Bezpieczeństwo w sieci

14 Sposobów jak naprawić błąd "Your Connection is Not Private"

Możemy zaryzykować stwierdzenie, że widzieliśmy prawie wszystko zarządzając setkami, stron WordPress. Od błędów konfiguracji baz danych po kompletnie zepsute strony WordPress włącznie z problemami SSL. Dla użytkownika WordPressa, te problemy mogą być czasami frustrujące, a czasem nawet przerażające. W zależności od rodzaju błędu może to również oznaczać, że strona www kompletnie nie działa, co oznacza, że prawdopodobnie tracisz pieniądze i klientów.

Dziś zagłębimy się w błąd "Your Connection is Not Private" i pomożemy Ci znaleźć sposoby na przywrócenie działania. Przeczytaj poniżej, co powoduje ten błąd i co możesz zrobić, aby temu zapobiec w przyszłości.

Co to oznacza komunikat "Your Connection is Not Private"?

Błąd "Your Connection is Not Private" dotyczy tylko stron działających na HTTPS. Podczas odwiedzania strony www przeglądarka wysyła żądanie do serwera, na którym znajduje się witryna. Przeglądarka musi następnie zweryfikować certyfikat zainstalowany na stronie, aby upewnić się, że spełnia on aktualne standardy prywatności. Inne rzeczy, które również mają miejsce, to uzgadnianie TLS, sprawdzanie certyfikatu w urzędzie certyfikacji oraz deszyfrowanie certyfikatu.

Jeśli przeglądarka stwierdzi, że certyfikat jest nieprawidłowy, automatycznie spróbuje uniemożliwić Ci dostęp do witryny za pomocą wbudowanej funkcji, która ma na celu ochronę użytkownika. Jeśli certyfikat nie jest poprawnie skonfigurowany, oznacza to, że dane nie mogą być poprawnie zaszyfrowane i dlatego odwiedzanie witryny jest niebezpieczne (szczególnie te z logowaniem, formularzem kontaktowym lub przetwarzające informacje o płatności). Zamiast ładować witrynę, wyświetli komunikat o błędzie, czyli wspomniany "Your Connection is Not Private".

"Your Connection is Not Private" inne nazwy błędu

Istnieje kilka różnych odmian tego błędu, w zależności od używanej przeglądarki internetowej, systemu operacyjnego, a nawet konfiguracji certyfikatu na serwerach. I chociaż niektóre z tych błędów czasami oznaczają nieco inne rzeczy, często kroki rozwiązywania problemów są takie same.

"Your Connection is Not Private" w Google Chrome

W Google Chrome, jeśli występuje problem z weryfikacją certyfikatu, błąd będzie wyświetlany jako "Your Connection is Not Private".

Attackers might be trying to steal your information from ... (for example, passwords, messages, or credit cards).

Towarzyszy temu również komunikat o błędzie, który pomaga ustalić dokładny problem. Poniżej znajduje się tylko kilka najczęstszych kodów błędów, które możesz zobaczyć w Google Chrome:

• ERR_CERT_SYMANTEC_LEGACY
• NET::ERR_CERT_AUTHORITY_INVALID
• NET::ERR_CERT_COMMON_NAME_INVALID
• NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM
• NTE::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED
• NET::ERR_CERT_DATE_INVALID
• SSL certificate error
• ERR_SSL_VERSION_OR_CIPHER_MISMATCH

Mozilla Firefox (Developer Edition)

W przeglądarce Mozilla Firefox komunikat o błędzie różni się się od tego, który jest na Chrome.

Firefox detected a potential security threat and did not continue to ... because this website requires a secure connection.

Podobnie jak w Chrome, towarzyszy mu komunikat o błędzie, który pomaga zlokalizować problem. Poniżej znajduje się tylko kilka najczęstszych kodów błędów, które możesz zobaczyć w Mozilla Firefox klikając przycisk Advanced... :

• MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED
• SEC_ERROR_EXPIRED_ISSUER_CERTIFICATE
• SEC_ERROR_EXPIRED_CERTIFICATE
• SEC_ERROR_UNKNOWN_ISSUER
• MOZILLA_PKIX_ERROR_MITM_DETECTED
• ERROR_SELF_SIGNED_CERT
• SSL_ERROR_BAD_CERT_DOMAIN

Microsoft Edge

W Microsoft Edge zobaczysz błąd tak jak w Chrome. Tu również komunikat o błędzie ma różne kody:

• NET::ERR_CERT_COMMON_NAME_INVALID
• Error Code: 0
• DLG_FLAGS_INVALID_CA
• DLG_FLAGS_SEC_CERT_CN_INVALID

Safari

W Safari zobaczysz błąd jako „This Connection is Not Private”.

This website may be impersonating “...” to steal your personal or financial information. You should go back to the previous page.

Jak naprawić błąd Your Connection is Not Private?

Czasami możesz nawet nie wiedzieć, od czego zacząć, jeśli widzisz błąd "Your Connection is Not Private". Z naszego doświadczenia wynika, że błędy te zwykle wynikają z dwóch rzeczy: pierwsza to problem po stronie klienta (przeglądarka, komputer, system operacyjny), a drugi to faktyczny problem z certyfikatem na stronie www (wygasła, niewłaściwa domena, niezaufany certyfikat itd). Zajmiemy się trochę jednym i drugim.

Oto kilka zaleceń i rzeczy, które należy sprawdzić, aby naprawić błąd (posortowane według najczęściej spotykanych powodów):

1. Spróbuj ponownie załadować stronę

Może się to wydawać nieco oczywiste, ale jedną z najprostszych i pierwszych rzeczy, które powinieneś spróbować, gdy napotkasz błąd "Your Connection is Not Private", jest po prostu zamknięcie i ponowne otwarcie przeglądarki i ponowne załadowanie strony. Możliwe, że właściciel witryny ponownie wystawia certyfikat SSL lub coś nie działa w twojej przeglądarce.

2. Postępuj ręcznie (niebezpieczne)

Drugą opcją jest po prostu ręczne przejście dalej. Jednak nigdy nie zalecamy tego, chyba że w pełni rozumiesz, że nic nie będzie szyfrowane, jeśli będziesz kontynuować. Jeśli zamierzasz podać dane logowania lub dane płatności, zdecydowanie pomiń tę opcję!

Napisaliśmy o tej opcji tylko po to, abyśmy mogli wyjaśnić pełne konsekwencje takiego działania. Gdy zobaczysz ten błąd może to oznaczać, że ktoś próbuje Cię oszukać lub ukraść informacje, które wysyłasz na serwer. Możliwe jest również, że witryna została zhakowana i nastąpiło złośliwe przekierowanie. Jeśli jesteś w miejscu publicznym, koniecznie opuść tę stronę www.

3. Czy jesteś na lotnisku lub w kawiarni?

Może to zabrzmieć dziwnie, ale kawiarnie i sieci Wi-Fi na lotniskach są zwykle jednym z najpopularniejszych miejsc, w których użytkownicy widzą błąd "Your Connection is Not Private". Dlaczego? Ponieważ wiele z tych sieci nie ładuje wszystkiego za pośrednictwem protokołu HTTPS lub jeśli tak, nie jest ten protokół poprawnie skonfigurowany. Zwykle dotyczy to ekranu powitalnego, na którym musisz zaakceptować warunki i umowę, aby się zalogować. Jeśli próbujesz połączyć się z bezpieczną witryną HTTPS przed zaakceptowaniem warunków portalu, ten błąd może się pojawić. Oto kilka prostych kroków, aby się z tym obejść.

1. Połącz się z kawiarnią lub Wi-Fi na lotnisku;
2. Przejdź do strony innej niż HTTPS;
3. Następnie strona logowania powinna się otworzyć. Możesz zaakceptować warunki, a następnie zalogować się. Ponieważ warunki zazwyczaj składają się z pola wyboru, nie powinieneś się przejmować, jeśli nie działa on przez HTTPS. Po nawiązaniu połączenia możesz następnie przeglądać strony za pośrednictwem HTTPS.

Pamiętaj, że za każdym razem, gdy korzystasz z publicznej sieci Wi-Fi, VPN może jeszcze bardziej Cię chronić, ukrywając ruch.

4. Sprawdź zegar Twojego komputera

Innym bardzo częstym powodem błędu "Your Connection is Not Private" jest błąd zegara komputera. Przeglądarki polegają na ich prawidłowej synchronizacji w celu weryfikacji certyfikatu SSL. Więc zalecamy sprawdzić datę i godzinę na komputerze, czy jest ona prawidłowa.

5. Spróbuj w trybie incognito

Naszym następnym zaleceniem byłoby zazwyczaj wyczyszczenie pamięci podręcznej przeglądarki. Jednak dla wielu z nas łatwiej to powiedzieć niż zrobić ?. Jeśli chcesz sprawdzić, czy może to być pamięć podręczna przeglądarki, bez czyszczenia pamięci podręcznej, zawsze możesz otworzyć przeglądarkę w trybie incognito lub skorzystaj z innej przeglądarki i sprawdź, czy nadal występuje błąd "Your Connection is Not Private".

6. Wyczyść pamięć podręczną przeglądarki i usuń pliki cookie

Jeśli uważasz, że może to być Twoja przeglądarka, wyczyszczenie pamięci podręcznej przeglądarki jest zawsze dobrym krokiem do rozwiązania problemu, zanim przejdziesz do bardziej szczegółowego rozwiązywania problemów.

7. Zmień serwery DNS

Następną rzeczą, którą możesz wypróbować, jest zmiana serwerów DNS. Jeżeli korzystasz z publicznego Google DNS (8.8.8.8 i 8.8.4.4) lub Cloudflare DNS (1.1.1.1 i 1.0.0.1), usunięcie ich i przywrócenie ustawień domyślnych do serwerów DNS Twojego dostawcy internetu może rozwiązać problem.

8. Certyfikat wygasł

Certyfikaty SSL wygasające bez wiedzy właściciela strony zdarzają się cały czas. W rzeczywistości o wiele więcej, niż mogłoby się wydawać.

Zazwyczaj dzieje się tak z następujących powodów:

• Właściciel witryny nie ma włączonego automatycznego odnawiania z rejestratorem domen lub dostawcą certyfikatu SSL.
• Automatyczne odnawianie jest włączone, ale płatność nie przeszła, ponieważ użytkownik zapomniał zaktualizować metodę płatności lub nie miał środków na karcie.
• Właściciel witryny korzysta z bezpłatnego certyfikatu Let's Encrypt, który wygasa co 90 dni i nie ma skryptu, aby go odnowić, lub zapomniał o tym. Na Serwer.io zautomatyzowaliśmy ten proces dla Twojej wygody, więc nigdy nie musisz się martwić o wygaśnięcie certyfikatów SSL.

9. Sprawdź alternatywną domenę

Każdy certyfikat ma tak zwaną alternatywną nazwę domeny. Obejmuje to wszystkie warianty nazw domen, dla których certyfikat został wydany i jest ważny. Należy pamiętać, że https://domena.com i https://www.domena.com są traktowane jako dwie oddzielne domeny (podobnie jak subdomena).

10. Czy certyfikat jest wystawiony przez Symantec?

W styczniu 2017 r. Opinia publiczna została poinformowana o złych praktykach ze strony firmy Symantec, jeśli chodzi o sposób wydawania certyfikatów. Zasadniczo nie były one zgodne ze standardowymi wymaganiami branżowymi CA / przeglądarkami. Okazało się również, że zdawali sobie z tego sprawę od pewnego czasu. Z tego powodu przeglądarki zdecydowały się nie obsługiwać certyfikatów wydanych przez firmę Symantec. Jeśli witryna nadal korzysta z wydanego przez siebie certyfikatu, może pojawić się błąd “Your Connection is Not Private”.

Użycie certyfikatu Symantec może spowodować pojawienie się kodu błędu:
NET::ERR_CERT_SYMANTEC_LEGACY.

11. Zrób test serwera SSL

Jeśli nie masz pewności, czy wszystko jest poprawnie skonfigurowane na Twojej stronie www lub innej osoby, zawsze możesz uruchomić test SSL. Certyfikaty SSL / TLS wymagają również zainstalowania nie tylko głównego certyfikatu, ale także tak zwanych certyfikatów pośrednich (łańcucha). Jeśli nie skonfigurujesz ich poprawnie, użytkownicy mogą otrzymać ostrzeżenie w swoich przeglądarkach, co z kolei może ich odstraszyć.

Zalecamy korzystanie z bezpłatnego narzędzia do sprawdzania SSL. Jest niezawodny i używamy go dla wszystkich klientów Serwer.io podczas weryfikacji certyfikatów. Po prostu przejdź do narzędzia do sprawdzania SSL, wprowadź swoją domenę i kliknij "Submit". Skanowanie może potrwać minutę lub dwie, ale pokaże wszystkie szczegóły dotyczące konfiguracji SSL / TLS witryny.

12. Zaktualizuj system operacyjny

Starsze systemy operacyjne są nie obsługują nowszych technologii, takich jak TLS 1.3 i najnowszego szyfrowania. Zawsze zalecamy aktualizację do najnowszych wersji systemów operacyjnych takich jak Windows 10 lub najnowsza wersja Mac OS X.

13. Uruchom ponownie komputer

Jeśli żadna z powyższych opcji nie działa, spróbuj ponownie uruchomić komputer, a nawet router. Brzmi banalnie, ale ponowne uruchomienie urządzeń faktycznie usuwa wiele tymczasowych plików, buforów i przeszkód.

14. Sięgnij po pomoc

Nadal widzisz błąd “Your Connection is Not Private”? Czas poprosić o pomoc, ponieważ może to być bardziej skomplikowany problem. Jeśli widzisz ten komunikat błędu na własnej stronie WordPress, śmiało napisz do nas na Grupie Wsparcia na Facebook. Pomożemy Ci ustalić, dlaczego tak się dzieje i czy rzeczywiście jest to problem w samej witrynie.

Podsumowanie

Gdy pojawiają się błędy przeglądarki to nigdy nie jest nikomu do śmiechu. Czasami te błędy są wyjątkowo trudne do rozwiązania. Mamy nadzieję, że jedna z powyższych wskazówek pomoże jak najszybciej rozwiązać błąd „“Your Connection is Not Private”. Pamiętaj, że zwykle są one spowodowane przez coś źle skonfigurowanego na twoim komputerze lub z certyfikatem na samej stronie.

Czy coś nam umknęło? Jeśli pomogliśmy Tobie lub może masz inną wskazówkę dotyczącą rozwiązywania problemu z błędem połączenia, to daj nam znać poniżej w komentarzach.

przez Serwer.io

Czy WordPress jest bezpieczny?

WordPress jest zdecydowanie najpopularniejszym sposobem na stworzenie strony internetowej. Ta ogromna popularność ma niestety efekt uboczny. WordPress jest poligonem do "zabawy" dla hakerów na całym świecie. Teraz zastanawiasz się, czy WordPress jest wystarczająco bezpieczny, aby poradzić sobie z tymi atakami...

Po pierwsze - zła wiadomość: co roku hakowane są setki tysięcy stron na WordPress. Brzmi fatalnie, prawda? Cóż... nie bardzo, ponieważ są też dobre strony.

Hakerzy włamują się dzięki lukom bezpieczeństwa w przestarzałych wersjach WordPress. Większość stron WordPress zostaje zhakowana z powodu problemów takich jak brak aktualizacji, stare wersje wtyczek, szablonów lub używanie prostych i łatwych haseł.

W związku z tym odpowiedź na pytanie „czy WordPress jest bezpieczny?” wymaga pewnego doprecyzowania. Aby to zrobić, omówimy kilka różnych kwestii:

Jak strony WordPress są hakowane?

Wiesz już, że wiele stron WordPress jest zhakowanych każdego roku. Ale… jak to się dzieje? Czy to globalny problem z WordPress? Czy może wynika to z innych działań? Oto dlaczego większość witryn WordPress zostaje zhakowanych, zgodnie z danymi, które mamy od Sucuri.

1. Nieaktualny WordPress

Oto zaskakujące dane z raportu Hacked Website Trend Report z 2018 roku. Ze wszystkich zhakowanych stron WordPress, na które spojrzała Sucuri, 36,7% używało przestarzałego WordPress'a w momencie zdarzenia.

Od razu widać dość bliski związek między atakiem hakera a używaniem przestarzałego oprogramowania.

Cytując WPScan Vulnerability Database, ~74% znanych luk w zabezpieczeniach znajduje się w rdzeniu WordPress. Starszy WordPress oznacza problemy.

Niestety tylko 45% stron na WordPress korzysta z najnowszej wersji. Stąd całe mnóstwo stron, które są nadal niepotrzebnie zagrożone shakowaniem.

Wniosek: Zespół ds. Bezpieczeństwa WordPress wykonuje świetną robotę, szybko rozwiązując problemy w oprogramowaniu WordPress. Jeśli niezwłocznie zastosujesz wszystkie aktualizacje zabezpieczeń, jest bardzo mało prawdopodobne, że Twoja strona napotka jakiekolwiek problemy z powodu luk w zabezpieczeniach. Ale jeśli tego nie zrobisz, ryzykujesz, gdy exploit zostanie znaleziony.

2. Nieaktualne Wtyczki i Szablony

Jedną z rzeczy, którą użytkownicy kochają w WordPress, jest oszałamiająca liczba dostępnych wtyczek i motywów. Pisząc to, w repozytorium WordPress znajduje się ponad 54 000, a tysiące dodatkowych płatnych wtyczek jest rozrzucona po Internecie.

Chociaż wszystkie te opcje świetnie nadają się do ulepszenia funkcjonalności naszej strony, to każde rozszerzenie stanowi nową potencjalną lukę w bezpieczeństwie dla złośliwego hakera. I chociaż większość programistów WordPress wykonuje dobrą robotę, przestrzegając standardów kodu i łatając wszelkie luki, gdy tylko zostaną poznane, wciąż istnieje kilka potencjalnych problemów:

• Gdy wtyczka lub motyw ma lukę, może ona zostać niezauważona, ponieważ twórca wtyczki lub motywu nie ma takich zasobów jak ekipa z WordPress
• Deweloper przestał pracować nad rozszerzeniem, ale ludzie nadal go używają.
• Deweloper szybko usuwa problem, ale ludzie po prostu nie aktualizują.

Zatem, jak duża jest skala tych problemów?

Cóż, w ankiecie przeprowadzonej przez Wordfence wśród właścicieli shakowanych stron, ponad 60% z nich, którzy wiedzieli, w jaki sposób włamał się haker, przypisało to usterce wtyczki lub motywu.

Wniosek: motywy i wtyczki dla WordPress mogą być okazją dla złośliwych hakerów. Postępując zgodnie z dobrymi praktykami, można te ryzyko w dużym stopniu ograniczyć. Aktualizuj rozszerzenia oraz szablony niezwłocznie. Instaluj wyłącznie rozszerzenia oraz szablony z renomowanych źródeł.

3. Zagrożone dane logowania do WordPress, FTP lub Hosting

Ok, prawdę mówiąc, nie jesto to wina WordPress'a. Ale spory procent włamań pochodzi od hakerów, którzy zdobywają dane logowania do WordPress lub dane logowania do hostingu lub kont FTP.

W tej samej ankiecie Wordfence ataki typu „brute force” stanowiły około 16% zhakowanych witryn, a kradzieże haseł do kont hostingu i FTP miały niewielką, ale istotną pozycję w statystykach.

Najzwyczajniej na świecie, jeżeli haker dostanie w przenośni "klucz do drzwi", to nie ma znaczenia już, w jaki sposób zabezpieczasz stronę WordPress.

WordPress w rzeczywistości wykonuje świetną robotę, automatycznie generując bezpieczne hasła, ale to do użytkowników nadal należy bezpieczeństwo tych haseł, a także używanie silnych haseł do hostingu i FTP.

Wniosek: Podjęcie podstawowych kroków w celu zabezpieczenia danych do logowania na konta może zapobiec tragedii. Używaj silne hasła dla wszystkich kont WordPress i ogranicz liczbę prób logowania, aby zapobiec atakom "brute force" (Serwer.io w standardzie wymusza silne hasła i zabezpiecza Twoje strony przed atakami ?).

4. Stara technologia i słaby hosting

Istotne jest nie tylko to, co dzieje się na Twojej stronie WordPress, ale także środowisko hostingowe i używane technologie. Na przykład, mimo że PHP 7 oferuje wiele ulepszeń bezpieczeństwa w stosunku do PHP 5, tylko ~ 61% stron WordPress używa PHP 7 lub nowszego. Na czas pisania artykułu, najnowszą wersją jest PHP 7.3 (tą wersję powinien Twój hosting mieć w standardzie), jak widzisz tylko 10.5% stron WordPress z niej korzysta.

Wsparcie bezpieczeństwa PHP 5.6 oficjalnie wygasło pod koniec 2018 roku. A wcześniejsze wersje PHP 5 nie miały wsparcia bezpieczeństwa od lat. Co więcej, wsparcie dla PHP 7.1 wygasa pod koniec 2019 roku, a po statystykach widać, że mnóstwo stron WordPress nie zaczęło jeszcze nawet używać tej wersji.

Oznacza to, że korzystanie ze hostingu korzystającego z PHP 7.1 lub niższego wkrótce stanie się dla Ciebie potencjalnym zagrożeniem na luki w zabezpieczeniach PHP.

Oprócz zapewnienia dostępu do najnowszych technologii, korzystanie z bezpiecznego hostingu WordPress może również pomóc w automatycznym złagodzeniu wielu innych potencjalnych luk w zabezpieczeniach dzięki:

• Zaporze sieciowych aplikacji (firewall)
• Automatycznym zarządzaniu bezpieczeństwa WordPress
• Silnych hasłach i dodatkowemu uwierzytelnianiu
• Automatycznych kopiach bezpieczeństwa

Wniosek: Korzystanie z bezpiecznego hostingu i najnowszych technologii, takich jak PHP 7.3, pomaga dodatkowo zapewnić bezpieczeństwo witryny WordPress.

Kto jest odpowiedzialny za zapewnienie bezpieczeństwa WordPress?

Teraz możesz się zastanawiać, kto jest odpowiedzialny za zwalczanie wszystkich powyższych problemów?

Oficjalnie odpowiedzialność ta spoczywa na Zespole ds. Bezpieczeństwa WordPress (aczkolwiek indywidualni współpracownicy i programiści z całego świata również odgrywają ogromną rolę w zapewnieniu bezpieczeństwa WordPress).

Zespół bezpieczeństwa WordPress to „50 ekspertów, w tym wiodący programiści i badacze bezpieczeństwa”. Około połowa z tych ekspertów pracuje w Automattic. Inni pracują nad bezpieczeństwem sieci. Zespół konsultuje się również z badaczami bezpieczeństwa i firmami hostingowymi.

Czy WordPress jest bezpieczny, jeśli przestrzegasz najlepszych praktyk?

Jeżeli spojrzysz na wszystkie powyższe dane i fakty, zobaczysz ogólny trend.

Chociaż żaden system zarządzania treścią nie jest w 100% bezpieczny, WordPress ma wysokiej jakości poziom bezpieczeństwa, a większość włamań jest bezpośrednim efektem właścicieli stron, którzy nie przestrzegają podstawowych najlepszych praktyk bezpieczeństwa.

Jeśli robisz rzeczy takie jak …

• Aktualizujesz swojego WordPress'a, wtyczki i motywy.
• Mądrze wybierasz wtyczki i motywy (od renomowanych programistów)
• Jeśli masz wybór między FTP a SFTP, zawsze używasz SFTP.
• Używasz silnych haseł do WordPress, a także do swojego konta hostingowego i SFTP (i uwierzytelniania dwu-poziomowe, jeśli jest dostępne).
• Nie używasz „admin” dla swojej nazwy użytkownika.
• Chronisz swój komputer przed wirusami.
• Używasz certyfikatu TLS (HTTPS), aby cała komunikacja z witryną WordPress (np. Logowanie do pulpitu nawigacyjnego) była szyfrowana. Serwer.io zapewnia bezpłatne certyfikaty HTTPS!
• Używasz kluczy SSH. Zapewnia to bezpieczniejszy sposób logowania do serwera i eliminuje potrzebę hasła.
• Masz hosting z bezpiecznym środowiskiem i korzystasz z najnowszych technologii, takich jak PHP 7+.

… to WordPress jest bezpieczny, a Twoja strona powinna pozostać wolna od hacków zarówno teraz, jak i w przyszłości. Jeśli jesteś klientem Serwer.io, nie musisz się również martwić.

przez Serwer.io