Советы 7 по защите вашего сайта от хакерских атак

Статья написана:
  • Избранные статьи
  • Обновлено: май 06, 2019

Интернет это не только бизнес. Миллиарды страниц и записей в блоге пишутся каждый денькаждую секунду владельцами небольших веб-сайтов и блоггерами, которые хотят поделиться своими взглядами с миром. В этом прелесть Интернета: он предоставляет пространство для всех и для любого проекта.

Безграничные возможности.

Но Интернет - это также дикие джунгли: он скрывает опасности на каждом углу, и ничто из того, что вы используете, даже близко не подходит к защите от дурака. В частности, если вы ведете некоммерческий или индивидуальный бизнес в Интернете, вы понимаете, что перемещение всех транзакций в Интернет может привести к особой осторожности в отношении ваших услуг.

Безопасность - это действительно важный аспект, который следует учитывать при планировании вашего сайта: как я могу защитить свой контент и тяжелую работу против злоумышленников? Как я могу обеспечить наилучший пользовательский интерфейс? Это вопросы, которые вы должны задавать себе каждый раз, когда вы обновляете свой сайт.

Почему эта статья и почему 7 Tips?

Обеспечение безопасности вашего сайта простым способом n00b может быть скорее утопией, чем реальностью, но это не означает, что тот, кто не является программистом или специалистом по компьютерам, не может повысить безопасность своего веб-сайта. Я выбрал семь советов, которые просты в применении и достаточно глубоки, чтобы заразить ваше любопытство вопросами безопасности, чтобы ВЫ стали - медленно, но неуклонно - вашим собственным экспертом по веб-безопасности. Все советы относятся к взлому веб-сайтов, и я также расскажу о методах, которые вы можете использовать для проверки вашего сайта на наличие дыр в безопасности. Не беспокойтесь: ничего сложного сделать, но важно, чтобы вы познакомились с простыми инструментами и методами, которые могут отразить атаки, ради ваших проектов. :)

Удачи!

Совет #1 - потратите немного больше энергии на свои пароли

Первая дыра в веб-безопасности - это использование одного и того же пароля на большем количестве веб-сайтов или веб-сервисов. Хакер, который выяснит один пароль, выяснит все ваши пароли и будет иметь легкий доступ ко всем вашим данным, будь то ваш блог или ваша учетная запись PayPal. Хранение списка ваших паролей на бумаге или в файле также не является безопасной альтернативой (если только вы не защитите свои файлы паролем), потому что тот, кто взломает ваш компьютер, получит легкий доступ к вашей базе данных.

Но что, если вы не можете придумать приличный пароль?

  1. использование сильный генератор паролей создать пароль для взлома, включая буквенно-цифровые и альтернативные символы. Чем более случайна или псевдослучайна строка символов (т. Е. Символы пароля не имеют внутренней памяти, они не связаны друг с другом, поэтому у каждого символа есть равные шансы последовать за другим), тем безопаснее.
  2. использование Password Safe для сохранения и шифрования всех ваших паролей, которые вы можете разблокировать, помня парольную фразу. Программа использует Алгоритм Twofish для шифрования всех паролей Password Safe - это проект с открытым исходным кодом Windows, разработанный Брюсом Шнайером. Если вы не используете Windows, Пароль Gorilla является допустимой альтернативой безопасному паролю с открытым исходным кодом.

Вот вид спереди Password Safe с базой данных под названием «Веб-сайты»:

Просмотр программы безопасного просмотра паролей

Вот детали файла в базе данных «Веб-сайты»:

Безопасный просмотр паролей

Совет #2 - внимательно следите за своими сценариями

Хорошо известно, что сценарии веб-сайтов и платформы CMS являются основным средством хакерских атак. Если вы размещаете скрипты, написанные на PHP, ASP и JavaScript, знайте, что у них могут быть дыры в безопасности и ошибки, которые их разработчики могли упустить из виду. Помимо связи с разработчиком сразу после обнаружения одной из вышеупомянутых проблем, есть нетехнические методы, которые вы можете использовать, чтобы гарантировать, что ваши сценарии не повредят вам:

  • Внимательно прочитайте документ версии вашего скрипта: он часто содержит подробную информацию о патчах и исправлениях ошибок
  • Перечислите предупреждения вашего установщика программного обеспечения, панели администрирования или даже Google (с помощью Инструментов для веб-мастеров): если вам нужно обновить, отредактировать или удалить файл, сделайте это.
  • Не устанавливайте каждый существующий плагин: сначала проверьте совместимость и замечания по безопасности.

Кроме того - и это, пожалуй, самый важный фактор - всегда, всегда держите ваши скрипты и CMS в актуальном состоянии. Последний пакет программного обеспечения обычно содержит исправления для ошибок предыдущей версии и проблем безопасности.

Пример: предупреждение о выпуске WordPress от Softaculous

Предупреждение о недопустимом обновлении

Совет #3 - Выполнение проверок обычной папки и панели управления

Иногда хакеры вторгаются в ваш сайт незаметно, подлый как кошки, но они оставляют бедствия позади: подделка сайта, медиа-файлы, содержащие вирус, исполняемые файлы и перекодированные веб-страницы. Проверяйте свои папки регулярно, не реже одного раза в две недели, чтобы убедиться, что с вашими файлами все в порядке. Если вы обнаружите файлы, которые не можете распознать, немедленно удалите их. Если это не сработает, свяжитесь с вашим веб-хостингом и получите помощь (это когда вам нужен хороший веб-хостинг наиболее). В таких случаях:

  • Измените пароль панели администрирования (и, если возможно, имя пользователя)
  • Выполните проверку всех файлов, чтобы узнать, были ли они повреждены
  • Если у вас установлен антивирус, запустите его.

Совет #4 - безопасная аутентификация

Эксперты Web Security используют множество методов для обеспечения оптимальной безопасности систем и веб-транзакций, с которыми они работают: криптография с открытым ключом, цепочки доверия, подписи, SSL и TSL (Transport Layer Security). Хотя вы определенно должны кое-что узнать о криптографии, важно начать с изучения того, как использовать простые инструменты многофакторной аутентификации, подготовленные для вас экспертами:

Зачем вам нужно многофакторная аутентификация? Потому что он узнает ваше имя пользователя, пароль и ваш токен use-once-then-dispose, чтобы получить доступ к вашему контенту; в противном случае доступ будет отклонен.

Если вы можете, найдите эксперта для обучения вам, когда вы узнаете о безопасности в Интернете, или используйте онлайн-учебники и курсы.

Совет #5 - Остерегайтесь DDoS-атак

Атаки «Отказ в обслуживании» Быстро развиваются и опасны, вместе с захватом сервера и заменой ваших услуг поддельными.

DDoS-атака приводит сервер в состояние, когда его обычные службы не работают, и вся система больше не доступна для конечных пользователей.

Что может вызвать DDoS-атаку?

  • Открытая сетевая конфигурация
  • Ошибочные, не обновленные приложения
  • Конфигурация необеспеченного сервера
  • Отсутствие обслуживания и / или мониторинга сетевой активности

Сообщите вашему интернет-провайдеру об этой форме атаки и получите информацию. То, что может сделать ваш веб-узел, - это настроить каждый сервер со списком альтернативных DNS-адресов, поэтому, когда DNS по умолчанию станет недоступным, весь веб-сайт будет работать. Хакер может добиться успеха только в своих действиях, когда ему удастся заблокировать ВСЕ серверы в списке - тяжелая работа, не так ли? Еще одной встречной мерой может быть фильтрация всех входящих пакетов с необычными таймингами и / или с IP-адресов высокого риска. Ваш хост должен быть осведомлен о атак типа «отказ в обслуживании», поэтому обсудите с ними предупреждение DDoS.

Совет #6 - Безопасный доступ к FTP с помощью SFTP

Для вас ничего не меняется, он работает так же, как и обычный FTP, но SFTP или Secure FTP поставляется с множеством преимуществ, с точки зрения безопасности:

  • Он использует SSH для шифрования данных и команд во время передачи файлов
  • Он использует открытые ключи сервера клиента для проверки сервера при подключении, чтобы убедиться, что он не является посредником
  • Это делает невозможным прослушивание вашего сетевого трафика хакером

Проблема с «обычной» командой FTP заключается в том, что она не зашифрована: все загрузки и выгрузки на сервер и с сервера передаются в виде чистых данных.

Для доступа к FTP через командную строку (если вы пользователь Unix / Linux / Mac OS) вы можете использовать

sftp [электронная почта защищена]

или просто загрузить бесплатную FTP-программу, которая поддерживает SFTP, например FileZilla (Открытый исходный код).

Совет #7 - Узнайте о SQL-инъекции для защиты вашего сайта от этого

Остерегайтесь этого отвратительного метода взлома, обновляйте свои сценарии и немедленно свяжитесь с разработчиком сценария, если вы столкнетесь с брешей в безопасности. Вот как запустить простой тест:

  • Введите следующий код SQL в свою веб-форму (имя пользователя и пароль):
    'OR' t '=' t '; -
    который становится на уровне SQL:
    SELECT * FROM пользователей WHERE userid = 'admin' AND password = '' OR 't' = 't'; - '
  • Он возвращает содержимое вашей базы данных?

Код может работать (я говорю «может», потому что вам повезло, что вы установили очень безопасный сценарий), потому что «t» = «t» - математически верное утверждение, поэтому запрос SQL всегда будет выполняться. Знающий хакер может создать очень сложные операторы SQL для достижения своих целей, поэтому обязательно свяжитесь с разработчиком сценария и получите помощь, если используемый вами сценарий легко поддается атаке. Или поменяй скрипт.

Совет BONUS #1 - Регулярно проверяйте журналы панели управления

Секция журналов cPanel

Панель управления (cPanel, Plesk и т. Д.) Поставляется со встроенными инструментами для анализа трафика, доступа и журналов безопасности, которые следует следить за ними не реже одного раза в неделю.

Если вы используете cPanel, я рекомендую вам проверить свой Аналоговая статистика инструмент каждые два дня, так как инструмент показывает подробные отчеты:

  • HTTP-запросы
  • Ежемесячные / ежедневные / ежечасные отчеты о деятельности в области транспорта
  • Рефереры, браузеры и ОС, с которых пришел ваш трафик

Инструменты журналов - это первое, на что вы должны обратить внимание, когда считаете, что ваш сайт подвергся нападению.

Совет BONUS #2 - выполнение двухнедельного резервного копирования

Резервируйте каждые две недели или каждую неделю, если сможете. С такими плагинами, как Supsystic iThemes безопасности, вы можете даже делать резервные копии каждый день или каждые три дня. Важно то, что вы постоянно загружаете свежие копии своего контента, готовые к восстановлению, если по пути происходит что-то плохое. Эта статья показала вам, какие атаки могут пострадать на вашем веб-сайте, и как бороться и предотвращать их, но ваше самое сильное оружие действительно таково: Backup, Это единственный способ вернуть ваш сайт в его первоначальное состояние, как если бы хакер никогда не мог разыграть свои грязные трюки.

Вывод

Итак, что вам нужно делать, по существу?

  1. Учить. Знание - сила! Узнайте о криптографии, DDoS и SQL-инъекциях, межсайтовом скриптинге (XSS) и других типах атак. Все, что может помочь вам получить полное представление о том, что происходит, когда ваш сайт взломан. Чем больше вы знаете, тем больше вы можете сделать для контратаки.
  2. Держать в курсе. С открытиями, инструментами и обновлениями скриптов. В этой статье подчеркивается важность обновления и обновления программного обеспечения вашего сайта для обеспечения более надежной защиты от злоумышленников.
  3. Выполняйте регулярные проверки и резервные копии. Если вы создаете резервную копию, вы можете восстановить!
  4. Сообщить о. Когда дела выходят из-под вашего контроля, сообщайте о проблемах разработчикам сценариев, властям и вашему хосту. Они могут делать то, что вы не можете.

Угрозы безопасности от разработки программного обеспечения

Программная инженерия - это очаровательная область, которую каждый хороший инженер и ученый-компьютер должен научиться применять при разработке программного обеспечения. Но знаете ли вы, что это работает наоборот? Вы - пользователь - можете использовать концепции Software Engineering, чтобы сделать интеллектуальный выбор среди программного обеспечения сайта, предлагаемого вам от разработчиков. Вы можете:

  1. Поймите, что ошибка может привести к серьезному взлому ваших систем и потере данных
  2. Узнайте о размерах надежности 4 и используйте их в своих интересах: доступность, надежность, безопасность и безопасность.
  3. Определите все возможные проблемы безопасности: потеря чувствительных / важных данных, отказ от определенных услуг, высокая стоимость реконструкции (время, деньги).

Что вы должны спросить перед установкой и использованием скрипта?

Надёжность. Могу ли я доверять этому программному обеспечению?

  • Доступность Является ли сценарий доступным для меня? Сможет ли его разработчик получить помощь?
  • надежность Хорошо ли работает сценарий? У меня есть ошибки или возникают проблемы, когда я выполняю соответствующие действия для своих целей?
  • безопасности Неисправности и ошибки серьезно влияют на безопасность и производительность?
  • Безопасность Имеет ли программное обеспечение встроенный модуль безопасности? Это то, чем я могу управлять?
  • ремонтопригодность Если что-то пойдет не так, могу ли я это сделать?
  • Ремонтопригодность Могу ли я поддерживать это программное обеспечение самостоятельно?
  • Выживание Будет ли программное обеспечение все еще работать под атакой? Могу ли я хорошо выздороветь от атаки?

Таблица уязвимостей

  • Программное обеспечение ошибки; прозрачная передача данных; ошибки; публичные журналы
  • Человек пароли с низкой степенью надежности; незащищенные каталоги; раскрытие конфиденциальных данных; отсутствие системного обслуживания и обновления / обновления

О Луане Спинетти

Луана Спинетти - независимый писатель и художник, базирующийся в Италии, и страстный студент Компьютерной науки. Имеет диплом о высшем образовании в области психологии и образования и посетила 3-курс в комиксе, из которого она закончила 2008. Будучи многогранной персоной, она проявила большой интерес к SEO / SEM и веб-маркетингу с особым склонностью к социальным медиа, и она работает над тремя романами на своем родном языке (итальянский), который она надеется Инди скоро опубликует.

Подключение: