Були часи, коли люди та компанії доводили веб-сайти до повної відмови, просто сподіваючись, що ніхто не зламатиме вміст і не встановлюватиме на нього шкідливе програмне забезпечення.
Ці дні вже давно позаду, оскільки кількість і частота нападів означає постійну загрозу - і чим успішнішим є веб-сайт, тим більшою небезпекою є.
Отже, якими способами ви можете захистити свій веб-сайт (через свого провайдера веб-хостингу), і як ви можете зменшити ймовірність того, що веб-сайт зламаний і підло змінений?
Перш ніж дійти до цього, нам слід зрозуміти найосновніший рівень безпеки, який відповідає за багато зламаних сайтів - навіть тих, що розміщені на захищених серверах.
- Ми вибрали найкращі послуги веб-хостингу саме тут
- Це найкращі безкоштовні веб-хостингові компанії
- І це на сьогодні найкращі розробники веб-сайтів
Перша лінія оборони
Хоча деякі компанії наполягають на розміщенні власних веб-сайтів, більшість бізнес-доменів розташовані на захищених серверах, призначених для цієї мети.
Коли ви вибираєте хостинг, ви можете визначити, на якій операційній системі працює ця система (Windows Server, Linux або Unix), і яка диктує необхідні протоколи безпеки.
Особа чи люди, відповідальні за адміністрування сайту, мають права адміністратора змінювати файлові структури на ньому, і ніхто інший.
Це може піти не так з самого початку, якщо занадто багато людей знають дані облікового запису адміністратора, і пароль не змінюється регулярно. І потрібно лише встановити кейлоггер на одній із машин, що використовуються для адміністрування, і пароль відкривається саме тим людям, яким ви хотіли б його мати.
Але якщо чесно, скільки людей працює в офісі, де паролі регулярно запам’ятовуються з примітками після нього? Кілька рук піднялися туди, безсумнівно.
Захист цих паролів - це перша лінія захисту, і без цього все, що ви робите, можна легко скасувати.
Отже, є два початкові уроки щодо безпеки веб-сайтів, а саме:
- Це настільки ж добре, як і мережа, де був побудований веб-сайт
- Безпека рідко стає кращою, якщо записувати паролі та розміщувати їх у видному місці
Аудит безпеки
Виконання аудиту безпеки на сайті - це відносно проста вправа, яку може виконати ІТ-персонал, використовуючи добірку програмних засобів. Або ж ви можете домовитись із третьою стороною, яка виконуватиме сканування за вас, і надати список потенційних слабких сторін, які потрібно усунути.
Якщо ви купуєте послугу веб-хостингу, постачальник може також укомплектувати інструмент безпеки, щоб переконатися, що ви достатньо захищені з самого початку - але зазвичай не постійно.
Крім цього, багато постачальників також пропонують пакет захисту веб-сайтів, де вони обіцяють швидке реагування на загрози та пом'якшення нападу через відмову в послузі. Якщо у вас немає лише невеликого особистого блогу, це суцільна інвестиція.
Ціна цих послуг не дуже велика, якщо врахувати, наскільки дорогим може бути розміщення сайту в режимі офлайн протягом будь-якого періоду часу, особливо для тих, хто пропонує електронну комерцію.
Незалежно від того, який підхід ви застосовуєте, важливо, щоб перевірки безпеки проводились регулярно, щоб виявляти можливі нові загрози в міру їх виникнення та негайно розглядати їх.
Загальні проблеми
Найбільш поширеними формами атак, з якими стикаються веб-сайти, є:
- Розподілена відмова в обслуговуванні (DDoS) - Багато віддалених комп’ютерів, зазвичай заражених троянськими програмами, діють одностайно, вимагаючи веб-сторінок неодноразово до того моменту, коли сервери не можуть обробити кількість запитів.
- Зараження шкідливим програмним забезпеченням - Якимось чином файли, що містять якийсь підлий код, розміщуються на сайті з наміром завантажити його кожному, хто відвідує.
- Введення SQL - Шкідливий код, вставлений у форму або ввід, який потім виконується базою даних SQL на сервері. Цей код може дозволити доступ до даних клієнта або відкрити апарат для зовнішнього доступу.
- Груба сила - Часто недолік ОС дозволяє повторній атаці викликати скидання, яке ненадовго відкриває порт для вторинного нападу. З огляду на складність сучасних операційних систем, регулярно з’являються нові уразливості.
- Міжсайтові сценарії - Метод злому, коли браузер може бути перенаправлений на інший сайт або замінити вміст на веб-сайті жертви, не відвідуючи про це відвідувача.
- Хак "нульового дня" - Це нові і важко зупинити атаки, які використовують слабкість, яка не є загальновідомою. Час між виявленням та виправленням вразливості є критичним, і може знадобитися тимчасове вимкнення деяких функцій сервера, поки не буде знайдено виправлення.
Слабкі сторони за дизайном
Хоча багато сайтів працюють із такими функціями, вони є джерелом багатьох проблем безпеки з багатьох причин:
- Форми - Все, що обробляє вхід на сервері, є потенційною точкою входу для зловмисного коду, і його також можна використовувати для вилучення даних користувача.
- Форуми - Розміщення скриптів та переспрямування користувачів на веб-сайти, які розповсюджують шкідливе програмне забезпечення, - лише деякі з потенційних проблем, створених користувачами форумів.
- Вхід в соціальні мережі - Використовувати свій обліковий запис Facebook або Google для входу на сайт швидко і просто, але це також може бути способом злому цих облікових записів.
- Електронна комерція - За грошима йде злочинність, і хакери витратять набагато більше зусиль, щоб зламати сайт електронної комерції.
- Нерегульований вміст - Якщо ви надсилаєте новини та статті з інших сайтів, ви залежате від їхніх заходів безпеки, якими б вони не були.
Очевидно, що видалення всіх цих функцій з веб-сайту зробило б його набагато менш привабливим місцем для відвідувачів. Потрібно зробити висновок щодо того, які елементи ви готові використовувати, і як ви збираєтеся пом'якшити можливі проблеми безпеки, пов'язані з ними.
Відповідний захист
Існує лише один спосіб гарантувати, що ваш веб-сайт ніколи не буде зламаний, і це не мати його. Зрештою, безпека веб-сайту - це вправа щодо пом’якшення наслідків, коли ви робите достатньо, щоб зробити набагато менш вигідною спробу зламати ваш сайт, а також забезпечити швидше відновлення від будь-якого інциденту.
Точний рівень докладених зусиль щодо безпеки - це вибір, з яким повинні боротися всі компанії, але для тих, хто займається продажем через Інтернет, зобов’язання на 100% забезпечувати особисті та фінансові дані тих, хто торгує з вами.
У багатьох компаній та організацій усі дані про клієнтів були викрадені, а згодом використані для шахрайства з крадіжкою особи, що мало дорогі наслідки.
Який би рівень захисту та моніторингу ви не вибрали, він повинен відповідати певним цілям. Нарешті, подумайте, що наявність кращої безпеки, ніж вам потрібно, має мінімальні витрати, але наявність меншої кількості може мати величезні юридичні та комерційні наслідки.
