Xakerlar hujumiga qarshi veb-saytingizni himoya qilish uchun 7 Maslahatlar

Maqola muallifi:
  • Tanlangan maqola
  • Yangilandi: May 06, 2019

Veb faqatgina biznes haqida emas. Millionlab sahifalar va blog yozuvlari har kuni yoziladi, har soniyada, o'z qarashlarini dunyo bilan baham ko'rmoqchi bo'lgan kichik veb-sayt egalari va bloggerlar tomonidan. Bu Internetning jozibasi: hamma uchun va har qanday loyiha uchun joy beradi.

Sonsuz imkoniyatlar.

Ammo Internet ham yovvoyi jungle: u har bir burchakda xavfni yashiradi va siz foydalanadigan hech narsa, hatto faqat aql bovar qilmaydigan sehrga yaqin. Agar nodavlat yoki notijorat yoki onlayn biznesni internet orqali amalga oshirsangiz, xususan, Internetdagi barcha operatsiyalarni ko'chirish xizmatlari uchun ehtiyotkorlik bilan aylana olishi mumkinligini anglaysiz.

Xavfsizlik - veb-saytingizni rejalashtirganingizda e'tiborga olish kerak bo'lgan juda muhim jihat: hujumchilarga qarshi qanday qilib kontent va qattiq ishlashni ta'minlash mumkin? Eng yaxshi foydalanuvchi tajribasini qanday qilib taqdim etaman? Bu sizning veb-saytingizni yangilaganingizda o'zingizdan so'rashingiz kerak bo'lgan savollar.

Nima uchun ushbu maqola va nima uchun 7 Maslahatlari?

Saytingizni osongina n00b-shaklda himoya qilish haqiqatdan ham ko'proq utopiya bo'lishi mumkin, ammo bu dasturchi yoki kompyuter olimi bo'lmagan odam o'z veb-saytiga ba'zi xavfsizlik qo'sha olmaydi degani emas. Men asta-sekin, ammo qat'iyatsiz o'zingizning Internet xavfsizligi bo'yicha mutaxassisi bo'lishingiz uchun xavfsizlik nuqtai nazaridan qiziquvchanligingizni aniqlash uchun ettita qo'llanma oson va batafsil qo'llanmani tanladim. Barcha maslahatlar veb-xakerlikka xosdir va men sizning veb-saytingizni xavfsizlik teshiklari uchun sinab ko'rish uchun ishlatishingiz mumkin bo'lgan usullarni ham tanishtiraman. Xavotir olmang: juda qiyin narsa yo'q, lekin sizning loyihalaringiz uchun hujumlarni oldini oladigan oddiy vositalar va texnikalar bilan tanishishingiz juda muhimdir. :)

Maza qiling!

Maslahat #1 - O'zingizning parolingiz uchun bir oz ko'proq aql kuchini sarflang

Bir qator veb-xavfsizlik teshigi - bu bir xil parolni boshqa veb-saytlar yoki veb-xizmatlarda ishlatishdir. Bitta parolni bilib oladigan xaker barcha parollaringizni bilib oladi va sizning blogingiz yoki PayPal hisobingizdan qat'iy nazar barcha ma'lumotlaringizga kirish huquqiga ega bo'ladi. Sizning parollaringiz (laringiz) ro'yxatini qog'ozda yoki faylda saqlash xavfsiz alternativa emas (agar fayllaringizni parol bilan himoya qilmasangiz), chunki kompyuteringizni buzgan odam sizning ma'lumotlar bazangizga oson kirish huquqiga ega bo'ladi.

Lekin yaxshi parolni topa olmasangiz nima bo'ladi?

  1. foydalanish kuchli parol ishlab chiqaruvchi qiyin-parolni yaratish, jumladan harf-raqam va alternativ belgilar. Tasodifiy belgilarning tasodifiy yoki soxta tasodifiy belgisi (ya'ni parolning belgilari ichki xotiraga ega emas, ular bir-biri bilan uzviy bog'liq emas, shuning uchun har bir belgi boshqasidan keyin kelishi uchun teng imkoniyatga ega), bu qanchalik xavfsiz bo'lsa.
  2. foydalanish Password Havfsizlik barcha shifrlarni saqlash va shifrlash, bu parolni eslab, qulfdan chiqarishingiz mumkin. Dasturda foydalaniladi Twofish algoritmi Barcha parollarni shifrlash uchun Password Safe - Bruce Schneier tomonidan ishlab chiqilgan Windows Open-Source loyihasidir. Agar siz Windows dan foydalanmasangiz, Gorilla parolini kiriting Parol xavfsizligiga haqiqiy ochiq manbali alternativ hisoblanadi.

Bu erda "Veb-saytlar" nomli ma'lumotlar bazasi bilan parolsiz havfsizlikning oldingi ko'rinishi:

"Veb-saytlar" bazasi ichidagi faylning tafsilotlari:

Maslahat #2 - ssenariylardan yaxshi xabardor bo'ling

Ma'lumki, veb-sayt skriptlari va CMS platformalari xakerlik hujumlarining asosiy vositasi hisoblanadi. Agar sizda PHP, ASP va JavaScript-da yozilgan skriptlar mavjud bo'lsa, bilingki, ularning ishlab chiqaruvchilari e'tiborsiz qoldirgan xavfsizlik teshiklari va xatolari bo'lishi mumkin. Yuqorida aytib o'tilgan muammolardan biri aniqlangandan so'ng darhol ishlab chiqaruvchi bilan bog'lanishdan tashqari, skriptlaringiz sizga zarar bermasligini ta'minlash uchun texnik bo'lmagan usullardan foydalanishingiz mumkin:

  • Skriptingizning hujjat hujjatini diqqat bilan o'qing: ko'pincha xatolar va tuzatishlar haqidagi tafsilotlar mavjud
  • Dasturiy ta'minotni o'rnatuvchisi yoki boshqaruv paneli yoki hatto Google-ning (Webmaster Tools orqali) ogohlantirishlarini ro'yxatlang: agar siz faylni yangilashingiz yoki tahrirlashingiz / o'chirishingiz kerak bo'lsa, uni bajaring.
  • Mavjud barcha plaginlarni o'rnatmang: avval mosliklar va xavfsizlik eslatmalarini tekshiring.

Bundan tashqari - va bu ehtimol eng muhim omil - har doim, har doim skriptlaringiz va CMS-ni yangilang. Dasturiy ta'minotning so'nggi to'plamida odatda oldingi versiya xatolariga va xavfsizlikka oid yamalar mavjud.

Misol: Softaculous-dan WordPress yangilanishlari haqida ogohlantirish

Maslahat #3 - Regular Folder And Administration Panel Checks dasturini bajaring

Ba'zida xakerlar saytingizga mushuklar kabi yashirincha kirib boradilar, ammo ular o'zlariga falokatlarni qoldiradilar: sayt talonlari, virusni o'z ichiga olgan media-fayllar, bajariladigan fayllar va qayta ishlangan veb-sahifalar. Fayllaringizda hech qanday muammo yo'qligiga ishonch hosil qilish uchun kamida ikki haftada bir marta papkalarni muntazam ravishda tekshirib turing. Agar siz tanimagan fayllarni ko'rsangiz, ularni darhol olib tashlang. Agar bu ishlamasa, veb-xostingiz bilan bog'laning va yordam oling (Bu sizga eng yaxshi veb-xost kerak bo'lsa). Bunday hollarda:

  • Boshqaruv paneli parolini o'zgartiring (va iloji bo'lsa, foydalanuvchi nomi)
  • Barcha fayllarni tekshirib ko'ring, ular zarar ko'rganligini tekshiring
  • Antivirus o'rnatilgan bo'lsa, uni ishga tushiring.

Maslahat #4 - Xavfsiz autentifikatsiya

Web Security mutaxassislari ishlaydigan tizim va veb-tranzaktsiyalarning xavfsizligini ta'minlash uchun ko'plab usullardan foydalanadilar: ochiq kalitlar kriptografiyasi, ishonch zanjirlari, imzolar, SSL va TSL (Transport Layer Security). Kriptografiya haqida aniq bir narsa o'rganishingiz kerak bo'lsa-da, mutaxassislar tomonidan sizga taqdim etilgan oddiy ko'p faktorli autentifikatsiya vositalaridan foydalanishni o'rganishni boshlashingiz muhim:

Nima uchun kerak ko'p faktorli autentifikatsiya? Siz o'zingizning foydalanuvchi ismingizni, parolingizni va sizning kontentingizga kirish uchun bir marta foydalaning-keyin belgini olib tashlashni bilib olasiz; Aks holda, kirish rad etiladi.

Agar imkon bo'lsa, veb-xavfsizligi haqida bilib oling, yoki onlayn kurslar va kurslardan foydalaning.

#5 maslahati - DDoS hujumlaridan ehtiyot bo'ling

Xizmatni rad qilish hujumlari serverlarni o'g'irlash va xizmatlaringizni buzilgan holda almashtirish bilan birga, tez rivojlanayotgan va xavfli.

DDoS hujumi serverni odatdagi xizmatlari ishlamaydigan holatda majbur qiladi va butun tizim endi oxirgi foydalanuvchilar uchun mavjud bo'lmaydi.

DDoS hujumiga nima sabab bo'lishi mumkin?

  • Ochiq tarmoq konfiguratsiyasi
  • Bugged, yangilanmagan dasturlar
  • Xavfsiz server konfiguratsiyasi
  • Hech qanday texnik xizmat va / yoki tarmoq faoliyatini nazorat qilish

Ushbu turdagi hujumingiz haqida ISPga xabar bering va xabardor bo'ling. Sizning veb-saytingiz hosti nima qilsa, har bir serverni muqobil DNS-manzillar ro'yxatini sozlash, shuning uchun standart DNS mavjud bo'lmaganda butun veb-sayt hali ham ishlaydi. Xaker faqat ro'yxatdagi serverlarning barchasini to'sib qo'yganida, uning harakatlarida muvaffaqiyatga erishishi mumkin - og'ir ish emasmi? Boshqa qarshi choralar odatiy bo'lmagan vaqt va / yoki yuqori xavfli IP-manzillardan kelgan barcha paketlarni filtrlash bo'lishi mumkin. Sizning uy egasi Sizga xizmat ko'rsatuvchi Denial of Attacks haqida bilimdon bo'lishi kerak, shuning uchun ular bilan DDOS oldini olish masalalarini muhokama qiling.

Maslahat #6 - SFTP bilan xavfsiz FTP orqali kirish

Siz uchun hech narsa o'zgarmaydi, odatdagidek FTP kabi ishlaydi, lekin SFTP yoki Secure FTP juda ko'p foyda bilan ta'minlanadi:

  • Fayl o'tkazish paytida ma'lumotlarni va buyruqlar shifrlash uchun SSH foydalanadi
  • U vositachi emasligiga ishonch hosil qilish uchun ulanishda serverni tekshirish uchun mijozning serverining ochiq kalitlaridan foydalanadi
  • Hackerning tarmoq trafigini tinglashi mumkin emas

"Oddiy" FTP buyrug'i bilan bog'liq muammo, bu shifrlanmagan: serverga va undan yuklangan barcha yuklamalar va yuklamalar aniq ma'lumotlar sifatida uzatiladi.

FTP-ga buyruq satri orqali kirish uchun (agar siz Unix / Linux / Mac OS foydalanuvchi bo'lsangiz) foydalanishingiz mumkin

sftp [email protected]

yoki SFTP ni qo'llab-quvvatlaydigan bepul FTP dasturini yuklab oling FileZilla (ochiq manba).

Maslahat #7 - Saytingizdan himoya qilish uchun SQL Injection haqida bilib oling

Ushbu yaramas xakerlik usulidan ehtiyot bo'ling, skriptlaringizni yangilab turing va agar siz xavfsizlik qoidalarini buzgan bo'lsangiz darhol skriptni ishlab chiquvchisi bilan bog'laning. Oddiy sinovni qanday o'tkazish kerak:

  • Quyidagi SQL kodini veb-formasiga (foydalanuvchi nomi va parol) kiriting:
    'OR' t '=' t '; -
    bu SQL darajasida bo'ladi:
    SELECT * FROM foydalanuvchilardan qaerda userid = 'admin' AND password = '' YoKI 't' = 't'; - "
  • Ma'lumotlar bazasi tarkibini qaytarib oladimi?

Kod ishlamasligi mumkin (aytaman, "mumkin", chunki juda xavfsiz skriptni o'rnatganingiz uchun omadingiz bo'lishi mumkin), chunki 't' = 't' matematik jihatdan to'g'ri, shuning uchun SQL so'rovi har doim bajariladi. Bilimli xaker o'z maqsadlariga erishish uchun juda murakkab SQL ko'rsatmalarini tuzishi mumkin, shuning uchun skriptni ishlab chiquvchisi bilan bog'laning va foydalanadigan skriptni osonlikcha buzsa yordam so'rang. Yoki skriptni o'zgartiring.

BONUS Maslahat #1 - Ma'muriy Paneli jurnallarini muntazam tekshirib turing

Sizning boshqaruv panelingiz (cPanel, Plesk va boshqalar) sizda kamida haftasiga bir marta kuzatishingiz kerak bo'lgan transport tahlillari, kirish va xavfsizlik jurnallari uchun o'rnatilgan vositalar bilan birga keladi.

Agar cPanel dan foydalansangiz, men sizni tekshirishingizni maslahat beraman Analog statistikasi vosita har ikki kunda, chunki vosita batafsil hisobotlarni ko'rsatadi:

  • HTTP so'rovlari
  • Yo'l harakati faolligining oylik / kundalik / soatlik hisobotlari
  • Yo'naltiruvchilar, brauzerlar va OS sizning trafikingiz kelib chiqqan

Sizning veb-saytingiz hujumga duchor bo'lganingizda, jurnallar vositalari birinchi bo'lib sizni qarash kerak.

BONUS Maslahat #2 - Ikki haftalik zahiralarni bajaring

Har ikki haftada, yoki har haftada, agar mumkin bo'lsa. Kabi plaginlari bilan Sufiy va iThemes Elegant Themes Xavfsizlik, hatto har kuni yoki har uch kunda zaxira qilishingiz mumkin. Sizning kontentingizning yangi nusxalarini doimo yuklab olishingiz, yo'l davomida biror narsa yomon bo'lsa, tiklashga tayyor bo'lasiz. Ushbu maqola sizning veb-saytingiz qanday hujumlarga duch kelishi mumkinligini va ularni qanday qilib qarshi olish va oldini olish mumkinligini ko'rsatdi, ammo sizning eng kuchli qurolingiz bu: zaxira. Bu veb-saytingizni asl holatiga qaytarishning yagona yo'li, go'yo xaker hech qachon o'zining iflos hiyla-nayranglarini o'ynay olmaydi.

xulosa

Xo'sh, nima qilish kerak, aslida?

  1. O'rganish. Bilim - bu kuch! Kriptografiya, DDoS va SQL Injection, saytlararo skript (XSS) va boshqa turdagi hujumlar haqida ma'lumot oling. Veb-saytingiz buzilganida nima yuz berayotganini to'liq tasavvur qilish uchun sizga yordam beradigan hamma narsa va narsalar. Qancha ko'p bilsangiz, qarshi hujumni amalga oshirishingiz mumkin.
  2. Yangiliklarni davom ettiring. Kashfiyotlar, asboblar va skriptlarni yangilash bilan. Ushbu maqolada, tajovuzkorlarga nisbatan qat'iy himoya qilish uchun sayt dasturlarini yangilash va yangilash muhimligi ta'kidlangan.
  3. Muntazam tekshirishlar va zaxiralarni bajaring. Agar siz zaxirangizni qayta tiklasangiz!
  4. Hisobot. Ishlaringiz sizning ixtiyoringizdan chiqib ketganda, muammolarni skriptni ishlab chiquvchilarga, hokimiyat idoralariga va uy egasiga xabar bering. Ular siz qila olmaydigan narsani qilishlari mumkin.

Dasturiy injinirlashdan xavfsizlik qoidalari

Dasturiy ta'minot muhandisligi har bir yaxshi muhandis va kompyuter mutaxassisi dasturiy ta'minot ishlab chiqishda qo'llanishi kerak bo'lgan bilimlarni o'rganishi kerak bo'lgan maftunkor sohadir. Lekin boshqa tomondan ham ishlaydi, bilasizmi? Siz - foydalanuvchi - Programma Ta'minotining kontseptsiyasini ishlab chiquvchilar sizga taqdim etgan sayt dasturlari orasida aqlli tanlovlarni amalga oshirish uchun ishlatishi mumkin. Siz .. qila olasiz; siz ... mumkin:

  1. Tushuntirishlaringiz va ma'lumotlaringizni yo'qotish uchun sizning xatoingiz olib kelishini tushunib oling
  2. Ishonchlilikning 4 o'lchovlari haqida bilib oling va ularni sizning ustunligingiz uchun foydalaning: mavjudlik, ishonchlilik, xavfsizlik va xavfsizlik
  3. Xavfli bo'lishi mumkin bo'lgan barcha muammolarni aniqlang: nozik / muhim ma'lumotlarning yo'qolishi, muayyan xizmatlar muvaffaqiyatsizligi, yuqori rekonstruksiya xarajatlari (vaqt, pul).

Skriptni o'rnatishdan va ishlatishdan avval nima qilishingizni so'raysizmi?

Ishonchlilik. Ushbu dasturiy ta'minotga ishonamanmi?

  • imkoniyat Menga osongina skript bormi? Ishlab chiquvchidan yordam olish uchun aloqa qilish mumkinmi?
  • ishonchlilik Skript yaxshi ishlashi kerakmi? Maqsadlarimga tegishli xatti-harakatlar qilsam, xatolar bormi yoki muammolar tug'diradimi?
  • xavfsizlik Buzuqlik va xatolar xavfsizlik va ishlashga jiddiy ta'sir qiladimi?
  • xavfsizlik Dasturda o'rnatilgan xavfsizlik moduli bormi? Men boshqarishim mumkinmi?
  • Ta'mirlash mumkinligi Biror narsa noto'g'ri bo'lsa, uni boshqarishim mumkinmi?
  • Mumkinlik Men ushbu dasturni o'zim himoya qila olamanmi?
  • omon qolish Dastur hali ham hujum ostida ishlay oladimi? Hujumdan yaxshi qutulishim mumkinmi?

Zaifliklar jadvali

  • Dastur xatolar; oshkora ma'lumotlarni uzatish; xatolar; ommaviy jurnallar
  • odam kam quvvatli parollar; himoyalanmagan kataloglar; nozik ma'lumotlarni oshkor qilish; tizimni ta'mirlash va yangilash / yangilanishning etishmasligi

Luana Spinetti haqida

Luana Spinetti Italiyada joylashgan mustaqil yozuvchi va rassom, shuningdek, kompyuter fanlari talabasi. Psixologiya va ta'lim bo'yicha o'rta maktab diplomi bor va 3 da bitirgan "Comic Book Art" da 2008-kursga qatnadi. U juda ko'p tomonlama bo'lganidek, SEO / SEM va Web Marketingga katta qiziqish uyg'otdi, ijtimoiy media-ga alohida e'tibor qaratdi va u ona tilida (italyancha) uchta roman ustida ishlaydi, u umid qilmoqda yaqinda indeksini nashr etish.

»I ¿