Советы 7 по защите вашего сайта от хакерских атак

Статья написана:
  • Избранные статьи
  • Обновлено: май 06, 2019

Интернет это не только бизнес. Миллиарды страниц и записей в блоге пишутся каждый денькаждую секунду владельцами небольших веб-сайтов и блоггерами, которые хотят поделиться своими взглядами с миром. В этом прелесть Интернета: он предоставляет пространство для всех и для любого проекта.

Безграничные возможности.

Но Интернет - это также дикие джунгли: он скрывает опасности на каждом углу, и ничто из того, что вы используете, даже близко не подходит к защите от дурака. В частности, если вы ведете некоммерческий или индивидуальный бизнес в Интернете, вы понимаете, что перемещение всех транзакций в Интернет может привести к особой осторожности в отношении ваших услуг.

Безопасность - это действительно важный аспект, который следует учитывать при планировании вашего сайта: как я могу защитить свой контент и тяжелую работу против злоумышленников? Как я могу обеспечить наилучший пользовательский интерфейс? Это вопросы, которые вы должны задавать себе каждый раз, когда вы обновляете свой сайт.

Почему эта статья и почему 7 Tips?

Защита вашего сайта простым, n00b-ish способом может быть более утопией, чем реальностью, но это не значит, что кто-то, кто не программист или компьютерный ученый, не может добавить некоторую безопасность на свой сайт. Я выбрал семь советов, которые легко применять и достаточно глубоко, чтобы пощекотать ваше любопытство по вопросам безопасности, чтобы вы стали медленно, но неустанно, своим собственным экспертом по веб-безопасности. Все советы касаются взлома веб-сайтов, и я также расскажу о тех методах, которые вы можете использовать для проверки своего сайта на наличие дыр в безопасности. Не беспокойтесь: ничего сложного делать не приходится, но важно, чтобы вы познакомились с простыми инструментами и методами, которые могут предотвратить атаки, ради ваших проектов. :)

Удачи!

Совет #1 - потратите немного больше энергии на свои пароли

Первая дыра в веб-безопасности - это использование одного и того же пароля на большем количестве веб-сайтов или веб-сервисов. Хакер, который выяснит один пароль, выяснит все ваши пароли и будет иметь легкий доступ ко всем вашим данным, будь то ваш блог или ваша учетная запись PayPal. Хранение списка ваших паролей на бумаге или в файле также не является безопасной альтернативой (если только вы не защитите свои файлы паролем), потому что тот, кто взломает ваш компьютер, получит легкий доступ к вашей базе данных.

Но что, если вы не можете придумать приличный пароль?

  1. использование сильный генератор паролей для генерации пароля с жестким доступом, включая буквенно-цифровые и альтернативные символы. Более случайная или псевдослучайная строка символов (т.е. символы пароля не имеют внутренней памяти, они не связаны друг с другом, поэтому каждый символ имеет равные шансы прийти за другим), тем безопаснее.
  2. использование Password Safe для сохранения и шифрования всех ваших паролей, которые вы можете разблокировать, помня парольную фразу. Программа использует Алгоритм Twofish для шифрования всех паролей Password Safe - это проект с открытым исходным кодом Windows, разработанный Брюсом Шнайером. Если вы не используете Windows, Пароль Gorilla является допустимой альтернативой безопасному паролю с открытым исходным кодом.

Вот вид спереди Password Safe с базой данных под названием «Веб-сайты»:

Просмотр программы безопасного просмотра паролей

Вот информация о файле внутри базы данных «Веб-сайты»:

Безопасный просмотр паролей

Совет #2 - внимательно следите за своими сценариями

Хорошо известно, что скрипты веб-сайтов и платформы CMS являются основным средством хакерских атак. Если вы размещаете скрипты, написанные на PHP, ASP и JavaScript, знаете, что у них могут быть дыры в безопасности и ошибки, которые их разработчики могли бы упустить. Помимо непосредственного обращения к разработчику сразу после обнаружения одной из вышеупомянутых проблем, существуют нетехнические методы, которые вы можете использовать для обеспечения того, чтобы ваши скрипты не повредили вам:

  • Внимательно прочитайте документ версии сценария: он часто содержит подробные сведения о исправлениях и исправлениях ошибок
  • Перечислите предупреждения вашего программного обеспечения или панели управления или даже предупреждения Google (через средства для веб-мастеров): если вам нужно обновить или отредактировать / удалить файл, сделайте это
  • Не устанавливайте каждый существующий плагин: сначала проверьте совместимость и замечания по безопасности.

Также - и это, пожалуй, самый важный фактор - всегда, всегда сохраняйте свои сценарии и CMS в актуальном состоянии. В последнем пакете программного обеспечения обычно содержатся исправления для ошибок и проблем безопасности предыдущей версии.

Пример: предупреждение о выпуске WordPress от Softaculous

Предупреждение о недопустимом обновлении

Совет #3 - Выполнение проверок обычной папки и панели управления

Иногда хакеры вторгаются в ваш сайт незаметно, подлый как кошки, но они оставляют бедствия позади: подделка сайта, медиа-файлы, содержащие вирус, исполняемые файлы и перекодированные веб-страницы. Проверяйте свои папки регулярно, не реже одного раза в две недели, чтобы убедиться, что с вашими файлами все в порядке. Если вы обнаружите файлы, которые не можете распознать, немедленно удалите их. Если это не сработает, свяжитесь с вашим веб-хостингом и получите помощь (это когда вам нужен хороший веб-хостинг наиболее). В таких случаях:

  • Измените пароль панели администрирования (и, если возможно, имя пользователя)
  • Выполните проверку всех файлов, чтобы узнать, были ли они повреждены
  • Если у вас установлен антивирус, запустите его.

Совет #4 - безопасная аутентификация

Специалисты по веб-безопасности используют множество методов для обеспечения оптимальной безопасности систем и веб-транзакций, на которых они работают: криптография с открытым ключом, цепи доверия, подписи, SSL и TSL (Transport Layer Security). Хотя вам обязательно нужно что-то узнать о криптографии, важно начать с изучения того, как использовать простые многофакторные инструменты проверки подлинности, подготовленные для вас экспертами:

Зачем вам нужно многофакторная аутентификация? Потому что он узнает ваше имя пользователя, пароль и ваш токен use-once-then-dispose, чтобы получить доступ к вашему контенту; в противном случае доступ будет отклонен.

Если вы можете, найдите эксперта для обучения вам, когда вы узнаете о безопасности в Интернете, или используйте онлайн-учебники и курсы.

Совет #5 - Остерегайтесь DDoS-атак

Атаки «Отказ в обслуживании» Быстро развиваются и опасны, вместе с захватом сервера и заменой ваших услуг поддельными.

DDoS-атака приводит сервер в состояние, когда его обычные службы не работают, и вся система больше не доступна для конечных пользователей.

Что может вызвать DDoS-атаку?

  • Открытая сетевая конфигурация
  • Ошибочные, не обновленные приложения
  • Конфигурация необеспеченного сервера
  • Отсутствие обслуживания и / или мониторинга сетевой активности

Сообщите вашему интернет-провайдеру об этой форме атаки и получите информацию. То, что может сделать ваш веб-узел, - это настроить каждый сервер со списком альтернативных DNS-адресов, поэтому, когда DNS по умолчанию станет недоступным, весь веб-сайт будет работать. Хакер может добиться успеха только в своих действиях, когда ему удастся заблокировать ВСЕ серверы в списке - тяжелая работа, не так ли? Еще одной встречной мерой может быть фильтрация всех входящих пакетов с необычными таймингами и / или с IP-адресов высокого риска. Ваш хост должен быть осведомлен о атак типа «отказ в обслуживании», поэтому обсудите с ними предупреждение DDoS.

Совет #6 - Безопасный доступ к FTP с помощью SFTP

Для вас ничего не меняется, он работает так же, как и обычный FTP, но SFTP или Secure FTP поставляется с множеством преимуществ, с точки зрения безопасности:

  • Он использует SSH для шифрования данных и команд во время передачи файлов
  • Он использует открытые ключи сервера клиента для проверки сервера при подключении, чтобы убедиться, что он не является посредником
  • Это делает невозможным прослушивание вашего сетевого трафика хакером

Проблема с «обычной» командой FTP заключается в том, что она не зашифрована: все загрузки и загрузки на сервер и с сервера передаются как четкие данные.

Чтобы получить доступ к FTP через командную строку (если вы являетесь пользователем Unix / Linux / Mac OS), вы можете использовать

sftp [email protected]

или просто загрузить бесплатную FTP-программу, которая поддерживает SFTP, например FileZilla (Открытый исходный код).

Совет #7 - Узнайте о SQL-инъекции для защиты вашего сайта от этого

Остерегайтесь этого неприятного метода взлома, обновите свои сценарии и немедленно обратитесь к разработчику скрипта, если вы столкнетесь с нарушением безопасности. Вот как выполнить простой тест:

  • Введите следующий код SQL в свою веб-форму (имя пользователя и пароль):
    'OR' t '=' t '; -
    который становится на уровне SQL:
    SELECT * FROM пользователей WHERE userid = 'admin' AND password = '' OR 't' = 't'; - '
  • Он возвращает содержимое вашей базы данных?

Код может работать (я говорю «может», потому что вам повезло, что вы установили очень безопасный скрипт), потому что «t» = «t» является математически истинным оператором, поэтому запрос SQL всегда будет выполняться. Знающий хакер может создавать очень сложные SQL-заявления для достижения своих целей, поэтому обязательно свяжитесь с разработчиком скриптов и получите помощь, если используемый вами скрипт легко атакуется. Или смените скрипт.

Совет BONUS #1 - Регулярно проверяйте журналы панели управления

Секция журналов cPanel

Панель управления (cPanel, Plesk и т. Д.) Поставляется со встроенными инструментами для анализа трафика, доступа и журналов безопасности, которые следует следить за ними не реже одного раза в неделю.

Если вы используете cPanel, я рекомендую вам проверить свой Аналоговая статистика инструмент каждые два дня, так как инструмент показывает подробные отчеты:

  • HTTP-запросы
  • Ежемесячные / ежедневные / ежечасные отчеты о деятельности в области транспорта
  • Источники, браузеры и ОС

Инструменты журналов - это первое, на что вы должны обратить внимание, когда считаете, что ваш сайт подвергся нападению.

Совет BONUS #2 - выполнение двухнедельного резервного копирования

Резервируйте каждые две недели или каждую неделю, если сможете. С такими плагинами, как Supsystic iThemes безопасности, вы можете даже делать резервные копии каждый день или каждые три дня. Важно то, что вы постоянно загружаете свежие копии своего контента, готовые к восстановлению, если по пути происходит что-то плохое. Эта статья показала вам, какие атаки могут пострадать на вашем веб-сайте, и как бороться и предотвращать их, но ваше самое сильное оружие действительно таково: Backup, Это единственный способ вернуть ваш сайт в исходное состояние, как если бы хакер никогда не мог играть в свои грязные трюки.

Вывод

Итак, что вам нужно делать, по существу?

  1. Учить. Знание - сила! Узнайте о криптографии, DDoS и SQL Injection, межсайтовых скриптах (XSS) и других типах атак. Все и все, что может помочь вам разобраться в том, что происходит, когда ваш сайт взломан. Чем больше вы знаете, тем больше вы можете делать контратаку.
  2. Держать в курсе. С открытиями, инструментами и обновлениями скриптов. В этой статье подчеркивается важность обновления и обновления программного обеспечения вашего сайта для обеспечения более надежной защиты от злоумышленников.
  3. Выполняйте регулярные проверки и резервные копии. Если вы создаете резервную копию, вы можете восстановить!
  4. Сообщить о. Когда что-то выходит из-под контроля, сообщайте о проблемах разработчикам сценариев, полномочиям и хосту. Они могут делать то, что вы не можете.

Угрозы безопасности от разработки программного обеспечения

Программная инженерия - это очаровательная область, которую каждый хороший инженер и ученый-компьютер должен научиться применять при разработке программного обеспечения. Но знаете ли вы, что это работает наоборот? Вы - пользователь - можете использовать концепции Software Engineering, чтобы сделать интеллектуальный выбор среди программного обеспечения сайта, предлагаемого вам от разработчиков. Вы можете:

  1. Поймите, что ошибка может привести к серьезному взлому ваших систем и потере данных
  2. Узнайте о размерах надежности 4 и используйте их в своих интересах: доступность, надежность, безопасность и безопасность.
  3. Определите все возможные проблемы безопасности: потеря чувствительных / важных данных, отказ от определенных услуг, высокая стоимость реконструкции (время, деньги).

Что вы должны спросить перед установкой и использованием скрипта?

Надёжность. Могу ли я доверять этому программному обеспечению?

  • Доступность Является ли сценарий доступным для меня? Сможет ли его разработчик получить помощь?
  • надежность Хорошо ли работает сценарий? У меня есть ошибки или возникают проблемы, когда я выполняю соответствующие действия для своих целей?
  • безопасности Неисправности и ошибки серьезно влияют на безопасность и производительность?
  • Безопасность Имеет ли программное обеспечение встроенный модуль безопасности? Это то, чем я могу управлять?
  • ремонтопригодность Если что-то пойдет не так, могу ли я это сделать?
  • Ремонтопригодность Могу ли я поддерживать это программное обеспечение самостоятельно?
  • Выживание Будет ли программное обеспечение все еще работать под атакой? Могу ли я хорошо выздороветь от атаки?

Таблица уязвимостей

  • Программное обеспечение ошибки; прозрачная передача данных; ошибки; публичные журналы
  • Человек пароли с низкой степенью надежности; незащищенные каталоги; раскрытие конфиденциальных данных; отсутствие системного обслуживания и обновления / обновления

О Луане Спинетти

Луана Спинетти - независимый писатель и художник, базирующийся в Италии, и страстный студент Компьютерной науки. Имеет диплом о высшем образовании в области психологии и образования и посетила 3-курс в комиксе, из которого она закончила 2008. Будучи многогранной персоной, она проявила большой интерес к SEO / SEM и веб-маркетингу с особым склонностью к социальным медиа, и она работает над тремя романами на своем родном языке (итальянский), который она надеется Инди скоро опубликует.

Подключение: