7 wenke om jou webwerf te beskerm teen hacking aanvalle

Artikel geskryf deur:
  • Gewilde Artikels
  • Opgedateer: Mei 06, 2019

Die web gaan nie net oor besigheid nie. Miljoene bladsye en bloginskrywings word elke dag geskryf, elke sekonde, deur klein webwerf-eienaars en bloggers wat hul mening met die wêreld wil deel. Dit is die sjarme van die Web: dit bied 'n plek vir almal, en vir enige soort projek.

Eindelose moontlikhede.

Maar die internet is ook 'n wilde oerwoud: dit verberg gevare op elke hoek en niks waarna jy gebruik maak nie, is selfs net naby die onfeilbare magie. As jy 'n besigheid sonder winsbejag of 'n solo-preneur besigheid aanlyn bestuur, besef jy veral dat die verskuiwing van alle transaksies op die web in ekstra versigtigheid met betrekking tot jou dienste vertaal kan word.

Sekuriteit is 'n baie belangrike aspek om in ag te neem wanneer jy jou webwerf beplan: hoe kan ek my inhoud en harde werk teen aanvallers beveilig? Hoe kan ek die beste moontlike gebruikerservaring verskaf? Dit is vrae wat jy moet vra jouself elke keer as jy jou webwerf opdateer.

Hoekom hierdie artikel en waarom 7 wenke?

Die beveiliging van jou webwerf op 'n maklike, n00b-ish manier kan meer utopie wees as die werklikheid, maar dit beteken nie iemand wat nie 'n programmeerder of rekenaarwetenskaplike is nie, kan nie sekuriteit by hul webwerf voeg nie. Ek het sewe wenke gekies wat albei maklik toeganklik en in-diepte genoeg is om jou nuuskierigheid op sekuriteitskwessies te kietel, sodat jy jou eie webbeveiligingsdeskundige stadig maar onverbiddelik sal word. Alle wenke is spesifiek vir webhacking en ek sal ook tegnieke bekendstel wat u kan gebruik om u webwerf vir veiligheidsgate te toets. Moenie bekommerd wees nie: niks te moeilik om te doen nie, maar dit is belangrik dat jy kennis maak met die eenvoudige gereedskap en tegnieke wat die aanvalle kan afweer, ter wille van jou projekte. :)

Om pret te hê!

Wenk # 1 - Spandeer 'n bietjie meer gedagtes op jou wagwoorde

Nommer een webbeveiligingsgat is die gebruik van dieselfde wagwoord oor meer webwerwe of webdienste. 'N hacker wat kry om een ​​wagwoord uit te vind, sal al jou wagwoorde uitgevind het en sal maklik toegang tot al jou data hê, of dit nou jou blog of jou PayPal-rekening is. As jy 'n lys van jou wagwoord (en) op papier of lêer hou, is dit ook nie 'n veilige alternatief nie (tensy jy jou lêers beskerm met die wagwoord), want iemand wat jou rekenaar hacks, kry maklike toegang tot jou databasis.

Maar wat as jy nie met 'n ordentlike wagwoord kan kom nie?

  1. Gebruik 'n sterk wagwoordgenerator 'n hard-to-crack wagwoord genereer, insluitende alfanumeriese en alternatiewe simbole. Die meer ewekansige of pseudo-ewekansige 'n string simbole is (dws die wagwoord se simbole het geen interne geheue nie, hulle is nie verwant aan mekaar nie, dus elke simbool het gelyke geleenthede om na die ander te kom), hoe veiliger dit is.
  2. Gebruik Wagwoord Veilig Om al u wagwoorde te stoor en te enkripteer, wat u kan ontsluit deur 'n wagwoord te onthou. Die program gebruik die Twofish algoritme Om alle wagwoorde te enkripteer Wagwoord Veilig is 'n Windows open source projek wat deur Bruce Schneier ontwikkel is. As u nie Windows gebruik nie, Wagwoord Gorilla is 'n geldige oopbron-alternatief vir Wagwoord Veilig.

Hier is 'n vooraansig van Wagwoord Veilig met 'n databasis met die naam 'Websites':

Wagwoord Veilige Program View

Hier is die besonderhede van 'n lêer in die 'Websites'-databasis:

Wagwoord Veilige Lêer View

Wenk # 2 - Pas goed op jou skrifte

Dit is welbekend dat webwerf-skrifte en CMS-platforms die primêre voertuig van aanvalle is. As jy gasheer skrifte geskryf in PHP, ASP en JavaScript, weet dat hulle dalk sekuriteitsgate en foute het wat hul ontwikkelaars dalk oor die hoof gesien het. Behalwe dat u die ontwikkelaar onmiddellik kontak met die ontdekking van een van die bogenoemde probleme, is daar nie-tegniese metodes wat u kan gebruik om te verseker dat u skrifte u nie beskadig nie:

  • Lees die dokument se weergawe dokument deeglik: dit bevat dikwels inligting oor pleisters en foutoplossings
  • Maak 'n lys van die waarskuwings van u sagteware installeerder of administrasiepaneel of selfs Google (deur Webmaster Tools): as u 'n lêer moet bywerk of redigeer / verwyder, doen dit
  • Moenie elke bestaande inprop installeer nie: eers die verenigbaarheids- en sekuriteitsnotas nagaan.

Ook - en dit is dalk die belangrikste faktor - altyd, hou altyd jou skrifte en CMS's op datum. Die nuutste pakket van 'n sagteware bevat gewoonlik pleisters vir die vorige weergawe se foute en sekuriteitskwessies.

Byvoorbeeld: WordPress-opgradering waarskuwing van Softaculous

Softaculous Upgrade Waarskuwing

Wenk # 3 - Voer gereelde gids- en administrasiepaneelkontrole uit

Soms word hackers in jou werf ingegryp, skraal soos katte, maar hulle verlaat rampe agter: site spoofs, media lêers wat virusse bevat, uitvoerbare en hersoekte webblaaie. Kontroleer jou vouers gereeld, minstens een keer elke twee weke, om seker te maak dat niks met jou lêers verkeerd is nie. As u lêers sien wat u nie herken nie, verwyder dit dadelik. As dit nie werk nie, kontak jou webhost en kry hulp (dit is wanneer jy die beste 'n goeie webhost nodig het). In sulke gevalle:

  • Verander jou wagwoord vir die administrasiepaneel (en gebruikersnaam, indien moontlik)
  • Doen 'n tjek van alle lêers om te sien of hulle beskadig is
  • As jy 'n antivirus geïnstalleer het, voer dit uit.

Wenk #4 - Veilige verifikasie

Web Security experts maak gebruik van baie metodes om optimale veiligheid te bied aan die stelsels en webtransaksies waarop hulle werk: publieke sleutelkriptografie, trustkettings, handtekeninge, SSL en TSL (Transport Layer Security). Terwyl jy beslis iets oor kriptografie moet leer, is dit belangrik dat jy begin met die gebruik van eenvoudige multifaktor-verifikasie-gereedskap wat vir jou deur deskundiges opgestel is:

Hoekom het jy nodig multi-faktor verifikasie? Omdat dit jou gebruikersnaam, wagwoord en jou gebruik sal gebruik om sodoende toegang tot jou inhoud te verkry; Andersins sal toegang geweier word.

As jy kan, vind 'n kenner om jou te begelei as jy leer oor webbeveiliging, of gebruik aanlyn tutoriale en kursusse.

Wenk #5 - Pasop vir DDoS aanvalle

Ontkenning van diens aanvalle is vinnig ontwikkelend en gevaarlik, tesame met bedienerkaping en die vervanging van jou dienste met spoofseienaars.

'N DDoS-aanval dwing die bediener in 'n toestand waar sy normale dienste nie werk nie, en die hele stelsel is nie meer beskikbaar vir eindgebruikers nie.

Wat kan 'n DDoS aanval veroorsaak?

  • 'N Ope netwerk konfigurasie
  • Bugged, nie-opgegradeerde programme
  • Onversekerde bediener konfigurasie
  • Geen instandhouding en / of monitering van netwerkaktiwiteit nie

Informeer jou ISP oor hierdie vorm van aanval en word ook ingelig. Wat jou webwerf gasheer kan doen, is om elke bediener te konfigureer met 'n lys van alternatiewe DNS-adresse, dus wanneer die verstek DNS nie beskikbaar is nie, sal die hele webwerf steeds werk. 'N Hacker kan slegs sukses in sy optrede hê as hy AL die bedieners op die lys blokkeer - moeilike werk, dink jy nie? Nog 'n teenmaatreël kan die filter van alle inkomende pakkies met ongewone tydsberekeninge en / of hoërisiko-IP-adresse wees. Jou gasheer moet kennis hê van die aanvalle van diens aanvalle, bespreek dus met DDoS-voorkoming.

Wenk # 6 - Veilige FTP-toegang met SFTP

Niks verander vir jou nie, dit werk net soos gewone FTP, maar SFTP, of Secure FTP, kom met baie voordele, sekuriteitsgewys:

  • Dit maak gebruik van SSH om data en opdragte te enkripteer tydens lêeroordrag
  • Dit gebruik die publieke sleutels van die kliënt se bediener om die bediener te bevestig tydens verbinding, om te verseker dat dit nie 'n tussenganger is nie
  • Dit maak dit onmoontlik vir 'n hacker om na jou netwerkverkeer te luister

Die probleem met die 'gewone' FTP-opdrag is dat dit nie geïnkripteer is nie: alle oplaaie en aflaaie na en van die bediener word as duidelike data oorgedra.

Om toegang tot FTP via opdraglyn te verkry (as u 'n Unix / Linux / Mac OS gebruiker is) kan u dit gebruik

sftp [email protected]

of laai net 'n gratis FTP-program af wat SFTP ondersteun, soos FileZilla (oop bron).

Wenk # 7 - Leer oor SQL-inspuiting om jou werf teen dit te beskerm

Pasop vir hierdie nare hacking-metode, hou u skrifte op datum en kontak die skripontwikkelaar onmiddellik as u 'n sekuriteitsbreuk in die steek laat. Hier is hoe om 'n eenvoudige toets uit te voer:

  • Voer die volgende SQL-kode in jou webvorm (gebruikersnaam en wagwoord) in:
    'OF' t '=' t '; -
    wat op SQL-vlak word:
    SELECT * VAN gebruikers WAAR userid = 'admin' EN wagwoord = '' OF 't' = 't'; - '
  • Gee dit jou databasisinhoud terug?

Die kode kan werk (ek sê 'dalk' omdat jy gelukkig kon wees om 'n baie veilige script te installeer) omdat 't' = 't' 'n wiskunde-ware stelling is. Die SQL-versoek sal dus altyd uitgevoer word. 'N kundige hacker kan baie uitgebreide SQL-stellings oprig om sy doelwitte te bereik. Maak dus seker dat jy die skripontwikkelaar kontak en hulp kry as die skrif wat jy gebruik, maklik aanvalbaar is. Of verander skrip.

BONUS Wenk # 1 - Gereeld Kontroleer u Logboeke van die Administrasiepaneel

cPanel Logs Section

Jou administrasiepaneel (cPanel, Plesk, ens.) Kom met ingeboude gereedskap vir verkeersanalise, toegangs- en sekuriteitslogboeke wat u ten minste een keer per week in die oog moet hou.

As jy cPanel gebruik, raai ek jou aan om jou te keur Analoog Stats Gereedskap elke twee dae, aangesien die gereedskap gedetailleerde verslae een wys:

  • HTTP-versoeke
  • Maandelikse / Daaglikse / Uurlikse verslae van verkeersaktiwiteite
  • Verwysers, blaaiers en OS's is jou verkeer vandaan

Logs gereedskap is die eerste wat jy moet kyk wanneer jy glo jou webwerf is aangeval.

BONUS Wenk # 2 - Voer tweeweeklikse rugsteun

Rugsteun elke twee weke, of elke week, as jy kan. Met plugins soos Supsystic en iThemes Security, jy kan selfs elke dag of elke drie dae rugsteun. Wat tel, is dat jy voortdurend vars kopieë van jou inhoud aflaai, gereed om herstel te word as daar slegte dinge onderweg gebeur. Hierdie artikel het jou gewys watter aanvalle jou webwerf kan ondergaan, en hoe om dit te beveg en te voorkom, maar jou sterkste wapen is regtig hierdie: Rugsteun. Dit is die enigste manier om jou webwerf terug te keer na sy oorspronklike toestand, asof 'n hacker sy vuil truuks nooit kon speel nie.

Opsomming

So, wat moet jy doen, in wese?

  1. Leer. Kennis is mag! Leer oor kriptografie, DDoS en SQL Injection, kruis-site scripting (XSS) en ander tipes aanvalle. Alles en enigiets wat jou kan help om 'n volledige siening te kry van wat aangaan wanneer jou webwerf gehack word. Hoe meer jy weet, hoe meer kan jy teenaanvalle doen.
  2. Hou op datum. Met ontdekkings, gereedskap en skrifte opgraderings. Hierdie artikel beklemtoon die belangrikheid van die opgradering en opdatering van u webwerf sagteware om 'n meer soliede beskerming teen aanvallers te verseker.
  3. Voer gereelde tjeks en rugsteun uit. As jy Friends, kan jy herstel!
  4. Verslag. Wanneer dinge buite jou beheer gaan, meld probleme aan ontwikkelaars, owerhede en ontwikkelaars. Hulle kan doen wat jy nie kan nie.

Sekuriteitstrokies Van Sagteware Ingenieurswese

Sagteware-ingenieurswese is 'n pragtige veld wat elke goeie ingenieur en rekenaarwetenskaplike moet leer om aansoek te doen wanneer hulle sagteware ontwikkel. Maar het jy geweet dit werk ook andersom? Jy - die gebruiker - kan sagteware-konsepte gebruik om intelligente keuses te maak tussen werfprogrammatuur wat van ontwikkelaars aan jou gebied word. Jy kan:

  1. Verstaan ​​dat 'n fout kan lei tot ernstige inbraak van jou stelsels en data verlies
  2. Meer inligting oor die 4-dimensies van betroubaarheid en gebruik dit tot u voordeel: beskikbaarheid, betroubaarheid, veiligheid en sekuriteit
  3. Identifiseer al u moontlike sekuriteitsbekommernisse: verlies van sensitiewe / belangrike data, versuim van sekere dienste, hoë heropboukoste (tyd, geld).

Wat moet jy self vra voordat jy 'n skrif installeer en gebruik?

Afhanklikheid. Kan ek hierdie sagteware vertrou?

  • Beskikbaarheid Is die skrif maklik beskikbaar vir my? Is sy ontwikkelaar kontakbaar om hulp te kry?
  • betroubaarheid Voer die skrif goed uit? Het dit foute of probleme vir my as ek relevante aksies uitvoer na my doelwitte?
  • Veiligheid Wanfunksies en foute affekteer sekuriteit en werkverrigting ernstig?
  • sekuriteit Het die sagteware 'n ingeboude sekuriteitsmodule? Is dit iets wat ek kan bestuur?
  • Repairability As iets verkeerd gaan, kan ek dit regkry?
  • instandhouding Kan ek hierdie sagteware selfstandig onderhou?
  • Oorlewing Sal die sagteware nog steeds onder aanval werk? Kan ek goed herstel van die aanval?

Tabel van Vulnerabilities

  • sagteware foute; deursigtige data-oordrag; foute; openbare logs
  • Mens lae sterkte wagwoorde; onbeskermde dopgehou; openbaarmaking van sensitiewe data; gebrek aan stelselonderhoud en opdatering / opgradering

Oor Luana Spinetti

Luana Spinetti is 'n vryskutskrywer en kunstenaar gebaseer in Italië, en 'n passievolle rekenaarwetenskapstudent. Sy het 'n hoërskool diploma in Sielkunde en Opvoedkunde en het 'n 3-jaarkursus in die Stripboekkuns bygewoon, waaruit sy op 2008 gegradueer het. As 'n veelvlakke persoon soos sy het sy 'n groot belangstelling in SEO / SEM en Webbemarking ontwikkel, met 'n besondere neiging tot sosiale media. Sy werk aan drie romans in haar moedertaal (Italiaans), wat sy hoop om Indie publiseer binnekort.