Меню

Безопасность веб-хостинга — качественные топ рекомендации

Веб-хостинг и его безопасность и защитаБезопасность веб-хостинга — мега полезные советы. Когда мы думаем о безопасности веб-сайтов, на ум приходят широко освещаемые ошибки крупных компаний. Утечки безопасности на огромны суммы денег, связанные с раскрытием информации о кредитных картах, учетных данных для входа в систему и других ценных данных, широко освещаются средствами массовой информации. Это позволяет многим полагать, что только крупные компании подвержены угрозам безопасности в Интернете. Не обманывайте себя. Стандарты безопасности имеют жизненно важное значение для благополучия любого веб-сайта, большого или малого.

Знание — это первый шаг к защите вашего онлайн-бренда. Здесь я расскажу о некоторых передовых практиках, которым необходимо следовать в операциях по управлению вашим веб-сайтом. Далее мы рассмотрим некоторые ключевые функции безопасности, которые необходимо искать в будущей веб-хостинговой компании.

Основные функции безопасности веб-хостинга

Основные и сторонние функции безопасности веб-хостинга

Многие из вас будут использовать хостинг-провайдера и выбирать один из их планов. Услуги варьируются от общего хостинга до хостинга на выделенных серверах.

Хостинг-провайдер позаботится об основных мерах безопасности. Тем не менее в зависимости от выбранного вами плана, вам следует задать вопросы. Они дадут вам знания, о том, какие функции предоставляет компания и что вам нужно будет делать в будущем.

1. Резервные копии и точки восстановления данных

Люди часто пропускают, важность резервных копий как элементов безопасности. Такие копии обеспечивают безопасность и требуют ее. Они должны всегда, храниться в безопасном месте вдали от основного сервера. Резервное копирование обеспечивает надежное хранилище для последних копий системы и данных. Его можно спокойно развернуть для восстановления в работе известной, чистой системы.

2. Сетевой мониторинг

Важно знать расписание резервного копирования и политики восстановления данных, хостинговой компании. Например, как часто проводятся резервирование — еженедельно, ежемесячно или ежедневно? Служба поддержки поможет вам восстановить сайт из файлов резервных копий или резервные копии нужны только для их использования? Будет ли команда находить и восстанавливать утерянные или поврежденные файлы или будет выполнять полную замену только из последней резервной копии? Будет ли служба хостинга использовать только самую последнюю резервную копию, или вы можете запросить восстановление из более позднего времени?Допустим это так! Тогда спросите! Как далеко вы можете вернуться по дате?

Контролирует ли хост-провайдер свою сеть на предмет вторжений и необычной активности? Прилежный мониторинг может остановить распространение вредоносного ПО от сервера к серверу, прежде чем оно попадет на сервер, на котором размещен ваш сайт. Спросите некоторые детали о том, как группа поддержки контролирует сеть, посвящен ли персонал этой функции и что ищут инженеры.

3. Межсетевые экраны и предотвращение DDoS

Атаки (DDoS) происходят, когда на ваш сайт идет огромное количество трафика, он просто крашется. Профилактика начинается на границе сети с хорошим брандмауэром. Тем не менее, существуют пределы того, насколько хорошо брандмауэр предотвращает DDoS-атаки .

Может ли ваш провайдер дать вам некоторое представление о том, какие вторжения могут остановить брандмауэры компании и какие другие меры использует группа безопасности? Если у вас есть план, в котором вы управляете своим собственным сервером. В таком случае, вам нужно знать, как расширить ваши услуги хостинга.

4. Сканирование или удаление антивируса и вредоносных программ

Вы должны понимать, какие защитные действия будет выполнять ваш хостинг-провайдер. А также, что вы должны делать сами, чтобы защитить свой веб-сайт. Служба поддержки запускает проверку файлов в вашей учетной записи. Узнайте можете ли вы просматривать эти отчеты? Если ваша учетная запись вдруг станет зараженной. Включает ли план поддержки помощь в выявлении и удалении такого ПО?

5. Высокая доступность и аварийное восстановление

Посмотрите на хостинг компанию! Она должна держать ваш сайт на 99,9% в рабочем состоянии. Это выходит за рамки резервного копирования на уровне файлов. Доступна ли полная переустановка ПО  для вашего сервера? Это полная копия чистой, работающей серверной (ОС), для быстрого восстановления после сбоев системы.

Сеть хоста должна иметь хорошее оборудование для защиты от простоев, вызванных сбоями оборудования. Межсетевые экраны могут быть настроены для работы в парах. Также следует понимать, что каждый из них, будет готов взять на себя полную нагрузку в случае отказа другого. Та же концепция распространяется и на серверы. Аппаратное переключение при сбое является важным компонентом сетей высокой доступности.

Балансировка нагрузки — еще одна функция высокой доступности. В этом случае несколько серверов готовы обрабатывать серверный трафик. Все они работают с одной и той же копией данных вашего веб-сайта. Эти файлы хранящихся на сетевом общем диске, и передают трафик друг другу, чтобы ни один сервер не перегружался.

Советы по безопасности сервера

Обеспечение безопасности сервераЕсли у вас есть план, который предоставляет сервер без поддержки управления. Скорее всего вам, возможно, придется выполнить все действия самим.

Если в ваш план включена некоторая степень поддержки управления аппаратным и / или программным обеспечением. Тогда я немного помогу вам понять, какие вопросы задавать или о чем говорят специалисты службы поддержки.

1. Доступ и разрешения для пользователя

На уровне хоста доступ означает физический доступ к компьютерам, а также возможность входа на сервер. Физический доступ должен быть ограничен обученным персоналом с разрешением безопасности.

Вы и ваша компания должны использовать Secure Socket Shell (SSH) или его эквивалент для входа на сервер для поддержки (ОС) или веб-сайта. Для доп. безопасности используйте ключи RSA, защищенные парольной фразой.

Другим хорошим способом, является внесение в белый список IP-адресов. Этим адресам разрешен доступ к серверу для обслуживания. Это можно сделать и изменить с помощью панели управления хостинг-компании, данной для вашей учетной записи. Вы также должны отключить вход в систему от пользователя root. Злонамеренные личности, обычно пытаются использовать эту точку доступа. Потому что, пользователь root обладает полными админ-привилегиями. Вы всегда можете дать эквивалентное разрешение авторизованным админам.

Файлы защищены правами доступа к файлам. Неправильные разрешения приводят к серьезным ошибкам. Конечно, можно исправить эти ошибки, предоставив полные разрешения всем файлам. Не в коем случае, не делайте этого! Это дает любому хакеру полный контроль над вашей системой, если он сможет войти.

2. Управление файлами сервера

Весь доступ к вашему серверу должен быть ограничен. Никто не должен зайти на сервер, чтобы добавить, удалить или переместить файлы содержимого сайта. Для этого, вы должны использовать безопасный FTP (SFTP) с надежным и надежным паролем для всей передачи и обслуживания файлов, а также следуя другим советам по FTP и SFTP .

3. Приложения и логины

Хостер должен иметь строгую политику паролей для сотрудников с обязательной регулярной сменой паролей. Смена паролей проводится также при смене оборудования или персонала. У вас должны быть аналогичные политики для ваших паролей доступа к серверу. Установите и применяйте политики для надежных паролей. Те, кто хочет, могут использовать слабые пароли в течение нескольких часов.

Удалите все ненужные приложения на сервере, чтобы никто не мог использовать уязвимости. Установите и поддерживайте утилиты, которые отслеживают ЦП сервера, использование диска, памяти и время работы приложения. Базы данных на вашем сервере, также уязвимы для онлайн-преступников.

Рекомендации для кодирования и безопасности веб-сайтов

Безопасность программного обеспечения и файлов данных вашего веб-сайтаОтветственность за безопасность программного обеспечения и файлов данных вашего веб-сайта лежит на вас. Даже при условии наличия отличного  хостинга! Как веб-мастер, вы несете ответственность за управление своим контентом и функциональностью вашего сайта. Хостинговая компания не знает, что вы хотите делать на сайте, или как вы хотите, чтобы он работал для посетителей вашего сайта.

1. Пароли и доступ пользователей к сайту

На уровне веб-сайта вы будете иметь пароли для людей, которые управляют сайтом. Это касается авторов и, возможно, посетителей сайта, в зависимости от характера сайта. Установите и применяйте политики надежности паролей для всех, кто имеет доступ к бэкенду.

Админам и гостевым авторам понадобится более надежный пароль. Причина этому их учетные записи, которые могут оказать большее влияние на ваш сайт. Внедрить изменения после любой попытки взлома или при обновлении системы управления контентом. К примеру (CMS) WordPress или другого программного обеспечения. Info@вашдомен.ru адрес / имя пользователя обычно атакованы и не должны использоваться. Используйте безопасные менеджеры паролей для генерации уникальных сложных паролей.

Каждый совладелец сайта, должен иметь наименьшее количество привилегий, необходимых для выполнения своей работы. Например, никогда не давайте админ-привилегий гостевому автору. Ваша CMS должна иметь уровень привилегий. Этот уровень позволяет им загружать и редактировать свои сообщения, и ничего более. Каждый человек должен иметь свой собственный логин. Таким образом, он будет нести ответственность за все изменения, внесенные этой учетной записью. Админы высокого уровня могут контролировать активность всех учетных записей.

Никогда не разрешайте полную загрузку файлов. Ограничьте загрузку типами файлов, которые ваши пользователи  должны будут загрузить. Вам также следует исключить сценарии или другой исполняемый код. Загруженный исполняемый файл в сочетании с плохими настройками доступа к файлам позволит злоумышленнику мгновенно завладеть вашим сайтом.

Конф-файлы вашего сервера включают в себя настройки. Эти настройки ограничивают доступ к вашим файлам. Они относится к просмотру каталогов, и защищают папки, содержащие конф. информацию.

2. Плагины, обновления программного обеспечения и резервные копии данных

Всегда обновляйте свою CMS и программное обеспечение. Последние версии исправляют, для того чтобы исправить все известные дыры в безопасности. Измените все настройки по умолчанию, такие как имя администратора. Такие настройки сторонние люди могут найти и использовать для взлома.

При установке плагинов и другого программного обеспечения. Вам следует учитывайте возраст кода или дату его последнего обновления, а также количество установок. Эти показатели дают представление о безопасности и надежности продукта. Если он неактивен, его, вероятно, не проверяли на наличие дыр в безопасности. Будьте осторожны с источником загрузки для этого программного обеспечения. Сторонние сайты, возможно, добавили вредоносное ПО в пакет.

Содержимое вашего веб-сайта не защищено до тех пор, пока вы не создадите его полное резервное копирование. Эти копии должны храниться отдельно от основного сервера. Идея состоит в том, чтобы защитить ваш контент от возможного отказа указанного сервера. Резервное копирование, которое находится на сервере, часто завершается сбоем вместе с сервером, в зависимости от характера проблемы. Резервирование нужно делать достаточно часто, чтобы захватывать старый и новый контент. Проверьте резервные копии, чтобы убедиться, что система работает.

Если у вас есть пользовательские темы, плагины или подобное программное обеспечение. Вам нужно хранить их свежие копии установочных файлов. Если они неисправны или раскрыты, эта проблема будет сохранена в резервной копии. Установочные файлы гарантируют, что вы можете вернуться к нетронутой рабочей копии.

Имейте в виду, что резерв конечно возвращает ваш сайт к жизни. Тем не менее, он не решает основную проблему, которая его вызвала крах сайта. Например, если кто-то использовал эксплойт для проникновения на ваш сайт. Подобная уязвимость, так и будет существовать в резервной копии и должна быть исправлена ​​сразу.

3. Код отзывы — проверка кода

Проверка кода — это глубокая проверка приложения после завершения разработки. Это лучше всего сделать с помощью комбинации авто-инструментов и человеческого контроля. Обзор проводится в полном контексте использования приложения. Со входа в систему и аутентификации до обработки данных, шифрования и хранения.

Будьте осторожны с SQL (Structured Query Language). SQL сторонние разработчики искусно вставляют в файлы вашего сайта . Внедрение SQL — это метод, при котором злоумышленник отвечает на запрос ввода, например имя пользователя, допустимой командой SQL. Эти команды могут получить доступ к данным или удалить их.

4. Шифрование, межсетевые экраны и защита от DDoS

Брандмауэр веб — приложений (WAF) контролирует HTTP трафик от конкретных веб — приложений. Он обеспечивает более конкретную защиту, чем сетевой брандмауэр. Стандартный брандмауэр осуществляет мониторинг HTTP, но не понимает конкретных требований веб-приложения. WAF можно настроить для защиты от внедрения SQL-кода.  Настройку можно провести и для других методов, таких как межсайтовый скриптинг и поиск уязвимостей.

Несмотря на то, что защита от DDoS должна быть на уровне сети. Хакеры могут использовать один или несколько методов для захвата ваших серверов. При этом владельцы сайтов должны неким образом реагировать и защищаться.

В июле 2018 года Google Chrome выпустил обновление для системы безопасности. Оно предупреждает посетителей сайта, если на вашем сайте не установлен сертификат SSL. Сертификат SSL важен, потому что он обеспечивает передачу информации.

К примеру такой как:

  1. кредитные карты;
  2. личные данные;
  3. контактная информация;

между вашим веб-сайтом и сервером.

Поисковые системы относятся к безопасности сайта более серьезно, чем когда-либо.Это связано с тем, что они хотят, чтобы юзеры имели хороший и безопасный опыт работы в Интернете. Принимая дальнейшие меры по обеспечению безопасности, поисковая система может ранжировать ваш сайт ниже в результатах поиска, если у вас нет сертификата SSL.

Для передачи конф-данных на сервер с него требуется технология SSL (уровень защищенных сокетов). Сертификат SSL не защищает ваш сервер от атак или вредоносных программ. Он только шифрует и защищает связь между вашим сервером и лицом, использующим ваш сайт. Используя SSL, вы защищаете информацию своих клиентов и доверяете их сайту.

Рекомендации по безопасности операционной системы

Конф.файл сервера на серверах Linux называется .htaccessНекоторые из принятых вами мер будут зависеть от ОС вашего сервера. Веб-серверы работают либо в Linux / Unix, либо в Windows. Самые хорошие, конечно Linux / Unix, особенно с точки зрения защиты.

1. ОС Linux и Unix

Конф.файл сервера на серверах Linux называется .htaccess. В этом файле вы можете установить правила. Подобные правила запрещают просмотр каталогов и другие действия. Например те, которые могут раскрыть информацию или открыть сервер для других уязвимостей.

Хотя язык PHP (гипертекстовый препроцессор) более доступен и удобен. Но существует и риск его использования на этих серверах. Эти ОС имеют разрешение, называемое исполняемым, что означает, что файл может выполнять код. При использовании PHP важно ограничивать исполняемые команды.

В целом, операционные системы Linux / Unix, имеют меньше известных угроз и более быстрый ответ. SELinux и AppARMOR являются двумя расширениями безопасности, которые используются с этими серверами.

2. ОС Windows

Серверы Windows имеют пользовательские привилегии. К примеру такие как исполняемый файл, ограниченный по умолчанию. При этом админы должны вводить пароли для получения разрешений высокого уровня. Меры безопасности используют функцию диспетчера соответствия безопасности на этих серверах.

Файл конфигурации, в котором установлены ограничения доступа, — это web.config. Microsoft предоставляет руководство по методам обеспечения защиты. Хотя в ОС Windows есть более известные уязвимости. Тем не менее, сотрудники Microsoft исправляют недостатки и выпускают обновления и готовы реагировать на инциденты.

В заключение

Хотя безопасность кажется пугающей. Многие веб-мастера, которые обращают на нее внимание и пользуются помощью хорошего партнера по хостингу. Спокойно запускают веб-сайты без каких-либо серьезных сбоев. Матрица угроз постоянно развивается. В этом случае, вам следует быть в курсе последних тенденций, стандартов и возникающих угроз. Защита вашего сайта и изучение способов защиты от хакеров — это важная часть для поддержки вашего сайта здоровым и безопасным! Если у Вас возникнут вопросы, то пожалуйста пишите их на почту или в комментариях.


  • Читайте статьи по этой теме:

Насколько полезным был этот пост?

Нажмите на звезду, чтобы оценить пост!

Средний рейтинг / 5. Подсчет голосов:

Я сожалею, что этот пост не был полезен для вас!

Давайте улучшим этот пост!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

шестнадцать − 6 =