7 wenke om jou webwerf te beskerm teen hacking aanvalle

Artikel geskryf deur:
  • Gewilde Artikels
  • Opgedateer: Mei 06, 2019

Die web gaan nie net oor besigheid nie. Miljoene bladsye en bloginskrywings word elke dag geskryf, elke sekonde, deur klein webwerf-eienaars en bloggers wat hul siening met die wêreld wil deel. Dit is die bekoring van die web: dit bied ruimte vir almal en vir enige soort projek.

Eindelose moontlikhede.

Maar die internet is ook 'n wilde oerwoud: dit verberg gevare op elke hoek en niks waarna jy gebruik maak nie, is selfs net naby die onfeilbare magie. As jy 'n besigheid sonder winsbejag of 'n solo-preneur besigheid aanlyn bestuur, besef jy veral dat die verskuiwing van alle transaksies op die web in ekstra versigtigheid met betrekking tot jou dienste vertaal kan word.

Sekuriteit is 'n baie belangrike aspek om in ag te neem wanneer jy jou webwerf beplan: hoe kan ek my inhoud en harde werk teen aanvallers beveilig? Hoe kan ek die beste moontlike gebruikerservaring verskaf? Dit is vrae wat jy moet vra jouself elke keer as jy jou webwerf opdateer.

Hoekom hierdie artikel en waarom 7 wenke?

Die beveiliging van u webwerf op 'n maklike, n00b-ish manier kan meer utopie wees as die werklikheid, maar dit beteken nie dat iemand wat nie 'n programmeerder of 'n rekenaarwetenskaplike is nie 'n mate van veiligheid op hul webwerf kan voeg. Ek het sewe wenke gekies wat albei maklik is om toe te pas en in diepte genoeg is om u nuuskierigheid oor veiligheidskwessies te kielie, sodat U - stadig maar onverbiddelik - u eie kundigheid op die gebied van webveiligheid sal word. Al die wenke is spesifiek vir web-inbraak en ek sal ook tegnieke voorstel wat u kan gebruik om u webwerf vir sekuriteitsgate te toets. Moenie bekommerd wees nie: niks te moeilik om te doen nie, maar dit is belangrik dat u vertroud raak met die eenvoudige instrumente en tegnieke om aanvalle te voorkom, ter wille van u projekte. :)

Om pret te hê!

Wenk # 1 - Spandeer 'n bietjie meer gedagtes op jou wagwoorde

Nommer een webveiligheidsgat is die gebruik van dieselfde wagwoord op meer webwerwe of webdienste. 'N Hacker wat een wagwoord uitvind, sal al u wagwoorde uitvind en maklik toegang tot al u data hê, of dit nou u blog of u PayPal-rekening is. Om 'n lys van u wagwoord (e) op papier of lêer te hou, is ook nie 'n veilige alternatief nie (tensy u u lêers met 'n wagwoord beskerm), want iemand wat u rekenaar haak, kry maklike toegang tot u databasis.

Maar wat as jy nie met 'n ordentlike wagwoord kan kom nie?

  1. Gebruik 'n sterk wagwoordgenerator om 'n moeilik-om-te-kraak wagwoord te genereer, insluitend alfanumeriese en alternatiewe simbole. Hoe meer willekeurig of pseudo-ewekansig 'n string simbole is (dit wil sê dat die simbole van die wagwoord geen interne geheue het nie; hulle hou geen verband met mekaar nie, so die simbole het dieselfde kanse om agter mekaar te kom), hoe veiliger is dit.
  2. Gebruik Wagwoord Veilig Om al u wagwoorde te stoor en te enkripteer, wat u kan ontsluit deur 'n wagwoord te onthou. Die program gebruik die Twofish algoritme Om alle wagwoorde te enkripteer Wagwoord Veilig is 'n Windows open source projek wat deur Bruce Schneier ontwikkel is. As u nie Windows gebruik nie, Wagwoord Gorilla is 'n geldige oopbron-alternatief vir Wagwoord Veilig.

Hier is 'n vooraansig van Password Safe met 'n databasis met die naam 'Websites':

Wagwoord Veilige Program View

Hier is die besonderhede van 'n lêer in die 'Websites'-databasis:

Wagwoord Veilige Lêer View

Wenk # 2 - Pas goed op jou skrifte

Dit is alombekend dat webwerf-skrifte en CMS-platforms die belangrikste voertuig is van haakaanvalle. As u skripte wat in PHP, ASP en JavaScript geskryf is, huisves, moet u weet dat dit sekuriteitsgate en foute het wat hul ontwikkelaars moontlik oor die hoof gesien het. Behalwe dat u onmiddellik met die ontwikkelaar kontak gemaak het met een van die bogenoemde probleme, is daar nie-tegniese metodes wat u kan gebruik om te verseker dat u skrifte u nie beskadig nie:

  • Lees die weergawe van u script deeglik deur: dit bevat dikwels besonderhede oor regstellings en foutoplossings
  • Maak 'n lys van die waarskuwings van u sagteware-installeerder of administrasiepaneel of selfs Google (via Webmaster Tools): as u 'n lêer moet opdateer of wysig / verwyder, doen dit
  • Moenie elke bestaande inprop installeer nie: gaan eers die versoenbaarheid en veiligheidsnotas na.

Hou ook altyd u skrifte en CMS's op datum, en dit is miskien die belangrikste faktor. Die nuutste sagteware-pakket bevat gewoonlik pleisters vir die foute en beveiligingsprobleme van die vorige weergawe.

Byvoorbeeld: WordPress-opgradering waarskuwing van Softaculous

Softaculous Upgrade Waarskuwing

Wenk # 3 - Voer gereelde gids- en administrasiepaneelkontrole uit

Soms betree hackers jou webwerf stil, sluipig soos katte, maar hulle laat rampe agter: webwerf-bedrieërs, medialêers wat virusse bevat, uitvoerbare programme en herkodeerde webblaaie. Gaan u dopgehou gereeld, ten minste een keer elke twee weke, na om seker te maak dat niks met u lêers verkeerd is nie. As u lêers opspoor wat u nie herken nie, moet u dit onmiddellik verwyder. As dit nie werk nie, kontak u webgasheer en kry hulp (dit is wanneer jy die beste 'n goeie webhost nodig het). In sulke gevalle:

  • Verander jou wagwoord vir die administrasiepaneel (en gebruikersnaam, indien moontlik)
  • Doen 'n tjek van alle lêers om te sien of hulle beskadig is
  • As jy 'n antivirus geïnstalleer het, voer dit uit.

Wenk #4 - Veilige verifikasie

Websekuriteit kundiges gebruik baie metodes om optimale veiligheid te bied aan die stelsels en webtransaksies waaraan hulle werk: kriptografie van die openbare sleutel, vertrouenskettings, handtekeninge, SSL en TSL (Transport Layer Security). Alhoewel u beslis iets oor kriptografie moet leer, is dit belangrik dat u begin met die leer hoe om eenvoudige multifaktor-verifikasie-instrumente te gebruik wat deur kundiges vir u beskikbaar is:

Hoekom het jy nodig multi-faktor verifikasie? Omdat dit jou gebruikersnaam, wagwoord en jou gebruik sal gebruik om sodoende toegang tot jou inhoud te verkry; Andersins sal toegang geweier word.

As jy kan, vind 'n kenner om jou te begelei as jy leer oor webbeveiliging, of gebruik aanlyn tutoriale en kursusse.

Wenk #5 - Pasop vir DDoS aanvalle

Ontkenning van diens aanvalle is vinnig ontwikkelend en gevaarlik, tesame met bedienerkaping en die vervanging van jou dienste met spoofseienaars.

'N DDoS-aanval dwing die bediener in 'n toestand waarin sy normale dienste nie werk nie, en die hele stelsel is nie meer beskikbaar vir eindgebruikers nie.

Wat kan 'n DDoS aanval veroorsaak?

  • 'N Ope netwerk konfigurasie
  • Bugged, nie-opgegradeerde programme
  • Onversekerde bediener konfigurasie
  • Geen instandhouding en / of monitering van netwerkaktiwiteit nie

Informeer jou ISP oor hierdie vorm van aanval en word ook ingelig. Wat jou webwerf gasheer kan doen, is om elke bediener te konfigureer met 'n lys van alternatiewe DNS-adresse, dus wanneer die verstek DNS nie beskikbaar is nie, sal die hele webwerf steeds werk. 'N Hacker kan slegs sukses in sy optrede hê as hy AL die bedieners op die lys blokkeer - moeilike werk, dink jy nie? Nog 'n teenmaatreël kan die filter van alle inkomende pakkies met ongewone tydsberekeninge en / of hoërisiko-IP-adresse wees. Jou gasheer moet kennis hê van die aanvalle van diens aanvalle, bespreek dus met DDoS-voorkoming.

Wenk # 6 - Veilige FTP-toegang met SFTP

Niks verander vir jou nie, dit werk net soos gewone FTP, maar SFTP, of Secure FTP, kom met baie voordele, sekuriteitsgewys:

  • Dit maak gebruik van SSH om data en opdragte te enkripteer tydens lêeroordrag
  • Dit maak gebruik van die publieke sleutels van die kliënt se bediener om die bediener tydens verbinding te bevestig, om te verseker dat dit nie 'n tussenganger is nie
  • Dit maak dit onmoontlik vir 'n hacker om na jou netwerkverkeer te luister

Die probleem met die 'gewone' FTP-opdrag is dat dit nie geïnkripteer is nie: alle oplaaie en aflaaie na en van die bediener word as duidelike data oorgedra.

Om toegang tot FTP via die opdragreël te kry (as u 'n Unix / Linux / Mac OS-gebruiker is), kan u dit gebruik

sftp [beskerm e-pos]

of laai net 'n gratis FTP-program af wat SFTP ondersteun, soos FileZilla (oop bron).

Wenk # 7 - Leer oor SQL-inspuiting om jou werf teen dit te beskerm

Pasop vir hierdie nare hacking-metode, hou u skrifte op datum en kontak die skripontwikkelaar onmiddellik as u 'n sekuriteitsbreuk ondervind. Hier is 'n eenvoudige toets:

  • Voer die volgende SQL-kode in jou webvorm (gebruikersnaam en wagwoord) in:
    'OF' t '=' t '; -
    wat op SQL-vlak word:
    SELECT * VAN gebruikers WAAR userid = 'admin' EN wagwoord = '' OF 't' = 't'; - '
  • Gee dit jou databasisinhoud terug?

Die kode kan werk (ek sê 'mag' omdat u gelukkig was om 'n baie veilige skrif te installeer) omdat 't' = 't' 'n wiskundig-korrekte stelling is, dus sal die SQL-versoek altyd uitgevoer word. 'N kundige hacker kan baie uitgebreide SQL-stellings opstel om sy doelwitte te bereik, dus maak seker om die skripontwikkelaar te kontak en hulp te kry as die skrif wat u gebruik maklik aanvalbaar is. Of verander skrif.

BONUS Wenk # 1 - Gereeld Kontroleer u Logboeke van die Administrasiepaneel

cPanel Logs Section

Jou administrasiepaneel (cPanel, Plesk, ens.) Kom met ingeboude gereedskap vir verkeersanalise, toegangs- en sekuriteitslogboeke wat u ten minste een keer per week in die oog moet hou.

As jy cPanel gebruik, raai ek jou aan om jou te keur Analoog Stats Gereedskap elke twee dae, aangesien die gereedskap gedetailleerde verslae een wys:

  • HTTP-versoeke
  • Maandelikse / Daaglikse / Uurlikse verslae van verkeersaktiwiteite
  • Verwysings, blaaiers en besturingsprogramme waarvandaan u verkeer het

Logs gereedskap is die eerste wat jy moet kyk wanneer jy glo jou webwerf is aangeval.

BONUS Wenk # 2 - Voer tweeweeklikse rugsteun

Rugsteun elke twee weke, of elke week, as jy kan. Met plugins soos Supsystic en iThemes Security, jy kan selfs elke dag of elke drie dae rugsteun. Wat tel, is dat jy voortdurend vars kopieë van jou inhoud aflaai, gereed om herstel te word as daar slegte dinge onderweg gebeur. Hierdie artikel het jou gewys watter aanvalle jou webwerf kan ondergaan, en hoe om dit te beveg en te voorkom, maar jou sterkste wapen is regtig hierdie: Rugsteun. Dit is die enigste manier om u webwerf na die oorspronklike toestand terug te gee, asof 'n hacker nooit sy vuil truuks kan speel nie.

Opsomming

So, wat moet jy doen, in wese?

  1. Leer. Kennis is mag! Kom meer te wete oor kriptografie, DDoS en SQL-inspuiting, kruis-webwerf-skripsie (XSS) en ander soorte aanvalle. Alles en nog wat kan u help om 'n volledige beeld te kry van wat aangaan as u webwerf gekap word. Hoe meer u weet, hoe meer kan u doen om teenaanval te bewerkstellig.
  2. Hou op datum. Met ontdekkings, gereedskap en skrifte opgraderings. Hierdie artikel beklemtoon die belangrikheid van die opgradering en opdatering van u webwerf sagteware om 'n meer soliede beskerming teen aanvallers te verseker.
  3. Voer gereelde tjeks en rugsteun uit. As jy Friends, kan jy herstel!
  4. Verslag. As dinge buite u beheer is, meld dit aan skrifontwikkelaars, owerhede en u gasheer. Hulle kan doen wat jy nie kan nie.

Sekuriteitstrokies Van Sagteware Ingenieurswese

Sagteware-ingenieurswese is 'n pragtige veld wat elke goeie ingenieur en rekenaarwetenskaplike moet leer om aansoek te doen wanneer hulle sagteware ontwikkel. Maar het jy geweet dit werk ook andersom? Jy - die gebruiker - kan sagteware-konsepte gebruik om intelligente keuses te maak tussen werfprogrammatuur wat van ontwikkelaars aan jou gebied word. Jy kan:

  1. Verstaan ​​dat 'n fout kan lei tot ernstige inbraak van jou stelsels en data verlies
  2. Meer inligting oor die 4-dimensies van betroubaarheid en gebruik dit tot u voordeel: beskikbaarheid, betroubaarheid, veiligheid en sekuriteit
  3. Identifiseer al u moontlike sekuriteitsbekommernisse: verlies van sensitiewe / belangrike data, versuim van sekere dienste, hoë heropboukoste (tyd, geld).

Wat moet jy self vra voordat jy 'n skrif installeer en gebruik?

Afhanklikheid. Kan ek hierdie sagteware vertrou?

  • Beskikbaarheid Is die skrif maklik beskikbaar vir my? Is sy ontwikkelaar kontakbaar om hulp te kry?
  • betroubaarheid Voer die skrif goed uit? Het dit foute of probleme vir my as ek relevante aksies uitvoer na my doelwitte?
  • Veiligheid Wanfunksies en foute affekteer sekuriteit en werkverrigting ernstig?
  • sekuriteit Het die sagteware 'n ingeboude sekuriteitsmodule? Is dit iets wat ek kan bestuur?
  • Repairability As iets verkeerd gaan, kan ek dit regkry?
  • instandhouding Kan ek hierdie sagteware selfstandig onderhou?
  • Oorlewing Sal die sagteware nog steeds onder aanval werk? Kan ek goed herstel van die aanval?

Tabel van Vulnerabilities

  • sagteware foute; deursigtige data-oordrag; foute; openbare logs
  • Mens lae sterkte wagwoorde; onbeskermde dopgehou; openbaarmaking van sensitiewe data; gebrek aan stelselonderhoud en opdatering / opgradering

Oor Luana Spinetti

Luana Spinetti is 'n vryskutskrywer en kunstenaar gebaseer in Italië, en 'n passievolle rekenaarwetenskapstudent. Sy het 'n hoërskool diploma in Sielkunde en Opvoedkunde en het 'n 3-jaarkursus in die Stripboekkuns bygewoon, waaruit sy op 2008 gegradueer het. As 'n veelvlakke persoon soos sy het sy 'n groot belangstelling in SEO / SEM en Webbemarking ontwikkel, met 'n besondere neiging tot sosiale media. Sy werk aan drie romans in haar moedertaal (Italiaans), wat sy hoop om Indie publiseer binnekort.