Tips 7 untuk Membantu Mengamankan Laman Web Anda Terhadap Serangan Hacking

Artikel yang ditulis oleh:
  • Artikel Pilihan
  • Dikemaskini: Boleh 06, 2019

Web bukan hanya tentang perniagaan. Berbilion halaman dan entri blog ditulis setiap hari, setiap saat, oleh pemilik laman web kecil dan blogger yang ingin berkongsi pandangan mereka dengan dunia. Itulah keunggulan Web: ia menyediakan ruang untuk semua orang, dan untuk apa-apa jenis projek.

Kemungkinan tidak berkesudahan.

Tetapi Internet juga merupakan hutan liar: ia menyembunyikan bahaya di setiap sudut dan tiada apa yang anda gunakan adalah semata-mata dekat dengan sihir palsu. Sekiranya anda menjalankan perniagaan bukan keuntungan atau perniagaan solo secara online, khususnya, anda menyedari bahawa memindahkan semua urus niaga ke Web boleh diterjemahkan menjadi lebih berhati-hati dalam hal perkhidmatan anda.

Keselamatan adalah aspek yang sangat penting untuk dipertimbangkan apabila anda merancang laman web anda: bagaimana saya dapat menjamin kandungan dan kerja keras saya terhadap penyerang? Bagaimanakah saya dapat memberikan pengalaman pengguna yang terbaik? Ini adalah soalan yang anda harus tanya diri anda setiap kali anda mengemas kini laman web anda.

Kenapa Artikel Ini dan Kenapa Tips 7?

Mengamankan laman web anda dengan mudah, cara n00b-ish boleh menjadi lebih utopia daripada realiti, tetapi itu tidak bermakna seseorang yang bukan seorang programmer atau saintis komputer tidak dapat menambah beberapa keselamatan ke laman web mereka. Saya memilih tujuh petua yang mudah digunakan dan cukup mendalam untuk menggelitik rasa ingin tahu anda mengenai isu-isu keselamatan, supaya ANDA akan menjadi - perlahan-lahan tetapi tanpa henti - pakar keselamatan web anda sendiri. Semua tip khusus untuk penggodaman web dan saya juga akan memperkenalkan teknik yang boleh anda gunakan untuk menguji laman web anda untuk lubang keselamatan. Jangan risau: tidak ada yang terlalu sukar untuk dilakukan, tetapi penting untuk anda mengenali alat dan teknik mudah yang boleh menangkis serangan, demi kepentingan projek anda. :)

Bersenang-senang!

Petua #1 - Luangkan Lebih Banyak Kuasa Minda Pada Kata Laluan Anda

Lubang nombor satu web adalah penggunaan kata laluan yang sama di lebih banyak laman web atau perkhidmatan web. Seorang penggodam yang mendapat tahu satu kata laluan akan menentukan semua kata laluan anda dan akan mempunyai akses mudah ke semua data anda, sama ada blog anda atau akaun PayPal anda. Menyimpan senarai kata laluan anda di atas kertas atau fail bukanlah alternatif yang selamat sama ada (melainkan jika anda melindungi kata laluan fail anda) kerana seseorang yang menggodam komputer anda akan mendapat akses mudah ke pangkalan data anda.

Tetapi bagaimana jika anda tidak boleh menggunakan kata laluan yang layak?

  1. Penggunaan penjana kata laluan yang kuat untuk menghasilkan kata laluan sulit untuk retak, termasuk simbol alfanumerik dan alternatif. Rawak simbol-simbol yang lebih rawak atau pseudo-rawak adalah (iaitu simbol kata laluan tidak mempunyai ingatan dalaman, mereka tidak berkaitan satu sama lain, jadi setiap simbol mempunyai peluang yang sama untuk datang selepas yang lain), lebih selamat lagi.
  2. Penggunaan Kata laluan Selamat untuk menyimpan dan menyulitkan semua kata laluan anda, yang boleh dibuka dengan mengingati frasa laluan. Program ini menggunakan Algoritma Twofish untuk menyulitkan semua kata laluan Password Safe adalah projek sumber terbuka Windows yang dibangunkan oleh Bruce Schneier. Sekiranya anda tidak menggunakan Windows, Kata laluan Gorilla adalah alternatif sumber terbuka sah untuk Kata Laluan Selamat.

Berikut adalah pandangan depan Kata Laluan Selamat dengan pangkalan data bernama 'Laman Web':

Pandangan Program Selamat Kata Laluan

Inilah butiran fail di dalam pangkalan data 'Laman web':

Pandangan Fail Safe Password

Petua #2 - Bawa Baiklah Dari Skrip Anda

Sudah tentu diketahui bahawa skrip laman web dan platform CMS adalah kenderaan utama serangan hacking. Jika anda mengehos skrip yang ditulis dalam PHP, ASP dan JavaScript, tahu bahawa mereka mungkin mempunyai lubang keselamatan dan pepijat yang mungkin diabaikan oleh pemaju mereka. Selain daripada menghubungi pemaju sebaik sahaja ia menemui salah satu daripada isu yang disebutkan di atas, terdapat kaedah bukan teknikal yang anda boleh gunakan untuk memastikan skrip anda tidak akan merosakkan anda:

  • Baca dokumen versi skrip anda dengan teliti: ia sering mengandungi butiran mengenai patch dan pepijat
  • Senaraikan kepada peringatan pemasang perisian atau panel pentadbiran anda atau juga peringatan Google (melalui Alat Webmaster): jika anda perlu mengemas kini atau mengedit / membuang fail, lakukan
  • Jangan pasang setiap plugin yang ada: semak keserasian dan nota keselamatan dahulu.

Juga - dan ini mungkin merupakan faktor yang paling penting - selalu, sentiasa menyimpan skrip dan CMS yang terkini. Pakej perisian terkini biasanya mengandungi patch untuk pepijat dan isu keselamatan versi sebelumnya.

Contoh: Meningkatkan peringatan WordPress dari Softaculous

Amaran Naik Taraf Lembut

Petua #3 - Melakukan Pemeriksa Panel Folder Biasa dan Pentadbiran

Kadang-kadang penggodam mencerobohi laman web anda secara senyap-senyap, licik sebagai kucing, tetapi mereka meninggalkan bencana di belakang: spoofs tapak, fail media yang mengandungi virus, boleh laku dan halaman web yang direkodkan. Semak folder anda dengan kerap, sekurang-kurangnya sekali setiap dua minggu, untuk memastikan tiada apa-apa yang salah dengan fail anda. Sekiranya anda melihat fail yang anda tidak kenali, keluarkannya dengan segera. Sekiranya itu tidak berfungsi, hubungi hos web anda dan dapatkan bantuan (ini adalah apabila anda memerlukan web hosting yang paling baik). Dalam kes sedemikian:

  • Tukar kata laluan panel pentadbiran anda (dan nama pengguna, jika boleh)
  • Lakukan pemeriksaan semua fail untuk melihat jika mereka telah rosak
  • Sekiranya anda memasang antivirus, jalankannya.

Tip #4 - Pengesahan Selamat

Pakar Keselamatan Web memanfaatkan banyak kaedah untuk memberikan keselamatan yang optimum kepada sistem dan transaksi web yang mereka kerjakan: kriptografi kunci awam, rantai kepercayaan, tandatangan, SSL dan TSL (Keselamatan Layer Transport). Walaupun anda sememangnya perlu mempelajari sesuatu tentang kriptografi, penting untuk bermula dengan mempelajari cara menggunakan alat pengesahan multi-faktor sederhana yang disiapkan untuk anda oleh pakar:

Kenapa anda perlukan pengesahan pelbagai faktor? Kerana ia akan mengambil tahu nama pengguna anda, kata laluan DAN penggunaan anda-sekali kemudian-buang token untuk mendapatkan akses kepada kandungan anda; sebaliknya, akses akan dinafikan.

Sekiranya anda boleh, temui seorang pakar untuk memberi bimbingan kepada anda semasa anda belajar mengenai keselamatan web, atau menggunakan tutorial dan kursus dalam talian.

Petua #5 - Berhati-hati dengan serangan DDoS

Serangan Penafian Perkhidmatan adalah berkembang pesat dan berbahaya, bersama-sama dengan rampasan pelayan dan penggantian perkhidmatan anda dengan orang-orang yang menipu.

Serangan DDoS memaksa pelayan dalam keadaan di mana perkhidmatan biasanya tidak berfungsi, dan keseluruhan sistem tidak lagi tersedia untuk pengguna akhir.

Apa yang boleh menyebabkan serangan DDoS?

  • Konfigurasi rangkaian terbuka
  • Aplikasi yang tidak disempurnakan dan tidak ditingkatkan
  • Konfigurasi pelayan tidak selamat
  • Tiada penyelenggaraan dan / atau pemantauan aktiviti rangkaian

Maklumkan ISP anda tentang bentuk serangan ini dan dapatkan maklumat juga. Apa yang boleh dilakukan oleh hos laman web anda ialah mengkonfigurasi setiap pelayan dengan senarai alamat DNS alternatif, jadi apabila DNS lalai menjadi tidak tersedia, seluruh laman web masih berfungsi. Seorang penggodam hanya boleh berjaya dalam tindakannya apabila dia dapat menghalang SEMUA pelayan dalam senarai - pekerjaan yang sukar, tidakkah anda berfikir? Satu lagi langkah balas boleh menjadi penapisan semua paket yang masuk dengan masa yang tidak biasa dan / atau dari alamat IP berisiko tinggi. Hos anda perlu berpengetahuan tentang serangan Denial of Service, jadi berbincang dengan mereka mengenai pencegahan DDoS.

Tip #6 - Akses FTP Selamat Dengan SFTP

Tiada apa-apa perubahan untuk anda, ia berfungsi sama seperti FTP biasa, tetapi SFTP, atau Secure FTP, datang dengan banyak manfaat, bijak keselamatan:

  • Ia menggunakan SSH untuk menyulitkan data dan perintah semasa pemindahan fail
  • Ia menggunakan kunci awam pelayan klien untuk mengesahkan pelayan apabila sambungan, untuk memastikan ia bukan perantara
  • Ia menjadikannya mustahil untuk penggodam untuk mendengar trafik rangkaian anda

Masalah dengan perintah 'biasa' FTP adalah bahawa ia tidak disulitkan: semua muat naik dan muat turun ke dan dari pelayan dihantar sebagai data yang jelas.

Untuk mengakses FTP melalui baris arahan (jika anda adalah pengguna Unix / Linux / Mac OS), anda boleh menggunakannya

sftp [email protected]

atau hanya memuat turun program FTP percuma yang menyokong SFTP, seperti FileZilla (sumber terbuka).

Petua #7 - Belajar Mengenai Suntikan SQL Untuk Melindungi Laman Anda Melawan Ia

Berhati-hati dengan kaedah hacking jahat ini, pastikan skrip anda terkini dan segera hubungi pemaju skrip jika anda menghadapi pelanggaran keselamatan. Inilah cara untuk menjalankan ujian mudah:

  • Masukkan kod SQL berikut ke dalam borang web anda (nama pengguna dan kata laluan):
    'ATAU' t '=' t '; -
    yang menjadi, pada tahap SQL:
    SELECT * FROM users WHERE userid = 'admin' AND password = '' OR 't' = 't'; - '
  • Adakah ia mengembalikan kandungan pangkalan data anda?

Kod ini mungkin berfungsi (saya katakan 'mungkin' kerana anda bernasib baik kerana telah memasang skrip yang sangat selamat) kerana 't' = 't' adalah kenyataan matematik yang benar, jadi permintaan SQL akan sentiasa dilaksanakan. Seorang penggodam yang berpengetahuan boleh membina kenyataan SQL yang sangat rumit untuk mencapai matlamatnya, jadi pastikan untuk menghubungi pemaju skrip dan dapatkan bantuan jika skrip yang anda gunakan mudah diserang. Atau ubah skrip.

Petua BONUS #1 - Sentiasa Semak Log Panel Pentadbiran Anda

cPanel Logs Section

Panel pentadbiran anda (cPanel, Plesk, dan lain-lain) dilengkapi dengan alat terbina dalam untuk analisis lalulintas, akses dan log keselamatan yang perlu anda perhatikan sekurang-kurangnya sekali seminggu.

Sekiranya anda menggunakan cPanel, saya mencadangkan supaya anda menyemak Statistik Analog alat setiap dua hari, sebagai alat menunjukkan laporan terperinci satu:

  • Permintaan HTTP
  • Laporan trafik harian / harian / jam
  • Rujukan, Pelayar dan OS trafik anda berasal

Alat log adalah yang pertama yang perlu anda lihat apabila anda percaya laman web anda telah diserang.

Petua BONUS #2 - Melakukan Penyediaan Bi-Mingguan

Cadangan setiap dua minggu, atau setiap minggu, jika boleh. Dengan plugin seperti Supsystic dan iThemes Keselamatan, anda juga boleh membuat sandaran setiap hari atau setiap tiga hari. Apa yang penting ialah anda sentiasa memuat turun salinan kandungan anda yang baru, bersedia untuk dipulihkan jika sesuatu yang buruk berlaku di sepanjang jalan. Artikel ini menunjukkan kepada anda apa jenis serangan laman web anda boleh menjalani, dan bagaimana untuk melawan dan menghalang mereka, tetapi senjata terkuat anda benar-benar ini: Backup. Ini satu-satunya cara untuk memulangkan laman web anda kepada keadaan asalnya, seolah-olah penggodam tidak boleh memainkan helah kotornya.

Ringkasan

Jadi, apa yang perlu anda lakukan, pada asasnya?

  1. Belajarlah. Pengetahuan adalah kuasa! Ketahui mengenai kriptografi, DDoS dan Suntikan SQL, skrip silang tapak (XSS) dan jenis serangan lain. Segala-galanya dan apa sahaja yang dapat membantu anda mengembangkan penglihatan lengkap tentang apa yang terjadi ketika laman web anda diretas. Semakin banyak yang anda tahu, lebih banyak yang anda boleh lakukan untuk melawan serangan.
  2. Ikuti perkembangan terkini. Dengan penemuan, alat dan peningkatan skrip. Artikel ini menekankan pentingnya peningkatan dan pengemaskinian perisian tapak anda untuk memastikan perlindungan yang lebih kukuh terhadap penyerang.
  3. Lakukan pemeriksaan dan backup secara berkala. Sekiranya anda membuat sandaran, anda boleh mengembalikannya!
  4. Melaporkan. Apabila perkara keluar dari kawalan anda, laporkan isu kepada pemaju skrip, pihak berkuasa, dan hos anda. Mereka boleh melakukan apa yang anda tidak boleh.

Trik Keselamatan Daripada Kejuruteraan Perisian

Kejuruteraan Perisian adalah bidang yang menarik bahawa setiap saintis yang baik dan saintis komputer mesti belajar mengenainya apabila mereka membangunkan perisian. Tetapi adakah anda tahu ia berfungsi sebaliknya? Anda - pengguna - boleh menggunakan konsep Kejuruteraan Perisian untuk membuat pilihan pintar di antara perisian tapak yang ditawarkan kepada anda daripada pemaju. Awak boleh:

  1. Memahami bahawa bug boleh membawa kepada penggodaman teruk sistem dan kehilangan data anda
  2. Ketahui mengenai dimensi 4 kebolehpercayaan dan gunakannya untuk kelebihan anda: ketersediaan, kebolehpercayaan, keselamatan, dan keselamatan
  3. Kenal pasti semua kebimbangan keselamatan anda: kehilangan data sensitif / penting, kegagalan perkhidmatan tertentu, kos pembinaan semula yang tinggi (masa, wang).

Apa yang Harus Anda Tanya Diri Sebelum Memasang dan Menggunakan Skrip?

Ketergantungan. Bolehkah saya mempercayai perisian ini?

  • ketersediaan Adakah skrip boleh didapati dengan mudah? Adakah pembangunnya dihubungi untuk mendapatkan bantuan daripada?
  • Kebolehpercayaan Adakah skrip berfungsi dengan baik? Adakah ia mempunyai pepijat atau memberi saya masalah apabila saya melakukan tindakan yang berkaitan dengan matlamat saya?
  • keselamatan Adakah malfungsi dan pepijat teruk menjejaskan keselamatan dan prestasi?
  • Keselamatan Adakah perisian mempunyai modul keselamatan terbina dalam? Adakah sesuatu yang saya boleh uruskan?
  • Kebolehpercayaan Sekiranya ada masalah, bolehkah saya menguruskannya?
  • Pemeliharaan Adakah saya dapat mengekalkan perisian ini dengan saya sendiri?
  • Survival Adakah perisian ini masih berfungsi di bawah serangan? Bolehkah saya pulih dengan baik dari serangan?

Jadual Kerentanan

  • perisian pepijat; penghantaran data telus; kesilapan; log awam
  • Manusia kata laluan kekuatan rendah; direktori yang tidak dilindungi; pendedahan data sensitif; kekurangan penyelenggaraan sistem dan kemas kini / naik taraf

Mengenai Luana Spinetti

Luana Spinetti adalah penulis lepas dan artis berpangkalan di Itali, dan pelajar Sains Komputer yang penuh semangat. Beliau mempunyai diploma sekolah tinggi di Psikologi dan Pendidikan dan menghadiri kursus 3 tahun dalam Comic Book Art, dari mana dia lulus di 2008. Sebagai seorang yang berwibawa, dia mengembangkan minat dalam SEO / SEM dan Pemasaran Web, dengan kecenderungan tertentu untuk Media Sosial, dan dia bekerja di tiga novel dalam bahasa ibunya (bahasa Itali), yang dia berharap untuk indie terbit tidak lama lagi.