10 асноўных крокаў для павышэння бяспекі вашага вэб-сайта

Колькасць праглядаў

369
Надрукаваць · Время на чтение: 11мін · па · Апублікавана · Абноўлены

Праслухаць артыкулПраслухаць гэты артыкул

10 саветаў па бяспецы для абароны ад нападаў і ўзломаў. Бяспека вэб-сайта.Забеспячэнне бяспеку вэб-сайта - як павысіць бяспеку сайта на WordPress? У апошнія гады прастата стварэння вэб-сайтаў пашырэла. Дзякуючы сістэмам кіравання кантэнтам (CMS), такім як WordPress і Joomla, уладальнікі бізнэсу зараз з'яўляюцца вэб-майстрамі.

Адказнасць за забеспячэнне бяспекі вэб-сайта зараз у вашых руках, але многія ўладальнікі не ведаюць, як зрабіць свой сайт бяспечным. Калі кліенты выкарыстоўваюць анлайн-працэсар аплаты крэдытнай картай, яны павінны ведаць, што іх дадзеныя ў бяспецы. Наведвальнікі не жадаюць, каб іх асабістая інфармацыя патрапіла ў чужыя рукі.

Незалежна ад таго, ці кіруеце вы малым бізнэсам ці інфармацыйным вэб-сайтам, карыстачы чакаюць бяспечнага знаходжання ў Інтэрнэце.

Справаздача Google Registry і The Harris Poll за 2019 год паказала, што, нягледзячы на тое, што ўсё больш людзей ствараюць вэб-сайты, у большасці ёсць значны прабел у ведах аб бяспецы ў Інтэрнэце. У той час як 55% рэспандэнтаў паставілі сабе ацэнку A ці B па бяспецы ў Інтэрнэце, каля 70% няправільна вызначылі, як павінен выглядаць бяспечны URL-адрас вэб-сайта.

Ёсць шмат спосабаў гарантаваць сабе, супрацоўнікам і кліентам забеспячэнне бяспекі вэб-сайта. Бяспека вэб-сайта не павінна быць гульнёй у даганялкі з загадкамі . Прыміце неабходныя меры для забеспячэння бяспекі вэб-сайта. Дапамажыце захаваць дадзеныя далей ад старонніх вачэй. Ніводны метад не можа гарантаваць, што ваш сайт назаўжды застанецца "вольным ад нападаў хакераў". Выкарыстанне прымітыўных метадаў зменшыць уразлівасць вашага сайта.

Змест артыкула:

Забеспячэнне бяспекі вэб-сайта - як зрабіць сайт мацней?

Як засцерагчы свой сайт, забеспячэнне бяспекі. Бяспека вэб-сайта.

Бяспека вэб-сайта - гэта адначасова просты і складаны працэс. Ёсць па меншай меры дзесяць асноўных крокаў, якія вы можаце зрабіць, каб павысіць бяспеку вэб-сайта, пакуль не стала занадта позна.
Нават у анлайн-свеце ўладальнікі павінны забяспечваць бяспеку інфармацыі аб кліентах. Прыміце ўсе неабходныя меры засцярогі і не пакідайце каменя на камені. Калі ў вас ёсць вэб-сайт, заўсёды лепш перастрахавацца, чым шкадаваць аб будучых не зробленых дзеяннях.

1. Падтрымлівайце праграмнае забеспячэнне і плагіны ў актуальным стане

Кожны дзень незлічоная колькасць вэб-сайтаў скампраметавана з-за састарэлага праграмнага забеспячэння. Патэнцыйныя хакеры і боты скануюць сайты для нападу парушаючы бяспеку вэб-сайта.

- Абнаўленні жыццёва важныя для здароўя і бяспекі вашага сайта. Калі праграмнае забеспячэнне або прыкладанні вашага сайта не абноўлены, ваш сайт не з'яўляецца бяспечным.

— Сур'ёзна стаўцеся да ўсіх запытаў на абнаўленне праграмнага забеспячэння і плагінаў.

- Абнаўленні часта ўтрымоўваюць паляпшэнні бяспекі і выпраўленні ўразлівасцяў. Праверце свой вэб-сайт на наяўнасць абнаўленняў або дадайце плягін апавяшчэнняў аб абнаўленнях. Некаторыя платформы дазваляюць аўтаматычныя абнаўленні, што з'яўляецца яшчэ адным варыянтам забеспячэння бяспекі вэб-сайта.

- Чым даўжэй вы чакаеце, тым менш бяспечным будзе ваш сайт. Зрабіце абнаўленне вашага вэб-сайта і яго кампанентаў галоўным прыярытэтам.

2. Дадайце HTTPS і SSL-сертыфікат

Каб забяспечыць бяспеку вашага вэб-сайта, вам патрэбен бяспечны URL-адрас. Калі наведвальнікі вашага сайта прапануюць адправіць сваю асабістую інфармацыю, для яе дастаўкі вам патрэбен HTTPS, а не HTTP.

Што такое HTTPS?

HTTPS (пратакол бяспечнай перадачы гіпертэксту) - гэта пратакол, які выкарыстоўваецца для забеспячэння бяспекі ў Інтэрнэце. HTTPS прадухіляе перахопы і перапыненні падчас перадачы змесціва.
Каб вы маглі стварыць бяспечнае анлайн-злучэнне, вашаму вэб-сайту таксама неабходны SSL-сертыфікат. Калі ваш вэб-сайт прапануе наведвальнікам зарэгістравацца, зарэгістравацца або здзейсніць якую-небудзь транзакцыю, вам неабходна зашыфраваць сваё злучэнне.

Што такое SSL?

SSL (Secure Sockets Layer) - Яшчэ адзін неабходны пратакол сайта. Гэта перадае асабістую інфармацыю наведвальніка паміж вэб-сайтам і вашай базай дадзеных. SSL шыфруе інфармацыю, каб прадухіліць яе чытанне іншымі падчас перадачы.
Ён таксама адмаўляе тым, хто не мае належных паўнамоцтваў, у доступе да дадзеных. GlobalSign - гэта прыклад SSL-сертыфіката, які працуе з большасцю вэб-сайтаў.

3. Абярыце разумны і надзейны пароль

Паколькі існуе так шмат вэб-сайтаў, баз дадзеных і праграм, якім патрабуюцца паролі, іх цяжка адсочваць. Многія людзі ў канчатковым выніку выкарыстоўваюць адзін і той жа пароль ва ўсіх месцах, каб запомніць сваю рэгістрацыйную інфармацыю.

Але гэта істотная памылка бяспекі.

- Стварайце ўнікальны пароль для кожнага новага запыту на ўваход у сістэму. Прыдумляйце складаныя, выпадковыя і цяжка якія адгадваюцца паролі. Затым захавайце іх па-за каталогам вэб-сайта. Напрыклад, вы можаце выкарыстоўваць у якасці пароля 12-значную сумесь літар і лічбаў. Затым вы можаце захаваць паролі ў аўтаномным файле, смартфоне ці іншым кампутары.

- Ваша CMS запытае лагін, і вы павінны выбраць разумны пароль. Таксама ўстрымайцеся ад выкарыстання якой-небудзь асабістай інфармацыі ў вашым паролі. Не выкарыстоўвайце імя свайго дня нараджэння ці сваяка; пароль трэба зрабіць зусім неадгадным.

- Праз тры месяцы ці раней зменіце свой пароль на іншы, а затым паўтарыце спробу. Разумныя паролі доўгія і кожны раз павінны складацца не менш за з дванаццаці знакаў. Ваш пароль павінен складацца з камбінацыі лічбаў і сімвалаў. Абавязкова чаргуйце вялікія і малыя літары.

Ніколі не выкарыстоўвайце адзін і той жа пароль двойчы і не паведамляйце яго іншым. Калі вы ўладальнік бізнесу або менеджэр CMS, пераканайцеся, што ўсе супрацоўнікі часта мяняюць свае паролі.

4. Выкарыстоўвайце бяспечны вэб-хостынг

Думайце аб даменным імені вашага вэб-сайта як аб паштовым адрасе. Цяпер падумайце аб вэб-хостынгу як аб участку "пад дом", дзе ваш сайт будзе існаваць у Інтэрнэце.

Гэтак жа, як вы даследуеце ўчастак зямлі, каб пабудаваць дом, вам трэба вывучыць патэнцыйных вэб-хастоў, каб знайсці прыдатнага для вас. Многія хасты даюць функцыі бяспекі сервера, якія лепш абараняюць загружаныя дадзеныя вэб-сайта. Ёсць пэўныя пункты, на якія трэба звярнуць увагу пры выбары хаста:

  • Ці прапануе вэб-хост бяспечны пратакол перадачы файлаў (SFTP)? SFTP.
  • Выкарыстанне FTP невядомым карыстальнікам адключана?
  • Ці выкарыстоўвае ён сканер руткітаў?
  • Ці прапануе ён паслугі рэзервовага капіявання файлаў?
  • Наколькі добра яны сочаць за абнаўленнямі бяспекі?
Незалежна ад таго, каго вы вылучыце ў якасці свайго вэб-хостынгу, пераканайцеся, што ў яго ёсць усё неабходнае для забеспячэння бяспекі вашага сайта.

5. Запіс доступу карыстальнікаў і адміністрацыйных прывілеяў

Першапачаткова вы можаце адчуваць камфорт, падаючы некалькім высокапастаўленым супрацоўнікам доступ да вашага вэб-сайту. Вы дае кожнаму адміністратарскія прывілеі, думаючы, што яны будуць выкарыстоўваць свой сайт асцярожна. Хаця гэта і ідэальная сітуацыя, але гэта не заўсёды так.

Нажаль, супрацоўнікі не задумваюцца аб бяспецы сайта пры ўваходзе ў CMS. Замест гэтага іх думкі сканцэнтраваны на пастаўленай задачы. Калі яны зробяць памылку або ўпусцяць праблему, гэта можа прывесці да сур'ёзнай праблемы бяспекі.

Вельмі важна правяраць сваіх супрацоўнікаў, перш чым падаваць ім доступ да вэб-сайту. Даведайцеся, ці ёсць у іх досвед выкарыстання вашай CMS і ці ведаюць яны, што шукаць, каб пазбегнуць парушэнні бяспекі. Раскажыце кожнаму карыстачу CMS аб важнасці пароляў і абнаўленняў праграмнага забеспячэння. Раскажыце ім аб усіх спосабах, якімі яны могуць дапамагчы забяспечыць бяспеку вэб-сайта.

Каб адсочваць, хто мае доступ да вашай CMS і іх адміністрацыйных налад, зрабіце запіс і часта абнаўляйце яго. Супрацоўнікі прыходзяць і сыходзяць. Адзін з лепшых спосабаў прадухіліць праблемы з бяспекай - мець фізічны запіс аб тым, хто і што робіць з вашым сайтам. Будзьце разважлівыя, калі справа даходзіць да доступу карыстальнікаў да вашага вэб-сайту.

6. Зменіце налады CMS па змаўчанні

Найбольш распаўсюджаныя атакі на вэб-сайты цалкам аўтаматызаваны. На што належаць шматлікія атакавалыя боты, так гэта на тое, што карыстачы маюць налады CMS па змаўчанні. Пасля выбару CMS неадкладна зменіце налады па змаўчанні. Змены дапамагаюць прадухіліць вялікую колькасць нападаў.

Настройкі CMS могуць уключаць наладу кіраўнікоў каментароў, бачнасці карыстальнікаў і дазволаў. Выдатным прыкладам змены налад па змаўчанні, якія вы павінны зрабіць, з'яўляюцца "правы доступу да файлаў". Вы можаце змяніць дазвол, каб паказаць, хто і што можа рабіць з файлам.

Кожны файл мае тры дазволы і лік, якое пазначае кожны дазвол:

  1. "Чытанне" (4): прагляд змесціва файла;
  2. "Запіс" (2): змяніць змесціва файла;
  3. "Выканаць" (1): запусціць праграмны файл або сцэнар.
Каб удакладніць, калі вы хочаце дазволіць шмат дазволаў, складзеце лікі разам. Напрыклад, каб дазволіць чытанне (4) і запіс (2), вы ўстанаўліваеце правы карыстальніка на 6.

Нароўні з наладамі правоў доступу да файлаў па змаўчанні існуе тры тыпу карыстальнікаў:

Уладальнік - Часта стваральнік файла, але права ўласнасці можа быць зменена. Толькі адзін карыстач можа быць уладальнікам адначасова.
Група - кожны файл адносіцца да групы. Карыстальнікі, якія ўваходзяць у гэтую пэўную групу, атрымаюць доступ да дазволаў групы.
Агульныя - усе астатнія.
Наладзьце карыстальнікаў і іх параметры дазволаў. Не пакідайце налады па змаўчанні як ёсць, інакш у нейкі момант вы сутыкнецеся з праблемамі бяспекі вэб-сайта.

7. Рэзервовае капіраванне вашага сайта

Адзін з лепшых спосабаў забяспечыць бяспеку вашага сайта - мець добрае рашэнне для рэзервовага капіявання. У вас павінна быць больш за аднаго. Кожны з іх мае вырашальнае значэнне для аднаўлення вашага вэб-сайта пасля сур'ёзнага інцыдэнту бяспекі. Існуе некалькі розных рашэнняў, якія вы можаце выкарыстоўваць для аднаўлення пашкоджаных ці страчаных файлаў:

  1. Захоўвайце інфармацыю аб сваім вэб-сайце за межамі сайта. Не захоўвайце рэзервовыя копіі на тым жа серверы, што і ваш сайт - яны таксама ўразлівыя для нападаў;
  2. Вызначыцеся з тым, дзе вы жадаеце захаваць рэзервовую копію вашага сайта на хатнім кампутары ці цвёрдым дыску. Знайдзіце выдаленае месца для захоўвання вашых дадзеных і абароны ад апаратных збояў, узломаў і вірусаў;
  3. Іншы варыянт - стварыць рэзервовую копію вашага сайта ў воблаку. Гэта спрашчае захоўванне дадзеных і забяспечвае доступ да інфармацыі з любога месца.
Апроч выбару месца для рэзервовага капіявання вашага сайта, вы павінны падумаць аб іх аўтаматызацыі. Выкарыстоўвайце рашэнне, у якім вы можаце запланаваць рэзервовае капіраванне вашага сайта. Вы таксама павінны пераканацца, што ваша рашэнне мае надзейную сістэму аднаўлення. Будзьце залішнія падчас рэзервовага капіявання - стварыце рэзервовую копію.

Робячы гэта, вы можаце аднавіць файлы з любой кропкі да таго, як адбыўся ўзлом ці напад віруса.

8. Ведайце ў твар свае файлы канфігурацыі вэб-сервера

Азнаёмцеся з файламі канфігурацыі вашага вэб-сервера. Вы можаце знайсці іх у каранёвым вэб-каталогу. Файлы канфігурацыі вэб-сервера дазваляюць кіраваць правіламі сервера. Сюды ўваходзяць дырэктывы па павышэнні бяспекі вашага вэб-сайта.

На кожным сэрвэры выкарыстоўваюцца розныя тыпы файлаў. Даведайцеся аб тым, які вы карыстаецеся:

  • Вэб-серверы Apache выкарыстоўваюць файл. htaccess.
  • Серверы Nginx выкарыстоўваюць nginx.conf
  • Серверы Microsoft IIS выкарыстоўваюць web.config
Не кожны вэб-майстар ведае, які вэб-сервер ён выкарыстоўвае. Калі вы адзін з іх, выкарыстоўвайце сканер вэб-сайтаў, напрыклад Sitecheck , каб праверыць свой вэб-сайт. Ён скануе на наяўнасць вядомых шкоднасных праграм, вірусаў, статусу ў чорным спісе, памылак вэб-сайтаў і шмат чаго іншага.

Чым больш вы ведаеце аб бягучым стане бяспекі вашага сайта, тым лепш. Гэта дае вам час выправіць сітуацыю, перш чым з сайтам здарыцца які-небудзь шкоду.

9. Падайце заяўку на брандмаўэр вэб-прыкладанняў

Пераканайцеся, што вы падаеце заяўку на брандмаўэр вэб-прыкладанняў (WAF). Ён усталёўваецца паміж серверам вашага вэб-сайта і злучэннем для перадачы дадзеных. Мэта складаецца ў тым, каб прачытаць кожны біт даных, якія праходзяць праз яго, каб абараніць ваш сайт.

Сёння большасць WAF заснаваны на воблаку і ўяўляюць сабой сэрвіс plug-and-play. Воблачнае сэрвіс - гэта шлюз для ўсяго ўваходзіць трафіку, які блакуе ўсе спробы ўзлому. Ён таксама адфільтроўвае іншыя тыпы непажаданага трафіку, такія як спамеры і шкоднасныя боты.

10. Узмацніце сеткавую бяспеку

Калі вы лічыце, што ваш вэб-сайт абаронены, вам неабходна прааналізаваць бяспеку вашай сеткі. Супрацоўнікі, якія выкарыстоўваюць офісныя кампутары, могуць ненаўмысна стварыць небяспечны шлях да вашага вэб-сайта.

Каб яны не падалі доступ да сервера вашага вэб-сайта, разгледзьце магчымасць выканання наступных дзеянняў у сваёй кампаніі:

  • Тэрмін дзеяння ўліковых запісаў кампутараў заканчваецца пасля кароткага перыяду бяздзейнасці.
  • Пераканайцеся, што ваша сістэма кожныя тры месяцы паведамляе карыстальнікам аб змене пароля.
  • Упэўніцеся, што ўсе прылады, падлучаныя да сеткі, скануюцца на наяўнасць шкодных праграм пры кожным падключэнні.

Выснова

Як уладальнік бізнесу і вэб-майстар, вы не можаце проста стварыць вэб-сайт і забыцца пра яго. Хоць стварэнне вэб-сайтаў стала прасцей, чым калі-небудзь, гэта не мяняе таго факту, што неабходна падтрымліваць забеспячэнне бяспекі вэб-сайта.

Заўсёды праяўляйце ініцыятыву, калі гаворка ідзе аб абароне даных вашай кампаніі і кліентаў. Незалежна ад таго, ці прымае ваш сайт анлайн-плацяжы або асабістую інфармацыю, дадзеныя, якія наведвальнікі ўводзяць на вашым сайце, павінны трапляць у патрэбныя рукі.

Дзякуй, што чытаеш Nicola Top

Наколькі публікацыя карысная?

Націсніце на смайлік, каб ацаніць!

Сярэдняя адзнака 5 / 5. Колькасць адзнак: 38

Ацэнак пакуль няма. Пастаўце адзнаку першым.

Вам таксама можа спадабацца...

1 адказ

  1. Евгений кажа:
    10.08.2022 у 02:48

    Добра, карысна. Дзякуй вялікі аўтару, за якасны кантэнт.

    Адказаць

Пакінуць адказ

Ваш адрас электроннай пошты не будзе апублікаваны. Неабходныя палі пазначаны як *

восем + шэсць =