Бяспека і абарона сайта - як абараніць вэб-сайт?

Колькасць праглядаў

482
Надрукаваць · Время на чтение: 29мін · па · Апублікавана · Абноўлены

Праслухаць гэты артыкул

Бяспека сайта - як засцерагчы і абараніць свой сайт? Абарона вэб-сайта.

Абарона сайта - як абараніць і засцерагчы свой вэб-сайт? Бяспека вэб-сайтаў можа быць складанай (ці нават заблытанай) тэмай у стала якое змяняецца асяроддзі. Гэта кіраўніцтва заклікана даць дакладную аснову для ўладальнікаў вэб-сайтаў, якія імкнуцца знізіць рызыкі і прымяніць прынцыпы бяспекі да сваіх вэб-рэсурсаў.

Перш чым мы пачнем, важна мець на ўвазе, што бяспека ніколі не з'яўляецца рашэннем па прынцыпе "усталюй і гуляй". Замест гэтага я рэкамендую вам думаць пра гэта як аб бесперапынным працэсе, які патрабуе пастаяннай ацэнкі для зніжэння агульнай рызыкі.

Ужываючы сістэмны падыход да бяспекі вэб-сайта, мы можам уявіць яго як аснову, якая складаецца з мноства узроўняў абароны, аб'яднаных у адзін элемент. Нам трэба разглядаць бяспеку вэб-сайта цэласна і падыходзіць да яе са стратэгіяй глыбокаэшаланаванай абароны.

Змест артыкула:

Што такое бяспека вэб-сайта?

Бяспека сайта - што гэта? Усё аб бяспецы вэб-сайтаў. Абарона вэб-сайта.

Бяспека вэб-сайта - гэта меры, якія прымаюцца для абароны вэб-сайта ад кібератак. У гэтым сэнсе бяспека вэб-сайта - гэта бесперапынны працэс і неад'емная частка кіравання вэб-сайтам.

Чаму важная бяспека вэб-сайта?

Бяспека вэб-сайтаў можа быць складанай задачай, асабліва пры працы з вялікай сеткай сайтаў. Наяўнасць абароненага вэб-сайта гэтак жа важна для чыйго-небудзь прысутнасці ў Інтэрнэце, як наяўнасць хостынгу вэб-сайта.
Напрыклад, калі вэб-сайт узламаны і занесены ў чорны спіс, ён можа страціць да 98% свайго трафіку. Адсутнасць абароненага вэб-сайта можа быць такім жа дрэнным, як адсутнасць вэб-сайта наогул, ці нават горш. Напрыклад, уцечка дадзеных кліентаў можа прывесці да судовых пазоваў, буйным штрафам і сапсаванай рэпутацыі.

1. Стратэгія глыбокаэшаланаванай абароны

Стратэгія эшаланаванай абароны для бяспекі вэб-сайтаў разглядае глыбіню абароны і шырыню паверхні атакі для аналізу інструментаў, якія выкарыстоўваюцца ў стэку. Такі падыход дае больш дакладную карціну сучаснага ландшафту пагроз бяспецы вэб-сайтаў.

Як вэб-прафесіяналы бачаць бяспеку вэб-сайтаў

Мы не можам забываць аб статыстыцы, якая робіць бяспеку вэб-сайтаў прывабнай тэмай для любога анлайн-бізнэсу, незалежна ад яго памеру.
Прааналізаваўшы больш за 1000 адказаў на апытанні ад вэб-прафесіяналаў, можна зрабіць некаторыя высновы аб ландшафце бяспекі:

  • 67% кліентаў вэб-спецыялістаў пыталіся аб бяспецы вэб-сайтаў, але толькі менш за 1% рэспандэнтаў прапануюць бяспеку вэб-сайтаў як паслугу.
  • Каля 72% вэб-спецыялістаў занепакоеныя кібератакамі на кліенцкія сайты.

Чаму сайты ўзломваюць

У 2019 годзе ў сетцы было больш за 1,94 мільярда вэб-сайтаў. Гэта забяспечвае шырокую пляцоўку для хакераў. Часта існуе няправільнае ўяўленне аб тым, чаму сайты ўзломваюць. Уладальнікі і адміністратары часта лічаць, што іх не ўзламаюць, таму што іх сайты менш і, такім чынам, менш прывабныя для хакераў. Хакеры могуць выбіраць буйнейшыя сайты, калі жадаюць выкрасці інфармацыю ці сабатаваць. Для іншых мэт (якія сустракаюцца часцей) любы невялікі сайт мае вялікую каштоўнасць.
Пры ўзломе вэб-сайтаў пераследуюцца розныя мэты, але асноўнымі з'яўляюцца:

  • Выкарыстанне наведвальнікаў сайта.
  • Крадзеж інфармацыі, якая захоўваецца на серверы.
  • Падман робатаў і пошукавых робатаў (чорнае SEO).
  • Злоўжыванне рэсурсамі сервера.
  • Чыстае хуліганства (псаванне).

2. Аўтаматычныя атакі на вэб-сайты

На жаль, аўтаматызацыя зніжае накладныя выдаткі, дапускае масавае раскрыццё інфармацыі і павялічвае шанцы на паспяховую кампраметацыю - незалежна ад аб'ёму трафіку або папулярнасці вэб-сайта.
Насамрэч, аўтаматызацыя з'яўляецца каралём у свеце хакерства . Аўтаматычныя напады часта ўключаюць выкарыстанне вядомых уразлівасцяў для ўздзеяння на вялікую колькасць сайтаў, часам нават без вядзёнай уладальніка сайта.

Аўтаматычныя атакі заснаваны на магчымасці. Насуперак распаўсюджанаму меркаванню, аўтаматызаваныя напады значна больш распаўсюджаныя, чым падабраныя ўручную мэтавыя напады з-за іх ахопу і прастаты доступу. Амаль 60% Інтэрнэт працуе на CMS.

Пытанні бяспекі CMS

Сярэднестатыстычнаму ўладальніку сайта стала прасцей хутка выходзіць у інтэрнэт з дапамогай сістэмы кіравання кантэнтам (CMS) з адчыненым зыходным кодам, такі як WordPress, Magento, Joomla ці Drupal і іншых.
Хоць гэтыя платформы часта даюць частыя абнаўлення бяспекі, выкарыстанне іншых пашыраюцца кампанентаў, такіх як убудовы або тэмы, прыводзіць да ўразлівасцяў, якія лёгка могуць быць выкарыстаны для нападаў пры магчымасці.

Эталонам інфармацыйнай бяспекі з'яўляецца - Канфідэнцыяльнасць, Цэласнасць і Даступнасць. Гэтая мадэль выкарыстоўваецца для распрацоўкі палітык для забеспячэння бяспекі арганізацый.

3. Канфідэнцыяльнасць, цэласнасць і даступнасць

  • Канфідэнцыяльнасць адносіцца да кантролю доступу да інфармацыі, каб гарантаваць, што тыя, хто не павінен мець доступу, не дапускаюцца. Гэта можна зрабіць з дапамогай пароляў, імёнаў карыстачоў і іншых кампанентаў кантролю доступу.
  • Цэласнасць гарантуе, што інфармацыя, якую атрымліваюць канчатковыя карыстачы, з'яўляецца дакладнай і нязменнай кім-небудзь, акрамя ўладальніка сайта. Гэта часта робіцца з дапамогай шыфравання, такога як сертыфікаты Secure Socket Layer (SSL), якія забяспечваюць шыфраванне перадаюцца дадзеных.
  • Даступнасць забяспечвае доступ да інфармацыі ў выпадку неабходнасці. Найбольш распаўсюджанай пагрозай даступнасці вэб-сайтаў з'яўляецца размеркаваная атака тыпу "адмова ў абслугоўванні" або DDoS-напад.
Цяпер, калі ў нас ёсць некаторыя звесткі аб аўтаматычных і мэтавых нападах, мы можам паглыбіцца ў некаторыя з найбольш распаўсюджаных пагроз бяспецы вэб-сайтаў.

Уразлівасці і пагрозы вэб-сайта

Асноўныя пагрозы бяспецы сайта.

Вось найбольш распаўсюджаныя ўразлівасці і пагрозы бяспецы вэб-сайтаў:

1. SQL-ін'екцыі - падобныя напады SQL-ін'екцый ажыццяўляюцца шляхам укаранення шкоднаснага кода ва ўразлівы SQL-запыт. Яны спадзяюцца на тое, што зламыснік дадае спецыяльна створаны запыт у паведамленне, якое адпраўляецца вэб-сайтам у базу дадзеных.
Паспяховы напад зменіць запыт да базы дадзеных такім чынам, што ён верне інфармацыю, жаданую зламыснікам, замест інфармацыі, чаканай вэб-сайтам. SQL-ін'екцыі могуць нават змяніць або дадаць шкодную інфармацыю ў базу дадзеных.
2. Міжсайтавы скрыптынг (XSS) - Гэта атакі з выкарыстаннем міжсайтавых сцэнарыяў складаюцца з укаранення шкоднасных сцэнарыяў на баку кліента ў вэб-сайт і выкарыстання вэб-сайта ў якасці метаду распаўсюджвання. Небяспека XSS складаецца ў тым, што ён дазваляе зламысніку ўводзіць кантэнт на вэб-сайт і змяняць спосаб яго адлюстравання, прымушаючы браўзэр ахвяры выконваць код, прадстаўлены зламыснікам, пры загрузцы старонкі. Калі адміністратар сайта, які ўвайшоў у сістэму, загружае код, скрыпт будзе выконвацца з яго ўзроўнем прывілеяў, што патэнцыйна можа прывесці да захопу сайта.
3. Напады уліковых дадзеных метадам грубай сілы - атрыманне доступу да адміністрацыйнай панэлі вэб-сайта, панэлі кіравання ці нават да SFTP-серверу з'яўляецца адным з найболей распаўсюджаных вектараў, выкарыстоўваных для кампраметацыі вэб-сайтаў. Працэс вельмі просты:

  1. Зламыснікі ў асноўным праграмуюць сцэнар, каб паспрабаваць некалькі камбінацый імёнаў карыстальнікаў і пароляў, пакуль не будзе знойдзена тое, што працуе;
  2. Пасля прадастаўлення доступу зламыснікі могуць запускаць розныя шкоднасныя дзеянні, ад спам-кампаній да майнінгу манет і крадзяжы інфармацыі дыбет. ці крэдытных карт.
4. Заражэнне вэб-сайта шкоднасным ПА і напады - выкарыстоўваючы некаторыя з папярэдніх праблем бяспекі ў якасці сродку для атрымання несанкцыянаванага доступу да вэб-сайту, зламыснікі могуць наступнае:
  1. Укараніць SEO-спам на старонку;
  2. Выдаліць бэкдор, каб захаваць доступ;
  3. Збіраць інфармацыю аб наведвальніках або дадзеныя карт;
  4. Запускаць эксплойты на серверы для павышэння ўзроўню доступу;
  5. Выкарыстоўвайце кампутары наведвальнікаў для майнінгу криптовалют;
  6. Захоўваць скрыпты каманд і кіравання ботнетамі;
  7. Паказваць непажаданую рэкламу, перанакіроўваць наведвальнікаў на ашуканскія сайты;
  8. Хостынг шкоднасных загрузак;
  9. Запускаць напады на іншыя сайты.
5. DoS/DDoS-напады – атака размеркаванай адмовы ў абслугоўванні (DDoS) – гэта ненадакучлівая інтэрнэт-атака. Гэта робіцца для таго, каб адключыць мэтавай вэб-сайт або запаволіць яго працу, запоўніўшы сетку, сервер або дадатак фальшывым трафікам.
DDoS-напады - гэта пагрозы, з якімі ўладальнікі вэб-сайтаў павінны азнаёміцца, паколькі яны з'яўляюцца важнай часткай сістэмы бяспекі. Калі DDoS-напад нацэлены на ўразлівую рэсурсаёмістую канчатковую кропку, нават невялікага аб'ёму трафіку дастаткова для паспяховага нападу.

Бяспека вэб-сайта электроннай камерцыі і адпаведнасць PCI

Пагрозы нападаў для бізнесу электроннай камерцыі.

Стандарты бяспекі дадзеных індустрыі плацежных карт (PCI-DSS) вызначаюць патрабаванні для ўладальнікаў вэб-сайтаў з інтэрнэт-крамамі. Гэтыя патрабаванні дапамагаюць забяспечыць належную абарону дадзеных трымальнікаў карт, якія вы збіраеце ў якасці інтэрнэт-крамы. У адпаведнасці з PCI DSS дадзеныя трымальніка карты, якія павінны быць абаронены, адносяцца да поўнага асноўнага нумара рахунку (PAN), але могуць таксама адлюстроўвацца ў адной з наступных формаў:

  1. Поўныя дадзеныя магнітнай паласы (ці эквівалент чыпа);
  2. Тэрмін прыдатнасці;
  3. Сэрвісны код;
  4. Пін-код;
  5. CVV лічбы;
  6. Імя і/або прозвішча трымальніка карты.
Правілы адпаведнасці PCI прымяняюцца незалежна ад таго, перадаеце Ці вы дадзеныя ў лічбавым выглядзе, у пісьмовай форме або маеце зносіны з іншым асобай, якія маюць доступ да дадзеных.

Для вэб-сайтаў электроннай камерцыі вельмі важна зрабіць усё, што ў вашых сілах, каб забяспечыць перадачу даных аб трымальніках карт з браўзэра на вэб-сервер шляхам належнага шыфравання праз HTTPS. Ён таксама павінен захоўвацца на серверы ў бяспечным і аналагічным зашыфраваным выглядзе пры перадачы любым іншым службам апрацоўкі плацяжоў.

Хакеры могуць паспрабаваць выкрасці або перахапіць дадзеныя трымальнікаў карт у любы час, незалежна ад таго, знаходзяцца дадзеныя ў стане спакою або ў дарозе.

Фрэймворк бяспекі вэб-сайта

Фрэймворк інфармацыйнай бяспекі. Поўная абарона вэб-сайта.

Незалежна ад памеру вашага бізнесу, распрацоўка сістэмы бяспекі можа дапамагчы знізіць агульную рызыку. Разуменне таго, што бяспека - гэта бесперапынны працэс, азначае, што ён пачынаецца са стварэння асновы бяспекі вэб-сайта. Гэтая структура будзе ўключаць стварэнне "культуры бяспекі", пры якой запланаваныя праверкі дапамогуць захаваць прастату і своечасовасць.
Пяць функцый: "Ідэнтыфікаваць", "Абараніць", "Выявіць", "Адрагаваць" і "Аднавіць" будуць падрабязна апісаны разам з дзеяннямі, якія неабходна прымяніць.
1. Ідэнтыфікаваць - На гэтым этапе дакументуецца і правяраецца ўся інвентарызацыя і кіраванне актывамі. Інвентарызацыю і кіраванне актывамі можна зрабіць на адзін крок далей у наступных падкатэгорыях:

  1. вэб-рэсурсы;
  2. вэб-серверы і інфраструктура;
  3. убудовы, пашырэнні, тэмы і модулі;
  4. іншыя інтэграцыі і сэрвісы;
  5. кропкі і вузлы доступу.
Калі ў вас ёсць спіс актываў вашага вэб-сайта, вы можаце зрабіць крокі для аўдыту і абароны кожнага з іх ад нападаў.
2. Абараняць - Ёсць шмат прычын, па якіх наяўнасць прэвентыўных мер вэб-бяспекі мае вырашальнае значэнне, але з чаго пачаць? Яны вядомыя як ахоўныя тэхналогіі і ўзроўні абароны. Часам гэтыя меры задавальняюць патрабаванням адпаведнасці, такім як PCI, ці спрашчаюць віртуальнае выпраўленне і ўмацаванне асяроддзяў, уразлівых для нападаў. Абарона таксама можа ўключаць у сябе навучанне супрацоўнікаў і палітыкі кантролю доступу.
Адзін з лепшых спосабаў абараніць ваш вэб-сайт - актываваць брандмаўэр вэб-прыкладанняў. Калі вы патраціце шмат часу на прадумванне працэсаў, інструментаў і канфігурацый бяспекі, гэта паўплывае на стан бяспекі вашага вэб-сайта.
3. Выявіць (бесперапынны маніторынг) - Гэта канцэпцыя, якая адносіцца да ўкаранення інструментаў для маніторынгу вашага вэб-сайта (актываў) і абвесткі вас аб любых праблемах. Павінен быць устаноўлены маніторынг для праверкі стану бяспекі:
  1. DNS запісы;
  2. SSL-сертыфікаты;
  3. настройка вэб-сервера;
  4. абнаўлення прыкладанняў;
  5. доступ карыстальнікаў;
  6. цэласнасць файлаў.
Вы таксама можаце выкарыстоўваць сканары бяспекі і прылады (напрыклад, SiteCheck ) для пошуку індыкатараў кампраметацыі ці ўразлівасці.
4. Рэагаваць - аналіз і змякчэнне наступстваў дапамагаюць стварыць катэгорыю рэагавання. Пры ўзнікненні інцыдэнту павінен быць план рэагавання. Наяўнасць плана рэагавання да інцыдэнту кампраметацыі творыць цуды з псіхікай. Належны план рэагавання на інцыдэнты ўключае ў сябе:
  1. Выбар групы рэагавання на інцыдэнты ці чалавека;
  2. Паведамленне аб інцыдэнце для праверкі вынікаў;
  3. Змякчэнне падзеі.
У працэсе выпраўлення мы ніколі не ведаем загадзя, якое шкоднаснае ПЗ мы збіраемся знайсці. Некаторыя праблемы могуць хутка распаўсюджвацца і заражаць іншыя вэб-сайты ў асяроддзі агульных сервераў (крыжаванае заражэнне). Працэс рэагавання на інцыдэнты, паводле вызначэння NIST, разбіты на чатыры асноўныя этапы:
  1. Падрыхтоўка і планаванне;
  2. Выяўленне і аналіз;
  3. стрымліванне, выкараненне і аднаўленне;
  4. Дзеянні пасля інцыдэнту.
Паўнавартасны падрыхтоўчы этап і каманда па забеспячэнні бяспекі вэб-сайта, на якую вы можаце разлічваць, маюць вырашальнае значэнне для поспеху місіі. Вось як гэта павінна выглядаць:

Падрыхтоўка і планаванне

На гэтым этапе мы пераконваемся, што мы маем усе неабходныя інструменты і рэсурсы да таго, як адбудзецца інцыдэнт. Усё гэта ідзе поплеч з папярэднімі раздзеламі структуры бяспекі.
Хостынгавыя кампаніі гуляюць вырашальную ролю на гэтым этапе, забяспечваючы дастатковую бяспеку сістэм, сервераў і сетак. Таксама важна пераканацца, што ваш вэб-распрацоўшчык або тэхнічная каманда гатовы справіцца з інцыдэнтам бяспекі.

Выяўленне і аналіз

Хоць і існуе некалькі метадаў нападу, мы павінны быць гатовыя зладзіцца з любым інцыдэнтам. Большасць заражэнняў - гэта ўразлівыя кампаненты, устаноўленыя на вэб-сайце (у асноўным убудовы), кампраметацыі пароляў (слабы пароль, перабор) і іншыя.
У залежнасці ад праблемы і намеры фаза выяўлення можа быць складанай. Некаторыя зламыснікі шукаюць славы, іншыя могуць захацець выкарыстоўваць рэсурсы ці перахапіць канфідэнцыйную інфармацыю.
У некаторых выпадках няма ніякіх прыкмет таго, што бэкдор быў усталяваны, чакаючы доступу зламысніка для зламысных дзеянняў. Таму настойліва рэкамендуецца рэалізаваць механізмы для забеспячэння цэласнасці вашай файлавай сістэмы.

Стрымліванне, выкараненне і аднаўленне

Што тычыцца этапу "Стрымленне, устараненне і аднаўленне", працэс павінен адаптавацца да тыпу праблемы, выяўленай на вэб-сайце, і загадзя вызначаным стратэгіям, заснаваным на атацы. Напрыклад, заражэнне криптомайнерами звычайна спажывае шмат рэсурсаў сервера (ліцэра), і перад пачаткам працэсу выпраўлення група рэагавання на інцыдэнты павінна лакалізаваць пагрозу.

Стрымліванне гэтага нападу з'яўляецца важным крокам для прадухілення знясілення дадатковых рэсурсаў і далейшай шкоды. Гэтая сістэма прыняцця рашэнняў і стратэгіі з'яўляюцца важнай часткай гэтага этапа. Напрыклад, калі мы ідэнтыфікуем пэўны файл як на 100% шкоднасны, павінна быць дзеянне па ім знішчэнню. Калі файл утрымоўвае часткова шкоднасны код, варта выдаліць толькі гэтую частку. Кожны сцэнар павінен мець пэўны працэс.

Дзеянні пасля інцыдэнту

І апошняе, але не менш важнае: "Дзеянні пасля інцыдэнту" таксама можна назваць этапам "Вынятых урокаў". На гэтым этапе група рэагавання на інцыдэнты павінна прадставіць справаздачу з падрабязным апісаннем таго, што адбылося, якія дзеянні былі зроблены і наколькі добра спрацавала ўмяшанне. Мы павінны задумацца над інцыдэнтам, выняць з яго ўрокі і прыняць меры, каб прадухіліць такія праблемы ў будучыні. Гэтыя дзеянні могуць быць такімі ж простымі, як абнаўленне кампанента, змяненне пароляў або даданне брандмаўэра вэб-сайта для прадухілення нападаў на мяжы.

Правядзіце агляд дзеянняў, якія неабходна зрабіць вашаму аддзелу для далейшага ўмацавання сістэмы бяспекі. Затым пераканайцеся, што вы робіце гэтыя дзеянні як мага хутчэй. Усе далейшыя дзеянні вы можаце засноўваць на наступных парадах:

  • Абмяжуйце глабальны доступ да вашага сайту (або пэўным абласцях) з дапамогай метадаў GET або POST, каб звесці да мінімуму ўздзеянне.
  • Абнавіце правы доступу да каталогаў і файлаў, каб забяспечыць правільны доступ для чытання/запісы.
  • Абнавіце ці выдаліце састарэлае праграмнае забеспячэнне/тэмы/плагіны.
  • Неадкладна скіньце свае паролі з дапамогай надзейнай палітыкі пароляў.
  • Актывуйце 2FA/MFA ўсюды, дзе гэта магчыма, каб дадаць дадатковы ўзровень аўтэнтыфікацыі.
Акрамя таго, калі вы актыўна выкарыстоўваеце брандмаўэр вэб-прыкладанняў (WAF), праглядзіце існуючую канфігурацыю, каб вызначыць магчымыя змены, якія неабходна ўнесці. Памятайце, што хоць WAF дапамагаюць адпавядаць некалькім стандартам бяспекі дадзеных індустрыі плацежных карт (PCI DSS), яны не з'яўляюцца панацэяй. Ёсць і іншыя фактары, якія могуць паўплываць на ваш бізнэс, асабліва чалавечы фактар.
5. Аднавіцца - планаванне аднаўлення адбудзецца, калі будзе праведзены поўны аналіз усіх этапаў у выпадку інцыдэнту. Аднаўленне таксама звязана з наяўнасцю плана рэзервовага капіявання для сітуацый, у якіх усе папярэднія этапы не ўдаліся, напрыклад, у выпадку нападаў праграм-вымагальнікаў.

Гэты працэс таксама павінен уключаць у сябе арганізацыю часу, каб пагаварыць з вашым пастаўшчыком сродкаў бяспекі аб тым, як палепшыць слабыя месцы. Яны лепш абсталяваныя, каб прапанаваць разуменне таго, што можна зрабіць.

Майце камунікацыйную стратэгію

Калі якія-небудзь дадзеныя знаходзяцца пад пагрозай, паведаміце аб гэтым сваім кліентам. Гэта асабліва важна, калі вы вядзеце бізнэс у ЕС, дзе арганізацыя павінна паведаміць аб уцечцы дадзеных на працягу 72 гадзін у адпаведнасці з артыкулам 33 Агульнага рэгламенту па абароне дадзеных (GDPR) .

Выкарыстоўвайце аўтаматычнае рэзервовае капіраванне

Незалежна ад таго, што вы робіце для абароны свайго вэб-сайта, рызыка ніколі не будзе роўны нулю. Калі функцыянальнасць вашага вэб-сайта пашкоджана, вам патрэбен спосаб хутка аднавіць дадзеныя - не адзін, а як мінімум два. Вельмі важна мець лакальную рэзервовую копію ўсяго прыкладання і знешнюю рэзервовую копію, не звязаную напрамую з дадаткам, на выпадак апаратнага збою або напады.

Як абараніць свой сайт і гарантаваць бяспеку?

Як засцерагчы ад небяспекі вэб-сайт? Абарона ад DDoS нападаў і ўразлівасцяў.

Нельга недаацэньваць важнасць бяспекі вэб-сайта. У гэтым раздзеле мы разгледзім, як гарантаваць бяспеку і абарону вашага вэб-сайта. Гэта не пакрокавае кіраўніцтва, але яно прадаставіць вам рэкамендацыі па бяспецы вэб-сайта, каб знайсці прыдатныя паслугі для вашых патрэб.
1. Абнаўляйце ўсё - незлічоная колькасць вэб-сайтаў кожны дзень падвяргаецца рызыцы з-за састарэлага і небяспечнага праграмнага забеспячэння. Важна абнавіць свой сайт, як толькі з'явіцца новы убудова або версія CMS. Гэтыя абнаўленні могуць проста ўтрымоўваць паляпшэнні бяспекі ці выпраўленыя ўразлівасці.
Большасць нападаў на вэб-сайты аўтаматызаваны. Боты ўвесь час скануюць кожны сайт, які толькі могуць, у пошуках магчымасцяў эксплуатацыі. Ужо недастаткова абнаўляць раз у месяц ці нават раз у тыдзень, таму што боты, хутчэй за ўсё, знойдуць уразлівасць да таго, як вы яе выправіце.
Вось чаму вы павінны выкарыстоўваць брандмаўэр вэб-сайта, які практычна закрые дзірку ў бяспецы, як толькі будуць выпушчаны абнаўлення. Калі ў вас ёсць вэб-сайт WordPress, вы павінны разгледзець адну ўбудову - WP Updates Notifier. Ён адпраўляе вам электронны ліст, каб паведаміць, калі даступна абнаўленне плагіна або ядра WordPress.
2. Майце надзейныя паролі - наяўнасць бяспечнага вэб-сайта шмат у чым залежыць ад вашай бяспекі. Вы калі-небудзь задумваліся аб тым, як выкарыстоўваныя вамі паролі могуць пагражаць бяспецы вашага сайта?
Каб ачысціць заражаныя вэб-сайты, рамедыятары павінны ўвайсці на кліенцкі сайт або сервер, выкарыстоўваючы свае дадзеныя карыстальніка-адміністратара. Яны могуць быць здзіўлены, убачыўшы, наколькі ненадзейнымі могуць быць паролі root. З такімі лагінамі, як admin/admin, у вас можа ўвогуле не быць пароля.
Хакеры будуць камбінаваць дадзеныя з сеткі са слоўнікавымі спісамі слоў, каб генераваць яшчэ большыя спісы патэнцыйных пароляў. Калі паролі, якія вы карыстаецеся, знаходзяцца ў адным з гэтых спісаў, гэта ўсяго толькі пытанне часу, калі ваш сайт будзе скампраметаваны.

Рэкамендацыі па надзейных паролях

Рэкамендацыі па стварэнні надзейнага пароля:

  • Не выкарыстоўвайце паролі паўторна: кожны ваш пароль павінен быць унікальным. Мэнэджар пароляў можа спрасціць гэтую задачу.
  • Выкарыстоўвайце доўгія паролі. Паспрабуйце выкарыстоўваць больш за 12 сімвалаў. Чым даўжэй пароль, тым больш часу запатрабуецца кампутарнай праграме для яго ўзлому.
  • Выкарыстоўвайце выпадковыя паролі. Праграмы для ўзлому пароляў могуць падабраць мільёны пароляў за лічаныя хвіліны, калі яны змяшчаюць словы, знойдзеныя ў Інтэрнэце або ў слоўніках. Калі ў вашым паролі ёсць сапраўдныя словы, ён не выпадковы. Калі вы можаце лёгка вымавіць свой пароль, гэта азначае, што ён нядосыць надзейны. Нават замены сімвалаў (г.зн. замены літары Аб лічбай 0) недастаткова. Ёсць некалькі карысных менеджэраў пароляў, такіх як LastPass (анлайн) і KeePass 2 (афлайн). Гэтыя прылады захоўваюць усе вашыя паролі ў зашыфраваным фармаце і могуць лёгка генераваць выпадковыя паролі адным націскам кнопкі. Мэнэджары пароляў дазваляюць выкарыстоўваць надзейныя паролі, пазбаўляючы ад неабходнасці запамінаць слабейшыя або запісваць іх.

3. Адзін сайт = адно месца захоўвання - размяшчэнне мноства вэб-сайтаў на адным серверы можа здацца ідэальным, асабліва калі ў вас "неабмежаваны" план вэб-хостынгу. Нажаль, гэта адна з горшых практык бяспекі, якую вы можаце выкарыстоўваць. Размяшчэнне мноства сайтаў у адным месцы стварае вельмі вялікую паверхню для нападу. Вы павінны ведаць, што перакрыжаванае забруджванне вельмі распаўсюджанае. Гэта калі на сайт негатыўна ўплываюць суседнія сайты на тым жа серверы з-за дрэннай ізаляцыі сервера ці канфігурацыі ўліковага запісу.
Напрыклад, сервер, які змяшчае адзін сайт, можа мець адну ўстаноўку WordPress з тэмай і 10 убудовамі, якія патэнцыйна могуць стаць мэтай зламысніка. Калі вы размясціце пяць сайтаў на адным серверы, у зламысніка можа быць тры ўстаноўкі WordPress, дзве ўстаноўкі Joomla, пяць тэм і 50 плагінаў, якія могуць быць патэнцыйнымі мэтамі. Што яшчэ горш, як толькі зламыснік выявіў эксплойт на адным сайце, заражэнне можа лёгка распаўсюдзіцца на іншыя сайты на тым жа серверы.

Мала таго, што гэта можа прывесці да таго, што ўсе вашыя сайты будуць узламаныя адначасова, гэта таксама зробіць працэс ачысткі нашмат больш працаёмкім і цяжкім. Заражаныя сайты могуць працягваць паўторна заражаць адзін аднаго, выклікаючы бясконцы цыкл.

Пасля таго, як ачыстка прайшла паспяхова, у вас зараз ёсць значна больш складаная задача, калі справа даходзіць да скіду вашых пароляў. Замест аднаго сайта ў вас іх некалькі. Кожны асобны пароль, злучаны з кожным вэб-сайтам на серверы, павінен быць зменены пасля таго, як інфекцыя знікне. Гэта ўключае ў сябе ўсе вашыя базы дадзеных CMS і карыстальнікаў пратаколу перадачы файлаў (FTP) для кожнага з гэтых вэб-сайтаў. Калі вы прапусціце гэты крок, усе вэб-сайты могуць быць паўторна заражаныя, і вам давядзецца перазапусціць працэс.
4. Абмежаванне доступу і дазволаў карыстальнікаў - Код вашага вэб-сайта можа не быць мэтай зламысніка, але вашыя карыстальнікі будуць. Запіс IP-адрасоў і ўсёй гісторыі актыўнасці будзе карысны для судовага аналізу пазней.
Напрыклад, значнае павелічэнне колькасці зарэгістраваных карыстальнікаў можа сведчыць аб збоі ў працэсе рэгістрацыі і дазволіць спамерам пазапаўняць ваш сайт падробленым кантэнтам.

Прынцып найменшых прывілеяў

Прынцып найменшых прывілеяў заснаваны на прынцыпе, які накіраваны на дасягненне двух мэт:

  1. Выкарыстанне мінімальнага набору прывілеяў у сістэме для выканання дзеяння;
  2. Прадастаўленне гэтых прывілеяў толькі на час, калі неабходна дзеянне.
Прадастаўленне прывілеяў пэўным ролях будзе дыктаваць, што яны могуць і чаго не могуць рабіць. У ідэальнай сістэме роля спыніць любога, хто паспрабуе выканаць дзеянне, якое выходзіць за рамкі таго, для чаго яна прызначаная.
Напрыклад, выкажам здагадку, што адміністратар можа ўстаўляць нефільтраваны HTML-код у паведамленні або выконваць каманды для ўсталёўкі плагінаў. Гэта ўразлівасць? Не, гэта асаблівасць, заснаваная на адным вельмі важным элеменце - даверы. Аднак ці павінен аўтар мець такія ж прывілеі і доступ? Разгледзьце магчымасць падзелу роляў на аснове даверу і заблакуйце ўсе ўліковыя запісы.
Гэта адносіцца толькі да сайтаў з некалькімі карыстальнікамі або лагінамі. Важна, каб у кожнага карыстальніка быў адпаведны дазвол, неабходны для выканання яго працы. Калі на дадзены момант неабходны пашыраныя дазволы, падайце іх. Затым паменшыце яго, як толькі праца будзе завершана.

Напрыклад, калі хтосьці жадае напісаць для вас гасцявы запіс у блогу, пераканайцеся, што ў яго ўліковага запісу няма поўных правоў адміністратара. Уліковы запіс павінен мець магчымасць толькі ствараць новыя паведамленні і рэдагаваць свае ўласныя паведамленні, таму што ім не трэба змяняць наладкі вэб-сайта. Дбайна вызначаныя ролі карыстачоў і правілы доступу абмяжуюць любыя магчымыя памылкі. Гэта таксама памяншае колькасць скампраметаваных уліковых запісаў і можа абараніць ад шкоды, нанесенай ашуканскімі карыстальнікамі.
Гэта часта выпускаецца з-пад увагі частка кіравання карыстальнікамі: падсправаздачнасць і маніторынг. Калі некалькі чалавек выкарыстоўваюць адну і тую ж уліковы запіс карыстальніка і гэты карыстач уносіць непажаданыя змены, як пазнаць, хто з вашай каманды нясе за гэта адказнасць?
Калі ў вас ёсць асобныя ўліковыя запісы для кожнага карыстальніка, вы можаце сачыць за іх паводзінамі, праглядаючы часопісы і ведаючы іх звычайныя тэндэнцыі, напрыклад, калі і дзе яны звычайна наведваюць вэб-сайт. Такім чынам, калі карыстач уваходзіць у сістэму ў нявызначаны час ці з падазронага месца, вы можаце правесці расследаванне. Вядзенне часопісаў аўдыту жыццёва важна для адсочвання любых падазроных змен на вашым вэб-сайце.

Часопіс аўдыту - гэта дакумент, у якім запісваюцца падзеі на вэб-сайце, каб вы маглі выявіць анамаліі і пацвердзіць адказнай асобе, што ўліковы запіс не была скампраметаваная.
Канешне, некаторым карыстальнікам можа быць складана весці часопісы аўдыту ўручную. Калі ў вас ёсць вэб-сайт WordPress, вы можаце выкарыстоўваць бясплатны убудова бяспекі Sucuri, які можна загрузіць з афіцыйнага рэпазітара WordPress.

Правы доступу да файлаў

Правы доступу да файлаў вызначаюць, хто і што можа рабіць з файлам. Кожны файл мае тры даступных дазволы, і кожны дазвол прадстаўлена лікам:

  1. Чытанне (4): прагляд змесціва файла;
  2. Запіс (2): змяніць змесціва файла;
  3. Выканаць (1): запусціць праграмны файл або скрыпт.
Калі вы жадаеце дазволіць некалькі дазволаў, проста складзеце лікі разам, напрыклад, каб дазволіць чытанне (4) і запіс (2), вы ўсталёўваеце дазвол карыстача на 6. Калі вы жадаеце дазволіць карыстачу чытаць (4), пісаць (2 ) і выканайце ( 1), затым усталюйце дазвол карыстальніка на 7.

Тыпы карыстальнікаў

Таксама ёсць тры тыпу карыстальнікаў:

  1. Уладальнік: Звычайна гэта стваральнік файла, але гэта можна змяніць. Толькі адзін карыстач можа быць уладальнікам;
  2. Група : Кожнаму файлу прызначаецца група, і любы карыстач, уваходны ў гэтую групу, атрымае гэтыя дазволы;
  3. Агульныя: усе астатнія.
Такім чынам, калі вы жадаеце, каб уладальнік меў доступ на чытанне і запіс, група мела доступ толькі на чытанне, а публіка не мела доступу, налады правоў доступу да файлаў павінны быць наступнымі:
5. Змяніць наладкі CMS па змаўчанні - сучасныя прыкладанні CMS (хоць і простыя ў выкарыстанні) могуць быць складанымі з пункту гледжання бяспекі для канчатковых карыстальнікаў. Безумоўна, найбольш распаўсюджаныя напады на вэб-сайты цалкам аўтаматызаваны. Многія з гэтых нападаў заснаваныя на тым, што ў карыстачоў ёсць толькі налады па змаўчанні. Гэта азначае, што вы можаце пазбегнуць вялікай колькасці нападаў, проста змяніўшы налады па змаўчанні пры ўсталёўцы абранай вамі CMS.
Напрыклад, некаторыя прыкладанні CMS даступныя для запісу карыстальнікам, што дазваляе карыстачу ўсталёўваць любыя пашырэнні, якія ён хоча.
Існуюць налады, якія вы можаце наладзіць для кіравання каментарамі, карыстальнікамі і бачнасцю вашай карыстацкай інфармацыі. Правы доступу да файлаў - яшчэ адзін прыклад налады па змаўчанні, якую можна ўзмацніць.
Вы можаце змяніць гэтыя дадзеныя па змаўчанні пры ўстаноўцы CMS ці пазней, але не забудзьцеся зрабіць гэта.
6. Выбар пашырэння (плагінаў) - вэб-майстрам звычайна падабаецца пашыральнасць прыкладанняў CMS, але яна таксама можа ўяўляць сабой адзін з самых вялікіх недахопаў. Існуюць убудовы, надбудовы і пашырэнні, якія падаюць практычна любую функцыянальнасць, якую вы толькі можаце сабе ўявіць. Але як даведацца, які з іх бяспечна ўстанавіць?

Выбар бяспечных пашырэнняў (плагінаў) - асноўная бяспека сайта

Вось на што трэба звярнуць увагу пры выбары пашырэнняў:

  • Калі (плягін) пашырэнне было ў апошні раз абноўлена: калі апошняе абнаўленне было больш за год таму, магчыма, аўтар спыніў працу над ім. Выкарыстоўвайце пашырэнні, якія актыўна распрацоўваюцца, таму што гэта паказвае на тое, што аўтар, прынамсі, будзе гатовы рэалізаваць выпраўленне, калі выявяцца праблемы з бяспекай. Акрамя таго, калі пашырэнне не падтрымліваецца аўтарам, яно можа перастаць працаваць, калі абнаўленні ядра выклічуць канфлікты.
  • Узрост (плагіна) пашырэння і колькасць установак. Пашырэнне, распрацаванае прызнаным аўтарам і мелае мноства ўсталёвак, заслугоўвае большага даверу, чым пашырэнне з невялікай колькасцю ўсталёвак, выпушчанае распрацоўнікам-навічкам. Мала таго, што дасведчаныя распрацоўнікі маюць лепшае ўяўленне аб перадавых метадах забеспячэння бяспекі, яны таксама са значна меншай верагоднасцю нашкодзяць сваёй рэпутацыі, уставіўшы шкоднасны код у сваё пашырэнне.
  • Легальныя і надзейныя крыніцы: загружайце плагіны, пашырэнні і тэмы з законных крыніц. Сцеражыцеся бясплатных версій, якія могуць быць пірацкімі і заражанымі шкоднасным ПЗ. Ёсць некаторыя пашырэнні, адзіная мэта якіх - заразіць шкоднасным ПА як мага больш вэб-сайтаў.
7. Майце рэзервовыя копіі сваіх вэб-сайтаў - У выпадку ўзлому рэзервовыя копіі вэб-сайта маюць вырашальнае значэнне для аднаўлення вашага вэб-сайта пасля сур'ёзнага парушэння бяспекі. Хоць гэта не павінна разглядацца як замена рашэння для забеспячэння бяспекі вэб-сайта, рэзервовае капіраванне можа дапамагчы аднавіць пашкоджаныя файлы.

Выбар лепшага рашэння для рэзервовага капіявання вэб-сайтаў

Добрае рашэнне для рэзервовага капіявання павінна адпавядаць наступным патрабаванням:
- Па-першае, яны павінны быць па-за сайтам. Калі вашы рэзервовыя копіі захоўваюцца на серверы вашага вэб-сайта, яны гэтак жа ўразлівыя для нападаў, як і ўсё астатняе. Вы павінны захоўваць свае рэзервовыя копіі за межамі сайта, таму што вы хочаце, каб вашыя захаваныя дадзеныя былі абаронены ад хакераў і збояў абсталявання. Захоўванне рэзервовых копій на вашым вэб-серверы таксама ўяўляе сабой сур'ёзную пагрозу бяспецы. Гэтыя рэзервовыя копіі заўсёды ўтрымоўваюць невыпраўленыя версіі вашай CMS і пашырэнняў, што дае хакерам лёгкі доступ да вашага сервера.
- Па-другое, вашы рэзервовыя копіі павінны быць аўтаматычнымі. Вы робіце так шмат рэчаў кожны дзень, што неабходнасць памятаць аб рэзервовым капіяванні вашага вэб-сайта можа быць неймавернай. Выкарыстоўвайце рашэнне для рэзервовага капіявання, якое можна запланаваць у адпаведнасці з патрэбамі вашага вэб-сайта.
Каб скончыць, мець надзейнае аднаўленне. Гэта азначае наяўнасць рэзервовых копій вашых рэзервовых копій і іх тэсціраванне, каб пераканацца, што яны сапраўды працуюць. Вам спатрэбіцца некалькі рэзервовых копій для надмернасці. Робячы гэта, вы можаце аднавіць файлы з моманту, які папярэднічае ўзлому.
8. Файлы канфігурацыі сервера - азнаёмцеся з файламі канфігурацыі вашага вэб-сервера: вэб-серверы Apache выкарыстоўваюць файл .htaccess, серверы Nginx выкарыстоўваюць nginx.conf, серверы Microsoft IIS выкарыстоўваюць web.config.
Файлы канфігурацыі сервера, якія часцей за ўсё знаходзяцца ў каранёвым вэб-каталогу, вельмі магутныя. Яны дазваляюць вам выконваць правілы сервера, у тым ліку дырэктывы, якія падвышаюць бяспеку вашага сайта. Калі вы не ўпэўненыя, які вэб-сервер вы карыстаецеся, запусціце свой вэб-сайт праз Sitecheck і перайдзіце на ўкладку "Звесткі аб вэб-сайце".

Бяспека сайта - лепшыя практыкі вэб-сервераў

Вось некалькі рэкамендацый, якія можна дадаць для канкрэтнага вэб-сервера:

  • Забараніце доступ да каталогаў: гэта прадухіляе прагляд зламыснікамі змесціва кожнага каталога на вэб-сайце. Абмежаванне інфармацыі, даступнай зламыснікам, заўсёды з'яўляецца карыснай мерай бяспекі.
  • Прадухіленне хотлінкінга малюнкаў: хоць гэта не з'яўляецца строга паляпшэннем бяспекі, яно не дазваляе іншым вэб-сайтам адлюстроўваць выявы, размешчаныя на вашым вэб-серверы. Калі людзі пачнуць хотлинковать выявы з вашага сервера, дапушчальная прапускная здольнасць вашага хостынг-плана можа быць хутка выкарыстана для адлюстравання малюнкаў для чужога сайта.
  • Абарона канфідэнцыйных файлаў: вы можаце ўсталяваць правілы для абароны пэўных файлаў і тэчак. Файлы канфігурацыі CMS з'яўляюцца аднымі з найболей важных файлаў, якія захоўваюцца на вэб-серверы, паколькі яны ўтрымоўваюць дадзеныя для ўваходу ў базу дадзеных у выглядзе звычайнага тэксту. Іншыя месцы, такія як адміністрацыйныя вобласці, могуць быць заблакаваны. Вы таксама можаце абмежаваць выкананне PHP у каталогах, якія змяшчаюць выявы або дазваляюць загрузку.

9. Усталюйце SSL-сертыфікат - SSL-сертыфікаты выкарыстоўваюцца для шыфравання дадзеных пры перадачы паміж хастом (вэб-серверам або брандмаўарам) і кліентам (вэб-браўзэрам). Гэта дапамагае гарантаваць, што ваша інфармацыя будзе адпраўлена на правільны сервер і не будзе перахоплена.
Некаторыя тыпы SSL-сертыфікатаў, такія як SSL-сертыфікат арганізацыі або SSL-сертыфікат з пашыранай праверкай , дадаюць дадатковы ўзровень даверу, паколькі наведвальнік можа бачыць звесткі аб вашай арганізацыі і ведаць, што вы з'яўляецеся законнай асобай.
Як кампанія, якая займаецца бяспекай вэб-сайтаў, мы павінны навучаць вэб-майстроў і інфармаваць іх аб тым, што SSL-сертыфікаты не абараняюць вэб-сайты ад нападаў і ўзломаў. SSL-сертыфікаты шыфруюць дадзеныя пры перадачы, але не дадаюць ахоўны пласт да самога вэб-сайту.
10. Усталюйце інструменты сканавання і маніторынгу - кантралюйце кожны крок, каб забяспечыць цэласнасць прыкладання. Механізмы абвесткі могуць скараціць час водгуку і паменшыць шкоду ў выпадку ўзлому. Без праверак і сканавання, як вы даведаецеся, што ваш сайт быў скампраметаваны?
Часопісы як мінімум за месяц могуць апынуцца вельмі карыснымі для выяўлення збояў у працы прыкладання. Яны таксама пакажуць, ці падвяргаецца сервер DDoS-нападу ці выпрабоўвае ён непатрэбную нагрузку. Запісвайце і рэгулярна праглядайце ўсе дзеянні, якія адбываюцца ў крытычна важных частках прыкладання, асабліва (але не выключна) у абласцях адміністравання. Зламыснік можа паспрабаваць выкарыстоўваць менш важную частку сайта для больш высокага ўзроўню доступу пазней.
Абавязкова стварыце трыгеры, каб апавяшчаць вас у выпадку нападу метадам перабору ці спробы выкарыстоўваць якія-небудзь функцыі сайта, у тым ліку не злучаныя з сістэмамі аўтэнтыфікацыі. Важна рэгулярна правяраць наяўнасць абнаўленняў і прымяняць іх, каб пераканацца, што ў вас устаноўлены апошнія выпраўленні бяспекі. Гэта асабліва дакладна, калі вы не актывуеце брандмаўэр вэб-прыкладанні для блакавання спроб эксплуатацыі ўразлівасці.
11. Выконвайце рэкамендацыі па забеспячэнні асабістай бяспекі - абарона вашага персанальнага кампутара з'яўляецца важнай задачай для ўладальнікаў вэб-сайтаў. Вашы прылады могуць стаць вектарам заражэння і прывесці да ўзлому вашага сайта.
У добрым кіраўніцтве па бяспецы вэб-сайта згадваецца сканаванне вашага кампутара на наяўнасць шкоднасных праграм, калі ваш вэб-сайт быў узламаны. Вядома, што шкоднаснае ПЗ пранікае з кампутара заражанага карыстальніка праз тэкставыя рэдактары і FTP-кліенты.
Вы павінны выдаліць усе невыкарыстоўваныя праграмы з вашага кампутара. Гэты крок важны, таму што гэтыя праграмы таксама могуць мець праблемы з канфідэнцыяльнасцю, як і невыкарыстоўваныя плагіны і тэмы на вашым вэб-сайце.
Калі нешта не ўсталявана, гэта не можа стаць вектарам нападу для заражэння вашай машыны, асабліва пашырэнні браўзэра. У іх ёсць поўны доступ да вэб-сайтаў, калі вэб-майстры ўвайшлі ў свае інтэрфейсы адміністратара. Чым менш вы ўстанавілі на свой кампутар, тым лепш.
Калі вы не ўпэўненыя ў прызначэнні канкрэтнага прыкладання, правядзіце невялікае даследаванне ў Інтэрнэце, каб пераканацца, што яно неабходна ці нешта, што вы можаце выдаліць. Калі вы не збіраецеся яго выкарыстоўваць, выдаліце яго.
12. Выкарыстоўвайце брандмаўэр вэб-сайта - выкарыстанне толькі SSL-сертыфікатаў недастаткова для прадухілення доступу зламысніка да канфідэнцыйнай інфармацыі. Уразлівасць у вашым вэб-дадатку можа дазволіць зламысніку перахапляць трафік, адпраўляць наведвальнікаў на падробленыя вэб-сайты, адлюстроўваць ілжывую інфармацыю, утрымліваць вэб-сайт у заложніках (праграма-вымагальнік) або сціраць усе яго дадзеныя.
Нават з цалкам выпраўленым дадаткам зламыснік таксама можа атакаваць ваш сервер або сетку, выкарыстоўваючы DDoS-напады, каб запаволіць працу вэб-сайта або адключыць яго. Брандмаўэр вэб-прыкладанняў (WAF) прызначаны для прадухілення такіх нападаў на вэб-сайты і дазваляе вам засяродзіцца на сваім бізнэсе.

Дадатковыя меры без-ці вэб-сайта

Каб абараніць свае вэб-сайты і зрабіць Інтэрнэт больш бяспечным, выкарыстоўваць гэтыя бясплатныя рэсурсы і інструменты.
1. Інструменты абароны вэб-сайтаў - Вось некалькі бясплатных інструментаў для забеспячэння бяспекі вэб-сайтаў:

1.1 SiteCheck - бясплатная праверка без-ці сайта і сканер шкоднасных праграм.
1.2 Sucuri Load Time Tester - праверце і параўнайце хуткасць вэб-сайта.
1.3 Sucuri WordPress Security Plugin - Аўдыт, сканер шкоднасных праграм і ўзмацненне бяспекі для вэб-сайтаў WordPress.
01/04 Google Search Console - апавяшчэння бяспекі і інструменты для вымярэння пошукавага трафіку і прадукцыйнасці вэб-сайтаў.
01/05 Інструменты Bing для вэб-майстроў - дыягностыка пошукавай сістэмы і справаздачы аб бяспецы.
1.6 Яндэкс Вэбмайстар – Вэб-пошук і апавяшчэнні аб парушэннях бяспекі.
01/06 Unmaskparasites - праверка старонак на наяўнасць схаванага незаконнага кантэнту.
1.7 Best WAF - параўнанне лепшых брандмаўэраў для хмарных вэб-прыкладанняў.

2. Дадатковыя рэсурсы - вось некаторыя адукацыйныя рэсурсы па бяспецы вэб-сайтаў:

02/02 Sucuri Labs - даследаванне пагроз, база дадзеных сігнатур шкоднасных праграм і статыстыка.
02/03 OWASP - адкрыты праект бяспекі вэб-прыкладанняў.
2.4 Кантрольны спіс патрабаванняў адпаведнасці PCI - Кантрольны спіс патрабаванняў адпаведнасці PCI.
2.5 Інстытут SANS - навучанне, сертыфікацыя і даследаванні ў галіне інфармацыйнай бяспекі.
02/06 NIST - Нацыянальны інстытут стандартаў і тэхналогій.

Часта задаюць пытанні аб бяспецы вэб-сайта

Чаму важная бяспека сайта?

Бяспека вэб-сайта жыццёва важна для падтрымання вэб-сайта ў сетцы і бяспекі для наведвальнікаў. Без належнай увагі да бяспекі вэб-сайта хакеры могуць выкарыстоўваць ваш вэб-сайт, адключыць яго і паўплываць на вашу прысутнасць у Інтэрнэце. Наступствы ўзлому вэб-сайта могуць уключаць фінансавыя страты, праблемы з рэпутацыяй брэнда і нізкі рэйтынг у пошукавых сістэмах.

Якія рызыкі бяспекі для вэб-сайта?

Асноўныя рызыкі бяспекі вэб-сайта ўключаюць у сябе: уразлівы код, дрэнны кантроль доступу і выкарыстанне рэсурсаў сервера. Напрыклад, DDoS-напады могуць зрабіць сайт недаступным для наведвальнікаў за лічаныя хвіліны. Ёсць шмат прычын, па якіх сайты ўзломваюць; слабы пароль або састарэлы плягін могуць прывесці да ўзлому сайта.

Што робіць сайт бяспечным?

На абароненым вэб-сайце актываваны брандмаўэр вэб-прыкладанняў для прадухілення нападаў і ўзломаў. Ён таксама варта перадавым метадам забеспячэння бяспекі вэб-сайтаў і не мае праблем са канфігурацыяй або вядомых уразлівасцяў. Вы можаце выкарыстоўваць SiteCheck , каб даведацца, ці ёсць на вэб-сайце брандмаўэр, якія-небудзь анамаліі бяспекі, шкоднаснае ПЗ або ці знаходзіцца ён у чорным спісе. SiteCheck, каб даведацца, ці ёсць на вэб-сайце брандмаўэр, якія-небудзь анамаліі бяспекі, шкоднаснае ПЗ ці ён знаходзіцца ў чорным спісе.

Ці патрэбна мне бяспека для майго сайта?

Так, вядома. Бяспека вэб-сайта не ўключана ў большасць пакетаў вэб-хостынгу. Адказнасць за бяспеку вэб-сайта ляжыць на ўладальніку вэб-сайта. Бяспека павінна быць адным з першых меркаванняў пры наладзе вэб-сайта і пастаяннага працэсу праверкі. Калі вэб-сайт не з'яўляецца бяспечным, ён можа стаць лёгкай здабычай для кіберзлачынцаў.

Як зрабіць мой сайт бяспечным?

Вы можаце абараніць свой вэб-сайт, прытрымліваючыся перадавых метадаў забеспячэння бяспекі вэб-сайта , напрыклад:

  • Выкарыстоўвайце брандмаўэр вэб-сайта.
  • Заўсёды выкарыстоўвайце апошнюю версію CMS сайта, плагінаў, тым і іншых сэрвісаў.
  • Падтрымлівайце і ўжывайце надзейныя паролі.
  • Падайце толькі той тып доступу, які неабходзен камусьці для выканання задачы.
  • Усталюйце інструменты сканавання і маніторынгу, каб забяспечыць цэласнасць вашага сайта.
  • Усталюйце SSL-сертыфікаты для шыфравання дадзеных.
  • Захоўвайце рэзервовыя копіі вэб-сайтаў.

Дзякуй, што чытаеш Nicola Top

Наколькі публікацыя карысная?

Націсніце на смайлік, каб ацаніць!

Сярэдняя адзнака 5 / 5. Колькасць адзнак: 58

Ацэнак пакуль няма. Пастаўце адзнаку першым.

1 адказ

  1. Евгений кажа:
    10.08.2022 у 02:42

    Маса рашэнняў па забеспячэнні бяспекі і абароны сайта ад узлому і пагроз. У вас просты дзве катэгорыі па гэтай тэме. Не думаў, што яна на столькі вялікая. Дзякуй за падрабязныя матэрыялы.

    Адказаць

Пакінуць адказ

Ваш адрас электроннай пошты не будзе апублікаваны. Неабходныя палі пазначаны як *

дваццаць − пятнаццаць =