Oli aeg, kus inimesed ja ettevõtted noppisid veebisaite täieliku hülgamisega, lootes lihtsalt, et keegi ei häkita sisu ega installi saidile pahavara.
Need päevad on juba ammu selja taga, kuna rünnakute arv ja sagedus tähendavad pidevat ohtu - ja mida edukam on veebisait, seda suurem on oht.
Niisiis, kuidas saate oma veebisaiti kaitsta (veebimajutusteenuse pakkuja kaudu) ja kuidas vähendada saidi häkkimise ja alatu muutmise võimalust?
Enne selleni jõudmist peame siiski mõistma kõige turvalisemat taset, mis vastutab paljude häkkinud saitide eest - ka turvalistes serverites hostitud saitide eest.
- Oleme valinud siin parimad veebimajutusteenused
- Need on parimad tasuta veebimajutusettevõtted
- Ja need on praegu parimad veebisaitide koostajad
Esimene kaitseliin
Kuigi mõned ettevõtted nõuavad oma veebisaitide majutamist, asuvad enamik äridomeene selleks otstarbeks sõlmitud turvalistes serverites.
Hostingu valimisel peate määratlema, millist operatsioonisüsteemi see süsteem töötab (Windows Server, Linux või Unix) ja mis dikteerib vajalikud turvaprotokollid.
Isikul või inimestel, kes vastutavad saidi haldamise eest, on administraatori õigused saidil olevate failistruktuuride muutmiseks, mitte kellelgi teisel.
See võib algusest peale valesti minna, kui liiga paljud inimesed teavad administraatori konto üksikasju ja parooli ei muudeta regulaarselt. Ja ühe administraatori jaoks kasutatava masina jaoks on vaja installida ainult võtmehoidja ja parool avaldatakse täpselt sellistele inimestele, kui soovite seda kõige vähem.
Kuid kui aus olla, siis kui palju inimesi töötab kontoris, kus paroole regulaarselt post-it märkmetega meeles peetakse? Mõni käsi tõusis sinna kahtlemata.
Nende paroolide turvamine on esimene kaitseliin ja ilma selleta saab kõik, mida teete, hõlpsasti tagasi võtta.
Nii et veebisaidi turvalisuse kohta on kaks esimest õppetundi, nimelt:
- See on sama hea kui võrk, kuhu veebisait ehitati
- Turvalisust parandatakse harva, kui kirjutate paroolid üles ja asetate need hästi nähtavale kohale
Turvaaudit
Turvaauditi sooritamine saidil on suhteliselt lihtne harjutus, mida IT-töötajad saavad teha tarkvaravahendite valiku abil. Või võite sõlmida kolmanda osapoole teie jaoks skannimiseks ja esitada loetelu võimalikest nõrkadest kohtadest.
Veebimajutusteenuse ostmisel võib teenusepakkuja komplekteerida ka turbetööriista, et veenduda, et olete algusest peale piisavalt turvaline - kuid mitte tavaliselt pidevalt.
Lisaks pakuvad paljud pakkujad ka veebisaidi turbepaketti, kus nad lubavad kiiret reageerimist ähvardustele ja teenuse keelamise rünnakute leevendamist. Kui teil pole ainult väikest isiklikku ajaveebi, on need usaldusväärsed investeeringud.
Nende teenuste hind pole eriti suur, kui mõelda, kui kulukas võib olla saidi võrguühenduseta kasutamine mis tahes aja jooksul, eriti neile, kes pakuvad e-kaubandust.
Ükskõik, mis lähenemisviisi kasutate, on oluline, et turvakontrolli teostataks regulaarselt, et tuvastada võimalikud uued ohud nende ilmnemisel ja need viivitamatult lahendada.
Levinud mured
Kõige tavalisemad rünnaku vormid, millega veebisaidid kokku puutuvad, on järgmised:
- Hajutatud teenuse keelamine (DDoS) - Paljud kaugarvutid, tavaliselt Troojaga nakatunud, tegutsevad ühehäälselt ja nõuavad korduvalt veebilehti kuni punktini, kus serverid ei saa päringute hulka hakkama.
- Pahavara nakkus - Kuidagi paigutatakse saidile failid, mis sisaldavad mõnda alatu koodi, kavatsusega laadida see üles kõigile külastajatele.
- SQL-i süstimine - Vormi või sisendisse sisestatud pahatahtlik kood, mille käivitab seejärel SQL-i andmebaas serveris. See kood võib võimaldada juurdepääsu kliendiandmetele või avada masina välisele juurdepääsule.
- Toores jõud - Sageli võimaldab OS-i viga korduval rünnakul põhjustada lähtestamise, mis avab teiseks rünnakuks pordi lühidalt. Arvestades kaasaegsete opsüsteemide keerukust, leitakse regulaarselt uusi haavatavusi.
- Saididevaheline skriptimine - häkkimismeetod, mille abil saab brauseri suunata teisele saidile või asendada ohvri saidi sisu, ilma et külastaja oleks sellest teadlik.
- Nullpäeva häkkimine - Need on uued ja raskesti peatatavad rünnakud, mis kasutavad nõrkust, mis pole üldsusele teada. Aeg haavatavuse avastamise ja lappimise vahel on kriitiline ja võib nõuda mõne serveri funktsiooni ajutist keelamist, kuni parandus leitakse.
Nõrkused kujunduse järgi
Kuigi paljud saidid töötavad järgmiste funktsioonidega, on need mitmel põhjusel paljude turvaprobleemide allikad:
- Vormid - Kõik, mis serveris sisendit töötleb, on pahatahtliku koodi potentsiaalne sisenemispunkt ja seda saab kasutada ka kasutajaandmete eraldamiseks.
- Foorumid - Skriptide paigutamine ja kasutajate ümbersuunamine pahavara väljastavatele veebisaitidele on vaid mõned võimalikest probleemidest kasutajate loodud foorumites.
- Sotsiaalmeediasse sisselogimine - Oma Facebooki või Google'i konto kasutamine saidile sisselogimiseks on kiire ja lihtne, kuid see võib olla ka viis, kuidas neid kontosid häkitakse.
- E-kaubandus - Kuritegevus järgib raha ja häkkerid kulutavad e-kaubanduse saidi häkkimiseks palju rohkem jõupingutusi.
- Reguleerimata sisu - Kui hankite uudislugusid ja artikleid teistelt saitidelt, sõltute nende turvameetmetest, olenemata sellest, millised need võivad olla.
Ilmselt muudaks kõigi nende funktsioonide eemaldamine veebisaidilt külastajate jaoks palju vähem kutsuva koha. Tuleb teha hinnangukõne selle kohta, milliseid elemente olete valmis kasutama ja kuidas kavatsete nendega seotud võimalikke turbeprobleeme leevendada.
Asjakohane kaitse
Selle tagamiseks, et teie veebisaiti kunagi ei häkkida, on ainult üks viis, ja see ei pruugi seda olla. Lõppkokkuvõttes on veebisaidi turvalisus leevendusharjutus, kus teete piisavalt, et muuta oma saidi häkkimine palju vähem tasuvaks ja tagaksite, et see on kiirem kui ükski juhtum.
Tehtud julgeolekupingutuste täpne tase on valik, millega kõik ettevõtted peavad maadlema, kuid veebimüügiga tegelevate isikute jaoks peab olema 100% kohustus tagada teiega kauplevate isikute ja rahaliste üksikasjade kaitse.
Paljud ettevõtted ja organisatsioonid on kõik oma kliendiandmed varastanud ja seejärel kasutanud kallite tagajärgedega identiteedivarguste petuskeemideks.
Olenemata valitud kaitse- ja jälgimistasemest peab see olema otstarbeks sobiv. Lõpuks kaaluge, et kui teil on parem turvalisus kui vaja, on see minimaalselt seotud kuludega, kuid vähemal võib olla tohutu juriidiline ja kaubanduslik tagajärg.