7 İpuçları Hacking Saldırılara Karşı Web Sitenizi Sağlamaya Yardımcı Olacak

Yazan makale:
  • Özel Makaleler
  • Güncelleme: Mayıs 06, 2019

Web sadece işle ilgili değil. Her gün milyarlarca sayfa ve blog girişi yazılmaktadırHer saniye, küçük web sitesi sahipleri ve blog yazarları tarafından görüşlerini dünyayla paylaşmak istiyorlar. Web'in cazibesi budur: herkes için ve her türlü proje için bir alan sağlar.

Sonsuz olasılıklar.

Ancak İnternet aynı zamanda vahşi bir ormandır: her köşedeki tehlikeleri gizler ve kullandığınız hiçbir şey kusursuz bir sihire yakındır. Çevrimiçi olarak kar amacı gütmeyen bir şirket veya solo bir şahıs işletmeciliği yapıyorsanız, özellikle, tüm işlemlerin Web’e taşınmasının hizmetlerinizle ilgili olarak daha fazla dikkat gösterebileceğini fark edersiniz.

Web sitenizi planlarken göz önünde bulundurmanız gereken güvenlik gerçekten çok önemli bir özellik: İçeriğimi ve saldırganlara karşı çalışmamı nasıl güvence altına alabilirim? Mümkün olan en iyi kullanıcı deneyimini nasıl sağlayabilirim? Bunlar, web sitenizi her güncellediğinizde kendinize sormanız gereken sorular.

Neden Bu Makale ve Neden 7 İpuçları?

Sitenizi kolay, n00b-ish yöntemiyle korumak, gerçeklikten daha ütopya olabilir, ancak bu, programcı veya bilgisayar bilimcisi olmayan birinin web sitesine güvenlik ekleyemeyeceği anlamına gelmez. Güvenlik konularında merakınızı gevşetecek kadar kolay uygulanabilen ve derinlemesine yedi ipucu seçtim, böylece SİZ - yavaşça ama amansız bir şekilde - kendi web güvenlik uzmanınız olacaksınız. Tüm ipuçları, web hacklemeye özgüdür ve ayrıca web sitenizi güvenlik delikleri açısından test etmek için kullanabileceğiniz teknikleri tanıtacağım. Endişelenmeyin: Yapılması zor bir şey yok, ancak projeleriniz için saldırıları engelleyebilecek basit araç ve teknikleri tanımanız önemlidir. :)

İyi eğlenceler!

İpucu #1 - Şifrelerinizde Biraz Daha Zihin Gücü harcayın

Bir numaralı web güvenliği deliği, aynı şifrenin daha fazla web sitesinde veya web hizmetinde kullanılmasıdır. Bir şifre belirleyen bir bilgisayar korsanı, tüm şifrelerinizi çözecek ve blogunuz veya PayPal hesabınız olsun, tüm verilerinize kolay erişebilecek. Parolalarınızın bir listesini kağıt veya dosyada tutmak, güvenli bir alternatif değildir (dosyalarınızı parola korumanız sürece), çünkü bilgisayarınızı hackleyen bir kişi veritabanınıza kolay erişebilir.

Ama ya iyi bir şifre ile gelemezsen?

  1. kullanım güçlü bir şifre üreticisi alfasayısal ve alternatif semboller dahil olmak üzere kırılması zor bir şifre oluşturmak için. Bir sembol dizisi ne kadar rastgele veya sahte rastgele ise (yani, şifrenin sembollerinin dahili hafızası yoktur, birbirleriyle ilgisi yoktur, bu yüzden her sembol birbiri ardına gelmek için eşit şansa sahiptir).
  2. kullanım Password Safe Şifrelerinizi şifrelemek ve şifrelemek, ki bu da bir parolayı hatırlayarak kilidini açabilirsiniz. Program kullanır Twofish algoritması Tüm şifreleri şifrelemek için Password Safe, Bruce Schneier tarafından geliştirilen bir Windows açık kaynak kodlu bir projedir. Windows kullanmıyorsanız Şifre goril Password Safe için geçerli bir açık kaynak alternatifidir.

İşte 'Websiteleri' isimli bir veritabanına sahip olan Password Safe'in önden görünüşü:

Şifre Güvenli Program Görünümü

İşte 'Web Siteleri' veritabanındaki bir dosyanın detayları:

Şifre Güvenli Dosya Görünümü

İpucu #2 - Komut Dosyalarınıza İyi Bakın

Web sitesi komut dosyalarının ve CMS platformlarının saldırı saldırılarının birincil aracı olduğu iyi bilinmektedir. PHP, ASP ve JavaScript'te yazılmış komut dosyalarını barındırıyorsanız, geliştiricilerin gözden kaçırmış olabilecekleri güvenlik delikleri ve hataları olabileceğini bilin. Yukarıda belirtilen sorunlardan birini keşfettikten hemen sonra geliştiriciyle iletişim kurmanın yanı sıra, komut dosyalarınızın size zarar vermeyeceğinden emin olmak için kullanabileceğiniz teknik olmayan yöntemler de vardır:

  • Komut dosyanızın sürüm belgesini iyice okuyun: genellikle yamalar ve düzeltmelerle ilgili ayrıntıları içerir
  • Yazılım yükleyicinizin veya yönetim panelinizin veya hatta Google’ın (Web Yöneticisi Araçları aracılığıyla) uyarılarını listeleyin: bir dosyayı güncellemeniz veya düzenlemeniz / kaldırmanız gerekirse
  • Var olan her eklentiyi yüklemeyin: önce uyumlulukları ve güvenlik notlarını kontrol edin.

Ayrıca - ve bu belki de en önemli faktör - daima, senaryolarınızı ve CMS'lerinizi daima güncel tutun. Bir yazılımın en son paketinde genellikle önceki sürümün hataları ve güvenlik sorunları için yamalar bulunur.

Örnek: Softaculous'tan WordPress yükseltme uyarısı

Softaculous Yükseltme Uyarısı

İpucu #3 - Düzenli Klasör Ve Yönetim Paneli Çekleri Gerçekleştirin

Bazen bilgisayar korsanları sitenize sessizce girer, kedi gibi gizlice girerler, ancak felaketleri geride bırakırlar: site sahtekarları, virüs içeren medya dosyaları, çalıştırılabilir dosyalar ve kodlanmış web sayfaları. Dosyalarınızda yanlış bir şey olmadığından emin olmak için klasörlerinizi düzenli olarak en az iki haftada bir kontrol edin. Tanımadığınız dosyaları tespit ederseniz hemen kaldırın. Bu işe yaramazsa, web sunucunuza başvurun ve yardım alın (Bu en iyi bir web barındırma ihtiyacınız olduğunda). Bu gibi durumlarda:

  • Yönetim paneli şifrenizi (ve mümkünse kullanıcı adı) değiştirin
  • Hasar görüp görmediklerini görmek için tüm dosyaların kontrolünü yapın.
  • Bir antivirüs yüklüyse, çalıştırın.

İpucu #4 - Güvenli Kimlik Doğrulama

Web Güvenliği uzmanları, üzerinde çalıştıkları sistemler ve web işlemlerinde en iyi güvenliği sağlamak için pek çok yöntemden yararlanır: genel anahtar şifrelemesi, güven zincirleri, imzalar, SSL ve TSL (Taşıma Katmanı Güvenliği). Kriptografi hakkında kesinlikle bir şeyler öğrenmeniz gerekirken, uzmanlar tarafından sizin için hazırlanmış basit çok faktörlü kimlik doğrulama araçlarının nasıl kullanılacağını öğrenmeye başlamanız önemlidir:

Neden ihtiyacın var çok faktörlü kimlik doğrulama? İçeriğinize erişmek için kullanıcı adınızı, parolanızı ve kullanım-kez-sonra-atma jetonunuzu bilmeniz gerekeceği için; aksi halde erişim reddedilir.

Eğer yapabiliyorsanız, web güvenliği hakkında öğrendiğinizde size özel bir uzman bulun ya da çevrimiçi dersleri ve kursları kullanın.

İpucu #5 - DDoS Saldırılarına Dikkat

Hizmet reddi saldırıları Sunucuların ele geçirilmesi ve hizmetlerin sahte numaralarla değiştirilmesiyle birlikte hızlı gelişen ve tehlikelidir.

Bir DDoS saldırısı, sunucuyu normal hizmetlerinin çalışmadığı bir durumda zorlar ve tüm sistem artık son kullanıcılar tarafından kullanılamaz.

DDoS saldırısına neden olan nedir?

  • Açık ağ yapılandırması
  • Yükseltilmiş, yükseltilmemiş uygulamalar
  • Güvenli olmayan sunucu yapılandırması
  • Ağ aktivitesinde bakım ve / veya izleme yok

ISP'nizi bu saldırı hakkında bilgilendirin ve bilgilendirin. Web sitenizin ana bilgisayarının yapabileceği şey, her sunucuyu bir alternatif DNS adresi listesiyle yapılandırmaktır; böylece varsayılan DNS kullanılamıyorsa, tüm web sitesi çalışmaya devam edecektir. Bir bilgisayar korsanı, listedeki tüm sunucuları engelleyeceğinde, yalnızca kendi eylemlerinde başarıya sahip olabilir - zor iş, değil mi? Diğer bir karşı önlem, tüm gelen paketlerin sıra dışı zamanlamalarla ve / veya yüksek riskli IP adresleriyle filtrelenmesi olabilir. Ev sahibiniz Hizmet Reddi saldırıları hakkında bilgi sahibi olmalı, böylece DDoS önleme konusunda onlarla görüşün.

İpucu #6 - SFTP ile Güvenli FTP Erişimi

Sizin için hiçbir şey değişmez, normal FTP gibi çalışır, ancak SFTP veya Güvenli FTP, güvenlik açısından çok fayda sağlar:

  • Dosya aktarımı sırasında verileri ve komutları şifrelemek için SSH kullanır
  • Bir aracı olmadığından emin olmak için, sunucunun bağlantı kurulduğunu doğrulamak için müşterinin sunucusunun ortak anahtarlarını kullanır.
  • Bir saldırganın ağ trafiğinizi dinlemesini imkansız kılar

'Normal' FTP komutundaki sorun şifrelenmemiş olmasıdır: sunucuya yapılan tüm yüklemeler ve indirmeler net veri olarak iletilir.

FTP'ye komut satırı üzerinden erişmek için (eğer bir Unix / Linux / Mac OS kullanıcısıysanız)

sftp [email protected]

veya SFTP'yi destekleyen ücretsiz bir FTP programı indirin. FileZilla (açık kaynak).

İpucu #7 - Sitenize Karşı Korumak İçin SQL Enjeksiyonu Hakkında Bilgi Edinme

Bu kötü hackleme yöntemine dikkat edin, komut dosyalarınızı güncel tutun ve bir güvenlik ihlali yaşarsanız, komut dosyası geliştiricisine başvurun. İşte basit bir test nasıl yapılır:

  • Aşağıdaki SQL kodunu web formunuza giriniz (kullanıcı adı ve şifre):
    'VEYA' t '=' t '; -
    hangi SQL düzeyinde olur:
    SELECT * FROM kullanıcılarından WERE userid = 'admin' AND password = '' OR 't' = 't'; - '
  • Veritabanı içeriğinizi döndürüyor mu?

Kod çalışabilir (çok güvenli bir komut dosyası kurduğunuz için şanslı olabilirsiniz çünkü 'olabilir' diyorum) çünkü 't' = 't' matematiksel olarak doğru bir ifadedir, bu nedenle SQL isteği her zaman yürütülecektir. Bilgili bir bilgisayar korsanı, hedeflerine ulaşmak için çok ayrıntılı SQL ifadeleri oluşturabilir; bu nedenle, kullandığınız komut dosyası kolayca saldırıya uğradığında, komut dosyası geliştiricisine başvurun ve yardım alın. Veya betiği değiştirin.

BONUS İpucu #1 - Yönetim Paneli Günlüklerini Düzenli Olarak Kontrol Edin

cPanel Günlükleri Bölümü

Sizin yönetim paneli (cPanel, Plesk vs.) trafik analizi, erişim ve en az haftada bir kez göz kulak gereken güvenlik günlükleri için yerleşik araçlarla birlikte gelir.

CPanel kullanıyorsanız, kontrol etmenizi öneririz. Analog İstatistikleri Araç her iki günde bir, araç detaylı raporları gösterdiği gibi:

  • HTTP istekleri
  • Aylık / Günlük / Saatlik trafik faaliyeti raporları
  • Yönlendiriciler, Tarayıcılar ve İşletim Sistemleriniz trafiğinizden geldi

Web sitenizin saldırıya uğradığına inandığınız zaman aramanız gereken ilk araçlar günlükler.

BONUS İpucu #2 - İki Haftalık Yedeklemeleri Gerçekleştirin

Yapabiliyorsanız iki haftada bir veya her hafta yedekleyin. Gibi eklentileri ile Supsystic ve iThemes GüvenlikHer gün veya her üç günde bir yedek bile alabilirsiniz. Önemli olan, içeriğinizin yeni kopyasını sürekli olarak indirdiğinizde, yol boyunca kötü bir şey olursa, geri yüklenmeye hazır olmanızdır. Bu makalede, web sitenizin ne tür saldırılara uğrayabildiğini, nasıl mücadele edileceğini ve nasıl önleneceğini göstermişsiniz, ancak en güçlü silahınız budur: yedek. Web sitenizi orijinal durumuna getirmenin tek yolu, sanki bir hacker onun kirli numaralarını hiç oynatamamış gibi.

özet

Peki, aslında ne yapman gerekiyor?

  1. Öğrenin. Bilgi Güçtür! Şifreleme, DDoS ve SQL Injection, siteler arası komut dosyası çalıştırma (XSS) ve diğer saldırı türleri hakkında bilgi edinin. Web siteniz saldırıya uğradığında neler olup bittiğini tam olarak görmenize yardımcı olabilecek her şey ve her şey. Ne kadar çok bilirseniz, karşı saldırı için o kadar çok şey yapabilirsiniz.
  2. Güncel tutmak. Keşifler, araçlar ve komut dosyaları yükseltmeleri ile. Bu makale, saldırganlara karşı daha sağlam bir koruma sağlamak için site yazılımınızı yükseltmenin ve güncellemenin önemini vurguladı.
  3. Düzenli kontroller ve yedeklemeler gerçekleştirin. Yedeklerseniz geri yükleyebilirsiniz!
  4. Rapor. İşler sizin kontrolünüz dışına çıktığında, sorunları komut dosyası geliştiricilere, yetkililere ve ana makinenize bildirin. Yapamadığın şeyi yapabilirler.

Yazılım Mühendisliğinden Güvenlik Tricks

Yazılım Mühendisliği, her iyi mühendis ve bilgisayar bilimcisinin yazılım geliştirirken başvurmaları gereken büyüleyici bir alandır. Ama biliyor muydun başka bir şekilde çalışıyor? Siz - kullanıcı - geliştiricilerin size sunduğu site yazılımı arasında akıllı seçimler yapmak için Yazılım Mühendisliği kavramlarını kullanabilir. Yapabilirsin:

  1. Bir hatanın sistemlerinizi ve veri kaybınızı ciddi şekilde kesmesine neden olabileceğini anlayın.
  2. Güvenilirliğin 4 boyutlarını öğrenin ve bunları avantajınıza göre kullanın: kullanılabilirlik, güvenilirlik, güvenlik ve güvenlik
  3. Mümkün olan tüm güvenlik kaygılarınızı belirleyin: hassas / önemli verilerin kaybı, belirli hizmetlerin başarısızlığı, yüksek rekonstrüksiyon maliyetleri (zaman, para).

Bir Komut Dosyası Kurmadan ve Kullanmadan Önce Kendinize Ne Sormalısınız?

Güvenilirlik. Bu yazılıma güvenebilir miyim?

  • Kullanılabilirlik Komut dosyası bana kolay erişilebilir mi? Geliştiricisi yardım almak için uyumlu mu?
  • Güvenilirlik Senaryo iyi performans gösteriyor mu? Hedeflerime uygun eylemler gerçekleştirdiğimde hata var mı yoksa bana sorun mu veriyor?
  • Güvenlik Arızalar ve hatalar güvenliği ve performansı ciddi şekilde etkiler mi?
  • Güvenlik Yazılımda yerleşik bir güvenlik modülü var mı? Yönetebileceğim bir şey mi?
  • düzeltilebilirliğine Bir şeyler ters giderse, onu yönetebilir miyim?
  • İdame Bu yazılımı kendi başıma saklayabiliyor muyum?
  • Hayatta kalma Yazılım hala saldırı altında mı çalışacak? Saldırıdan iyileşebilir miyim?

Güvenlik Açıkları Tablosu

  • Yazılım böcek; şeffaf veri iletimi; hatalar; kamu kütükleri
  • İnsan düşük güçlü şifreler; korunmasız dizinler; hassas verilerin açıklanması; sistem bakım ve güncelleme / yükseltme eksikliği

Luana Spinetti hakkında

Luana Spinetti, İtalya merkezli serbest yazar ve sanatçı ve tutkulu bir Bilgisayar Bilimi öğrencisi. Psikoloji ve Eğitim'de bir lise diploması vardır ve 3'ten mezun olduğu Çizgi Roman Kitabında 2008-yıllık bir kursa katılmıştır. Çok yönlü bir kişi olduğu gibi, SEO / SEM ve Web Pazarlama'da büyük bir ilgi uyandırdı, Sosyal Medya'ya özel bir eğilim vardı ve o, anadilinde (İtalyanca) üç roman üzerinde çalışıyor. indie yakında yayınlamak.