Strona główna / Blog WHSR / Praktyczne potrzeby związane z bezpieczeństwem strony internetowej: rzeczy 6 niezbędne do zabezpieczenia witryny
Praktyczne potrzeby związane z bezpieczeństwem strony internetowej: rzeczy 6 niezbędne do zabezpieczenia witryny
Aktualizacja: 17 listopada 2020 r. / Artykuł: Timothy Shim
Mając ponad miliard stron internetowych w Internecie dzisiaj, jako właściciel jednej z tych stron, możesz myśleć, że nie ma zbyt dużej szansy, że cyberprzestępca może celować w twoją. Zanim jednak do tego dojdziemy, cofnijmy się na chwilę i zastanówmy się, co oznacza dla Ciebie Twoja witryna.
Jako osoba fizyczna możesz po prostu posiadać prywatna strona internetowa or nawet mały biznes online które uważasz za znikome. Wszystko ma swoją wartość, a nawet mała strona zawiera jakieś dane. Być może nazwa użytkownika i hasło używane we wszystkich kontach online? Jeśli posiadasz małą firmę, Twoja strona reprezentuje Twoją markę i reputację, a także mnóstwo cenniejszych informacji, które nie tylko należą do Ciebie, ale także do Twoich klientów.
Jeśli natknąłeś się na artykuły z Forbes, The Economist lub jakakolwiek liczba firm zajmujących się bezpieczeństwem w Internecie, które są tam dzisiaj, jest wysoce prawdopodobne, że znasz pojęcie „Data is the new Oil”. Stało się jednym z najcenniejszych zasobów dostępnych dziś online (i stąd widzimy wzrost VPN) i tak jak wszystko, może zostać skradziony i wymieniony lub wymieniony.
Cyberprzestępcy nie będą przejmować się, czy twoja strona internetowa jest niewielka, używają narzędzi, które uruchamiają bezpłatne testowanie każdej witryny, z którą się spotykają, po prostu zbierając informacje. Jeśli nie mogą wykorzystać tych informacji, zawsze mogą sprzedać je komuś innemu, kto może.
Ponieważ większość z nas fizycznie nie posiada i nie konserwuje tego sprzętu hostujemy nasze strony internetowe, przyjrzymy się niefizycznym aspektom bezpieczeństwa witryny. Dotyczy to dwóch głównych obszarów; 1) zabezpieczenie samej strony internetowej i 2) zabezpieczenie danych, które przekazują ci klienci.
Pamiętaj, że każdy, kto odwiedza Twoją witrynę, może być uważany za klienta, a nie tylko tych, którzy robią zakupy od Ciebie.
1. Zachowaj swoje skrypty i narzędzia na bieżąco
Upewnij się, że Twoja witryna i wszystkie inne skrypty są aktualne. Każde oprogramowanie znane ludzkości jest wydawane z błędami i możliwymi lukami w zabezpieczeniach. Nawet te, które są aktualizowane, będą miały te luki. Wystarczy jedna luka, a cyberprzestępcy będą mogli uzyskać dostęp. Zapewniając regularne aktualizacje, zmniejsza się ryzyko wykorzystania luki w zabezpieczeniach.
Jest to szczególnie ważne dla tych, którzy używają narzędzi internetowych, które są otwarte. Z samej swojej natury narzędzia open source narażają na niebezpieczeństwo tych, którzy szukają exploitów. Aby temu zaradzić, istnieje wiele narzędzi, dzięki którym możesz sprawdzić.
Spróbować
Zeskanuj mój serwer oferuje bezpłatną usługę testowania bezpieczeństwa, którą możesz wypróbować. Wystarczy wpisać adres URL witryny, aby ułatwić skanowanie w poszukiwaniu słabych punktów zabezpieczeń, takich jak skrypty krzyżowe, iniekcje SQL i wiele innych luk. Pierwsza skanowana strona jest bezpłatna, ale jeśli masz więcej niż jedną, jest pobierana niewielka opłata.
Inną opcją jest Inspektor sieci, chociaż jest to znacznie bardziej ograniczone. Web Inspector pomoże skanować w poszukiwaniu złośliwego oprogramowania, które może infekować twój kod. Niestety ogranicza się do skanowania pojedynczej strony na raz. Narzędzie jest jednak całkiem dobre, zostało opracowane przez firmę ochroniarską COMODO, który jest specjalistą w dziedzinie zabezpieczeń internetowych.
2. Wymyśl bezpieczne hasła
Wybieraj mądrze swoje hasła, nie tylko po to, aby je zapamiętać
Nie pamiętam nawet, ile razy ten problem już się pojawił, ale z jakiegoś powodu tak wielu użytkowników wymyśliło hasła, które cyberprzestępcy mogą nawet odgadnąć, jeśli zechcą.
Narzędzia hakerskie są dziś tak wyrafinowane, że cyfrowe hasła PIN-ów z 6-u są teraz żartem. Wymyśl hasło, które łączy wielkie i małe litery, znaki specjalne i cyfry.
Jeśli NAPRAWDĘ nie zapamiętasz swoich haseł, spróbuj użyć menedżera haseł, aby pomóc Ci śledzić.
Pamiętaj jednak, że znowu są to aplikacje i jako takie mogą zostać również zhakowane.
Wiele osób nadal nie wie o HTTP i SSL, ale jako właściciel witryny jest to ważne.
Dla tych, którzy prowadzą sklepy internetowe lub wykonują transakcje dla klientów online, SSL nie jest opcjonalny. Certyfikaty SSL można uzyskać z wielu źródeł ale najlepiej jest zdobyć jedną z renomowanych dostawców, takich jak SSL.com.
Alternatywnie, wielu dostawców usług hostingowych, takich jak A2HostingSiteGround działa również jako odsprzedawca zewnętrzny i może je sprzedać.
Digicert specjalizuje się w certyfikatach SSL i oferuje różne opcje
Nawet niektóre strony internetowe banków nie są bezpieczne i wiele przeglądarek rozpoznaje to teraz!
Spróbować
SSL.com jest w biznesie już blisko 20 lat. Firma dostarcza certyfikaty SSL do głównych organizacji, takich jak Cisco i HP.
4. Zrób kopię zapasową swoich plików
Bez względu na to, jak my, zawsze istnieje taka możliwość prawo Murphy'ego pojawiające się i podczas gdy to tylko jest do bani, pomaga przygotować się. Zachowanie co najmniej dwóch zestawów kopii zapasowych jest idealne, jedno na miejscu i jedno poza nim. Ważne jest, aby dane były stałe, aby zapewnić ciągłość działania w przypadku jakiegokolwiek ataku lub nawet uszkodzenia plików. Należy pamiętać, że dotyczy to również informacji w bazie danych, a nie tylko plików witryny.
Ponownie, wielu dostawców usług hostingowych oferuje dziś tę usługę. Niektóre wykonują podstawowe kopie zapasowe za darmo, ale jeśli reputacja firmy zależy od witryny, dobrym pomysłem może być rozważenie bardziej kompleksowych planów.
5. Dbaj o bezpieczeństwo swoich klientów
Cyfrowe stulecie to taki, który składa się z wielkich postępów technologicznych, ale oznacza to, że digitalizacja ludzi sprawia, że coraz więcej informacji osobistych przenosi się do sieci. Jako firma Twoim obowiązkiem jest zapewnienie, że pomożesz im zachować poufne i bezpieczne informacje, które ci udostępniłeś. Dotyczy to nie tylko informacji o płatnościach, takich jak numery kart kredytowych, ale także informacji osobistych, w tym nazwisk, numerów identyfikacyjnych i tak dalej.
To jest to, co częściowo omówiliśmy wcześniej o SSL. SSL, lub Secure Socket Layer jest tym, co zapewnia bezpieczeństwo informacji podczas transmisji z jednego punktu do drugiego. Niestety protokół SSL zapewnia bezpieczeństwo transmisji. Nadal musisz upewnić się, że jest on zabezpieczony, gdy dotrze do Twojej strony internetowej!
Jeśli to możliwe, nie przechowuj poufnych danych, jeśli nie jest to konieczne.
Ponieważ jest to praktycznie niemożliwe, tutaj pojawia się szyfrowanie. Niektóre platformy, takie jak WordPress, są wyposażone w szyfrowanie haseł dla kont użytkowników i innych informacji. To jest podstawowe, ale nie idealne. Jeśli prowadzisz własną stronę internetową na własnym serwerze, istnieje wiele sposobów samodzielnego skonfigurowania szyfrowania. Dla tych, którzy wynajmują miejsce na serwer hostingowy, jest to miejsce, w którym musisz wrócić do swojego dostawcy hostingu.
6. Zabezpiecz transmisję danych za pomocą VPN
Chociaż istnieje wiele opcji, w których występuje szyfrowanie lub inne zabezpieczenia, nie ma żadnej innej opcji, która lepiej zabezpiecza transmisję danych niż usługa VPN (dowiedz się więcej na ten temat w naszym Przewodnik VPN). Ci wspaniali dostawcy usług mają na celu zapewnienie, że Twoje dane są kierowane bezpiecznymi kanałami i wysoce szyfrowane.
Dzięki pojedynczej subskrypcji zawsze dostępnych usług, takich jak NordVPN or RitaVPN, możesz upewnić się, że wszelkie poufne informacje, które wysyłasz lub otrzymujesz, takie jak hasła, e-maile biznesowe, oferty i inne są bezpieczne. Jest to bardzo ważne dla właścicieli witryn, którzy są bardzo mobilni, ponieważ połączenia Wi-Fi są takie notorycznie niebezpieczne.
Inne opcje zwiększania bezpieczeństwa witryny
Nawet najlepsze plany bezpieczeństwa, które planujesz, nie mogą powstrzymywać cyberprzestępców. Jeśli myśl, że musisz przejść przez wszystkie powyższe kroki, aby zachować bezpieczeństwo, zaczyna cię boleć, nie martw się, są inne opcje.
Obecnie istnieje wiele sposobów, w których można uzyskać pomoc od ekspertów za ułamek ceny, którą kiedyś kosztował. Rzućmy okiem na trzy firmy zajmujące się ochroną stron: Securi, Incapsula i Cloudflare.
1. Sucuri
Sucuri jest bardzo renomowanym dostawcą usług bezpieczeństwa sieci i oferuje całą gamę usług od tak niskiej ceny jak US16.99 miesięcznie. Za miesięczną opłatę, Sucuri oferuje wszystko, od bezpieczeństwa strony internetowej i monitorowania aż po plan przywracania po awarii. Kompletny spokój ducha zawinięty w jeden miły, bezpieczny pakiet.
Incapsula jest podobna do Sucuriego i oferuje podobne rozwiązania zarówno dla Sucuri, jak i Cloudflare, ale plany cenowe wydają się mniej uporządkowane. Nie ma żadnych bezpośrednich poziomów, a ceny są oparte na zapytaniach ofertowych. Każdy produkt Incapsula wydaje się być pojedynczym komponentem, więc ci, którzy mają nadzieję na rozsądnie wycenione rozwiązanie "wszystko w jednym", musieliby szukać gdzie indziej.
Cloudflare jest bardziej znany z reputacji jako Sieć dystrybucji treści (CDN), co przede wszystkim przyczyniło się do wypracowania solidnej nazwy w zabezpieczaniu witryn klientów przed atakami Distributed Denial of Service (DDoS). Ponownie, podobnie jak Incapsula, warstwy cenowe Cloudflare są raczej niejasne.
Od prostych rozwiązań typu "zrób to sam", aż po dedykowane firmy zajmujące się bezpieczeństwem sieciowym, jest tak wiele opcji dostępnych dla właścicieli witryn, że szczerze mówiąc, ignorowanie problemu to zaniedbanie karne. Kwestia wysokich cen jest również przeszłością, a prawie wszystkie firmy dzisiaj powinny być w stanie pozwolić sobie przynajmniej na podstawowe rozwiązania w zakresie bezpieczeństwa.
Przede wszystkim zacznij od swojego usługodawcy hostingowego, który jest podstawową platformą dla Twojej witryny. Upewnij się, że wybrałeś hosta, który jest w stanie zaoferować Ci odpowiednie narzędzia, a nie tylko dążyć do najtańszej opcji.
Timothy Shim jest pisarzem, redaktorem i tech geekiem. Rozpoczynając karierę w dziedzinie technologii informatycznych, szybko znalazł drogę do druku i od tego czasu współpracował z międzynarodowymi, regionalnymi i krajowymi tytułami medialnymi, takimi jak ComputerWorld, PC.com, Business Today i The Asian Banker. Jego wiedza specjalistyczna dotyczy technologii zarówno z punktu widzenia konsumenta, jak i przedsiębiorstwa.