Кожен день приносить з собою новини про новий витік особистої інформації через Інтернет. Будь то інформація про кредитні картки, що належить мільйонам користувачів або їхні ідентифікатори електронної пошти та паролі, особисті знімки неабияких знаменитостей або навіть цілком секретні секретні урядові дані - світ хакерів демократизував Інтернет та його відсутність безпеки на всіх можливих рівнях.
Тепер ви можете задатися питанням, що це має відношення до вашого нешкідливого блогу або веб-сайту, який не містить відомостей про кредитну картку користувачів або оголених фотографій Скарлетт Йоханссон.
$config[code] not foundДобре, хакери можуть перетворити ваш веб-сайт, який не розпізнає, на шкідливого шпигунського бота за лічені хвилини, посилаючи конфіденційні дані користувачам хакерам, навіть не усвідомлюючи цього. Гірше того, вони можуть зламати ваші веб-сайти і знищити або маніпулювати важливою інформацією, ввести свій вміст зловмисними посиланнями і навіть захопити хостинговий сервер, який буде використовуватися в атаках ботнет DDoS.
Але достатньо цього страшного свята. В Інтернеті не все прирече і похмуро. Є речі, які ви може зробити, щоб захистити свій сайт від хакерів і стати мішенню для онлайн-вандалів. Нижче наведено огляд найпростіших кроків:
Тримайте оновлене програмне забезпечення
Незалежно від того, чи був ваш сайт побудований з нуля вашою командою розробників або ви вирішили створити власний сайт на платформі "під ключ", як власник сайту, ваша робота полягає в тому, щоб переконатися, що кожен програмний продукт, який ви запускаєте, є актуальним.
Постачальники CMS, такі як WordPress, Joomla та їхні продукти, працюють цілодобово, намагаючись підключити будь-які отвори в своїх системах і випустити регулярні виправлення та оновлення, які роблять програмне забезпечення менш вразливим до атак. Переконайтеся, що ви запускаєте ці оновлення та маєте останню версію, яка підтримує ваш сайт у будь-який момент часу.
Якщо ваш сайт використовує плагіни третіх сторін, слідкуйте за їхніми оновленнями та переконайтеся, що вони також оновлюються вчасно. Часто на багатьох сайтах містяться плагіни, які з часом не використовуються. Очистіть свій сайт від будь-яких невикористаних, старих і не-оновлених плагінів - вони сидять качки для хакерів, які будуть використовуватися в якості шлюзу для входу на ваш сайт і сіяти хаос на ньому.
Створюйте шари безпеки навколо вашого сайту
Так само, як ви замикаєте свої двері перед тим, як виходити з дому та встановлювати антивірусне програмне забезпечення на настільному комп'ютері перед тим, як переглядати веб-сторінки, ви також повинні мати систему безпеки, яка слугуватиме першою лінією захисту вашого сайту від хакерів. Брандмауер веб-додатків - це перша лінія оборони. Ці рішення розраховані на перевірку вхідного трафіку, надання та утилізацію шкідливих запитів - пропонуючи захист від спаму, атаки грубої сили, SQL-ін'єкцій, крос-сценаріїв та інших OWASP Top 10 загроз.
До декількох років тому брандмауери веб-додатків були доступні лише як апаратні засоби, але сьогодні кілька постачальників системи безпеки як сервіс (SECaaS) революціонізують галузь, використовуючи хмарні технології для зниження цін на рішення безпеки, знайдені раніше в установках рівня підприємства.
Отже, всі власники веб-сайтів тепер можуть "орендувати" брандмауер веб-додатків на базі хмарних мереж, не зобов'язуючись дорогої техніки безпеки або навіть володіючи виділеним хостинговим сервером. Більш того, ці плагіни не вимагають від вас наймати експертів з безпеки або намагатися вивчити всі аспекти веб-безпеки. (Більшість з нас просто не мають часу, щоб стати фахівцями з кібербезпеки.)
З кожним роком сотні тисяч веб-сайтів, що стають хакерами, стає зрозумілим, що хостинг-провайдери недостатньо оснащені, щоб впоратися з усіма загрозами безпеці веб-сайту, оскільки відверто безпека веб-сайту не входить до їх основних питань. Тепер мережеві брандмауери на основі хмари заповнюють цю порожнечу.
Перейти до
HTTPS або Hyper Text Transfer Protocol Secure - безпечний протокол зв'язку, який використовується для передачі конфіденційної інформації між веб-сайтом і веб-сервером. Перенесення вашого веб-сайту до протоколу HTTPS по суті означає додавання шару шифрування TLS (транспортний рівень безпеки) або SSL (рівень захищених сокетів) до вашого HTTP, що робить ваші користувачі та ваші дані додатковими захистом від спроб злому.
Хоча HTTPS є необхідністю для всіх онлайн-транзакцій, решта веб-сайту, як правило, на HTTP в більшості випадків. Проте все, що збирається змінитися за допомогою недавнього оголошення Google, що HTTPS буде фактором ранжування пошуку. Окрім аспектів безпеки речей, зараз має ще більше сенсу перенести весь веб-сайт на HTTPS, щоб одночасно покращити рейтинг пошуку.
Використовуйте сильні паролі, регулярно змінюйте
Це ще одне непросто. Атаки грубої сили, які намагаються вгадувати комбінації паролів з іменем користувача, збільшилися на тривожні показники протягом останніх кількох років.
Використання надійних паролів є ефективним способом обмежити, якщо не повністю виключити грубу силу і атаки словника. Сильні паролі не є просто вимогою для електронної пошти або фінансових транзакцій в Інтернеті, вони також є обов'язковими для паролів веб-сайту, адміністратора та бази даних.
Переконайтеся, що ваш пароль - це комбінація буквено-цифрових символів, символів, символів верхнього та нижнього регістрів і не менше 12 символів, щоб запобігти атакам з використанням грубої сили.
Не використовуйте той самий пароль для всіх своїх входів на веб-сайті. Регулярно змінюйте паролі, щоб уникнути їх подвійного захисту. Зберігати паролі користувачів у зашифрованому вигляді. Це гарантує, що навіть якщо є порушення безпеки, зловмисники не отримують своїх прав на фактичні паролі користувачів.
Зробити директорії адміністрування жорсткими
Геніальний спосіб, як хакери отримують доступ до даних вашого сайту - це прямий перехід до джерела та хакерство у ваші каталоги адміністратора.
Хакери можуть використовувати сценарії, які сканують усі каталоги на вашому веб-сервері для назв під назвою "адміністратор" або "логін" тощо, і зосередити свою увагу на введенні цих папок, щоб скомпрометувати безпеку вашого веб-сайту. Найбільш популярні CMS дозволяють перейменувати папки адміністратора на будь-яке ім'я. Виберіть нешкідливі звукові імена для папок адміністратора, які відомі лише вашим веб-майстрам, щоб значно зменшити можливість потенційного порушення.
Це такий базовий і легко уникнутий сценарій злому, що вражає, як мільйони веб-сайтів все ще ігнорують його.
Висновок
Більшість з нас проходить через життя з філософією "Це не станеться зі мною". Проте, ця філософія виявилася неправдою в світі онлайн-безпеки. Успішна атака на ваш сайт не тільки призводить до компрометації даних користувачів і вашої власної інформації, але також може призвести до чорного списку вашого сайту Google та інших постачальників пошуку, оскільки ваш заражений сайт ризикує поширити шкідливий вміст у всьому Інтернеті.
Найбільше в цій області краще втручатися. Реалізуйте принаймні ці основні кроки відразу, щоб не бути м'якою мішенню для зловмисних хакерів.
Веб-сайт безпеки за допомогою Shutterstock, зображення HTTPS від Null Byte
Більше в: Зміст маркетингу 10 Коментарі ▼
