7 совети за да помогнете во обезбедувањето на веб-страницата против хакерските напади

Член напишан од:
  • Избрани статии
  • Ажурирано: мај 06, 2019

Веб не е само за бизнис. Милијарди страници и записи на блогови се пишуваат секој ден, секоја секунда, од мали сопственици на веб-страници и блогери кои бараат да ги споделат своите ставови со светот. Тоа е шарм на мрежата: тој обезбедува простор за секого и за секаков вид на проект.

Бескрајни можности.

Но, интернетот е исто така дива џунгла: ги крие опасностите во секој агол и ништо што го користите е дури и само блиску до сигурната магија. Ако извршите непрофитна или онлајн бизнис, особено, сфаќате дека преместувањето на сите трансакции на Интернет може да се претвори во дополнителна претпазливост во однос на вашите услуги.

Безбедноста е навистина клучен аспект да се земе предвид кога планирате веб-страница: како можам да ја обезбедам мојата содржина и напорна работа против напаѓачите? Како можам да го дадам најдоброто можно корисничко искуство? Ова се прашања што треба да ги запрашате секој пат кога ќе го ажурирате вашиот веб-сајт.

Зошто овој член и зошто 7 Совети?

Обезбедувањето на вашата страница на лесен, n00b-ish начин може да биде повеќе утопија од реалноста, но тоа не значи дека некој што не е програмер или компјутерски научник не може да додаде одредена безбедност на нивната веб-страница. Избрав седум совети кои се лесни за применливи и доволно длабоки за да ја зголемат вашата iosубопитност за безбедносните прашања, така што ќе станете - полека но немилосрдно - свој веб-експерт за безбедност. Сите совети се специфични за веб-хакери и јас исто така ќе воведам техники што можете да ги користите за да ја тестирате вашата веб-страница за дупки за безбедност. Не грижете се: ништо премногу тешко да се направи, но важно е да се запознаете со едноставните алатки и техники што можат да избегнат напади, за доброто на вашите проекти. :)

Се забавуваат!

Совет #1 - поминуваат малку повеќе внимание на вашите лозинки

Број еден веб-безбедносен отвор е употреба на истата лозинка на повеќе веб-страници или веб-услуги. Хакер кој може да дознае една лозинка ќе ги сфати сите ваши лозинки и ќе има лесен пристап до сите ваши податоци, без разлика дали тоа е вашиот блог или вашата сметка на PayPal. Одржувањето список на вашата лозинка (и) на хартија или датотека не е ниту сигурна алтернатива (освен ако не ги заштитите лозинките со вашите датотеки) затоа што некој што ќе го хакира вашиот компјутер ќе добие лесен пристап до вашата база на податоци.

Но, што ако не можете да дојдете со пристојна лозинка?

  1. Користете силен лозинка генератор да се генерираат лозинка што не може да се пробие, вклучително со алфанумерички и алтернативни симболи. Колку е по случаен или псевдо-случаен низа симболи е (т.е. симболите на лозинката немаат внатрешна меморија, тие не се поврзани едни со други, така што секој симбол има еднакви шанси да дојде по друг), толку е побезбеден.
  2. Користете Лозинка е безбедна за да ги зачувате и шифрирате сите ваши лозинки, кои можете да ги отклучите со потсетување на лозинка. Програмата ја користи Twofish алгоритам за шифрирање на сите лозинки Password Safe е проект со отворен код за Windows развиен од Брус Шнајер. Ако не користите Windows, Лозинка Горила е важечка алтернатива на алтернативниот софтвер за лозинка безбедна.

Еве пред прегледот на Лозинка безбедна со база на податоци со име „Веб-страници“:

Преглед на безбедна програма за лозинка

Еве ги деталите за датотеката во базата на податоци „Веб-страници“:

Преглед на безбедно вид на лозинка

Совет #2 - Добро се грижи за вашите скрипти

Добро е познато дека скриптите на веб-страниците и CMS платформите се основно возило на хакерски напади. Ако имате скрипти напишани на PHP, ASP и JavaScript, знајте дека може да имаат безбедносни дупки и грешки што нивните програмери можеби ги занемариле. Настрана од контактирање со инвеститорот веднаш по откривањето на едно од горенаведените проблеми, постојат нетехнички методи што можете да ги користите за да се осигурате дека вашите скрипти нема да ви наштетат:

  • Прочитајте го документот за верзија на скриптата темелно: тој често содржи детали за закрпи и поправки на грешки
  • Наведете ги предупредувањата на вашиот софтвер за инсталаторот или административен панел или дури и на Гугл (преку алатки за администратори): ако треба да ажурирате или уредувате / отстраните датотека, сторете го тоа
  • Не инсталирајте го секој постоечки приклучок: прво проверете ги компатибилностите и безбедносните белешки.

Исто така - и ова е можеби најважниот фактор - секогаш, секогаш одржувајте ги ажурираните скрипти и CMS. Најновиот пакет на софтвер обично содржи закрпи за грешки на претходната верзија и безбедносни проблеми.

Пример: предупредување за надградба на WordPress од Softaculous

Преносливо предупредување за надградба

Совет #3 - Изврши проверка на регуларни папки и административни панели

Понекогаш хакерите навлегуваат на вашата страница тивко, sneaky како мачки, но тие оставаат катастрофи зад себе: измислици на страници, медиумски датотеки што содржат вирус, извршни страни и рекодирани веб-страници. Редовно проверувајте ги папките, барем еднаш на секои две недели, за да бидете сигурни дека ништо не е во ред со вашите датотеки. Доколку забележите датотеки што не ги препознавате, веднаш отстранете ги. Ако тоа не функционира, контактирајте го вашиот веб-домаќин и добијте помош (ова е кога ви е потребен добар веб-домаќин). Во такви случаи:

  • Променете ја лозинката на вашиот административен панел (и корисничко име, ако е можно)
  • Изведете проверка на сите датотеки за да видите дали се оштетени
  • Ако имате инсталирано антивирус, извршете го.

Совет #4 - безбедна автентикација

Експертите за веб-безбедност користат многу методи за да обезбедат оптимална безбедност на системите и веб-трансакциите на кои работат: криптографија на јавниот клуч, ланци на доверба, потписи, SSL и TSL (Security Layer Security). Додека дефинитивно треба да научите нешто за криптографијата, важно е да започнете со учење како да користите едноставни мулти-факторски алатки за автентикација, прочитани за вас од експерти:

Зошто ви е потребно мулти-фактор за проверка? Бидејќи ќе треба да го знаете вашето корисничко име, лозинката и вашата употреба-еднаш-потоа-отфрлете токен за да добиете пристап до вашата содржина; во спротивно, пристапот ќе биде одбиен.

Ако можете, најдете експерт за да ве учи како што учат за веб-безбедност, или да користите онлајн упатства и курсеви.

Совет #5 - Пазете се од DDoS напади

Напади на одбивање на услуга се брзо се развива и опасно, заедно со киднапирање на сервери и замена на вашите услуги со измамници.

Напад DDoS го присилува серверот во состојба во која нејзините нормални услуги не работат и целиот систем веќе не е достапен за крајните корисници.

Што може да предизвика напад DDoS?

  • Отворена мрежна конфигурација
  • Багажни, не-надградени апликации
  • Необезбедена конфигурација на серверот
  • Нема одржување и / или мониторинг на мрежната активност

Информирајте го вашиот интернет провајдер за оваа форма на напад и информирајте се, исто така. Што може да направи вашиот веб-сајт е да го конфигурирате секој сервер со листа на алтернативни DNS адреси, па кога стандардниот DNS станува недостапен, целата веб-страница сеуште ќе работи. Хакер може само да има успех во своите постапки кога ќе ги блокира сите сервери на листата - тешка работа, не мислите ли? Друга контрамерка може да биде филтрирање на сите дојдовни пакети со необични тајминг и / или од високоризични IP адреси. Вашиот домаќин треба да биде запознаен за напади на Denial of Service, па затоа разговарајте со нив за DDoS превенција.

Совет #6 - безбеден пристап до FTP со SFTP

Ништо не се менува за вас, функционира исто како и нормалниот FTP, но SFTP, или Secure FTP, доаѓа со многу бенефиции, безбедносни:

  • Таа користи SSH за шифрирање на податоци и команди за време на пренос на датотеки
  • Ги користи јавните клучеви на серверот на клиентот за да го провери серверот по конекцијата, за да се осигури дека не е посредник
  • Тоа го прави невозможно хакерот да го слуша вашиот мрежен сообраќај

Проблемот со „редовната“ команда FTP е што не е криптирана: сите преснимувања и преземања од и од серверот се пренесуваат како јасни податоци.

За да пристапите до FTP преку командна линија (ако сте корисник на Unix / Linux / Mac OS) можете да го користите

sftp [email protected]

или само да преземете бесплатна FTP програма која поддржува SFTP, како на пример FileZilla (отворен извор).

Совет #7 - Дознај повеќе за SQL Injection за заштита на вашиот сајт против него

Пазете се од овој незгоден метод на хакерирање, одржете ги ажурираните скрипти и веднаш контактирајте го развивачот на скрипти ако извршите повреда на безбедноста. Еве како да извршите едноставен тест:

  • Внесете го следниов SQL код во вашата веб-форма (корисничко име и лозинка):
    'ИЛИ' t '=' t '; -
    што станува, на SQL ниво:
    Избери * од корисници КАДЕ userid = 'admin' и лозинка = '' ИЛИ ​​'t' = 't'; - "
  • Дали ја враќа содржината на вашата база на податоци?

Кодот може да работи (велам „можеби“ затоа што би можеле да имате среќа да инсталирате многу безбедна скрипта) затоа што „t“ = „t“ е математички вистинска изјава, така што барањето SQL секогаш ќе се извршува. Еден хакер со знаење би можел да конструира многу сложени изјави за SQL за да ги постигне своите цели, затоа осигурете се да контактирате со развивачот на скрипти и да добиете помош ако скриптата што ја користите е лесно напаѓана. Или промена на скриптата.

БОНУС Совет #1 - редовно проверувајте ги дневникот на вашата административна табла

Оддел за логови на cPanel

Вашата административна табла (cPanel, Plesk, итн.) Има вградени алатки за анализа на сообраќајот, пристапни и безбедносни логови кои треба да ги следите барем еднаш неделно.

Ако користите cPanel, ви препорачувам да го проверите вашиот Аналогни статистики алатка секои два дена, бидејќи алатката покажува детални извештаи:

  • HTTP барања
  • Месечни / Дневни / Часовни извештаи за сообраќајната активност
  • Упатувачи, прелистувачи и оперативен систем за сообраќај

Логовите алатки се првите што треба да ги разгледате кога сметате дека вашиот веб-сајт е нападнат.

БОНУС Совет #2 - Изведување Би-неделни резервни копии

Резервна копија на секои две недели, или секоја недела, ако можете. Со приклучоци како Супсистички и iThemes Security, можете дури и да резервирате секој ден или на секои три дена. Она што се смета дека е постојано да превземате свежи копии од вашата содржина, подготвени да бидете вратени ако нешто лошо се случува на патот. Оваа статија ви покажа каков вид на напади може да помине вашата веб-страница и како да се борите и да ги спречите, но најсилното оружје е навистина ова: Резерва. Тоа е единствениот начин да ја вратите вашата веб-страница во првобитна состојба, како хакер никогаш да не може да ги игра своите валкани трикови.

Резиме

Значи, што треба да направите, во суштина?

  1. Дознај. Знаењето е моќ! Дознајте за криптографијата, DDoS и SQL Injection, скриптирање на странично место (XSS) и други видови на напади. Сè и сè што може да ви помогне да развиете целосен преглед на она што се случува кога вашата веб-страница ќе се пробие. Колку повеќе знаете, толку повеќе можете да направите за контра напади.
  2. Бидете во тек. Со надградби, алатки и скрипти се надградува. Оваа статија ја нагласи важноста на надградбата и ажурирањето на софтверот на вашиот сајт за да обезбеди поцврста заштита од напаѓачите.
  3. Врши редовни проверки и бекап. Ако резервна копија, можете да го направите!
  4. Извештај. Кога работите ќе излезат надвор од вашата контрола, пријавете ги проблемите до развивачите на скрипти, властите и вашиот домаќин. Тие можат да го сторат тоа што не можете.

Безбедносни трикови од софтверското инженерство

Софтверското инженерство е шармантно поле што секој добар инженер и компјутерски научник мора да научат за да аплицираат кога ќе развијат софтвер. Но, дали знаевте дека тоа функционира обратно, исто така? Вие - корисникот - може да ги користат концептите за софтверско инженерство за да направат интелегентни избори меѓу софтверскиот софтвер понуден од вас од програмери. Ти можеш:

  1. Разбирам дека грешка може да доведе до сериозно хакирање на вашите системи и загуба на податоци
  2. Дознајте за димензиите на 4 на доверливост и користете ги за ваша предност: достапност, сигурност, безбедност и безбедност
  3. Идентификувајте ги сите ваши можни безбедносни проблеми: губење на чувствителни / важни податоци, неуспех на одредени услуги, високи трошоци за реконструкција (време, пари).

Што треба да се запрашате пред да инсталирате и да користите скрипта?

Зависност. Може ли да му верувам на овој софтвер?

  • Достапност Дали скриптата е лесно достапна за мене? Дали нејзиниот развивач може да се обрати за да добиете помош од?
  • Сигурност Дали сценариото функционира добро? Дали има грешки или ми даде проблеми кога ги извршувам соодветните дејствија со моите цели?
  • Сигурност Дали дефекти и грешки сериозно влијаат врз безбедноста и перформансите?
  • безбедност Дали софтверот има вграден безбедносен модул? Дали е тоа нешто што можам да управувам?
  • Повторливост Ако нешто тргне наопаку, дали можам да управувам со тоа?
  • Одржување Дали можам да го одржувам овој софтвер сам?
  • Опстанок Дали софтверот се уште работи под напад? Може ли да се опоравам добро од нападот?

Табела за слаби страни

  • софтвер грешки; транспарентен пренос на податоци; грешки; јавни дневници
  • Човечки лозинки со ниска сила; незаштитени именици; откривање на чувствителни податоци; недостаток на систем за одржување и ажурирање / надградба

За Луана Спинетти

Луана Спинетти е слободен писател и уметник со седиште во Италија, и страсен студент по компјутерски науки. Има средношколска диплома по психологија и образование и присуствуваше на 3-годишен курс по уметност на стрипови, од каде дипломира на 2008. Како мулти-фацетирана личност како што е, таа разви голем интерес за SEO / SEM и Web Marketing, со посебен наклон кон социјалните медиуми, а работи на три романи на нејзиниот мајчин јазик (италијански), за која се надева дека инди објави наскоро.