Xakerlar hujumiga qarshi veb-saytingizni himoya qilish uchun 7 Maslahatlar

Maqola muallifi:
  • Tanlangan maqola
  • Yangilandi: May 06, 2019

Veb faqatgina biznes haqida emas. Millionlab sahifalar va blog yozuvlari har kuni yoziladi, har soniyada, kichik veb-sayt egalari va bloggerlar o'z nuqtai nazarlarini dunyo bilan baham ko'rishga harakat qiladilar. Internetning jozibasi bu: har bir kishi uchun va har qanday loyiha uchun bo'sh joy.

Sonsuz imkoniyatlar.

Ammo Internet ham yovvoyi jungle: u har bir burchakda xavfni yashiradi va siz foydalanadigan hech narsa, hatto faqat aql bovar qilmaydigan sehrga yaqin. Agar nodavlat yoki notijorat yoki onlayn biznesni internet orqali amalga oshirsangiz, xususan, Internetdagi barcha operatsiyalarni ko'chirish xizmatlari uchun ehtiyotkorlik bilan aylana olishi mumkinligini anglaysiz.

Xavfsizlik - veb-saytingizni rejalashtirganingizda e'tiborga olish kerak bo'lgan juda muhim jihat: hujumchilarga qarshi qanday qilib kontent va qattiq ishlashni ta'minlash mumkin? Eng yaxshi foydalanuvchi tajribasini qanday qilib taqdim etaman? Bu sizning veb-saytingizni yangilaganingizda o'zingizdan so'rashingiz kerak bo'lgan savollar.

Nima uchun ushbu maqola va nima uchun 7 Maslahatlari?

Saytni osonlik bilan ta'minlash, n00b-ish usuli haqiqatdan ham ko'proq ütopiya bo'lishi mumkin, lekin bu dasturchi yoki kompyuter olimi bo'lmagan kishi veb-saytiga xavfsizlikni qo'sha olmaydi degani emas. Men xavfsizlik masalalarida qiziqishingizni qidirib topish uchun juda qulay va chuqur bo'lgan etti ta maslahatni tanladim. Shunday qilib siz o'zingizning veb-xavfsizlik bo'yicha mutaxassisingizni asta-sekin, ammo shafqatsiz bo'lib qolasiz. Barcha maslahatlar veb-xakerlarga xosdir va men sizning veb-saytingizni xavfsizlik teshiklari uchun sinovdan o'tkazish uchun foydalanishingiz mumkin bo'lgan texniklarni tanishtiraman. Xavotir olmang: bajarish juda qiyin, ammo sizning loyihalaringiz uchun hujumlarni bartaraf etadigan sodda vositalar va texnikalar bilan tanishishingiz muhim. :)

Maza qiling!

Maslahat #1 - O'zingizning parolingiz uchun bir oz ko'proq aql kuchini sarflang

Bir nechta veb-xavfsizlik teshigi bir nechta veb-saytlarda yoki veb-xizmatlarda bir xil paroldan foydalanishdir. Bir parolni aniqlay oladigan hacker barcha parollaringizni aniqladi va sizning blogingiz yoki PayPal hisobingiz bo'lsin, barcha ma'lumotlarga oson kirish imkonini beradi. Qog'oz yoki faylda parol (lar) ning ro'yxatini saqlab qolish xavfsiz fayl emas (agar faylingizni parol bilan himoya qilmasangiz), chunki sizning kompyuteringizdan foydalanadigan kishi ma'lumotlar bazasiga kirishni osonlashtiradi.

Lekin yaxshi parolni topa olmasangiz nima bo'ladi?

  1. foydalanish kuchli parol ishlab chiqaruvchi alfasayısal va muqobil ramzlarni o'z ichiga olgan qiyin parolni yaratish. Ko'proq tasodifiy yoki tasodifiy ramzlar majmuasi (ya'ni, parolning belgilarida ichki xotira mavjud emas, ular bir-biri bilan bevosita bog'liq emas, shuning uchun har bir belgining boshqa bir-birining ortidan kelish imkoniyati mavjud).
  2. foydalanish Password Havfsizlik barcha shifrlarni saqlash va shifrlash, bu parolni eslab, qulfdan chiqarishingiz mumkin. Dasturda foydalaniladi Twofish algoritmi Barcha parollarni shifrlash uchun Password Safe - Bruce Schneier tomonidan ishlab chiqilgan Windows Open-Source loyihasidir. Agar siz Windows dan foydalanmasangiz, Gorilla parolini kiriting Parol xavfsizligiga haqiqiy ochiq manbali alternativ hisoblanadi.

"Veb-saytlar" nomli ma'lumotlar bazasi bilan Password Safe ning oldingi ko'rinishi:

Parol xavfsiz dastur ko'rinishi

"Veb-saytlar" ma'lumotlar bazasidagi faylning tafsilotlari:

Parol xavfsiz fayl ko'rinishi

Maslahat #2 - ssenariylardan yaxshi xabardor bo'ling

Ma'lumki, veb-sayt skriptlari va CMS platformalari hujumlarning asosiy vositasi hisoblanadi. PHP, ASP va JavaScript-da yozilgan skriptlarga mezbonlik qilsangiz, ular o'zlarining ishlab chiquvchilari e'tiborini chetlab o'tishlari mumkin bo'lgan xavfsizlik kamchiligi va xatoliklari bo'lishi mumkinligini biling. Yuqorida keltirilgan masalalardan birida ishlab chiqaruvchining zudlik bilan bog'lanishidan tashqari, skriptlar sizga zarar keltirmasligini ta'minlash uchun siz foydalanishingiz mumkin bo'lmagan texnik usullar mavjud:

  • Skriptingizning versiya hujjatini yaxshilab o'qing: tez-tez tuzatish va xato tuzatish haqida batafsil ma'lumotlarni o'z ichiga oladi
  • Dastur o'rnatuvchisining yoki boshqaruv panelining yoki hatto Google'ning (Webmaster Tools) ogohlantiruvlari ro'yxatini ro'yxatlang: agar faylni yangilash yoki tahrirlash / o'chirish kerak bo'lsa, uni bajaring
  • Har bir mavjud plaginni o'rnatmang: birinchi navbatda mosliklarni va xavfsizlik qoidalarini tekshiring.

Bundan tashqari, - bu, ehtimol, eng muhim omil - har doim ham sizning skript va CMS-ni yangilab turish. Dasturning eng so'nggi paketi odatda oldingi versiyadagi xatolar va xavfsizlik masalalari uchun patchesni o'z ichiga oladi.

Misol: Softaculous-dan WordPress yangilanishlari haqida ogohlantirish

Yumshatqich yangilanish haqida ogohlantirish

Maslahat #3 - Regular Folder And Administration Panel Checks dasturini bajaring

Ba'zida xakerlar saytingizga jim bo'lib, mushuk sifatida yashirincha kirishadi, lekin ular falokatlarni qoldiradilar: saytlar buzilmaydi, virusi bo'lgan media fayllari, ijro etiladigan fayllar va eskirgan veb-sahifalar. Fayllaringizdagi hech narsa noto'g'ri ekanligiga ishonch hosil qilish uchun papkalarni muntazam tekshirib turing, kamida ikki haftada bir marta. Siz tan olmaydigan fayllarni topsangiz, darhol ularni olib tashlang. Agar bu ishlamasa, veb-saytga murojaat qiling va yordam oling (Bu sizga eng yaxshi veb-xost kerak bo'lsa). Bunday hollarda:

  • Boshqaruv paneli parolini o'zgartiring (va iloji bo'lsa, foydalanuvchi nomi)
  • Barcha fayllarni tekshirib ko'ring, ular zarar ko'rganligini tekshiring
  • Antivirus o'rnatilgan bo'lsa, uni ishga tushiring.

Maslahat #4 - Xavfsiz autentifikatsiya

Veb-havfsizlik mutaxassislari o'zlari ishlaydigan tizimlar va veb-operatsiyalarga optimal xavfsizlikni ta'minlash uchun juda ko'p usullardan foydalanadilar: ochiq kalit kriptografiya, ishonch zanjiri, imzolarni, SSL va TSL (Transport Layer Security). Kriptografiya haqida aniq bilib olishingiz kerak bo'lsa-da, mutaxassislar tomonidan siz uchun yaratilgan oddiy ko'p faktoring autentifikatsiya vositalaridan foydalanishni o'rganishdan boshlang.

Nima uchun kerak ko'p faktorli autentifikatsiya? Siz o'zingizning foydalanuvchi ismingizni, parolingizni va sizning kontentingizga kirish uchun bir marta foydalaning-keyin belgini olib tashlashni bilib olasiz; Aks holda, kirish rad etiladi.

Agar imkon bo'lsa, veb-xavfsizligi haqida bilib oling, yoki onlayn kurslar va kurslardan foydalaning.

#5 maslahati - DDoS hujumlaridan ehtiyot bo'ling

Xizmatni rad qilish hujumlari serverlarni o'g'irlash va xizmatlaringizni buzilgan holda almashtirish bilan birga, tez rivojlanayotgan va xavfli.

DDoS hujumi serverni odatdagi xizmatlarning ishlamayotgan holatda majburiy holga keltiradi va butun tizim endi foydalanuvchilar uchun mavjud emas.

DDoS hujumiga nima sabab bo'lishi mumkin?

  • Ochiq tarmoq konfiguratsiyasi
  • Bugged, yangilanmagan dasturlar
  • Xavfsiz server konfiguratsiyasi
  • Hech qanday texnik xizmat va / yoki tarmoq faoliyatini nazorat qilish

Ushbu turdagi hujumingiz haqida ISPga xabar bering va xabardor bo'ling. Sizning veb-saytingiz hosti nima qilsa, har bir serverni muqobil DNS-manzillar ro'yxatini sozlash, shuning uchun standart DNS mavjud bo'lmaganda butun veb-sayt hali ham ishlaydi. Xaker faqat ro'yxatdagi serverlarning barchasini to'sib qo'yganida, uning harakatlarida muvaffaqiyatga erishishi mumkin - og'ir ish emasmi? Boshqa qarshi choralar odatiy bo'lmagan vaqt va / yoki yuqori xavfli IP-manzillardan kelgan barcha paketlarni filtrlash bo'lishi mumkin. Sizning uy egasi Sizga xizmat ko'rsatuvchi Denial of Attacks haqida bilimdon bo'lishi kerak, shuning uchun ular bilan DDOS oldini olish masalalarini muhokama qiling.

Maslahat #6 - SFTP bilan xavfsiz FTP orqali kirish

Siz uchun hech narsa o'zgarmaydi, odatdagidek FTP kabi ishlaydi, lekin SFTP yoki Secure FTP juda ko'p foyda bilan ta'minlanadi:

  • Fayl o'tkazish paytida ma'lumotlarni va buyruqlar shifrlash uchun SSH foydalanadi
  • U mijozning serverning ommaviy kalitlaridan foydalanadi, chunki u vositachilik qilmasligini ta'minlash uchun ulanishdan so'ng serverni tasdiqlashi kerak
  • Hackerning tarmoq trafigini tinglashi mumkin emas

"Muntazam" FTP buyrug'i bilan bog'liq muammo shundaki, u shifrlanmagan: serverga yuborilgan va yuklab olingan barcha yuklamalar va ma'lumotlar aniq ma'lumotlar sifatida uzatiladi.

FTP buyruqlar qatoriga kirish uchun (agar Siz Unix / Linux / Mac OS foydalanuvchisidan bo'lsangiz) foydalanishingiz mumkin

sftp [email protected]

yoki SFTP ni qo'llab-quvvatlaydigan bepul FTP dasturini yuklab oling FileZilla (ochiq manba).

Maslahat #7 - Saytingizdan himoya qilish uchun SQL Injection haqida bilib oling

Bu buzuq usuldan ehtiyot bo'ling, skriptlarni yangilab turing va xavfsizlik qoidalarini buzgan holda darhol skriptni ishlab chiquvchi bilan bog'laning. Oddiy sinovni qanday bajarish kerak:

  • Quyidagi SQL kodini veb-formasiga (foydalanuvchi nomi va parol) kiriting:
    'OR' t '=' t '; -
    bu SQL darajasida bo'ladi:
    SELECT * FROM foydalanuvchilardan qaerda userid = 'admin' AND password = '' YoKI 't' = 't'; - "
  • Ma'lumotlar bazasi tarkibini qaytarib oladimi?

Kod bajarilishi mumkin ("may" deb ayta olaman, chunki juda xavfsiz skript o'rnatganingiz uchun baxtli bo'lishi mumkin) chunki "t '=' t 'matematik jihatdan to'g'ri ifodalanadi, shuning uchun SQL so'rovi har doim bajariladi. Bilimli xaker o'z maqsadlariga erishish uchun juda aniq SQL bayonnomalarini tuzishi mumkin, shuning uchun skript ishlab chiquvchisiga murojaat qiling va foydalanadigan skriptni osonlik bilan hujum qilish mumkin bo'lganda yordam oling. Yoki skriptni o'zgartiring.

BONUS Maslahat #1 - Ma'muriy Paneli jurnallarini muntazam tekshirib turing

cPanel qaydlar bo'limi

Sizning boshqaruv panelingiz (cPanel, Plesk va boshqalar) sizda kamida haftasiga bir marta kuzatishingiz kerak bo'lgan transport tahlillari, kirish va xavfsizlik jurnallari uchun o'rnatilgan vositalar bilan birga keladi.

Agar cPanel dan foydalansangiz, men sizni tekshirishingizni maslahat beraman Analog statistikasi vosita har ikki kunda, chunki vosita batafsil hisobotlarni ko'rsatadi:

  • HTTP so'rovlari
  • Yo'l harakati faolligining oylik / kundalik / soatlik hisobotlari
  • Yo'naltiruvchilar, brauzerlar va OS sizning trafikingiz kelib tushdi

Sizning veb-saytingiz hujumga duchor bo'lganingizda, jurnallar vositalari birinchi bo'lib sizni qarash kerak.

BONUS Maslahat #2 - Ikki haftalik zahiralarni bajaring

Har ikki haftada, yoki har haftada, agar mumkin bo'lsa. Kabi plaginlari bilan Sufiy va iThemes Elegant Themes Xavfsizlik, hatto har kuni yoki har uch kunda zaxira qilishingiz mumkin. Sizning kontentingizning yangi nusxalarini doimo yuklab olishingiz, yo'l davomida biror narsa yomon bo'lsa, tiklashga tayyor bo'lasiz. Ushbu maqola sizning veb-saytingiz qanday hujumlarga duch kelishi mumkinligini va ularni qanday qilib qarshi olish va oldini olish mumkinligini ko'rsatdi, ammo sizning eng kuchli qurolingiz bu: zaxira. Bu sizning veb-saytingizni asl holatiga qaytarishning yagona yo'li, xuddi hacker hech qachon o'z iflos narsalarni o'ynashi mumkin emas.

xulosa

Xo'sh, nima qilish kerak, aslida?

  1. O'rganish. Axborot - kuchdir! Kriptografiya, DDoS va SQL Inklyuzioni, o'zaro faoliyat ssenariysi (XSS) va boshqa hujum turlari haqida bilib oling. Sizning veb-saytingiz buzilgan paytda sodir bo'layotgan voqealarni to'liq ko'rib chiqishga yordam beradigan barcha narsalar va narsalar. Siz qanchalik ko'p bilsangiz, qarshi hujumga qanchalik ko'p yordam berasiz.
  2. Yangiliklarni davom ettiring. Kashfiyotlar, asboblar va skriptlarni yangilash bilan. Ushbu maqolada, tajovuzkorlarga nisbatan qat'iy himoya qilish uchun sayt dasturlarini yangilash va yangilash muhimligi ta'kidlangan.
  3. Muntazam tekshirishlar va zaxiralarni bajaring. Agar siz zaxirangizni qayta tiklasangiz!
  4. Hisobot. Vazifalar o'zingizning nazoratdan chiqarilsa, muammolarni mualliflar, hokimiyat va xostlaringizga yozing. Ular qila olmaydigan narsalarni qilishlari mumkin.

Dasturiy injinirlashdan xavfsizlik qoidalari

Dasturiy ta'minot muhandisligi har bir yaxshi muhandis va kompyuter mutaxassisi dasturiy ta'minot ishlab chiqishda qo'llanishi kerak bo'lgan bilimlarni o'rganishi kerak bo'lgan maftunkor sohadir. Lekin boshqa tomondan ham ishlaydi, bilasizmi? Siz - foydalanuvchi - Programma Ta'minotining kontseptsiyasini ishlab chiquvchilar sizga taqdim etgan sayt dasturlari orasida aqlli tanlovlarni amalga oshirish uchun ishlatishi mumkin. Siz .. qila olasiz; siz ... mumkin:

  1. Tushuntirishlaringiz va ma'lumotlaringizni yo'qotish uchun sizning xatoingiz olib kelishini tushunib oling
  2. Ishonchlilikning 4 o'lchovlari haqida bilib oling va ularni sizning ustunligingiz uchun foydalaning: mavjudlik, ishonchlilik, xavfsizlik va xavfsizlik
  3. Xavfli bo'lishi mumkin bo'lgan barcha muammolarni aniqlang: nozik / muhim ma'lumotlarning yo'qolishi, muayyan xizmatlar muvaffaqiyatsizligi, yuqori rekonstruksiya xarajatlari (vaqt, pul).

Skriptni o'rnatishdan va ishlatishdan avval nima qilishingizni so'raysizmi?

Ishonchlilik. Ushbu dasturiy ta'minotga ishonamanmi?

  • imkoniyat Menga osongina skript bormi? Ishlab chiquvchidan yordam olish uchun aloqa qilish mumkinmi?
  • ishonchlilik Skript yaxshi ishlashi kerakmi? Maqsadlarimga tegishli xatti-harakatlar qilsam, xatolar bormi yoki muammolar tug'diradimi?
  • xavfsizlik Buzuqlik va xatolar xavfsizlik va ishlashga jiddiy ta'sir qiladimi?
  • xavfsizlik Dasturda o'rnatilgan xavfsizlik moduli bormi? Men boshqarishim mumkinmi?
  • Ta'mirlash mumkinligi Biror narsa noto'g'ri bo'lsa, uni boshqarishim mumkinmi?
  • Mumkinlik Men ushbu dasturni o'zim himoya qila olamanmi?
  • omon qolish Dastur hali ham hujum ostida ishlay oladimi? Hujumdan yaxshi qutulishim mumkinmi?

Zaifliklar jadvali

  • Dastur xatolar; oshkora ma'lumotlarni uzatish; xatolar; ommaviy jurnallar
  • odam kam quvvatli parollar; himoyalanmagan kataloglar; nozik ma'lumotlarni oshkor qilish; tizimni ta'mirlash va yangilash / yangilanishning etishmasligi

Luana Spinetti haqida

Luana Spinetti Italiyada joylashgan mustaqil yozuvchi va rassom, shuningdek, kompyuter fanlari talabasi. Psixologiya va ta'lim bo'yicha o'rta maktab diplomi bor va 3 da bitirgan "Comic Book Art" da 2008-kursga qatnadi. U juda ko'p tomonlama bo'lganidek, SEO / SEM va Web Marketingga katta qiziqish uyg'otdi, ijtimoiy media-ga alohida e'tibor qaratdi va u ona tilida (italyancha) uchta roman ustida ishlaydi, u umid qilmoqda yaqinda indeksini nashr etish.