Было время, когда люди и компании полностью забрасывали веб-сайты, просто надеясь, что никто не взломает их содержимое или не установит на них вредоносное ПО.
Эти дни давно позади, так как количество и частота атак означает, что существует постоянная угроза - и чем более успешным является веб-сайт, тем больше опасность.
Итак, как вы можете защитить свой веб-сайт (через своего провайдера веб-хостинга) и как снизить вероятность взлома и злонамеренных изменений сайта?
Однако прежде чем мы перейдем к этому, нам нужно понять самый базовый уровень безопасности, который отвечает за многие взломанные сайты - даже те, которые размещены на защищенных серверах.
- Мы выбрали лучшие услуги веб-хостинга прямо здесь
- Это лучшие бесплатные веб-хостинговые компании.
- И это на данный момент лучшие конструкторы сайтов
Первая линия защиты
Хотя некоторые компании настаивают на размещении своих собственных веб-сайтов, большинство бизнес-доменов расположены на защищенных серверах, с которыми для этой цели заключен контракт.
Когда вы выбираете хостинг, вы можете определить, какая ОС работает в этой системе (Windows Server, Linux или Unix) и что определяет требуемые протоколы безопасности.
Человек или люди, ответственные за администрирование сайта, имеют права администратора изменять файловые структуры на нем, и никто другой.
С самого начала это может пойти не так, если слишком много людей знают данные учетной записи администратора, а пароль не меняется на регулярной основе. И требуется всего лишь кейлоггер, который будет установлен на одной из машин, используемых для администрирования, и пароль будет показан именно тем людям, которым вы меньше всего хотели бы его иметь.
Но если честно, сколько людей работает в офисе, где пароли регулярно запоминают с помощью стикеров? Несомненно, несколько рук поднялись туда.
Защита этих паролей - первая линия защиты, и без этого все, что вы делаете, можно легко отменить.
Итак, есть два первых урока о безопасности веб-сайтов, а именно:
- Только настолько хороша, насколько хороша сеть, в которой был создан веб-сайт.
- Безопасность редко можно улучшить, записав пароли и разместив их на видном месте.
Аудит безопасности
Проведение аудита безопасности на сайте - относительно простое упражнение, которое ИТ-персонал может выполнить с помощью ряда программных инструментов. Или, в качестве альтернативы, вы можете нанять третье лицо, которое выполнит сканирование за вас и предоставит список потенциальных слабых мест, которые необходимо подкрепить.
Если вы покупаете услугу веб-хостинга, провайдер может также связать инструмент безопасности, чтобы убедиться, что вы достаточно защищены с самого начала, но обычно не на постоянной основе.
Помимо этого, многие провайдеры также предлагают пакет безопасности веб-сайтов, в котором обещают быстрое реагирование на угрозы и смягчение последствий отказов в обслуживании. Если у вас нет небольшого личного блога, это хорошее вложение.
Цена на эти услуги невелика, если учесть, насколько дорого обходится офлайн-сайт в течение любого периода времени, особенно для тех, кто предлагает электронную коммерцию.
Какой бы подход вы ни выбрали, важно, чтобы сканирование безопасности проводилось на регулярной основе, чтобы выявлять возможные новые угрозы по мере их появления и немедленно устранять их.
Общие проблемы
Наиболее распространенные формы атак, с которыми сталкиваются веб-сайты, следующие:
- Распределенный отказ в обслуживании (DDoS) - Многие удаленные компьютеры, обычно зараженные трояном, действуют согласованно, многократно запрашивая веб-страницы до такой степени, что серверы не могут обработать такое количество запросов.
- Заражение вредоносным ПО - Каким-то образом файлы, содержащие какой-то гнусный код, размещаются на сайте с намерением загрузить его всем, кто его посетит.
- SQL-инъекция - Вредоносный код вставлен в форму или ввод, который затем выполняется базой данных SQL на сервере. Этот код может позволить получить доступ к данным клиента или открыть машину для внешнего доступа.
- Грубая сила - Часто ошибка в ОС позволяет повторной атаке вызвать сброс, который на короткое время открывает порт для вторичной атаки. Учитывая сложность современных операционных систем, новые уязвимости обнаруживаются регулярно.
- Межсайтовый скриптинг - Метод взлома, при котором браузер может быть перенаправлен на другой сайт или заменить контент на сайте жертвы без ведома посетителя.
- Хак "нулевого дня" - Это новые атаки, которые сложно остановить, в которых используется уязвимость, о которой не известно широкой публике. Время между обнаружением уязвимости и исправлением критично, и может потребоваться временное отключение некоторых функций сервера до тех пор, пока не будет найдено исправление.
Слабые стороны по дизайну
Хотя многие сайты работают со следующими активными функциями, они являются источником многих проблем с безопасностью по многим причинам:
- Формы - Все, что обрабатывает ввод на сервере, является потенциальной точкой входа для вредоносного кода, а также может быть использовано для извлечения пользовательских данных.
- Форумы - Размещение скриптов и перенаправление пользователей на веб-сайты, распространяющие вредоносное ПО, - это лишь некоторые из потенциальных проблем с форумами, создаваемыми пользователями.
- Вход в социальные сети - Использование вашей учетной записи Facebook или Google для входа на сайт быстро и легко, но это также может быть способом взлома этих учетных записей.
- Электронная коммерция - Преступление следует за деньгами, и хакеры приложат гораздо больше усилий, чтобы взломать сайт электронной коммерции.
- Нерегулируемый контент - Если вы получаете новости и статьи с других сайтов, вы зависите от их мер безопасности, какими бы они ни были.
Очевидно, что удаление всех этих функций с веб-сайта сделает его гораздо менее привлекательным местом для посетителей. Необходимо сделать вывод о том, какие элементы вы готовы использовать и как вы намереваетесь смягчить возможные проблемы безопасности, связанные с ними.
Соответствующая защита
Есть только один способ гарантировать, что ваш сайт никогда не будет взломан, и это не иметь его. В конечном счете, безопасность веб-сайта - это упражнение по смягчению последствий, когда вы делаете достаточно, чтобы сделать попытки взлома вашего сайта гораздо менее целесообразными, а также обеспечить более быстрое восстановление после любого инцидента.
Точный уровень безопасности - это выбор, с которым должны бороться все компании, но для тех, кто занимается онлайн-продажами, обязательство должно быть 100% для защиты личных и финансовых данных тех, кто торгует с вами.
Все данные клиентов многих компаний и организаций были украдены, а затем использованы для мошенничества с кражей личных данных с дорогостоящими последствиями.
Какой бы уровень защиты и мониторинга вы ни выбрали, он должен соответствовать своему назначению. Наконец, учтите, что наличие более высокого уровня безопасности, чем вам нужно, требует минимальных затрат, но меньшее может иметь огромные юридические и коммерческие последствия.
