Semalt Expert: zanesljivi načini za zaščito spletnega mesta pred hekerji
Večina ljudi meni, da njihovo spletno mesto nima ničesar pomembnega, da bi ga lahko vlomili. Heker lahko s spletnim mestom ogrozi spletno mesto, ki strežnik uporablja za pošiljanje neželene pošte ali pa ga uporablja kot začasni strežnik za gostovanje nezakonitih datotek. Hekerji ciljajo na strežnike spletnih strani za rudenje bitcoinov, ki delujejo kot botneti ali povpraševanje po odkritju programske opreme. Hekerji uporabljajo avtomatizirane skripte za kršenje interneta v poskusu izkoriščanja ranljivosti v programski opremi.
Spodaj je nekaj nasvetov, ki jih je za zaščito vas in vaše spletne strani pripravil Igor Gamanenko, vodja uspeha za stranke Semalt .
Posodobljena programska oprema
Programsko programsko opremo in kakršno koli podporo programsko opremo je treba redno posodabljati. Vsaka ranljivost programske opreme omogoča hekerjem lažjo vrzel za manipulacijo in izražanje njihovih slabih motivov. Če gostiteljsko podjetje upravlja vašo spletno stran, potem vam ni treba skrbeti, saj mora gostiteljsko podjetje skrbeti za spletno varnost. Vse aplikacije drugih proizvajalcev je treba redno posodabljati, da lahko uporabite nove varnostne popravke.
Injekcija SQL
Hekerji uporabljajo injekcijske napade za manipulacijo z bazo podatkov na spletnem mestu. Uporaba standardnega Transact SQL olajša nezavedno vstavljanje zlonamernih kod v poizvedbo, ki bi jo lahko uporabili za manipulacijo tabel ali brisanje podatkov. Da bi se temu izognili, vedno uporabite parametrizirane poizvedbe, kot je spodaj prikazano:
$ stmt = $ pdo-> pripravi ('IZBERI * IZ tabele KJE je stolpec =: vrednost');
$ stmt-> Execute (array ('vrednost' => parameter $));
Prepisovanje na drugem mestu
Te oblike napadov na spletno stran, ki deluje na spletnih brskalnikih anonimno, vbrizgajo lažne JavaScript kode in lahko spremenijo spletno vsebino ali ukradejo občutljive podatke, da se pošljejo nazaj v heker. Skrbnik spletnega mesta mora zagotoviti, da uporabniki ne morejo uspešno vnašati JavaScript vsebine na vašo stran. Uporaba orodij, kot je politika varnosti vsebine, usmerja spletni brskalnik, da omeji, kako in kaj JavaScript deluje na strani.
Sporočila o napakah
Skrbnik spletnega mesta mora biti previden glede informacij, prikazanih v vaših sporočilih o napaki. Uporabnikom pošljite le omejene napake in tako preprečite, da na vaših strežnikih ne bodo navajali tajnih podatkov, kot so gesla ali ključi API-ja.
Gesla
Za dostop do oddelka za strežnike ali spletna mesta je izredno pomembno uporabljati zapletena gesla. Uporabnike je treba tudi spodbuditi, da za zaščito svojih računov uporabljajo močna gesla. Kombinacija velikih in malih črk, številk in posebnih znakov predstavlja varno geslo. Gesla je treba hraniti z algoritmom hashing. Varnost spletnega mesta je mogoče izboljšati z uporabo nove in edinstvene soli na geslo.
Nalaganje datotek
Če želite preprečiti poskus kramp, je priporočljivo, da se izognete neposrednemu dostopu do naloženih datotek. Vse datoteke, naložene na vaše spletno mesto, bi morale biti shranjene v ločeni mapi zunaj Webroota. Za pridobitev datotek iz zasebne mape in njihovo uporabo do brskalnika je treba ustvariti drugačen skript.
HTTPS
Gre za protokol, ki zagotavlja varnost prek spleta. Uporabnikom zagotavlja, da dostopajo do strežnika, ki ga pričakujejo, in da noben heker ne more prestreči vsebine, ki jo prenašajo. Spletno mesto, ki podpira kreditne kartice ali druge plačilne obrazce, bi moralo uporabljati pristne piškotke, poslane s katero koli zahtevo uporabnika. To pomaga pri preverjanju pristnosti zahtevkov in tako blokira napade.
Uporabite orodja za varnost spletnih strani
Ko izvedete vse zgoraj navedene ukrepe, je preskušanje varnosti vašega spletnega mesta ključnega pomena. Najbolje se izvaja z uporabo orodij za testiranje penetracije, ki vključujejo Netsparker, OpenVAS, Security Headers.io in Xenotix XSS Exploit Framework. Rezultati uporabe orodij predstavljajo široko paleto možnih pomislekov in možnih naprednih rešitev.