podacima — zdravstvene portale sa podacima pacijenata, sajtove koji obrađuju plaćanja, ili aplikacije za državne institucije. Između potpunih revizija, preporučujemo stalan nadzor: automatizovana dnevna skeniranja malvera, nedeljne provere ranjivosti dodataka u odnosu na WPScan bazu, i mesečne preglede trendova performansi. Učestalost je bitna jer se pejzaž pretnji stalno menja — dodatak koji je bio bezbedan kad smo ga revidirali pre tri meseca može sutra dobiti kritičan CVE. Naši paketi održavanja uključuju mini-reviziju svaki kvartal koja pokriva najkritičnije tačke iz naše potpune revizije, dok godišnji penetracioni test pruža sveobuhvatno pokriće. Ako obrađujete podatke platnih kartica (PCI-DSS) ili podatke građana EU (GDPR), okviri usklađenosti mogu nametnuti određenu učestalost revizija — naše nalaze dokumentujemo u formatu koji zadovoljava zahteve revizora.

Da li hardening može nešto da pokvari?

Svaku izmenu hardening-a prvo sprovodimo na staging okruženju i pokrećemo pun regresioni test pre nego što diramo produkciju. Naš skup testova pokriva ključne korisničke tokove: učitavanje početne stranice, slanje kontakt forme, tok zakazivanja/rezervacija, prijavu/registraciju korisnika, pristup admin kontrolnoj tabli, i svaku custom funkcionalnost specifičnu za vaš sajt (oblasti za članove, API endpoint-e). Bezbednosna zaglavlja poput Content-Security-Policy se prvo postavljaju u režimu "samo izveštavanje" na 48 sati — pregledač beleži prekršaje bez blokiranja resursa — tako da možemo da prepoznamo i odobrimo legitimne skripte trećih strana (vidžete za razgovor uživo, procesore plaćanja, analitiku) pre nego što pravilo počne da se primenjuje. Ograničenja PHP funkcija se testiraju u odnosu na kod svakog dodatka kako bi se osiguralo da nijedna legitimna funkcionalnost nije blokirana. U tri godine pružanja usluga hardening-a, nismo imali nijedan pad na produkciji jer testiramo pre nego što postavimo. Staging okruženje odražava produkciju po verziji PHP-a, instaliranim dodacima, i konfiguraciji servera, kako bi testovi bili validni.

Da li nudite hitnu reakciju na incidente?

Da — pružamo hitnu reakciju na incidente za ugrožene sajtove, infekcije malverom, i iznenadne padove performansi. Vreme odziva je ispod 2 časa za postojeće klijente, i ispod 4 časa za nove hitne slučajeve. Proces počinje obuzdavanjem: sajt gasimo preko režima za održavanje, ili usmeravamo saobraćaj kroz Cloudflare-ov "Under Attack" režim kako bismo zaustavili dalju štetu. Zatim forenzički analiziramo obim ugroženosti — izmenjene fajlove, ubačene zapise u bazi, instalirane backdoor-ove, i podatke koji su možda iscureli. Čišćenje uključuje uklanjanje zlonamernog koda, vraćanje čistih fajlova iz verzijske kontrole ili naše arhive rezervnih kopija, promenu svih lozinki i API ključeva, i ažuriranje salt vrednosti. Prepoznajemo vektor infekcije (zastareo dodatak, slaba lozinka, ranjivost servera) i zakrpimo ga. Na kraju, podnosimo zahteve za ponovni pregled Google-u ako je sajt bio na crnoj listi, i dostavljamo detaljan izveštaj o incidentu sa vremenskom linijom, obimom, preduzetim merama, i preventivnim preporukama. Tipično rešavanje hitnog slučaja traje 24-48 časova.

Šta je uključeno u reviziju?

Naša standardna revizija pokriva tri oblasti: bezbednost, performanse, i infrastrukturu. Bezbednost uključuje: proveru integriteta WordPress jezgra u odnosu na zvanične kontrolne sume, skeniranje ranjivosti dodataka i tema (WPScan CVE baza), reviziju dozvola fajlova, pregled korisničkih naloga i uloga, analizu jačine lozinki, bezbednost baze podataka (nasumičnost prefiksa, validnost salt vrednosti, izložene rezervne kopije), bezbednost prijave (zaštita od grube sile, status dvofaktorske autentifikacije), podešavanje bezbednosnih zaglavlja, pregled SSL/TLS sertifikata i konfiguracije, procenu firewall pravila, i automatizovano penetraciono testiranje preko OWASP ZAP-a za SQL injekcije, XSS, CSRF i SSRF vektore. Performanse uključuju: Lighthouse ocenu (sve kategorije), WebPageTest analizu sa 9 lokacija širom sveta, profilisanje upita ka bazi, merenje uticaja dodataka na performanse, pregled slojeva keširanja, procenu optimizacije slika, i merenje Core Web Vitals metrika. Infrastruktura pokriva: verziju i podešavanje PHP-a, konfiguraciju web servera (Nginx/Apache), podešavanje DNS-a, konfiguraciju CDN-a, pregled strategije rezervnih kopija, i procenu podešavanja nadzora. Rezultat je izveštaj od 20-30 strana sa ocenama ozbiljnosti, konkretnim nalazima, i koracima za otklanjanje poređanim po prioritetu.

Možete li da garantujete 100% bezbednost?

Nijedan pošten bezbednosni stručnjak ne može da garantuje 100% bezbednost — ako neko tvrdi da može, prodaje maglu. Bezbednost je upravljanje rizikom, ne eliminisanje rizika. Ono što mi garantujemo je da pratimo najbolje prakse industrije izvedene iz OWASP, NIST i CIS standarda, da smo u toku sa novim pretnjama i strategijama zakrpa, i da naš nadzor brzo hvata probleme kada se pojave. Drastično smanjujemo vašu izloženost riziku: naš hardening tipično blokira preko 99% automatizovanog napadačkog saobraćaja (gruba sila, skeniranje ranjivosti, spam komentari), sprečava najčešće vektore napada (zastareo softver, slabe lozinke, loše podešene dozvole), i obezbeđuje da, ako do proboja i dođe, ga otkrijemo za sate, ne mesece. Takođe garantujemo naš rad: ako se ranjivost koju smo trebali da uočimo u reviziji iskoristi u roku od 90 dana od hardening-a, otklanjamo je bez dodatne naplate. Cilj nije savršena bezbednost — cilj je da vaš sajt bude teža meta od hiljada neodržavanih WordPress instalacija koje će napadači prvo gađati.