Wskazówki 7, które pomogą zabezpieczyć twoją stronę przed hackowaniem ataków

Artykuł napisany przez:
  • Polecane artykuły
  • Zaktualizowano: maj 06, 2019

Sieć to nie tylko biznes. Codziennie zapisywane są miliardy stron i wpisów na blogu, co sekundę, przez właścicieli małych witryn i blogerów chcących podzielić się swoimi opiniami ze światem. Taki jest urok sieci: zapewnia miejsce dla każdego i dla każdego rodzaju projektu.

Niekończące się możliwości.

Ale Internet to także dzika dżungla: ukrywa niebezpieczeństwa na każdym rogu i nic, z czego korzystasz, nie jest nawet bliskie niezawodnej magii. Jeśli prowadzisz działalność online typu non-profit lub solo-preneur, w szczególności zdajesz sobie sprawę, że przeniesienie wszystkich transakcji do sieci może przełożyć się na dodatkową ostrożność w odniesieniu do Twoich usług.

Bezpieczeństwo jest naprawdę kluczowym aspektem, który należy uwzględnić przy planowaniu witryny: jak zabezpieczyć swoje treści i ciężko pracować przed atakującymi? Jak mogę zapewnić najlepszą możliwą obsługę? Są to pytania, które powinieneś zadać sobie za każdym razem, gdy aktualizujesz swoją stronę.

Dlaczego ten artykuł i dlaczego 7 Wskazówki?

Zabezpieczanie witryny w prosty, n00b sposób może być bardziej utopią niż rzeczywistością, ale to nie znaczy, że ktoś, kto nie jest programistą ani informatykiem, nie może zwiększyć bezpieczeństwa swojej witryny. Wybrałem siedem wskazówek, które są zarówno łatwe do zastosowania, jak i wystarczająco szczegółowe, aby wzbudzić twoją ciekawość w kwestiach bezpieczeństwa, dzięki czemu staniesz się - powoli, ale bezlitośnie - swoim własnym ekspertem w dziedzinie bezpieczeństwa w sieci. Wszystkie wskazówki dotyczą hakowania w sieci, a także przedstawię techniki, których możesz użyć do przetestowania swojej witryny pod kątem luk bezpieczeństwa. Nie martw się: nic zbyt trudnego do zrobienia, ale ważne jest, abyś zapoznał się z prostymi narzędziami i technikami, które mogą odpierać ataki dla własnego projektu. :)

Miłej zabawy!

Tip #1 - Wydaj trochę więcej mocy na hasła

Najważniejszą luką w zabezpieczeniach sieci jest używanie tego samego hasła w wielu witrynach lub usługach internetowych. Haker, który wymyśli jedno hasło, pozna wszystkie hasła i będzie miał łatwy dostęp do wszystkich danych, niezależnie od tego, czy jest to blog, czy konto PayPal. Przechowywanie listy haseł w formie papierowej lub pliku również nie jest bezpieczną alternatywą (chyba że zabezpieczysz swoje pliki hasłem), ponieważ ktoś, kto włamie się na komputer, uzyska łatwy dostęp do bazy danych.

Ale co, jeśli nie możesz wymyślić przyzwoitego hasła?

  1. Posługiwać się silny generator haseł aby wygenerować trudne do złamania hasło, w tym symbole alfanumeryczne i alternatywne. Im bardziej losowy lub pseudolosowy jest ciąg symboli (tj. Symbole hasła nie mają pamięci wewnętrznej, nie są ze sobą powiązane, więc każdy symbol ma równe szanse na pojawienie się po drugim), tym jest bezpieczniejszy.
  2. Posługiwać się Password Safe zapisać i zaszyfrować wszystkie hasła, które można odblokować, pamiętając hasło. Program korzysta z Algorytm Twofish do szyfrowania wszystkich haseł Password Safe jest projektem Open Source opracowanym przez firmę Bruce Schneier. Jeśli nie używasz systemu Windows, Hasło Gorilla jest prawidłową alternatywą dla bezpiecznego hasła opartą na otwartym źródle.

Oto widok z przodu programu Safe Safe z bazą danych o nazwie „Strony internetowe”:

Widok Bezpieczny widok hasła

Oto szczegóły pliku w bazie danych „Stron internetowych”:

Bezpieczny widok pliku haseł

Tip #2 - Dbaj o swoje skrypty

Powszechnie wiadomo, że skrypty stron internetowych i platformy CMS są podstawowym narzędziem ataków hakerskich. Jeśli hostujesz skrypty napisane w PHP, ASP i JavaScript, wiedz, że mogą one mieć dziury w zabezpieczeniach i błędy, które ich programiści mogli przeoczyć. Oprócz skontaktowania się z programistą natychmiast po wykryciu jednego z wyżej wymienionych problemów, istnieją nietechniczne metody, dzięki którym skrypty nie mogą cię uszkodzić:

  • Przeczytaj dokładnie dokument wersji skryptu: często zawiera szczegółowe informacje o poprawkach i poprawkach błędów
  • Wyświetl ostrzeżenia instalatora oprogramowania lub panelu administracyjnego, a nawet Google (za pośrednictwem Narzędzi dla webmasterów): jeśli chcesz zaktualizować lub edytować / usunąć plik, zrób to
  • Nie instaluj wszystkich istniejących wtyczek: najpierw sprawdź zgodność i uwagi dotyczące bezpieczeństwa.

Ponadto - i jest to chyba najważniejszy czynnik - zawsze aktualizuj skrypty i CMS. Najnowszy pakiet oprogramowania zwykle zawiera poprawki błędów i problemów związanych z poprzednią wersją.

Przykład: ostrzeżenie o aktualizacjach WordPress firmy Softaculous

Miękkie uaktualnienie Ostrzeżenie

Tip #3 - Wykonuj regularne sprawdzanie folderów i paneli administracyjnych

Czasami hakerzy wtrącają się na twoją stronę cicho, podstępnie jak koty, ale zostawiają za sobą katastrofy: sfałszowania witryny, pliki multimedialne zawierające wirusa, pliki wykonywalne i przekodowane strony internetowe. Sprawdzaj regularnie foldery, przynajmniej raz na dwa tygodnie, aby upewnić się, że nie ma nic złego w plikach. Jeśli zauważysz pliki, których nie rozpoznajesz, usuń je natychmiast. Jeśli to nie zadziała, skontaktuj się z usługodawcą internetowym i uzyskaj pomoc (to wtedy, gdy potrzebujesz dobrego hosta internetowego). W takich sprawach:

  • Zmień hasło panelu administracyjnego (i jeśli to możliwe, nazwę użytkownika)
  • Wykonaj sprawdzenie wszystkich plików, aby sprawdzić, czy zostały uszkodzone
  • Jeśli masz zainstalowany program antywirusowy, uruchom go.

Tip #4 - Bezpieczne uwierzytelnianie

Eksperci Web Security korzystają z wielu metod, aby zapewnić optymalne bezpieczeństwo systemów i transakcji internetowych, na których pracują: kryptografia klucza publicznego, łańcuchy zaufania, podpisy, SSL i TSL (Transport Layer Security). Chociaż zdecydowanie powinieneś dowiedzieć się czegoś o kryptografii, ważne jest, aby zacząć od nauki, jak korzystać z prostych narzędzi do uwierzytelniania wieloskładnikowego przygotowanych dla Ciebie przez ekspertów:

Dlaczego potrzebujesz wieloczynnikowe uwierzytelnianie? Ponieważ trzeba będzie znać swoją nazwę użytkownika, hasło ORAZ wykorzystanie - po rozrzuceniu tokena, aby uzyskać dostęp do swoich treści; w przeciwnym razie dostęp zostanie odrzucony.

Jeśli możesz, znajdź eksperta, który będzie Cię uczyć, gdy dowiesz się o bezpieczeństwie w Internecie lub skorzystaj z samouczków i kursów online.

Tip #5 - Uważaj na ataki DDoS

Ataki Denial of Service są szybko rozwijające się i niebezpieczne, wraz z przejęciem serwerów i wymianą usług na fałszywe.

Atak DDoS zmusza serwer do stanu, w którym normalne usługi nie działają, a cały system nie jest już dostępny dla użytkowników końcowych.

Co może spowodować atak DDoS?

  • Otwarta konfiguracja sieci
  • Błędne, niezaktualizowane aplikacje
  • Niezabezpieczona konfiguracja serwera
  • Brak konserwacji i / lub monitorowania aktywności sieci

Poinformuj swojego dostawcę Internetu o tej formie ataku i uzyskaj również informacje. To, co może zrobić host twojej strony, to skonfigurować każdy serwer z listą alternatywnych adresów DNS, więc gdy domyślny DNS stanie się niedostępny, cała strona będzie działała. Haker może odnieść sukces tylko wtedy, gdy zablokuje WSZYSTKIE serwery na liście - ciężka praca, nie sądzisz? Kolejnym środkiem zaradczym może być filtrowanie wszystkich przychodzących pakietów o nietypowym czasie i / lub z adresów IP wysokiego ryzyka. Twój komputer powinien mieć wiedzę na temat ataków Denial of Service, więc porozmawiaj z nimi na temat zapobiegania atakom DDoS.

Tip #6 - Bezpieczny dostęp do FTP dzięki SFTP

Nic dla ciebie nie zmienia, działa tak samo jak normalny FTP, ale SFTP lub Secure FTP ma wiele zalet, pod względem bezpieczeństwa:

  • Używa SSH do szyfrowania danych i poleceń podczas przesyłania plików
  • Używa kluczy publicznych serwera klienta do sprawdzania poprawności serwera po połączeniu, aby upewnić się, że nie jest to pośrednik
  • Uniemożliwia hakerom słuchanie ruchu sieciowego

Problem z „zwykłym” poleceniem FTP polega na tym, że nie jest on szyfrowany: wszystkie przesyłane i pobierane pliki do i z serwera są przesyłane jako czyste dane.

Aby uzyskać dostęp do FTP za pomocą wiersza poleceń (jeśli jesteś użytkownikiem systemu Unix / Linux / Mac OS), możesz użyć

sftp [chroniony przez e-mail]

lub po prostu pobierz darmowy program FTP obsługujący SFTP, na przykład fileZilla (otwarte źródło).

Tip #7 - Dowiedz się więcej o iniekcji SQL, aby chronić swoją witrynę przed nią

Uważaj na tę paskudną metodę hakowania, aktualizuj skrypty i natychmiast skontaktuj się z twórcą skryptu, jeśli dojdzie do naruszenia bezpieczeństwa. Oto jak przeprowadzić prosty test:

  • Wprowadź następujący kod SQL do formularza internetowego (nazwa użytkownika i hasło):
    "OR" t "=" t "; -
    który staje się na poziomie SQL:
    SELECT * FROM users WHERE userid = 'admin' AND password = '' OR 't' = 't'; - "
  • Czy zwraca zawartość bazy danych?

Kod może działać (mówię „może”, ponieważ możesz mieć szczęście, że zainstalowałeś bardzo bezpieczny skrypt), ponieważ „t” = „t” jest matematycznie prawdziwą instrukcją, więc żądanie SQL będzie zawsze wykonywane. Doświadczony haker może konstruować bardzo skomplikowane instrukcje SQL, aby osiągnąć swoje cele, dlatego skontaktuj się z twórcą skryptu i uzyskaj pomoc, jeśli skrypt, którego używasz, jest łatwy do zaatakowania. Lub zmień skrypt.

BONUS Tip #1 - Regularnie sprawdzaj dzienniki panelu administracyjnego

Sekcja dzienników cPanel

Twój panel administracyjny (cPanel, Plesk, itp.) Ma wbudowane narzędzia do analizy ruchu, logów dostępu i bezpieczeństwa, które powinieneś sprawdzać co najmniej raz w tygodniu.

Jeśli używasz cPanel, polecam sprawdzić Statystyki analogowe narzędzie co dwa dni, ponieważ narzędzie pokazuje szczegółowe raporty:

  • Żądania HTTP
  • Raporty miesięczne / dzienne / godzinowe aktywności ruchu
  • Strony odsyłające, przeglądarki i systemy operacyjne, z których pochodzi Twój ruch

Narzędzia do obsługi dzienników są pierwszymi, o których należy się zastanowić, gdy sądzisz, że Twoja witryna została zaatakowana.

BONUS Tip #2 - Wykonuj dwutygodniowe kopie zapasowe

Kopię zapasową co dwa tygodnie lub co tydzień, jeśli możesz. Z wtyczkami takimi jak Supsystyczny i iThemes Bezpieczeństwomożna nawet tworzyć kopie zapasowe codziennie lub co trzy dni. Liczy się to, że ciągle pobierasz nowe kopie swoich treści, gotowe do przywrócenia, jeśli coś złego dzieje się po drodze. W tym artykule pokazano, na jakie rodzaje ataków może się zmagać Twoja witryna, oraz jak walczyć z nimi i im zapobiegać, ale najsilniejszą bronią jest to: backup. Jest to jedyny sposób, aby przywrócić witrynę do pierwotnego stanu, tak jakby haker nigdy nie mógł zagrać w swoje brudne sztuczki.

Podsumowanie

Co zasadniczo musisz zrobić?

  1. Uczyć się. Wiedza to potęga! Dowiedz się o kryptografii, DDoS i SQL Injection, skryptach cross-site scripting (XSS) i innych rodzajach ataków. Wszystko i wszystko, co może pomóc Ci uzyskać pełny obraz tego, co dzieje się, gdy Twoja witryna zostanie zhakowana. Im więcej wiesz, tym więcej możesz zrobić, aby kontratakować.
  2. Być na bieżąco. Dzięki nowym odkryciom, narzędziom i skryptom. W tym artykule podkreślono znaczenie aktualizacji i aktualizacji oprogramowania witryny, aby zapewnić bardziej solidną ochronę przed atakującymi.
  3. Wykonuj regularne kontrole i kopie zapasowe. Jeśli tworzysz kopię zapasową, możesz przywrócić!
  4. Raport. Gdy sprawy wymkną się spod kontroli, zgłoś problemy twórcom skryptów, władzom i hostowi. Mogą robić to, czego nie możesz.

Sztuczki bezpieczeństwa od inżynierii oprogramowania

Inżynieria oprogramowania jest uroczą dziedziną, którą każdy dobry inżynier i informatyk musi nauczyć się stosować, gdy tworzą oprogramowanie. Ale czy wiesz, że działa to również w drugą stronę? Ty - użytkownik - możesz korzystać z koncepcji inżynierii oprogramowania, aby dokonywać inteligentnych wyborów między oprogramowaniem witryny oferowanym przez programistów. Możesz:

  1. Zrozum, że błąd może doprowadzić do poważnego włamania się do twoich systemów i utraty danych
  2. Poznaj zalety niezawodności 4 i wykorzystaj je na swoją korzyść: dostępność, niezawodność, bezpieczeństwo i bezpieczeństwo
  3. Określ wszystkie możliwe obawy związane z bezpieczeństwem: utrata ważnych danych / ważnych danych, awaria niektórych usług, wysokie koszty rekonstrukcji (czas, pieniądze).

Co powinieneś zadać sobie przed instalacją i używaniem skryptu?

Rzetelność. Czy mogę ufać temu oprogramowaniu?

  • Dostępność Czy skrypt jest łatwo dostępny? Czy jego programista może się z nim skontaktować, aby uzyskać pomoc?
  • niezawodność Czy skrypt działa dobrze? Czy ma błędy lub daje mi problemy, gdy wykonuję odpowiednie akcje dla moich celów?
  • Bezpieczeństwo Czy usterki i błędy poważnie wpływają na bezpieczeństwo i wydajność?
  • Bezpieczeństwo Czy oprogramowanie ma wbudowany moduł zabezpieczeń? Czy to coś, co mogę poradzić sobie?
  • Naprawa Jeśli coś pójdzie nie tak, czy mogę to zrobić?
  • Łatwość utrzymania Czy mogę samodzielnie zarządzać tym oprogramowaniem?
  • Przetrwanie Czy oprogramowanie będzie nadal działać w ataku? Czy mogę dobrze wyzdrowieć po ataku?

Tabela usterek

  • Oprogramowanie robaki; przejrzysta transmisja danych; błędy; dzienniki publiczne
  • Człowiek hasła o niskiej wytrzymałości; niezabezpieczone katalogi; ujawnianie poufnych danych; brak konserwacji systemu i aktualizacji / aktualizacji

O Luanie Spinetti

Luana Spinetti jest niezależną pisarką i artystką mieszkającą we Włoszech oraz pasjonatką informatyki. Ma dyplom ukończenia szkoły średniej w dziedzinie psychologii i edukacji oraz uczestniczyła w kursie sztuki komiksu w ciągu 3, od którego ukończyła studia 2008. Jako wielopłaszczyznowa osoba, tak jak ona, rozwinęła duże zainteresowanie SEO / SEM i Web Marketing, ze szczególnym uwzględnieniem Social Media, i pracuje nad trzema powieściami w języku ojczystym (włoskim), które ma nadzieję indie wkrótce publikuje.