Kiekvieną dieną kasdien atneša naujienas apie naują asmeninės informacijos nutekėjimą internetu. Ar tai būtų kredito kortelių informacija, priklausanti milijonams vartotojų arba jų elektroninio pašto ID ir slaptažodžių, asmeninių nuoširdžių nuotraukų ar net slaptų įslaptintų vyriausybės duomenų, - įsilaužėlių pasaulis demokratizavo internetą ir jo saugumo trūkumą visais įmanomais lygmenimis.
Dabar gali būti įdomu, ką tai susiję su jūsų nekenksmingu mažu dienoraščiu ar svetaine, kurioje nėra naudotojų kredito kortelės informacijos ar „Scarlett Johansson“ nuogas.
$config[code] not foundNa, įsilaužėliai per kelias minutes gali paversti jūsų nondescript svetainę į kenkėjišką šnipinėjimo botą, todėl įsilaužėliams siunčiant jautrius naudotojo duomenis be jūsų net supratimo. Dar blogiau, jie gali įsilaužti į jūsų svetainių duomenų bazes ir sunaikinti ar manipuliuoti svarbia informacija, švirkšti turinį su kenkėjiškomis nuorodomis ir netgi užgrobti prieglobos serverį, kuris bus naudojamas „Botnet DDoS“ atakose.
Bet pakanka šio panika šventės. Tai ne visi pasmerkimai ir niūrumas internete. Yra dalykų, kuriuos jūs gali kad apsaugotumėte savo svetainę nuo įsilaužėlių ir taptų internetinių vandalų taikiniu. Toliau pateikiami paprasčiausi žingsniai, kuriuos galite atlikti:
Atnaujinkite visą programinę įrangą
Nesvarbu, ar jūsų svetainę sukūrėte iš savo vystymo komandos, ar pasirinkote sukurti „DIY“ svetainę trečiosios šalies parengtoje platformoje, kaip svetainės savininkui, tai yra jūsų užduotis užtikrinti, kad kiekviena jūsų paleista programinė įranga būtų atnaujinta.
CMS paslaugų teikėjai, pavyzdžiui, „WordPress“, „Joomla“ ir jų darbas visą parą, bando prijungti bet kurias jų sistemų skyles ir paleisti reguliarias pleistras ir atnaujinimus, kad jų programinė įranga būtų mažiau pažeidžiama atakoms. Įsitikinkite, kad vykdote šiuos naujinimus ir kad naujausia versija palaiko jūsų svetainę bet kuriuo konkrečiu momentu.
Jei jūsų svetainė naudoja trečiosios šalies įskiepius, sekite jų atnaujinimus ir užtikrinkite, kad jie būtų atnaujinti laiku. Dažnai daugelyje svetainių yra įskiepių, kurie laikui bėgant nepatenka. Išvalykite savo svetainę apie nepanaudotus, senus ir neatnaujintus įskiepius - jie sėdi antys, kad įsilaužėliai būtų naudojami kaip vartai įeiti į jūsų svetainę ir sužlugdyti jį.
Sukurkite savo svetainės saugumo sluoksnius
Prieš atidarydami namus užrakindami duris ir prieš pradedant naršydami internete įdiegdami antivirusinę programinę įrangą, taip pat turėtumėte turėti apsaugos sistemą, kuri būtų pirmoji jūsų svetainės apsauga nuo įsilaužimo atakų. „Web Application Firewall“ yra pirmoji gynybos linija. Šie sprendimai yra skirti tikrinti gaunamą srautą, suteikti ir ištaisyti kenkėjiškus prašymus, - suteikti apsaugą nuo SPAM, brutalinių jėgų atakų, SQL injekcijų, skriptų scenarijų ir kitų „OWASP Top 10“ grėsmių.
Iki vos prieš kelerius metus žiniatinklio programinės įrangos užkardos buvo prieinamos tik kaip aparatūros įranga, tačiau šiandien keletas „Security-as-a-service“ („SECaaS“) paslaugų teikėjų sukelia revoliuciją, naudodamiesi debesų technologija, kad sumažintų tik anksčiau rastų saugumo sprendimų kainas įmonės lygmeniu.
Todėl visi svetainių savininkai dabar gali „išsinuomoti“ debesys grindžiamą žiniatinklio taikomąją ugniasienę, neprisiimdami brangių saugumo prietaisų arba netgi turėdami tam skirtą prieglobos serverį. Dar geriau, šioms „plug-and-play“ paslaugoms nereikalaujama samdyti saugumo ekspertus ar bandyti išmokti bet kokio interneto saugumo aspekto. (Dauguma iš mūsų tiesiog neturi laiko tapti kibernetinio saugumo ekspertais.)
Kasmet šimtai tūkstančių svetainių įsilaužta, tampa aišku, kad prieglobos paslaugų teikėjai nėra pakankamai aprūpinti visomis svetainės saugumo grėsmėmis, nes atvirai kalbant, svetainės saugumas nėra jų pagrindinėje darbotvarkėje. Dabar debesys grindžiamos žiniatinklio taikomosios programos ugniasienės užpildo tą tuščią vietą.
Perjungti į
„HTTPS“ arba „Hyper Text Transfer Protocol Secure“ yra saugus ryšių protokolas, naudojamas slaptai informacijai perduoti tarp svetainės ir žiniatinklio serverio. Svetainės perkėlimas į HTTPS protokolą iš esmės reiškia, kad į jūsų HTTP įdedamas šifravimo sluoksnis TLS (Transport Layer Security) arba SSL (Secure Sockets Layer), kad naudotojai ir jūsų duomenys būtų apsaugoti nuo įsilaužimo bandymų.
Nors HTTPS yra būtinas visiems internetiniams sandoriams, likusi svetainė dažniausiai yra HTTP. Vis dėlto viskas, ką ketinama pakeisti „Google“ neseniai paskelbus, kad HTTPS bus paieškos reitingo veiksnys. Be saugumo aspektų, dabar dar labiau prasminga perkelti visą savo svetainę į HTTPS, kad pagerintumėte paieškos reitingus vienu metu.
Naudokite stiprius slaptažodžius, keiskite reguliariai
Tai dar vienas ne-protas. Per pastaruosius kelerius metus brutalios jėgos atakos, kurios bando atspėti naudotojo slaptažodžio derinius, daugėjo nerimą keliančiais rodikliais, o kasdien visame tinkle aptinkama tūkstančiai atakų.
Naudojant stiprius slaptažodžius yra veiksmingas būdas apriboti, jei ne visiškai pašalinti, brutalinę jėgą ir žodynų atakas. Stiprūs slaptažodžiai yra ne tik jūsų elektroninio pašto ar finansinių operacijų internete reikalavimas, jie taip pat yra būtini jūsų svetainės serverio, administratoriaus ir duomenų bazės slaptažodžiams.
Įsitikinkite, kad jūsų slaptažodis yra raidžių ir skaitmenų simbolių, simbolių, didžiųjų ir mažųjų raidžių simbolių derinys ir yra mažiausiai 12 simbolių, kad būtų išvengta brutalinių jėgų atakų.
Nenaudokite to paties slaptažodžio visiems skirtingiems svetainės prisijungimams. Reguliariai keiskite slaptažodžius, kad jie būtų saugūs. Saugokite naudotojų slaptažodžius užšifruotu būdu. Tai užtikrina, kad net jei yra saugumo pažeidimas, užpuolikai neužtikrina savo rankų dėl esamų vartotojo slaptažodžių.
Padaryti administratoriaus katalogus sunku
Išradingas būdas, kuriuo įsilaužėliai gali pasiekti jūsų svetainės duomenis, yra eiti tiesiai į šaltinį ir įsilaužti į savo administracinius katalogus.
Piratai gali naudoti scenarijus, kurie nuskaito visus žiniatinklio serverio katalogus, kad gautų tokius pavadinimus kaip „administratorius“ arba „prisijungimas“ ir pan. Populiariausi CMS leidžia jums pervardyti savo administravimo aplankus bet kuriuo pasirinktu vardu. Pasirinkite nekenksmingus savo administravimo aplankų pavadinimus, kurie yra žinomi tik jūsų žiniatinklio valdytojams, kad būtų galima labai sumažinti galimo pažeidimo galimybę.
Tai yra toks paprastas ir lengvai išvengiamas įsilaužimo scenarijus, kad stebina, kaip milijonai svetainių vis tiek jį ignoruoja.
Išvada
Daugelis iš mūsų pergyvena gyvenimą su filosofija „Tai neįvyks man“. Tačiau ši filosofija nebuvo įrodyta internetinio saugumo pasaulyje. Sėkmingas jūsų svetainės užpuolimas ne tik sukelia kompromisą naudotojų duomenims ir jūsų pačiai informacijai, bet ir dėl to, kad „Google“ ir kiti paieškos teikėjai juose įtrauks jūsų svetainę į sąrašą, nes jūsų užkrėstoje svetainėje gali būti kenksmingo turinio platinimas visame žiniatinklyje.
Erringas atsargumas šioje srityje geriausiai tinka. Įgyvendinkite bent šiuos pagrindinius žingsnius iš karto, kad būtų išvengta švelnų taikinį kenkėjiškiems įsilaužėliams.
Svetainės saugumas Nuotrauka per „Shutterstock“, „HTTPS“ vaizdas iš „Null Byte“
Daugiau: Turinio marketingas 10 Komentarai ▼
