ვებსაიტის უსაფრთხოება და დაცვა - როგორ დავიცვათ ვებგვერდი?

ნახვების რაოდენობა

484
ბეჭდვა · დრო на чтение: 29მინ · მიერ · გამოქვეყნდა · განახლებულია

მოუსმინეთ ამ სტატიას

ვებსაიტის უსაფრთხოება – როგორ დავიცვათ და დავიცვათ თქვენი ვებ – გვერდი? საიტის დაცვა.

საიტის დაცვა - როგორ დავიცვათ და დავიცვათ თქვენი ვებ – გვერდი? ვებსაიტის უსაფრთხოება შეიძლება იყოს რთული (ან თუნდაც დამაბნეველი) თემა მუდმივად ცვალებად გარემოში. ეს გზამკვლევი მიზნად ისახავს უზრუნველყოს მკაფიო ჩარჩო ვებსაიტების მფლობელებისთვის, რომლებიც ცდილობენ შეამცირონ რისკი და გამოიყენონ უსაფრთხოების პრინციპები თავიანთ ვებ მახასიათებლებზე.

სანამ დავიწყებთ, მნიშვნელოვანია გვახსოვდეს, რომ უსაფრთხოება არასოდეს არის გადაწყვეტა „დააყენე და წადი“. ამის ნაცვლად, მე მოგიწოდებთ იფიქროთ, რომ ეს არის მიმდინარე პროცესი, რომელიც მოითხოვს მუდმივ შეფასებას თქვენი საერთო რისკის შესამცირებლად.

მიმართვა სისტემური მიდგომა ვებსაიტის უსაფრთხოების მიმართ, ჩვენ შეგვიძლია ვიფიქროთ, როგორც ჩარჩო, რომელიც შედგება დაცვის მრავალი ფენისგან, რომლებიც გაერთიანებულია ერთ ელემენტად. ჩვენ უნდა შევხედოთ ვებსაიტის უსაფრთხოებას ჰოლისტურად და მივუდგეთ მას სიღრმისეული თავდაცვის სტრატეგიით.

სტატიის შინაარსი:

რა არის ვებსაიტის უსაფრთხოება?

ვებსაიტის უსაფრთხოება - რა არის ეს? ყველაფერი ვებსაიტის უსაფრთხოების შესახებ. საიტის დაცვა.

ვებსაიტის უსაფრთხოება არის ზომები მიღებული ვებსაიტის დაცვა კიბერშეტევებისგან. ამ თვალსაზრისით, ვებსაიტის უსაფრთხოება არის უწყვეტი პროცესი და ვებგვერდის მართვის განუყოფელი ნაწილი.

რატომ არის საიტის უსაფრთხოება მნიშვნელოვანი?

ვებსაიტის უსაფრთხოება შეიძლება იყოს რთული, განსაკუთრებით მაშინ, როდესაც საქმე გვაქვს საიტების დიდ ქსელთან. უსაფრთხო ვებსაიტის ქონა ისეთივე მნიშვნელოვანია ვინმეს ონლაინ ყოფნისთვის, როგორც ვებსაიტის მასპინძელი.
მაგალითად, თუ ვებსაიტი გატეხილია და შავ სიაშია, მას შეუძლია დაკარგოს ტრაფიკის 98%-მდე. უსაფრთხო ვებსაიტის არქონა შეიძლება ისეთივე ცუდი იყოს, როგორც ვებსაიტის არქონა, ან კიდევ უარესი. მაგალითად, მომხმარებელთა მონაცემების გაჟონვამ შეიძლება გამოიწვიოს სასამართლო პროცესი, მძიმე ჯარიმები და რეპუტაციის შელახვა.

1. თავდაცვის სიღრმისეული სტრატეგია

ვებსაიტის უსაფრთხოების სიღრმისეული სტრატეგია ითვალისწინებს თავდაცვის სიღრმეს და თავდასხმის ზედაპირის სიგანეს სტეკში გამოყენებული ინსტრუმენტების გასაანალიზებლად. ეს მიდგომა იძლევა უფრო ზუსტ სურათს დღევანდელი ვებსაიტის უსაფრთხოების საფრთხის ლანდშაფტის შესახებ.

როგორ ხედავენ ვებ პროფესიონალები ვებსაიტის უსაფრთხოებას

ჩვენ არ შეგვიძლია დავივიწყოთ სტატისტიკა, რომელიც ვებსაიტის უსაფრთხოებას მიმზიდველ თემად აქცევს ნებისმიერი ონლაინ ბიზნესისთვის, განურჩევლად ზომისა.
ვებ პროფესიონალების 1000-ზე მეტი გამოკითხვის პასუხის გაანალიზების შემდეგ, რამდენიმე დასკვნის გაკეთება შესაძლებელია უსაფრთხოების ლანდშაფტის შესახებ:

  • 67% ვებ პროფესიონალ კლიენტებს ჰკითხეს ვებსაიტის უსაფრთხოების შესახებ, მაგრამ 1%-ზე ნაკლები რესპონდენტი გთავაზობთ ვებსაიტის უსაფრთხოებას, როგორც სერვისს.
  • დაახლოებით 72% ვებ პროფესიონალები შეშფოთებულნი არიან კიბერშეტევებით კლიენტის საიტებზე.

რატომ ხდება საიტების გატეხვა

2019 წელს ინტერნეტში 1,94 მილიარდზე მეტი ვებსაიტი იყო. ეს უზრუნველყოფს უზარმაზარ სათამაშო მოედანს ჰაკერებისთვის. ხშირად არსებობს მცდარი წარმოდგენა იმის შესახებ, თუ რატომ ხდება ვებგვერდების გატეხვა. მფლობელებს და ადმინისტრატორებს ხშირად სჯერათ, რომ ისინი არ გატეხდებიან, რადგან მათი საიტები უფრო მცირეა და, შესაბამისად, ნაკლებად მიმზიდველი ჰაკერებისთვის. ჰაკერებს შეუძლიათ აირჩიონ უფრო დიდი საიტები, თუ მათ სურთ ინფორმაციის მოპარვა ან დივერსია. სხვა მიზნებისთვის (რომლებიც უფრო გავრცელებულია), ნებისმიერ პატარა საიტს დიდი მნიშვნელობა აქვს.
ვებსაიტების გატეხვისას სხვადასხვა მიზნები მიიღწევა, მაგრამ მთავარია:

  • საიტის ვიზიტორების გამოყენება.
  • სერვერზე შენახული ინფორმაციის ქურდობა.
  • ბოტებისა და საძიებო რობოტების მოტყუება (შავი ქუდი SEO).
  • სერვერის რესურსების ბოროტად გამოყენება.
  • სუფთა ხულიგნობა (დაზიანება).

2. ავტომატური თავდასხმები საიტებზე

სამწუხაროდ, ავტომატიზაცია ამცირებს ზედმეტ ხარჯებს, იძლევა მასობრივი გამჟღავნების საშუალებას და ზრდის წარმატებული კომპრომისის შანსებს - მიუხედავად ტრაფიკის მოცულობისა თუ ვებსაიტის პოპულარობისა.
სინამდვილეში, ავტომატიზაცია არის მეფე ჰაკერების სამყაროში. ავტომატური თავდასხმები ხშირად გულისხმობს ცნობილი დაუცველობის გამოყენებას საიტების დიდ რაოდენობაზე, ზოგჯერ საიტის მფლობელის ცოდნის გარეშეც კი.

ავტომატური შეტევები ეფუძნება შესაძლებლობებს. პოპულარული რწმენის საწინააღმდეგოდ, ავტომატური თავდასხმები ბევრად უფრო ხშირია, ვიდრე შერჩეული მიზანმიმართული თავდასხმები მათი წვდომისა და მარტივი წვდომის გამო. თითქმის 60% ინტერნეტი მუშაობს CMS-ზე.

CMS უსაფრთხოების საკითხები

ვებსაიტის საშუალო მფლობელისთვის უფრო ადვილია ინტერნეტში სწრაფად მიღება ღია კოდის კონტენტის მართვის სისტემით (CMS), როგორიცაა WordPress, Magento, Joomla ან Drupal და სხვა.
მიუხედავად იმისა, რომ ეს პლატფორმები ხშირად უზრუნველყოფენ უსაფრთხოების ხშირ განახლებებს, მესამე მხარის გაფართოებადი კომპონენტების გამოყენება, როგორიცაა დანამატები ან თემები, იწვევს დაუცველობას, რომელიც ადვილად შეიძლება იქნას გამოყენებული შესაძლებლობების შეტევებისთვის.

ინფორმაციული უსაფრთხოების სტანდარტია - კონფიდენციალურობა, მთლიანობა და ხელმისაწვდომობა. ეს მოდელი გამოიყენება ორგანიზაციების უსაფრთხოების პოლიტიკის შესამუშავებლად.

3. კონფიდენციალურობა, მთლიანობა და ხელმისაწვდომობა

  • კონფიდენციალურობა ეხება ინფორმაციის ხელმისაწვდომობის კონტროლს, რათა უზრუნველყოს, რომ მათ, ვისაც წვდომა არ უნდა ჰქონდეთ, არ იყოს დაშვებული. ეს შეიძლება გაკეთდეს პაროლების, მომხმარებლის სახელების და წვდომის კონტროლის სხვა კომპონენტების გამოყენებით.
  • მთლიანობა უზრუნველყოფს, რომ ინფორმაცია, რომელსაც საბოლოო მომხმარებლები იღებენ, იყოს ზუსტი და უცვლელი ვინმეს მიერ, გარდა საიტის მფლობელისა. ეს ხშირად კეთდება დაშიფვრით, როგორიცაა Secure Socket Layer (SSL) სერთიფიკატები, რომლებიც შიფრავს ტრანზიტში არსებულ მონაცემებს.
  • ხელმისაწვდომობა საჭიროების შემთხვევაში უზრუნველყოფს ინფორმაციის ხელმისაწვდომობას. ვებსაიტის ხელმისაწვდომობის ყველაზე გავრცელებული საფრთხე არის სერვისის განაწილებული უარყოფა ან DDoS შეტევა.
ახლა, როდესაც ჩვენ გვაქვს გარკვეული ცოდნა ავტომატური და მიზანმიმართული თავდასხმების შესახებ, შეგვიძლია ჩავუღრმავდეთ ვებსაიტების უსაფრთხოების ზოგიერთ უფრო გავრცელებულ საფრთხეს.

ვებსაიტის დაუცველობა და საფრთხეები

ძირითადი საფრთხეები საიტის უსაფრთხოებისთვის.

აქ მოცემულია ვებსაიტის უსაფრთხოების ყველაზე გავრცელებული ხარვეზები და საფრთხეები:

1. SQL ინექცია - ასეთი SQL ინექციის შეტევები ხორციელდება მავნე კოდის ინექციით დაუცველ SQL მოთხოვნაში. ისინი ეყრდნობიან თავდამსხმელს, რომელიც ამატებს სპეციალურად შემუშავებულ შეკითხვას შეტყობინებას, რომელსაც ვებსაიტი აგზავნის მონაცემთა ბაზაში.
წარმატებული შეტევა შეცვლის მონაცემთა ბაზის მოთხოვნას ისე, რომ ის დააბრუნებს ინფორმაციას, რომელსაც თავდამსხმელი სურს, ნაცვლად იმ ინფორმაციისა, რომელსაც ვებსაიტი ელოდება. SQL ინექციებს შეუძლიათ შეცვალონ ან დაამატოთ მავნე ინფორმაცია მონაცემთა ბაზაში.
2. ჯვარედინი საიტის სკრიპტირება (XSS) ჯვარედინი სკრიპტირების შეტევები შედგება ვებსაიტში კლიენტის მხრიდან მავნე სკრიპტების შეყვანისგან და ვებსაიტის, როგორც განაწილების მეთოდის გამოყენებით. XSS-ის საშიშროება არის ის, რომ ის საშუალებას აძლევს თავდამსხმელს, შეიყვანოს შინაარსი ვებსაიტში და შეცვალოს მისი ჩვენების გზა, რის შედეგადაც მსხვერპლის ბრაუზერმა შეასრულოს თავდამსხმელის მიერ მოწოდებული კოდი გვერდის ჩატვირთვისას. თუ შესული საიტის ადმინისტრატორი ატვირთავს კოდს, სკრიპტი შესრულდება მათი პრივილეგიის დონეზე, რაც პოტენციურად გამოიწვევს საიტის დაუფლებას.
3. Brute Force Credential Attacks ვებსაიტის ადმინისტრაციულ პანელზე, მართვის პანელზე ან თუნდაც SFTP სერვერზე წვდომის მოპოვება არის ერთ-ერთი ყველაზე გავრცელებული ვექტორი, რომელიც გამოიყენება ვებსაიტების კომპრომისისთვის. პროცესი ძალიან მარტივია:

  1. თავდამსხმელები ძირითადად აპროგრამებენ სკრიპტს, რათა სცადონ მომხმარებლის სახელების და პაროლების რამდენიმე კომბინაცია, სანამ არ აღმოაჩენენ, რომ ის მუშაობს;
  2. წვდომის მინიჭების შემდეგ, თავდამსხმელებს შეუძლიათ განახორციელონ სხვადასხვა მავნე მოქმედებები, სპამის კამპანიებიდან მონეტების მოპოვებამდე და დიბეტის ინფორმაციის ქურდობამდე. ან საკრედიტო ბარათები.
4. ვებსაიტის მავნე პროგრამების ინფექცია და თავდასხმები ზოგიერთი წინა უსაფრთხოების საკითხების გამოყენებით ვებსაიტზე არაავტორიზებული წვდომის საშუალებად, თავდამსხმელებს შეუძლიათ:
  1. შეიტანეთ SEO სპამი გვერდზე;
  2. წაშალეთ უკანა კარი წვდომის შესანარჩუნებლად;
  3. შეაგროვეთ ვიზიტორთა ინფორმაცია ან ბარათის მონაცემები;
  4. სერვერზე ექსპლოიტების გაშვება წვდომის დონის გასაზრდელად;
  5. გამოიყენეთ ვიზიტორების კომპიუტერები კრიპტოვალუტების მაინინგისთვის;
  6. ბოტნეტებისთვის ბრძანების და კონტროლის სკრიპტების შენახვა;
  7. არასასურველი რეკლამის ჩვენება, ვიზიტორების გადამისამართება თაღლითურ ვებსაიტებზე;
  8. მავნე ჩამოტვირთვების ჰოსტინგი;
  9. დაიწყეთ თავდასხმები სხვა საიტებზე.
5. DoS/DDoS შეტევები სერვისის უარყოფის განაწილებული (DDoS) შეტევა არის არაინტრუზიული ინტერნეტ შეტევა. ეს კეთდება იმისათვის, რომ გამორთოთ ან შეანელოთ სამიზნე ვებსაიტი ქსელის, სერვერის ან აპლიკაციის ყალბი ტრაფიკით დატბორვით.
DDoS შეტევები არის საფრთხეები, რომლებიც უნდა იცოდნენ ვებსაიტების მფლობელებმა, რადგან ისინი უსაფრთხოების სისტემის მნიშვნელოვანი ნაწილია. როდესაც DDoS შეტევა მიზნად ისახავს დაუცველ, რესურსზე ინტენსიურ საბოლოო წერტილს, ტრაფიკის მცირე რაოდენობაც კი საკმარისია წარმატებული თავდასხმისთვის.

ელექტრონული კომერციის ვებსაიტის უსაფრთხოება და PCI შესაბამისობა

შეტევის საფრთხეები ელექტრონული კომერციის ბიზნესისთვის.

გადახდის ბარათების ინდუსტრიის მონაცემთა უსაფრთხოების სტანდარტები (PCI-DSS) განსაზღვრეთ მოთხოვნები ვებსაიტების მფლობელებისთვის ონლაინ მაღაზიებით. ეს მოთხოვნები გვეხმარება იმის უზრუნველსაყოფად, რომ ბარათის მფლობელის მონაცემები, რომელსაც აგროვებთ, როგორც ონლაინ მაღაზია, ადეკვატურად არის დაცული. PCI DSS-ის პირობებში, ბარათის მფლობელის მონაცემები, რომლებიც დაცული უნდა იყოს, ეხება ძირითადი ანგარიშის სრულ ნომერს (PAN), მაგრამ ასევე შეიძლება გამოჩნდეს ერთ-ერთი შემდეგი ფორმით:

  1. სრული მაგნიტური ზოლის მონაცემები (ან ჩიპის ექვივალენტი);
  2. საუკეთესო თარიღამდე;
  3. სერვისის კოდი;
  4. პინი;
  5. CVV ნომრები;
  6. ბარათის მფლობელის სახელი ან/და გვარი.
PCI შესაბამისობის წესები ვრცელდება მიუხედავად იმისა, გადარიცხავთ მონაცემებს ციფრულად, წერილობით, თუ დაუკავშირდებით სხვა პირთან, რომელსაც აქვს წვდომა მონაცემებზე.

ძალიან მნიშვნელოვანია, რომ ელექტრონული კომერციის ვებსაიტებმა ყველაფერი გააკეთონ, რათა უზრუნველყონ ბარათის მფლობელის მონაცემები ბრაუზერიდან ვებ სერვერზე სათანადო დაშიფვრით HTTPS-ის საშუალებით გადაცემაში. ის ასევე უნდა იყოს შენახული უსაფრთხოდ და ანალოგიურად დაშიფრული სერვერზე, როდესაც გადაეცემა მესამე მხარის გადახდის დამუშავების სერვისს.

ჰაკერებს შეუძლიათ სცადონ ბარათის მფლობელის მონაცემების მოპარვა ან ჩარევა ნებისმიერ დროს, იქნება ეს მონაცემები დასვენებაში თუ ტრანზიტში.

ვებსაიტის უსაფრთხოების ჩარჩო

ინფორმაციის უსაფრთხოების ჩარჩო. ვებსაიტის სრული დაცვა.

თქვენი ბიზნესის ზომის მიუხედავად, უსაფრთხოების სისტემის შემუშავება დაგეხმარებათ შეამციროთ თქვენი საერთო რისკი. იმის გაგება, რომ უსაფრთხოება უწყვეტი პროცესია, ნიშნავს, რომ ის იწყება ვებსაიტის უსაფრთხოების საფუძვლის აგებით. ეს სტრუქტურა მოიცავს „უსაფრთხოების კულტურის“ შექმნას, სადაც დაგეგმილი ინსპექტირება ხელს უწყობს ნივთების მარტივ და დროულ შენარჩუნებას.
ხუთი ფუნქცია: "იდენტიფიკაცია", "დაცვა", "გამოვლენა", "რეაგირება" და "აღდგენა" დეტალურად იქნება აღწერილი და გამოყენებული მოქმედებები.
1. Იდენტიფიცირება - ამ ეტაპზე ყველა ინვენტარი და აქტივების მართვა დოკუმენტირებული და დამოწმებულია. ინვენტარი და აქტივების მენეჯმენტი შეიძლება კიდევ ერთი ნაბიჯით გადაიდგას შემდეგ ქვეკატეგორიებში:

  1. ვებ რესურსები;
  2. ვებ სერვერები და ინფრასტრუქტურა;
  3. დანამატები, გაფართოებები, თემები და მოდულები;
  4. მესამე მხარის ინტეგრაციები და სერვისები;
  5. წვდომის წერტილები და კვანძები.
მას შემდეგ რაც გექნებათ თქვენი ვებსაიტის აქტივების სია, შეგიძლიათ გადადგათ ნაბიჯები აუდიტისა და თავდასხმებისგან თითოეული მათგანის დასაცავად.
2. დაიცავი არსებობს მრავალი მიზეზი, რის გამოც პრევენციული ვებ-უსაფრთხოების ზომების დაცვა მნიშვნელოვანია, მაგრამ საიდან დაიწყოთ? ეს ცნობილია როგორც უსაფრთხოების ტექნოლოგიები და უსაფრთხოების დონეები. ზოგჯერ ეს ზომები აკმაყოფილებს შესაბამისობის მოთხოვნებს, როგორიცაა PCI, ან აადვილებს შეტევებისადმი დაუცველი გარემოს ვირტუალურად დაყენებას და გამკვრივებას. უსაფრთხოება ასევე შეიძლება მოიცავდეს თანამშრომლების ტრენინგს და წვდომის კონტროლის პოლიტიკას.
თქვენი ვებსაიტის დასაცავად ერთ-ერთი საუკეთესო გზაა ვებ აპლიკაციის firewall-ის გააქტიურება. თუ დიდ დროს ხარჯავთ უსაფრთხოების პროცესებზე, ხელსაწყოებსა და კონფიგურაციებზე ფიქრზე, ეს გავლენას მოახდენს თქვენი ვებსაიტის უსაფრთხოების პოზაზე.
3. გამოვლენა (უწყვეტი მონიტორინგი) არის კონცეფცია, რომელიც გულისხმობს ინსტრუმენტების დანერგვას თქვენი ვებსაიტის (აქტივების) მონიტორინგისა და ნებისმიერი პრობლემის შესახებ გაცნობის მიზნით. უსაფრთხოების სტატუსის შესამოწმებლად უნდა დამონტაჟდეს მონიტორინგი:
  1. DNS ჩანაწერები;
  2. SSL სერთიფიკატები;
  3. ვებ სერვერის დაყენება;
  4. აპლიკაციის განახლებები;
  5. მომხმარებლის წვდომა;
  6. ფაილის მთლიანობა.
თქვენ ასევე შეგიძლიათ გამოიყენოთ უსაფრთხოების სკანერები და ხელსაწყოები (როგორიცაა SiteCheck) კომპრომისის ან დაუცველობის ინდიკატორების მოსაძებნად.
4. რეაგირებისთვის — ანალიზი და შერბილება ხელს უწყობს რეაგირების კატეგორიის შექმნას. როდესაც ინციდენტი ხდება, უნდა არსებობდეს რეაგირების გეგმა. კომპრომისის ინციდენტამდე საპასუხო გეგმის შემუშავება საოცრებებს ახდენს ფსიქიკისთვის. ინციდენტზე რეაგირების სწორი გეგმა მოიცავს:
  1. ინციდენტზე რეაგირების ჯგუფის ან პირის შერჩევა;
  2. ინციდენტის მოხსენება შედეგების გადასამოწმებლად;
  3. მოვლენის შერბილება.
შესწორების პროცესის დროს, ჩვენ არასოდეს ვიცით წინასწარ, რა სახის მავნე პროგრამის პოვნას ვაპირებთ. ზოგიერთი პრობლემა შეიძლება სწრაფად გავრცელდეს და დააინფიციროს სხვა ვებსაიტები საზიარო სერვერის გარემოში (ჯვარედინი ინფექცია). ინციდენტზე რეაგირების პროცესი, როგორც განსაზღვრულია NIST-ის მიერ, დაყოფილია ოთხ ძირითად ეტაპად:
  1. მომზადება და დაგეგმვა;
  2. გამოვლენა და ანალიზი;
  3. შეკავება, აღმოფხვრა და აღდგენა;
  4. მოქმედებები ინციდენტის შემდეგ.
მყარი მოსამზადებელი ეტაპი და ვებსაიტის უსაფრთხოების გუნდი, რომელსაც შეგიძლიათ დაეყრდნოთ, გადამწყვეტია მისიის წარმატებისთვის. აი, როგორი უნდა იყოს:

მომზადება და დაგეგმვა

ამ ეტაპზე ჩვენ ვრწმუნდებით, რომ ინციდენტის დადგომამდე გვაქვს ყველა საჭირო ინსტრუმენტი და რესურსი. ეს ყველაფერი მიდის პარალელურად უსაფრთხოების ჩარჩოს წინა სექციებთან.
ჰოსტინგის კომპანიები ამ ეტაპზე გადამწყვეტ როლს ასრულებენ იმით, რომ სისტემები, სერვერები და ქსელები საკმარისად უსაფრთხოა. ასევე მნიშვნელოვანია დარწმუნდეთ, რომ თქვენი ვებ დეველოპერი ან ტექნიკური გუნდი მზად არის უსაფრთხოების ინციდენტის მოსაგვარებლად.

აღმოჩენა და ანალიზი

მიუხედავად იმისა, რომ თავდასხმის რამდენიმე მეთოდი არსებობს, ჩვენ მზად უნდა ვიყოთ ნებისმიერ ინციდენტთან გამკლავებისთვის. ინფექციების უმეტესობა არის ვებსაიტზე დაინსტალირებული დაუცველი კომპონენტები (ძირითადად დანამატები), პაროლის კომპრომისი (სუსტი პაროლი, უხეში ძალა) და სხვა.
პრობლემისა და განზრახვიდან გამომდინარე, აღმოჩენის ეტაპი შეიძლება იყოს რთული. ზოგიერთი თავდამსხმელი ეძებს დიდებას, ზოგს შეიძლება სურდეს რესურსების ექსპლუატაცია ან მგრძნობიარე ინფორმაციის ჩაჭრა.
ზოგიერთ შემთხვევაში, არ არსებობს იმის მითითება, რომ უკანა კარი დაინსტალირებულია, რომელიც ელოდება თავდამსხმელს მასზე წვდომას მავნე აქტივობისთვის. ამიტომ, რეკომენდებულია მექანიზმების დანერგვა თქვენი ფაილური სისტემის მთლიანობის უზრუნველსაყოფად.

შეკავება, აღმოფხვრა და აღდგენა

რაც შეეხება შეკავების, აღმოფხვრისა და აღდგენის ფაზას, პროცესი უნდა მოერგოს ვებსაიტზე ნაპოვნი პრობლემის ტიპს და წინასწარ განსაზღვრულ შეტევაზე დაფუძნებულ სტრატეგიებს. მაგალითად, კრიპტომაინერის ინფექცია, როგორც წესი, მოიხმარს უამრავ სერვერის (leecher) რესურსს და ინციდენტზე რეაგირების ჯგუფი უნდა შეიცავდეს საფრთხეს რემედიაციის პროცესის დაწყებამდე.

ამ შეტევის შეკავება მნიშვნელოვანი ნაბიჯია დამატებითი რესურსების ამოწურვისა და შემდგომი დაზიანების თავიდან ასაცილებლად. გადაწყვეტილების მიღების ეს სისტემა და სტრატეგიები ამ ეტაპის მნიშვნელოვანი ნაწილია. მაგალითად, თუ კონკრეტულ ფაილს ვაიდენტიფიცირებთ, როგორც 100% მავნე, უნდა მოხდეს მისი განადგურების ქმედება. თუ ფაილი შეიცავს ნაწილობრივ მავნე კოდს, მხოლოდ ეს ნაწილი უნდა წაიშალოს. თითოეულ სკრიპტს უნდა ჰქონდეს განსაზღვრული პროცესი.

მოქმედებები ინციდენტის შემდეგ

დაბოლოს, რაც არანაკლებ მნიშვნელოვანია, ინციდენტის შემდგომი ქმედება ასევე შეიძლება ეწოდოს ნასწავლის ეტაპს. ამ ეტაპზე, ინციდენტზე რეაგირების ჯგუფმა უნდა წარადგინოს ანგარიში, სადაც დეტალურად იქნება აღწერილი, რა მოხდა, რა ქმედებები იქნა მიღებული და რამდენად კარგად მუშაობდა ჩარევა. ჩვენ უნდა ვიფიქროთ მომხდარზე, ვისწავლოთ მისგან და მივიღოთ ზომები მომავალში მსგავსი პრობლემების თავიდან ასაცილებლად. ეს ქმედებები შეიძლება იყოს ისეთივე მარტივი, როგორიც არის კომპონენტის განახლება, პაროლების შეცვლა ან ვებსაიტის ბუხარის დამატება, რათა თავიდან აიცილოთ შეტევები ზღვარზე.

გადახედეთ იმ ქმედებებს, რომლებიც თქვენმა განყოფილებამ უნდა განახორციელოს უსაფრთხოების შემდგომი გასაძლიერებლად. შემდეგ დარწმუნდით, რომ მიიღებთ ამ ქმედებებს რაც შეიძლება სწრაფად. ყველა შემდგომი მოქმედება შეგიძლიათ დაეყრდნოთ შემდეგ რჩევებს:

  • შეზღუდეთ გლობალური წვდომა თქვენს საიტზე (ან კონკრეტულ სფეროებში) GET ან POST მეთოდების გამოყენებით ზემოქმედების შესამცირებლად.
  • განაახლეთ ნებართვები დირექტორიებსა და ფაილებზე, რათა უზრუნველყოთ სწორი წაკითხვა/ჩაწერა.
  • განაახლეთ ან წაშალეთ მოძველებული პროგრამული უზრუნველყოფა/თემები/დამატებები.
  • დაუყოვნებლივ გადააყენეთ თქვენი პაროლები ძლიერი პაროლის პოლიტიკით.
  • გაააქტიურეთ 2FA/MFA, სადაც ეს შესაძლებელია, რომ დაამატოთ ავთენტიფიკაციის დამატებითი ფენა.
ასევე, თუ თქვენ აქტიურად იყენებთ Web Application Firewall-ს (WAF), გადახედეთ თქვენს არსებულ კონფიგურაციას, რათა დაადგინოთ ნებისმიერი ცვლილება, რომელიც უნდა განხორციელდეს. გაითვალისწინეთ, რომ მიუხედავად იმისა, რომ WAF-ები ეხმარებიან გადახდის ბარათების ინდუსტრიის მონაცემთა უსაფრთხოების რამდენიმე სტანდარტის (PCI DSS) დაკმაყოფილებას, ისინი არ არიან პანაცეა. არსებობს სხვა ფაქტორები, რომლებიც გავლენას ახდენენ თქვენს ბიზნესზე, განსაკუთრებით ადამიანურ ფაქტორზე.
5. აღდგენა — აღდგენის დაგეგმვა მოხდება, როდესაც მოხდება ინციდენტის შემთხვევაში ყველა ეტაპის სრული ანალიზი. აღდგენა ასევე დაკავშირებულია სარეზერვო გეგმის ქონასთან იმ სიტუაციებისთვის, სადაც ყველა წინა ნაბიჯი ვერ მოხერხდა, როგორიცაა გამოსასყიდი პროგრამების შეტევები.

ეს პროცესი ასევე უნდა მოიცავდეს დროის მოწყობას, რომ ისაუბროთ თქვენს უსაფრთხოების გამყიდველთან იმაზე, თუ როგორ გააუმჯობესოთ სუსტი ადგილები. ისინი უკეთესად არიან აღჭურვილი, რათა შესთავაზონ იმის გაგება, თუ რა შეიძლება გაკეთდეს.

გქონდეთ კომუნიკაციის სტრატეგია

თუ რაიმე მონაცემს საფრთხე ემუქრება, აცნობეთ თქვენს მომხმარებლებს. ეს განსაკუთრებით მნიშვნელოვანია, თუ ბიზნესს აწარმოებთ ევროკავშირში, სადაც ორგანიზაციამ უნდა შეატყობინოს მონაცემთა დარღვევის შესახებ 72 საათის განმავლობაში მონაცემთა დაცვის ზოგადი რეგულაციის (GDPR) 33-ე მუხლის შესაბამისად.

გამოიყენეთ ავტომატური სარეზერვო საშუალება

რაც არ უნდა გააკეთოთ თქვენი ვებსაიტის დასაცავად, რისკი არასოდეს იქნება ნული. თუ თქვენი ვებსაიტის ფუნქციონირება დაზიანებულია, გჭირდებათ მონაცემთა სწრაფად აღდგენის საშუალება - არა ერთი, არამედ ორი მაინც. ძალზე მნიშვნელოვანია, რომ გქონდეთ მთელი აპლიკაციის ლოკალური სარეზერვო ასლი და გარე სარეზერვო ასლი, რომელიც პირდაპირ არ არის დაკავშირებული აპლიკაციასთან ტექნიკის გაუმართაობის ან თავდასხმის შემთხვევაში.

როგორ დავიცვათ თქვენი საიტი და უზრუნველვყოთ უსაფრთხოება?

როგორ დავიცვათ ვებგვერდი? დაცვა DDoS შეტევებისა და დაუცველებისგან.

ვებსაიტის უსაფრთხოების მნიშვნელობა არ შეიძლება შეფასდეს. ამ განყოფილებაში ჩვენ განვიხილავთ, თუ როგორ შევინარჩუნოთ თქვენი ვებსაიტი უსაფრთხო და დაცული. ეს არ არის ნაბიჯ-ნაბიჯ სახელმძღვანელო, მაგრამ ის მოგაწვდით ვებსაიტის უსაფრთხოების რეკომენდაციებს, რომ იპოვოთ სწორი სერვისები თქვენი საჭიროებისთვის.
1. განაახლეთ ყველაფერი - მოძველებული და დაუცველი პროგრამული უზრუნველყოფის გამო ყოველდღიურად უამრავი ვებსაიტი რისკის ქვეშ იმყოფება. მნიშვნელოვანია თქვენი საიტის განახლება, როგორც კი CMS-ის ახალი მოდული ან ვერსია იქნება ხელმისაწვდომი. ეს განახლებები შეიძლება უბრალოდ შეიცავდეს უსაფრთხოების გაუმჯობესებას ან შეასწოროს დაუცველობა.
ვებგვერდებზე თავდასხმების უმეტესობა ავტომატიზირებულია. ბოტები მუდმივად ათვალიერებენ ყველა საიტს, რაც მათ შეუძლიათ ექსპლუატაციის შესაძლებლობისთვის. აღარ არის საკმარისი თვეში ერთხელ ან თუნდაც კვირაში ერთხელ განახლება, რადგან ბოტები, სავარაუდოდ, აღმოაჩენენ დაუცველობას, სანამ გამოასწორებენ.
ამიტომ თქვენ უნდა გამოიყენოთ ვებსაიტის ფაიერვოლი, რომელიც პრაქტიკულად დახურავს უსაფრთხოების ხვრელს განახლებების გამოქვეყნებისთანავე. თუ თქვენ გაქვთ WordPress ვებსაიტი, ერთი მოდული, რომელიც უნდა გაითვალისწინოთ, არის WP განახლებების შეტყობინებები. ის გამოგიგზავნით ელფოსტას, რათა გაცნობოთ, როდესაც ხელმისაწვდომია მოდული ან WordPress ძირითადი განახლება.
2. გქონდეთ ძლიერი პაროლები უსაფრთხო ვებსაიტის ქონა დიდწილად დამოკიდებულია თქვენს უსაფრთხოებაზე. ოდესმე გიფიქრიათ იმაზე, თუ როგორ შეიძლება საფრთხე შეუქმნას თქვენს მიერ გამოყენებულ პაროლებს თქვენი საიტის უსაფრთხოებას?
ინფიცირებული ვებსაიტების გასასუფთავებლად, რემედიატორები უნდა შევიდნენ კლიენტის საიტზე ან სერვერზე მათი ადმინისტრატორის მომხმარებლის რწმუნებათა სიგელების გამოყენებით. მათ შეიძლება გაუკვირდეთ, თუ რამდენად დაუცველია root პაროლები. ლოგინებით, როგორიცაა admin/admin, შეიძლება საერთოდ არ გქონდეთ პაროლი.
ჰაკერები გააერთიანებენ ქსელის მონაცემებს ლექსიკონის სიტყვების სიებს, რათა შექმნან პოტენციური პაროლების კიდევ უფრო დიდი სიები. თუ პაროლები, რომლებსაც იყენებთ, ერთ-ერთ ამ სიაშია, თქვენი საიტის გატეხვა მხოლოდ დროის საკითხია.

ძლიერი პაროლის რეკომენდაციები

რეკომენდაციები ძლიერი პაროლის შესაქმნელად:

  • არ გამოიყენოთ ხელახლა პაროლები: თქვენი თითოეული პაროლი უნიკალური უნდა იყოს. პაროლის მენეჯერს შეუძლია გააადვილოს ეს ამოცანა.
  • გამოიყენეთ გრძელი პაროლები. სცადეთ გამოიყენოთ 12-ზე მეტი სიმბოლო. რაც უფრო გრძელია პაროლი, მით უფრო მეტი დრო დასჭირდება კომპიუტერულ პროგრამას მის გატეხვას.
  • გამოიყენეთ შემთხვევითი პაროლები. პაროლის გატეხვის პროგრამებს შეუძლიათ რამდენიმე წუთში გამოიცნონ მილიონობით პაროლი, თუ ისინი შეიცავს სიტყვებს ინტერნეტში ან ლექსიკონებში. თუ თქვენს პაროლს აქვს რეალური სიტყვები, ეს არ არის შემთხვევითი. თუ თქვენ შეგიძლიათ მარტივად წარმოთქვათ თქვენი პაროლი, ეს ნიშნავს, რომ ის არ არის საკმარისად ძლიერი. სიმბოლოების ჩანაცვლებაც კი (ანუ O ასოს 0-ით ჩანაცვლება) საკმარისი არ არის. არსებობს რამდენიმე სასარგებლო პაროლის მენეჯერი, როგორიცაა LastPass (ონლაინ) და KeePass 2 (ხაზგარეშე). ეს ხელსაწყოები ინახავს თქვენს ყველა პაროლს დაშიფრულ ფორმატში და შეუძლია მარტივად შექმნას შემთხვევითი პაროლები ღილაკის დაჭერით. პაროლების მენეჯერები საშუალებას გაძლევთ გამოიყენოთ ძლიერი პაროლები სუსტი პაროლების დამახსოვრების ან მათი ჩაწერის გარეშე.

3. ერთი საიტი = ერთი საცავი ბევრი ვებსაიტის ერთ სერვერზე ჰოსტინგი შეიძლება იდეალურად ჩანდეს, განსაკუთრებით თუ თქვენ გაქვთ „შეუზღუდავი“ ვებ ჰოსტინგის გეგმა. სამწუხაროდ, ეს არის ერთ-ერთი ყველაზე ცუდი უსაფრთხოების პრაქტიკა, რომელიც შეგიძლიათ გამოიყენოთ. მრავალი საიტის განთავსება ერთ ადგილას ქმნის ძალიან დიდ თავდასხმის ზედაპირს. უნდა იცოდეთ, რომ ჯვარედინი დაბინძურება ძალიან ხშირია. ეს ხდება მაშინ, როდესაც საიტზე უარყოფითად მოქმედებს იმავე სერვერზე არსებული მეზობელი საიტები სერვერის ცუდი იზოლაციის ან ანგარიშის კონფიგურაციის გამო.
მაგალითად, სერვერს, რომელიც მასპინძლობს ერთ საიტს, შეიძლება ჰქონდეს WordPress-ის ერთი ინსტალაცია თემით და 10 მოდულით, რომლებიც შესაძლოა იყოს თავდამსხმელის სამიზნე. თუ ხუთ საიტს ერთ სერვერზე მასპინძლობთ, თავდამსხმელს შეიძლება ჰქონდეს სამი WordPress ინსტალაცია, ორი Joomla ინსტალაცია, ხუთი თემა და 50 მოდული, რომლებიც შეიძლება იყოს პოტენციური სამიზნეები. კიდევ უფრო უარესი, როდესაც თავდამსხმელმა აღმოაჩინა ექსპლოიტი ერთ საიტზე, ინფექცია შეიძლება ადვილად გავრცელდეს იმავე სერვერის სხვა საიტებზე.

ამან არა მხოლოდ შეიძლება გამოიწვიოს თქვენი ყველა საიტის ერთდროულად გატეხვა, არამედ გასუფთავების პროცესს უფრო შრომატევადი და რთული გახდის. ინფიცირებულმა უბნებმა შეიძლება გააგრძელონ ერთმანეთის ხელახლა ინფიცირება, რაც იწვევს გაუთავებელ მარყუჟს.

როგორც კი გასუფთავება წარმატებით დასრულდა, ახლა თქვენ გაქვთ ბევრად უფრო რთული ამოცანა, როდესაც საქმე ეხება თქვენი პაროლების გადატვირთვას. ერთი საიტის ნაცვლად, თქვენ გაქვთ რამდენიმე. ყოველი პაროლი, რომელიც დაკავშირებულია სერვერზე ყველა ვებსაიტთან, უნდა შეიცვალოს ინფექციის გაქრობის შემდეგ. ეს მოიცავს ყველა თქვენს CMS მონაცემთა ბაზას და ფაილების გადაცემის პროტოკოლის (FTP) მომხმარებლებს თითოეული ამ ვებსაიტისთვის. თუ ამ ნაბიჯს გამოტოვებთ, ყველა ვებსაიტი შესაძლოა ხელახლა დაინფიცირდეს და პროცესის გადატვირთვა მოგიწევთ.
4. მომხმარებლის წვდომისა და ნებართვების შეზღუდვა თქვენი ვებსაიტის კოდი შეიძლება არ იყოს თავდამსხმელის სამიზნე, მაგრამ თქვენი მომხმარებლები იქნებიან. IP მისამართების ჩაწერა და მთელი აქტივობის ისტორია სასარგებლო იქნება შემდგომში სასამართლო ანალიზისათვის.
მაგალითად, დარეგისტრირებულ მომხმარებელთა რაოდენობის მნიშვნელოვანმა ზრდამ შეიძლება მიუთითოს რეგისტრაციის პროცესის წარუმატებლობა და სპამერებს საშუალება მისცეს, დატბორონ თქვენი საიტი ყალბი შინაარსით.

უმცირესი პრივილეგიის პრინციპი

მინიმალური პრივილეგიის პრინციპი ეფუძნება პრინციპს, რომელიც ორი მიზნის მიღწევას ისახავს მიზნად:

  1. მოქმედების შესასრულებლად სისტემაში პრივილეგიების მინიმალური ნაკრების გამოყენება;
  2. ამ პრივილეგიების მინიჭება მხოლოდ იმ დროისთვის, როდესაც საჭიროა მოქმედება.
გარკვეული როლებისთვის პრივილეგიების მინიჭება კარნახობს მათ, რისი გაკეთება შეუძლიათ და არა. იდეალურ სისტემაში, როლი შეაჩერებს ყველას, ვინც ცდილობს განახორციელოს ქმედება იმის მიღმა, რის გაკეთებასაც აპირებდა.
მაგალითად, დავუშვათ, რომ ადმინისტრატორს შეუძლია გაუფილტრავი HTML ჩასვას პოსტებში ან გაუშვას ბრძანებები დანამატების დასაყენებლად. არის ეს დაუცველობა? არა, ეს არის ფუნქცია, რომელიც დაფუძნებულია ერთ ძალიან მნიშვნელოვან ელემენტზე - ნდობაზე. თუმცა, უნდა ჰქონდეს ავტორს იგივე პრივილეგიები და წვდომა? განიხილეთ როლების გამიჯვნა ნდობის საფუძველზე და დაბლოკეთ ყველა ანგარიში.
ეს ეხება მხოლოდ საიტებს, რომლებსაც აქვთ მრავალი მომხმარებელი ან შესვლა. მნიშვნელოვანია, რომ თითოეულ მომხმარებელს ჰქონდეს შესაბამისი ნებართვა, რომელიც საჭიროა თავისი სამუშაოს შესასრულებლად. თუ ამჟამად გჭირდებათ გაფართოებული ნებართვები, მიეცით ისინი. შემდეგ შეამცირეთ იგი სამუშაოს დასრულების შემდეგ.

მაგალითად, თუ ვინმეს სურს დაწეროს სტუმრის ბლოგ პოსტი თქვენთვის, დარწმუნდით, რომ მის ანგარიშს არ აქვს სრული ადმინისტრატორის უფლებები. ანგარიშს უნდა შეეძლოს მხოლოდ ახალი პოსტების შექმნა და საკუთარი პოსტების რედაქტირება, რადგან მათ არ სჭირდებათ ვებსაიტის პარამეტრების შეცვლა. საგულდაგულოდ განსაზღვრული მომხმარებლის როლები და წვდომის წესები შეზღუდავს შესაძლო შეცდომებს. ის ასევე ამცირებს გატეხილი ანგარიშების რაოდენობას და შეუძლია დაიცვას თაღლითური მომხმარებლების მიერ გამოწვეული ზიანი.
ეს არის მომხმარებლის მენეჯმენტის ხშირად შეუმჩნეველი ნაწილი: ანგარიშვალდებულება და მონიტორინგი. თუ რამდენიმე ადამიანი იყენებს ერთსა და იმავე მომხმარებლის ანგარიშს და ეს მომხმარებელი აკეთებს არასასურველ ცვლილებებს, როგორ იცით, ვინ არის პასუხისმგებელი თქვენს გუნდში?
თუ თქვენ გაქვთ ცალკე ანგარიშები თითოეული მომხმარებლისთვის, შეგიძლიათ თვალი ადევნოთ მათ ქცევას ჟურნალების დათვალიერებით და მათი ჩვეულებრივი ტენდენციების გაცნობით, მაგალითად, როდის და სად სტუმრობენ ისინი ჩვეულებრივ ვებსაიტს. ამრიგად, თუ მომხმარებელი შემოდის უცნაურ დროს ან საეჭვო მდებარეობიდან, შეგიძლიათ გამოიძიოთ. აუდიტის ჟურნალის შენარჩუნება სასიცოცხლოდ მნიშვნელოვანია თქვენი ვებსაიტის ნებისმიერი საეჭვო ცვლილების თვალყურის დევნებისთვის.

აუდიტის ჟურნალი არის დოკუმენტი, რომელიც აღწერს მოვლენებს ვებსაიტზე, რათა შეძლოთ ანომალიების აღმოჩენა და პასუხისმგებელ პირს დაადასტუროთ, რომ ანგარიში არ არის გატეხილი.
რა თქმა უნდა, აუდიტის ხელით აღრიცხვა შეიძლება რთული იყოს ზოგიერთი მომხმარებლისთვის. თუ თქვენ გაქვთ WordPress ვებსაიტი, შეგიძლიათ გამოიყენოთ უფასო Sucuri უსაფრთხოების მოდული, რომლის ჩამოტვირთვა შესაძლებელია WordPress-ის ოფიციალური საცავიდან.

ფაილის ნებართვები

ფაილის ნებართვები განსაზღვრავს, თუ ვინ რისი გაკეთება შეუძლია ფაილს. თითოეულ ფაილს აქვს სამი ხელმისაწვდომი ნებართვა და თითოეული ნებართვა წარმოდგენილია ნომრით:

  1. წაკითხვა (4): ფაილის შინაარსის ნახვა;
  2. ჩაწერეთ (2): შეცვალეთ ფაილის შინაარსი;
  3. გაშვება (1): გაუშვით პროგრამის ფაილი ან სკრიპტი.
თუ გსურთ მრავალი ნებართვის დაშვება, უბრალოდ დაამატეთ რიცხვები ერთად, მაგალითად, წაკითხვის (4) და ჩაწერის (2) დასაშვებად, თქვენ დააყენეთ მომხმარებლის ნებართვა 6-ზე. ჩაწერეთ (2) და გააკეთეთ (1), შემდეგ დააყენეთ მომხმარებლის ნებართვა 7-ზე.

მომხმარებლის ტიპები

ასევე არსებობს სამი ტიპის მომხმარებელი:

  1. მფლობელი: ეს არის, როგორც წესი, ფაილის შემქმნელი, მაგრამ ეს შეიძლება შეიცვალოს. მფლობელი შეიძლება იყოს მხოლოდ ერთი მომხმარებელი;
  2. ჯგუფი: თითოეულ ფაილს ენიჭება ჯგუფი და ნებისმიერი მომხმარებელი, რომელიც ამ ჯგუფის ნაწილია, მიიღებს ამ ნებართვებს;
  3. გენერალი: ყველა დანარჩენი.
ასე რომ, თუ გსურთ, რომ მფლობელს ჰქონდეს წაკითხვა-ჩაწერის წვდომა, ჯგუფს ჰქონდეს მხოლოდ წაკითხვის წვდომა და საზოგადოებას არ ჰქონდეს წვდომა, ფაილის ნებართვის პარამეტრები უნდა იყოს:
5. შეცვალეთ ნაგულისხმევი CMS პარამეტრები თანამედროვე CMS აპლიკაციები (თუმცა მარტივი გამოსაყენებელი) შეიძლება იყოს რთული უსაფრთხოების თვალსაზრისით საბოლოო მომხმარებლებისთვის. საიტებზე ყველაზე გავრცელებული თავდასხმები სრულად ავტომატიზირებულია. ამ შეტევებიდან ბევრი ეყრდნობა მომხმარებლებს, რომლებსაც აქვთ მხოლოდ ნაგულისხმევი პარამეტრები. ეს ნიშნავს, რომ თქვენ შეგიძლიათ თავიდან აიცილოთ მრავალი თავდასხმა, უბრალოდ ნაგულისხმევი პარამეტრების შეცვლით თქვენი არჩევანის CMS-ის დაყენებისას.
მაგალითად, ზოგიერთი CMS აპლიკაცია არის მომხმარებლის მიერ ჩასაწერი, რაც მომხმარებელს საშუალებას აძლევს დააინსტალიროს ნებისმიერი გაფართოება, რომელიც მას სურს.
არის პარამეტრები, რომლებიც შეგიძლიათ დაარეგულიროთ კომენტარების, მომხმარებლებისა და თქვენი მომხმარებლის ინფორმაციის ხილვადობის გასაკონტროლებლად. ფაილის ნებართვები არის ნაგულისხმევი პარამეტრის კიდევ ერთი მაგალითი, რომელიც შეიძლება გაუმჯობესდეს.
თქვენ შეგიძლიათ შეცვალოთ ეს ნაგულისხმევი პარამეტრები CMS-ის დაყენებისას ან მოგვიანებით, მაგრამ არ დაგავიწყდეთ ამის გაკეთება.
6. გაფართოების არჩევანი (დამატებები) ვებმასტერებს, როგორც წესი, მოსწონთ CMS აპლიკაციების გაფართოება, მაგრამ ეს ასევე შეიძლება იყოს ერთ-ერთი ყველაზე დიდი ნაკლი. არის დანამატები, დანამატები და გაფართოებები, რომლებიც უზრუნველყოფენ თითქმის ყველა ფუნქციას, რომლის წარმოდგენაც შეგიძლიათ. მაგრამ როგორ იცით რომელია უსაფრთხო დასაყენებლად?

უსაფრთხო გაფართოებების (პლაგინების) არჩევა - საიტის მთავარი უსაფრთხოება

აი, რა უნდა მოძებნოთ გაფართოებების არჩევისას:

  • როდის (მოდული) გაფართოება ბოლოს განახლდა: თუ ბოლო განახლება იყო ერთ წელზე მეტი ხნის წინ, ავტორმა შესაძლოა შეწყვიტოს მასზე მუშაობა. გამოიყენეთ გაფართოებები, რომლებიც აქტიურ განვითარებაშია, რადგან ეს მიუთითებს იმაზე, რომ ავტორს მინიმუმ სურს გამოსწორება, თუ უსაფრთხოების პრობლემები აღმოაჩენს. ასევე, თუ გაფართოება არ არის მხარდაჭერილი ავტორის მიერ, მან შეიძლება შეწყვიტოს მუშაობა, თუ ბირთვის განახლებები გამოიწვევს კონფლიქტებს.
  • გაფართოების (პლაგინის) ასაკი და ინსტალაციების რაოდენობა. მრავალი ინსტალაციის მქონე დამკვიდრებული ავტორის მიერ შემუშავებული გაფართოება უფრო სანდოა, ვიდრე დამწყები დეველოპერების მიერ გამოშვებული რამდენიმე ინსტალაციის გაფართოება. გამოცდილ დეველოპერებს არა მხოლოდ უკეთ ესმით უსაფრთხოების საუკეთესო პრაქტიკა, არამედ ნაკლებად სავარაუდოა, რომ ზიანი მიაყენონ მათ რეპუტაციას მათ გაფართოებაში მავნე კოდის ჩასმით.
  • ლეგალური და სანდო წყაროები: ჩამოტვირთეთ დანამატები, გაფართოებები და თემები ლეგიტიმური წყაროებიდან. უფრთხილდით უფასო ვერსიებს, რომლებიც შეიძლება იყოს პირატული და დაინფიცირებული მავნე პროგრამით. არსებობს გაფართოებები, რომელთა ერთადერთი მიზანია რაც შეიძლება მეტი ვებსაიტის დაინფიცირება მავნე პროგრამით.
7. გქონდეთ თქვენი ვებსაიტების სარეზერვო ასლები – გატეხვის შემთხვევაში, ვებსაიტის სარეზერვო ასლები გადამწყვეტია თქვენი ვებსაიტის აღდგენისთვის უსაფრთხოების ძირითადი დარღვევისგან. მიუხედავად იმისა, რომ ის არ უნდა ჩაითვალოს ვებსაიტის უსაფრთხოების გადაწყვეტის შემცვლელად, სარეზერვო ასლი დაგეხმარებათ დაზიანებული ფაილების აღდგენაში.

ვებსაიტის საუკეთესო სარეზერვო გადაწყვეტის არჩევა

კარგი სარეზერვო გადაწყვეტა უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს:
— პირველ რიგში, ისინი ადგილზე უნდა იყვნენ. თუ თქვენი სარეზერვო ასლები ინახება თქვენი ვებსაიტის სერვერზე, ისინი ისეთივე დაუცველები არიან თავდასხმის მიმართ, როგორც ნებისმიერი სხვა. თქვენ უნდა შეინახოთ თქვენი სარეზერვო ასლები საიტიდან, რადგან გსურთ, რომ თქვენი სარეზერვო მონაცემები დაცული იყოს ჰაკერებისგან და ტექნიკის გაუმართაობისგან. თქვენს ვებ სერვერზე სარეზერვო ასლების შენახვა ასევე უსაფრთხოების მთავარი რისკია. ეს სარეზერვო ასლები ყოველთვის შეიცავს თქვენი CMS-ის და გაფართოებების გაუხსნელ ვერსიებს, რაც ჰაკერებს თქვენს სერვერზე მარტივ წვდომას აძლევს.
- მეორეც, თქვენი სარეზერვო ასლები ავტომატური უნდა იყოს. ყოველდღიურად იმდენ რამეს აკეთებთ, რომ თქვენი ვებსაიტის სარეზერვო ასლის გახსენება წარმოუდგენელია. გამოიყენეთ სარეზერვო გადაწყვეტა, რომელიც შეიძლება დაიგეგმოს თქვენი ვებსაიტის საჭიროებების შესაბამისად.
დასასრულებლად, გქონდეთ საიმედო აღდგენა. ეს ნიშნავს, რომ გქონდეთ სარეზერვო ასლები და შეამოწმოთ ისინი, რათა დარწმუნდეთ, რომ ისინი რეალურად მუშაობენ. თქვენ დაგჭირდებათ მრავალი სარეზერვო ასლი ზედმეტობისთვის. ამით თქვენ შეგიძლიათ აღადგინოთ ფაილები ჰაკამდე.
8. სერვერის კონფიგურაციის ფაილები - შეამოწმეთ თქვენი ვებ სერვერის კონფიგურაციის ფაილები: Apache ვებ სერვერები იყენებენ .htaccess ფაილს, Nginx სერვერები იყენებენ nginx.conf, Microsoft IIS სერვერები იყენებენ web.config.
სერვერის კონფიგურაციის ფაილები, რომლებიც ყველაზე ხშირად მდებარეობს ვებ root დირექტორიაში, ძალიან ძლიერია. ისინი საშუალებას გაძლევთ აღასრულოთ სერვერის წესები, მათ შორის დირექტივები, რომლებიც ზრდის თქვენი საიტის უსაფრთხოებას. თუ არ ხართ დარწმუნებული, რომელ ვებ სერვერს იყენებთ, გაუშვით თქვენი ვებ – გვერდი Sitecheck–ის საშუალებით და გადადით „ვებგვერდის დეტალების“ ჩანართზე.

საიტის უსაფრთხოება - ვებ სერვერის საუკეთესო პრაქტიკა

აქ მოცემულია რამდენიმე სახელმძღვანელო მითითება, რომელიც შეგიძლიათ დაამატოთ კონკრეტული ვებ სერვერისთვის:

  • კატალოგებზე წვდომის უარყოფა: ეს ხელს უშლის თავდამსხმელებს ვებსაიტზე არსებული ყველა დირექტორიას შინაარსის ნახვაში. თავდამსხმელებისთვის ხელმისაწვდომი ინფორმაციის შეზღუდვა ყოველთვის სასარგებლო უსაფრთხოების ღონისძიებაა.
  • გამოსახულების Hotlink პრევენცია: მიუხედავად იმისა, რომ არ არის მკაცრად უსაფრთხოების გაუმჯობესება, ის ხელს უშლის სხვა ვებსაიტებს თქვენს ვებ სერვერზე განთავსებული სურათების ჩვენებაში. თუ ხალხი დაიწყებს სურათების hotlinking-ს თქვენი სერვერიდან, თქვენი ჰოსტინგის გეგმის დასაშვები გამტარუნარიანობა შეიძლება სწრაფად იქნას გამოყენებული სხვისი საიტის სურათების საჩვენებლად.
  • კონფიდენციალური ფაილების დაცვა: შეგიძლიათ დააწესოთ წესები კონკრეტული ფაილებისა და საქაღალდეების დასაცავად. CMS კონფიგურაციის ფაილები არის ერთ-ერთი ყველაზე მნიშვნელოვანი ფაილი, რომელიც ინახება ვებ სერვერზე, რადგან ისინი შეიცავს მონაცემთა ბაზაში შესვლის ინფორმაციას უბრალო ტექსტში. სხვა ადგილები, როგორიცაა ადმინისტრაციული ტერიტორიები, შეიძლება დაიბლოკოს. თქვენ ასევე შეგიძლიათ შეზღუდოთ PHP-ის შესრულება იმ დირექტორიებით, რომლებიც შეიცავს სურათებს ან ნებადართულია ატვირთვა.

9. დააინსტალირეთ SSL სერთიფიკატი - SSL სერთიფიკატები გამოიყენება ჰოსტს (ვებ სერვერს ან ფეიერვოლს) და კლიენტს (ვებ ბრაუზერს) შორის ტრანზიტის დროს მონაცემთა დაშიფვრისთვის. ეს დაგეხმარებათ იმის უზრუნველსაყოფად, რომ თქვენი ინფორმაცია იგზავნება სწორ სერვერზე და არ არის ჩასმული.
ზოგიერთი ტიპის SSL სერთიფიკატი, როგორიცაა ორგანიზაციული SSL სერთიფიკატი ან გაფართოებული ვალიდაციის SSL სერთიფიკატი, ამატებს ნდობის დამატებით ფენას, რადგან ვიზიტორს შეუძლია დაინახოს თქვენი ორგანიზაციის დეტალები და იცოდეს, რომ თქვენ ლეგიტიმური პიროვნება ხართ.
როგორც ვებსაიტების დაცვის კომპანიამ, ჩვენ უნდა ვასწავლოთ ვებმასტერები და ვაცნობოთ მათ, რომ SSL სერთიფიკატები არ იცავს ვებსაიტებს თავდასხმებისა და ჰაკერებისგან. SSL სერთიფიკატები შიფრავს ტრანზიტის დროს მონაცემებს, მაგრამ არ ამატებს უსაფრთხოების ფენას თავად ვებსაიტს.
10. დააინსტალირეთ სკანირებისა და მონიტორინგის ხელსაწყოები - აკონტროლეთ ყოველი ნაბიჯი აპლიკაციის მთლიანობის უზრუნველსაყოფად. გაფრთხილების მექანიზმებს შეუძლიათ შეამცირონ რეაგირების დრო და შეამცირონ ზიანი დარღვევის შემთხვევაში. შემოწმებისა და სკანირების გარეშე, როგორ იცით, თქვენი საიტი გატეხილია თუ არა?
მინიმუმ ერთი თვის ჟურნალი შეიძლება ძალიან სასარგებლო იყოს აპლიკაციის ავარიის გამოვლენაში. ისინი ასევე აჩვენებენ, არის თუ არა სერვერი DDoS შეტევის ქვეშ ან არის თუ არა არასაჭირო დატვირთვის ქვეშ. ჩაწერეთ და რეგულარულად გადახედეთ ყველა აქტივობას, რომელიც ხდება აპლიკაციის კრიტიკულ ნაწილებში, განსაკუთრებით (მაგრამ არა ექსკლუზიურად) ადმინისტრაციულ სფეროებში. თავდამსხმელმა შესაძლოა მოგვიანებით შეეცადოს გამოიყენოს საიტის ნაკლებად მნიშვნელოვანი ნაწილი უფრო მაღალი დონის წვდომისთვის.
დარწმუნდით, რომ შექმენით ტრიგერები, რათა შეგატყობინოთ უხეში შეტევის ან საიტის რომელიმე ფუნქციის გამოყენების მცდელობის შემთხვევაში, მათ შორის, რომლებიც არ არის დაკავშირებული ავთენტიფიკაციის სისტემებთან. მნიშვნელოვანია რეგულარულად შეამოწმოთ განახლებები და გამოიყენოთ ისინი, რათა დარწმუნდეთ, რომ დაინსტალირებული გაქვთ უსაფრთხოების უახლესი პატჩები. ეს განსაკუთრებით ეხება იმ შემთხვევაში, თუ თქვენ არ აძლევთ ჩართვას ვებ აპლიკაციის firewall-ს დაბლოკოს დაუცველობის ექსპლუატაციის მცდელობები.
11. დაიცავით პირადი უსაფრთხოების მითითებები - თქვენი პერსონალური კომპიუტერის დაცვა მნიშვნელოვანი ამოცანაა ვებსაიტების მფლობელებისთვის. თქვენი მოწყობილობები შეიძლება გახდეს ინფექციის ვექტორი და გამოიწვიოს თქვენი საიტის გატეხვა.
კარგი ვებსაიტის უსაფრთხოების სახელმძღვანელო მიუთითებს თქვენი კომპიუტერის მავნე პროგრამებისთვის სკანირებაზე, თუ თქვენი ვებ – გვერდი გატეხილია. ცნობილია, რომ მავნე პროგრამა შეაღწევს ინფიცირებული მომხმარებლის კომპიუტერიდან ტექსტური რედაქტორების და FTP კლიენტების მეშვეობით.
თქვენ უნდა წაშალოთ ყველა გამოუყენებელი პროგრამა თქვენი კომპიუტერიდან. ეს ნაბიჯი მნიშვნელოვანია, რადგან ამ პროგრამებს ასევე შეიძლება ჰქონდეს კონფიდენციალურობის პრობლემები, ისევე როგორც გამოუყენებელი დანამატები და თემები თქვენს ვებსაიტზე.
თუ რამე არ არის დაინსტალირებული, ის ვერ გახდება თავდასხმის ვექტორი თქვენი აპარატის დაინფიცირებისთვის, განსაკუთრებით ბრაუზერის გაფართოებისთვის. მათ აქვთ სრული წვდომა ვებსაიტებზე, როდესაც ვებმასტერები შედიან თავიანთ ადმინისტრაციულ ინტერფეისში. რაც უფრო ნაკლები გაქვთ დაინსტალირებული თქვენს კომპიუტერში, მით უკეთესი.
თუ არ ხართ დარწმუნებული კონკრეტული აპლიკაციის დანიშნულებაში, ჩაატარეთ მცირე კვლევა ინტერნეტში, რათა ნახოთ, არის თუ არა ის საჭირო ან შეგიძლიათ წაშალოთ. თუ არ აპირებთ მის გამოყენებას, ამოიღეთ.
12. გამოიყენეთ ვებსაიტის firewall - მხოლოდ SSL სერთიფიკატების გამოყენება არ არის საკმარისი იმისათვის, რომ თავდამსხმელს არ ჰქონდეს წვდომა კონფიდენციალურ ინფორმაციაზე. თქვენს ვებ აპლიკაციის დაუცველობამ შეიძლება თავდამსხმელს საშუალება მისცეს ჩაჭრას ტრაფიკი, გაგზავნოს ვიზიტორები ყალბ ვებსაიტებზე, აჩვენოს ყალბი ინფორმაცია, დაიჭიროს ვებსაიტი მძევლად (გამოსყიდვის პროგრამა) ან წაშალოს მისი ყველა მონაცემი.
სრულად დაყენებული აპლიკაციის შემთხვევაშიც კი, თავდამსხმელს შეუძლია ასევე შეუტიოს თქვენს სერვერს ან ქსელს DDoS შეტევების გამოყენებით, რათა შეანელოს ან გამორთოს ვებსაიტი. Web Application Firewall (WAF) შექმნილია ვებსაიტებზე ასეთი თავდასხმების თავიდან ასაცილებლად და საშუალებას გაძლევთ ფოკუსირება მოახდინოთ თქვენს ბიზნესზე.

დამატებითი ზომები ვებსაიტის გარეშე

იმისათვის, რომ დაიცვათ თქვენი ვებსაიტები და გახადოთ ინტერნეტი უფრო უსაფრთხო, გამოიყენეთ ეს უფასო რესურსები და ინსტრუმენტები.
1. ვებსაიტის დაცვის ინსტრუმენტები - აქ არის რამდენიმე უფასო ვებსაიტის უსაფრთხოების ინსტრუმენტი:

1.1 SiteCheck არის უფასო საიტის შემოწმება და მავნე პროგრამების სკანერი.
1.2 Sucuri Load Time Tester - შეამოწმეთ და შეადარეთ ვებგვერდის სიჩქარე.
1.3 Sucuri WordPress უსაფრთხოების დანამატი - აუდიტი, მავნე პროგრამების სკანერი და უსაფრთხოების გამკვრივება WordPress ვებსაიტებისთვის.
1.4 Google Search Console - უსაფრთხოების გაფრთხილებები და ხელსაწყოები საძიებო ტრაფიკისა და ვებსაიტის მუშაობის გასაზომად.
1.5 Bing Webmaster Tools - საძიებო სისტემის დიაგნოსტიკა და უსაფრთხოების ანგარიშგება.
1.6 Yandex Webmaster - ვებ ძიების და უსაფრთხოების დარღვევის შეტყობინებები.
1.6 Unmaskparasites - გვერდების შემოწმება ფარული არალეგალური შინაარსისთვის.
1.7 საუკეთესო WAF - საუკეთესო ბუხარების შედარება ღრუბლოვანი ვებ აპლიკაციებისთვის.

2. Დამატებითი რესურსები აქ მოცემულია რამდენიმე საგანმანათლებლო რესურსი ვებსაიტის უსაფრთხოების შესახებ:

2.2 Sucuri Labs - საფრთხის კვლევა, მავნე პროგრამების ხელმოწერის მონაცემთა ბაზა და სტატისტიკა.
2.3 OWASP არის ღია კოდის ვებ აპლიკაციის უსაფრთხოების პროექტი.
2.4 PCI Compliance Checklist - PCI Compliance Checklist.
2.5 SANS ინსტიტუტი - ტრენინგი, სერტიფიცირება და კვლევა ინფორმაციული უსაფრთხოების სფეროში.
2.6 NIST - სტანდარტებისა და ტექნოლოგიების ეროვნული ინსტიტუტი.

ხშირად დასმული კითხვები ვებსაიტის უსაფრთხოების შესახებ

რატომ არის საიტის უსაფრთხოება მნიშვნელოვანი?

ვებსაიტის უსაფრთხოება სასიცოცხლოდ მნიშვნელოვანია ვებსაიტის ონლაინ და უსაფრთხო შესანარჩუნებლად ვიზიტორებისთვის. ვებსაიტის უსაფრთხოებაზე სათანადო ყურადღების გარეშე, ჰაკერებს შეუძლიათ ისარგებლონ თქვენი ვებსაიტით, გამორთონ ის და გავლენა მოახდინონ თქვენს ონლაინ ყოფნაზე. ვებსაიტის გატეხვის შედეგები შეიძლება მოიცავდეს ფინანსურ ზარალს, ბრენდის რეპუტაციის საკითხებს და საძიებო სისტემის დაბალ რეიტინგს.

რა არის უსაფრთხოების რისკები ვებსაიტისთვის?

ვებსაიტის უსაფრთხოების მთავარ რისკებს შორისაა: დაუცველი კოდი, ცუდი წვდომის კონტროლი და სერვერის რესურსების გამოყენება. მაგალითად, DDoS შეტევებმა შეიძლება რამდენიმე წუთში საიტი მიუწვდომელი გახადოს ვიზიტორებისთვის. ვებგვერდების გატეხვის მრავალი მიზეზი არსებობს; სუსტმა პაროლმა ან მოძველებულმა დანამატმა შეიძლება გამოიწვიოს საიტის გატეხვა.

რა ხდის საიტს უსაფრთხოს?

ვებ აპლიკაციის firewall გააქტიურებულია უსაფრთხო ვებსაიტზე თავდასხმებისა და ჰაკერების თავიდან ასაცილებლად. ის ასევე მიჰყვება ვებსაიტების უსაფრთხოების საუკეთესო პრაქტიკას და არ აქვს კონფიგურაციის პრობლემები ან ცნობილი დაუცველობა. თქვენ შეგიძლიათ გამოიყენოთ SiteCheck, რათა ნახოთ, აქვს თუ არა ვებსაიტს ბუხარი, უსაფრთხოების რაიმე ანომალია, მავნე პროგრამა, თუ არის შავ სიაში. SiteCheck, რომ ნახოთ, აქვს თუ არა ვებსაიტს firewall, უსაფრთხოების რაიმე ანომალია, მავნე პროგრამა ან არის თუ არა შავ სიაში.

მჭირდება უსაფრთხოება ჩემი საიტისთვის?

Კი, რა თქმა უნდა. ვებსაიტის უსაფრთხოება არ შედის ვებ ჰოსტინგის პაკეტების უმეტესობაში. ვებსაიტის უსაფრთხოება არის ვებსაიტის მფლობელის პასუხისმგებლობა. უსაფრთხოება უნდა იყოს ერთ-ერთი პირველი მოსაზრება ვებსაიტის შექმნისას და მიმდინარე გადამოწმების პროცესის დროს. თუ ვებსაიტი არ არის დაცული, ის შეიძლება გახდეს კიბერკრიმინალებისთვის მარტივი მტაცებელი.

როგორ გავხადო ჩემი საიტი უსაფრთხო?

თქვენ შეგიძლიათ დაიცვათ თქვენი ვებ – გვერდი ვებსაიტის უსაფრთხოების საუკეთესო პრაქტიკის დაცვით, როგორიცაა:

  • გამოიყენეთ ვებსაიტის firewall.
  • ყოველთვის გამოიყენეთ საიტის CMS-ის უახლესი ვერსია, დანამატები, თემები და მესამე მხარის სერვისები.
  • შეინახეთ და გამოიყენეთ ძლიერი პაროლები.
  • მიაწოდეთ მხოლოდ წვდომის ტიპი, რომელიც ვინმეს სჭირდება დავალების შესასრულებლად.
  • დააინსტალირეთ სკანირებისა და მონიტორინგის ხელსაწყოები თქვენი საიტის მთლიანობის უზრუნველსაყოფად.
  • დააინსტალირეთ SSL სერთიფიკატები მონაცემთა დაშიფვრისთვის.
  • შეინახეთ ვებსაიტების სარეზერვო ასლები.

გმადლობთ, რომ კითხულობთ ნიკოლა ტოპს

რამდენად სასარგებლოა პოსტი?

დააწკაპუნეთ სმაილზე შეფასებისთვის!

საშუალო რეიტინგი 5 / 5. შეფასებების რაოდენობა: 58

ჯერ არ არის რეიტინგები. ჯერ შეაფასეთ.

1 პასუხი

  1. Евгений ამბობს:
    10.08.2022 02:42-ში

    უამრავი გამოსავალია საიტის უსაფრთხოებისა და დაცვის უზრუნველსაყოფად ჰაკერებისა და საფრთხეებისგან. თქვენ გაქვთ ორი კატეგორია ამ თემაზე. არ მეგონა, რომ ის ასეთი დიდი იყო. მადლობა დეტალური შინაარსისთვის.

    პასუხი

კომენტარის დატოვება

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები მონიშნულია *

5 × 5 =