해킹 공격으로부터 웹 사이트를 보호하는 7 팁

  • 주요 기사
  • 업데이트 : 06, 2019

웹은 비즈니스에 관한 것이 아닙니다. 매일 수십억 개의 페이지 및 블로그 항목이 작성됩니다., 소규모 웹 사이트 소유자 및 블로거가 자신의 의견을 전 세계에 공유하려고합니다. 그것은 웹의 매력입니다. 모든 사람과 모든 종류의 프로젝트를위한 공간을 제공합니다.

끝없는 가능성.

그러나 인터넷은 자연의 정글이기도합니다. 모든 구석에 위험 요소가 숨겨져있어 사용하지 못하는 것은 단지 어리석은 마술에 가깝습니다. 비영리 또는 단독 사업을 온라인으로 운영하는 경우, 특히 모든 트랜잭션을 웹으로 이동하면 서비스와 관련하여 더 많은주의를 기울일 수 있습니다.

보안은 웹 사이트를 계획 할 때 고려해야 할 중요한 부분입니다. 어떻게 콘텐츠를 보호하고 공격자에 대해 열심히 일할 수 있습니까? 최상의 사용자 경험을 제공하려면 어떻게해야합니까? 웹 사이트를 업데이트 할 때마다 질문해야하는 질문입니다.

왜이 기사와 7 팁이 필요한가?

쉬운 n00b 방식으로 사이트를 보호하는 것이 현실보다 더 유토피아 일 수 있지만, 이것이 프로그래머 나 컴퓨터 과학자가 아닌 사람이 웹 사이트에 보안을 추가 할 수 없다는 것을 의미하지는 않습니다. 보안 문제에 대한 호기심을 자극 할 정도로 적용하기 쉽고 심도있는 7 가지 팁을 선택하여 웹 보안 전문가가 느리지 만 끊임없이 될 수 있도록했습니다. 모든 팁은 웹 해킹과 관련이 있으며 보안 허점에 대해 웹 사이트를 테스트하는 데 사용할 수있는 기술도 소개합니다. 걱정하지 마십시오. 너무 어려운 일은 없지만 프로젝트를 위해 공격을 피할 수있는 간단한 도구와 기술에 익숙해지는 것이 중요합니다. :)

놀아라!

팁 #1 - 조금 더 많은 정신력을 당신의 암호에 사용하십시오.

최고의 웹 보안 허점은 더 많은 웹 사이트 나 웹 서비스에서 동일한 암호를 사용한다는 것입니다. 하나의 비밀번호를 알아 낸 해커는 모든 비밀번호를 알아 냈으며 블로그이든 PayPal 계정이든 모든 데이터에 쉽게 액세스 할 수 있습니다. 컴퓨터를 해킹하는 사람이 데이터베이스에 쉽게 액세스 할 수 있기 때문에 암호 목록을 종이나 파일에 보관하는 것은 안전한 대안이 아닙니다 (파일을 암호로 보호하지 않는 한).

하지만 괜찮은 암호를 찾을 수 없다면 어떻게 될까요?

  1. 용도 강력한 암호 생성기 영숫자 및 대체 기호를 포함하여 깨지기 어려운 암호를 생성합니다. 기호 문자열이 더 임의적이거나 의사 난수 인 경우 (즉, 암호의 기호에는 내부 메모리가 없으며 서로 관련이 없으므로 모든 기호가 다른 숫자를 따를 수있는 동일한 기회를 가짐) 안전합니다.
  2. 용도 비밀번호 안전 암호를 모두 저장하고 암호화 할 수 있습니다. 암호는 암호를 기억하여 잠금을 해제 할 수 있습니다. 이 프로그램은 Twofish 알고리즘 Password Safe는 Bruce Schneier가 개발 한 Windows 오픈 소스 프로젝트입니다. Windows를 사용하지 않는 경우, 패스워드 고릴라 Password Safe에 대한 유효한 오픈 소스 대안입니다.

다음은 '웹 사이트'라는 데이터베이스가있는 비밀번호 안전의 전면 모습입니다.

'웹 사이트'데이터베이스에있는 파일의 세부 사항은 다음과 같습니다.

팁 #2 - 스크립트를 잘 관리하십시오.

웹 사이트 스크립트와 CMS 플랫폼은 해킹 공격의 주요 수단으로 잘 알려져 있습니다. PHP, ASP 및 JavaScript로 작성된 스크립트를 호스팅하는 경우 개발자가 간과했을 수있는 보안 취약점과 버그가있을 수 있습니다. 위에서 언급 한 문제 중 하나가 발견되면 즉시 개발자에게 연락하는 것 외에도 스크립트가 손상되지 않도록하기 위해 사용할 수있는 기술적이지 않은 방법이 있습니다.

  • 스크립트 버전 문서를 철저히 읽으십시오. 여기에는 종종 패치 및 버그 수정에 대한 세부 정보가 포함됩니다
  • 소프트웨어 설치 관리자 또는 관리 패널 또는 심지어 Google 웹 마스터 도구를 통해 경고에 나열합니다. 파일을 업데이트하거나 편집 / 제거해야하는 경우 수행하십시오.
  • 기존 플러그인을 모두 설치하지 마십시오. 호환성 및 보안 정보를 먼저 확인하십시오.

또한 이것은 아마도 가장 중요한 요소 일 것입니다. 항상 스크립트와 CMS를 항상 최신 상태로 유지하십시오. 소프트웨어의 최신 패키지에는 일반적으로 이전 버전의 버그 및 보안 문제에 대한 패치가 포함되어 있습니다.

예 : Softaculous에서 WordPress 업그레이드 경고

팁 #3 - 일반 폴더 및 관리 패널 검사 수행

때로는 해커가 조용히 사이트에 침입하여 고양이처럼 몰래 침입하지만 사이트 스푸핑, 바이러스가 포함 된 미디어 파일, 실행 파일 및 코딩 된 웹 페이지와 같은 재난을 남겨 둡니다. 적어도 2 주에 한 번씩 폴더를 정기적으로 확인하여 파일에 문제가 없는지 확인하십시오. 인식하지 못하는 파일을 발견하면 즉시 제거하십시오. 그래도 문제가 해결되지 않으면 웹 호스트에게 연락하여 도움을 받으십시오 (이것은 당신이 좋은 웹 호스트를 가장 필요로 할 때입니다.). 그런 경우는:

  • 관리 패널 암호 (가능하면 사용자 이름) 변경
  • 모든 파일을 검사하여 파일이 손상되었는지 확인하십시오.
  • 바이러스 백신을 설치 한 경우 실행하십시오.

팁 #4 - 보안 인증

웹 보안 전문가는 공개 키 암호화, 신뢰 체인, 서명, SSL 및 TSL (Transport Layer Security)과 같은 시스템 및 웹 트랜잭션에 최적의 안전을 제공하기 위해 많은 방법을 사용합니다. 암호화에 대해 확실히 배워야하지만 전문가가 준비한 간단한 다단계 인증 도구를 사용하는 방법을 배우는 것이 중요합니다.

너 왜 필요한거야? 다중 요소 인증? 귀하의 사용자 이름, 암호 및 귀하의 사용을 알기 때문에 - 한번 - 토큰을 폐기하여 귀하의 콘텐츠에 액세스하십시오; 그렇지 않으면 액세스가 거부됩니다.

가능한 경우, 웹 보안에 대해 배우거나 온라인 자습서 및 코스를 사용하여 강사로 전문가를 찾으십시오.

팁 #5 - DDoS 공격에주의하십시오.

서비스 거부 공격 서버 도용 및 스푸핑 서비스로의 교체와 함께 빠르게 진화하고 위험합니다.

DDoS 공격은 정상적인 서비스가 작동하지 않는 상태에서 서버를 강제 실행하고 최종 사용자가 전체 시스템을 더 이상 사용할 수 없게합니다.

DDoS 공격의 원인은 무엇입니까?

  • 개방형 네트워크 구성
  • 버그 수정, 업그레이드되지 않은 애플리케이션
  • 보안되지 않은 서버 구성
  • 네트워크 활동의 유지 보수 및 / 또는 모니터링 없음

이 공격 형태에 대해 ISP에 알리고 정보를 얻으십시오. 웹 사이트 호스트가 할 수있는 일은 각 서버에 대체 DNS 주소 목록을 구성하는 것이므로 기본 DNS를 사용할 수 없게되면 전체 웹 사이트가 계속 작동합니다. 해커는 목록에있는 모든 서버를 차단할 때만 자신의 행동에 성공할 수 있습니다. 힘든 일이라고 생각하지 않습니까? 또 다른 대응책은 비정상적인 타이밍 및 / 또는 위험도가 높은 IP 주소로부터 들어오는 모든 패킷을 필터링하는 것입니다. 귀하의 호스트는 서비스 거부 공격에 대해 잘 알고 있어야하므로 DDoS 방지에 관해 논의하십시오.

팁 #6 - SFTP로 FTP 액세스 보안

변경 사항은 없지만 일반 FTP처럼 작동하지만 SFTP 또는 보안 FTP는 보안 측면에서 많은 이점을 제공합니다.

  • 그것은 SSH를 사용하여 파일 전송 중 데이터와 명령을 암호화합니다
  • 클라이언트 서버의 공개 키를 사용하여 연결시 서버의 유효성을 검사하여 중개자가 아닌지 확인합니다
  • 해커가 네트워크 트래픽을 청취 할 수 없도록 만듭니다.

'일반적인'FTP 명령의 문제점은 암호화되지 않았다는 것입니다. 서버에 대한 모든 업로드 및 다운로드는 명확한 데이터로 전송됩니다.

커맨드 라인을 통해 FTP에 접근하려면 (유닉스 / 리눅스 / Mac OS 사용자 인 경우)

sftp [email protected]

또는 SFTP를 지원하는 무료 FTP 프로그램 (예 : FileZilla (오픈 소스).

팁 #7 - SQL Injection에 대해 알아보고 사이트를 보호하십시오.

이 불쾌한 해킹 방법에주의하고, 스크립트를 최신 상태로 유지하고 보안 위반이 발생하면 즉시 스크립트 개발자에게 문의하십시오. 간단한 테스트를 실행하는 방법은 다음과 같습니다.

  • 웹 양식에 다음 SQL 코드를 입력하십시오 (사용자 이름 및 암호).
    '또는't '='t '; -
    SQL 레벨에서 다음과 같이됩니다.
    SELECT * 사용자로부터 userid = 'admin'및 password = ''OR 't'= 't'; - '
  • 그것은 귀하의 데이터베이스 내용을 반환합니까?

't'= 't'는 수학적으로 정확한 문장이므로 SQL 요청이 항상 실행되기 때문에 코드가 작동 할 수 있습니다 (매우 안전한 스크립트를 설치 한 것이 운이 좋기 때문에 '수 있습니다'라고 말합니다). 지식이 풍부한 해커는 자신의 목표를 달성하기 위해 매우 정교한 SQL 문을 구성 할 수 있으므로 사용하는 스크립트가 쉽게 공격 가능한 경우 스크립트 개발자에게 문의하여 도움을 받으십시오. 또는 스크립트를 변경하십시오.

보너스 팁 #1 - 정기적으로 관리 패널 로그 확인

관리 패널 (cPanel, Plesk 등)에는 최소한 일주일에 한 번씩 주시해야하는 트래픽 분석, 액세스 및 보안 로그 용 도구가 내장되어 있습니다.

cPanel을 사용하는 경우, 아날로그 통계 도구는 자세한 보고서를 보여주기 때문에 이틀에 한 번씩 :

  • HTTP 요청
  • 월별 / 일별 / 시간별 트래픽 활동 보고서
  • 귀하의 트래픽이 발생한 리퍼러, 브라우저 및 OS

로그 도구는 웹 사이트가 공격을 당했을 때 가장 먼저 조사해야 할 도구입니다.

보너스 팁 #2 - 격주 백업 수행

가능한 경우 2 주마다 또는 매주 백업하십시오. 플러그인과 같이 수퍼 스틱iThemes에 보안매일 또는 3 일마다 백업 할 수도 있습니다. 중요한 것은 끊임없이 콘텐츠의 새로운 사본을 다운로드하여 방해가 될 경우 복원 할 준비가되었음을 의미합니다. 이 기사는 귀하의 웹 사이트가 어떤 종류의 공격을받을 수 있는지, 그리고 어떻게 싸우고 예방하는지 보여 주었지만 가장 강력한 무기는 실제로 이것입니다. 백업. 해커가 더티 트릭을 할 수없는 것처럼 웹 사이트를 원래 상태로 되돌릴 수있는 유일한 방법입니다.

개요

근본적으로 무엇을해야합니까?

  1. 배우다. 아는 것이 힘이다! 암호화, DDoS 및 SQL 주입, 사이트 간 스크립팅 (XSS) 및 기타 유형의 공격에 대해 알아 봅니다. 웹 사이트가 해킹 당했을 때 진행 상황을 완전히 파악하는 데 도움이되는 모든 것 더 많이 알수록 반격 할 수 있습니다.
  2. 최신 정보를 유지하십시오. 발견, 도구 및 스크립트 업그레이드로. 이 기사는 공격자에 대한보다 견고한 보호를 위해 사이트 소프트웨어를 업그레이드하고 업데이트하는 것이 중요하다는 점을 강조했습니다.
  3. 정기적 인 점검 및 백업을 수행하십시오. 백업하면 복원 할 수 있습니다!
  4. 보고서. 제어 할 수없는 상황이 발생하면 스크립트 개발자, 권한 및 호스트에게 문제를보고하십시오. 그들은 당신이 할 수없는 일을 할 수 있습니다.

소프트웨어 엔지니어링의 보안 트릭

소프트웨어 엔지니어링은 모든 훌륭한 엔지니어와 컴퓨터 과학자가 소프트웨어를 개발할 때 적용해야하는 매력적인 분야입니다. 하지만 그것이 다른 방식으로도 작동한다는 것을 알고 계셨습니까? 사용자 - 소프트웨어 엔지니어링 개념을 사용하여 개발자에게 제공되는 사이트 소프트웨어 중에서 지능적인 선택을 할 수 있습니다. 할 수있는 일 :

  1. 버그로 인해 시스템이 심하게 해킹되고 데이터가 손실 될 수 있음을 이해합니다.
  2. 신뢰성의 4 차원에 대해 알아보고 가용성, 안정성, 안전 및 보안과 같은 이점을 활용하십시오
  3. 민감한 / 중요한 데이터의 손실, 특정 서비스의 실패, 높은 재건 비용 (시간, 비용) 등 가능한 모든 보안 문제를 식별하십시오.

스크립트를 설치하고 사용하기 전에 스스로에게 물어야 할 사항은 무엇입니까?

믿을 수 있음. 이 소프트웨어를 신뢰할 수 있습니까?

  • 유효성 스크립트를 쉽게 사용할 수 있습니까? 개발자에게 도움을 요청할 수 있습니까?
  • 신뢰할 수 있음 스크립트가 잘 수행됩니까? 목표에 맞는 행동을 취할 때 버그가 있거나 문제가 있습니까?
  • 안전 오작동 및 버그가 보안 및 성능에 심각한 영향을 미칩니 까?
  • 보안 소프트웨어에 내장 보안 모듈이 있습니까? 내가 관리 할 수있는 것인가?
  • 수리 가능성 무언가 잘못되면 관리 할 수 ​​있습니까?
  • 유지 보수성 이 소프트웨어를 직접 관리 할 수 ​​있습니까?
  • 살아남기 소프트웨어가 여전히 공격을받을 수 있습니까? 공격으로부터 회복 될 수 있습니까?

취약성 테이블

  • 소프트웨어 버그; 투명한 데이터 전송; 오류; 공개 로그
  • 사람의 저 강도 암호; 보호되지 않은 디렉토리; 민감한 데이터 공개; 시스템 유지 보수 및 업데이트 / 업그레이드 부족

Luana Spinetti 정보

루아 나 스피 네티 (Luana Spinetti)는 이탈리아에 거주하는 프리랜서 작가이자 예술가이며 열정적 인 컴퓨터 과학 학생입니다. 그녀는 심리학 및 교육 분야에서 고등학교 졸업장을 받았으며 3을 졸업 한 Comic Book Art에서 2008 과정을 수강했습니다. 그녀는 여러면을 가진 인물로서 SEO / SEM과 웹 마케팅에 큰 관심을 보이며 소셜 미디어에 대한 특별한 성향을 보였습니다. 그녀는 자신의 모국어 (이탈리아어)에서 소설 3 편을 연구 중입니다. 인디가 곧 발표합니다.