STRAN.SI

Varnost spletne strani

Varnostni standard pri izdelavi: SSL, HSTS, CSRF, honeypot, rate limit, varnostni headerji, backup in posodobitve.

Varnost spletne strani

Varnost ni en plugin, ampak deset majhnih disciplin.

Pri varnosti ne gre za »ali nas bo nekdo napadel«, ampak »kako hitro bomo opazili in popravili«. Strani, ki ne padejo, so tiste, ki imajo nameščene osnovne zaščite in redne posodobitve.

Hitri pregled

  • SSL / HTTPS in HSTS
  • CSRF, honeypot, rate limit za vse obrazce
  • security headers (CSP, X-Content-Type-Options, ...)
  • varnostne kopije in disaster recovery
  • posodobitve PHP, knjižnic, MySQL
  • pravice dostopa in logiranje
Najpogostejši napadalni vektorji

Kaj realno napada slovenske male in srednje strani.

Spodaj so napadi, ki jih dejansko vidimo v logih naših produkcijskih strani – ne hipotetični scenariji.

Spam botje na obrazcih

Avtomatski botje vpišejo URL v "ime" polje. Rešitev: honeypot + rate limit + spam keyword filter.

Brute-force prijava

Botje preizkušajo gesla na /wp-admin (tudi če stran ni WordPress). Rešitev: rate limit, captcha, blokada po N poskusih.

SQL injection

Poskus vnosa SQL kode v URL parameter ali obrazec. Rešitev: prepared statements, validacija inputa.

XSS

JavaScript koda v polju, ki se izpiše drugemu uporabniku. Rešitev: htmlspecialchars + CSP.

Direct file access

Poskus dostopa do .env, .git, backup.sql. Rešitev: .htaccess blokade za znane občutljive datoteke.

CSRF

Tretja stran sproži obrazec v vašem imenu. Rešitev: CSRF token v vsakem obrazcu.

Naš varnostni standard

Vsaka stran, ki jo izdelamo, prejme ta minimalni set zaščit.

To je osnova, ki ne zahteva dodatnega plačila – brez tega stran ne gre v produkcijo.

HTTPS od dneva 1

SSL certifikat (Let’s Encrypt ali plačan), HSTS header po 2 tednih stabilnega delovanja.

Security headers

X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-Frame-Options. CSP po fazi report-only.

Obrazci

CSRF, honeypot, rate limit, time check, spam filter, escape vseh izpisov, validacija inputa.

Backup

Dnevni backup baze + datotek, hranjen offsite, 30-90 dni retention.

Logiranje

Vsi neuspešni POST-i, vsi 404, vsi 5xx. Pregled v admin-u ali e-mail summary.

Posodobitve

PHP minor, knjižnice, MariaDB - mesečno pregledamo, security patche objavimo prej.

Povezane teme

Naslednji korak

Imate strani, ki niste prepričani, ali je varna?

Pošljite URL. Naredimo zunanji security check (security headers, SSL, znane ranljivosti) in pošljemo kratko poročilo.

Pošljite povpraševanje Okvirni cenik
Pokliči Povpraševanje