Bija laiks, kad cilvēki un uzņēmumi sasmalcināja vietnes, pilnībā pametot, vienkārši cerot, ka neviens vietnē neuzlauzīs saturu vai neinstalēs ļaunprātīgu programmatūru.
Šīs dienas ir sen aiz muguras, jo uzbrukumu skaits un biežums nozīmē pastāvīgus draudus - un jo veiksmīgāka ir vietne, jo lielākas briesmas.
Tātad, kādi ir veidi, kā jūs varat aizsargāt savu vietni (izmantojot savu tīmekļa mitināšanas pakalpojumu sniedzēju), un kā jūs varat samazināt iespēju, ka vietne ir uzlauzta un neticami mainīta?
Lai gan mēs esam nonākuši pie tā, mums ir jāsaprot visvienkāršākais drošības līmenis, kas ir atbildīgs par daudzām uzlauztām vietnēm - pat tām, kuras mitina drošajos serveros.
- Mēs esam izvēlējušies labākos tīmekļa mitināšanas pakalpojumus tieši šeit
- Šie ir labākie bezmaksas tīmekļa mitināšanas uzņēmumi
- Un tie šobrīd ir labākie vietņu veidotāji
Pirmā aizsardzības līnija
Lai gan daži uzņēmumi uzstāj, ka jārīko savas tīmekļa vietnes, lielākā daļa uzņēmējdarbības domēnu atrodas drošos serveros, kas noslēgti šim nolūkam.
Izvēloties mitināšanu, jums jādefinē, kāda operētājsistēma darbojas (Windows Server, Linux vai Unix) un kas nosaka nepieciešamos drošības protokolus.
Personai vai cilvēkiem, kas ir atbildīgi par vietnes administrēšanu, ir administratora tiesības mainīt faila struktūru tajā, un neviens cits.
Tas jau no paša sākuma var noiet greizi, ja pārāk daudz cilvēku zina administratora konta informāciju un parole netiek regulāri mainīta. Un tas prasa tikai keylogger instalēšanu vienā no mašīnām, ko izmanto administratora darbībai, un parole tiek atklāta tieši tiem cilvēkiem, kuriem jūs vismazāk vēlaties to iegūt.
Bet godīgi sakot, cik cilvēku strādā birojā, kur paroles regulāri tiek atcerētas ar piezīmēm post-it? Neapšaubāmi, tur pacēlās dažas rokas.
Šo paroļu drošība ir pirmā aizsardzības līnija, un bez tā visu, ko jūs darāt, var viegli atsaukt.
Tātad ir divas sākotnējās mācības par vietņu drošību, proti:
- Tas ir tikpat labs kā tīkls, kurā vietne tika izveidota
- Drošība reti tiek uzlabota, pierakstot paroles un ievietojot tās labi redzamā vietā
Drošības audits
Drošības audita veikšana vietnē ir samērā vienkāršs uzdevums, ko IT darbinieki var veikt, izmantojot programmatūras rīkus. Vai arī jūs varat slēgt līgumu ar trešo pusi, lai veiktu skenēšanu jūsu vietā, un sniedziet iespējamo trūkumu sarakstu.
Ja jūs pērkat tīmekļa mitināšanas pakalpojumu, pakalpojumu sniedzējs var arī apvienot drošības rīku, lai pārliecinātos, ka no paša sākuma esat pietiekami drošs, taču parasti tas nenotiek pastāvīgi.
Turklāt daudzi pakalpojumu sniedzēji piedāvā arī vietņu drošības paketi, kurā viņi sola ātru reaģēšanu uz draudiem un pakalpojumu lieguma uzbrukumu mazināšanu. Ja vien jums nav tikai neliela personīgā emuāra, tas ir labs ieguldījums.
Šo pakalpojumu cena nav liela, ja ņemat vērā, cik dārga varētu būt vietnes pieejamība bezsaistē kādu laiku, it īpaši tiem, kas piedāvā e-komerciju.
Neatkarīgi no pieejas, ir svarīgi, lai drošības pārbaudes tiktu veiktas regulāri, lai identificētu iespējamos jaunos draudus, kad tie parādās, un nekavējoties tos novērstu.
Kopīgas bažas
Vietnes visbiežāk sastopamās uzbrukuma formas ir šādas:
- Izplatīts pakalpojumu atteikums (DDoS) - Daudzi attāli datori, parasti inficēti ar Trojas zirgu, darbojas vienoti, pieprasot tīmekļa lapas atkārtoti līdz vietai, kur serveri nespēj apstrādāt pieprasījumu apjomu.
- Ļaunprātīgas programmatūras infekcija - Kaut kādā veidā vietnē tiek ievietoti faili, kas satur kādu ļaunu kodu, ar nolūku to augšupielādēt ikvienam, kurš apmeklē.
- SQL injekcija - Ļaunprātīgs kods, kas ievietots formā vai ievadē, kuru pēc tam SQL serverī izpilda SQL datu bāze. Šis kods varētu ļaut piekļūt klientu datiem vai atvērt iekārtu ārējai piekļuvei.
- Brutālu spēku - Bieži vien OS trūkums ļauj atkārtotam uzbrukumam izraisīt atiestatīšanu, kas īslaicīgi atver portu sekundāram uzbrukumam. Ņemot vērā mūsdienu operētājsistēmu sarežģītību, regulāri tiek atklātas jaunas ievainojamības.
- Skriptēšana starp vietnēm - Datorurķēšanas metode, kurā pārlūkprogrammu var novirzīt uz citu vietni vai aizstāt upura vietnes saturu, apmeklētājam par to nezinot.
- “Nulles dienas” uzlaušana - Tie ir jauni un grūti apturami uzbrukumi, kuros tiek izmantota vājība, kas nav publiski zināma. Laiks starp ievainojamības atklāšanu un ielāpīšanu ir kritisks, un, iespējams, būs jāatspējo dažas servera funkcijas uz laiku, līdz tiek atrasts labojums.
Vājās puses pēc dizaina
Lai gan daudzas vietnes darbojas ar šādām aktīvām funkcijām, daudzu iemeslu dēļ no tām rodas daudzas drošības problēmas:
- Veidlapas - Viss, kas apstrādā ievadi serverī, ir potenciāls ļaunprātīga koda ievadīšanas punkts, un to var arī izmantot, lai iegūtu lietotāja datus.
- Forumi - Skriptu ievietošana un lietotāju novirzīšana uz vietnēm, kas izplata ļaunprātīgu programmatūru, ir tikai dažas no iespējamām problēmām, ko rada lietotāju veidoti forumi.
- Pierakstīšanās sociālajos tīklos - Izmantot Facebook vai Google kontu, lai pieteiktos vietnē, ir ātri un viegli, taču tas varētu būt arī veids, kā šie konti tiek uzlauzti.
- E-komercija - Noziedzība seko naudai, un hakeri tērēs daudz vairāk pūļu, lai uzlauztu e-komercijas vietni.
- Neregulēts saturs - Ja avots ir ziņu stāsti un raksti no citām vietnēm, jūs esat atkarīgs no viņu drošības pasākumiem, lai kādi tie būtu.
Acīmredzot, visu šo funkciju noņemšana no vietnes padarītu to par apmeklētāju daudz mazāk aicinošu. Jāizsauc spriedums par to, kādus elementus esat gatavs izmantot un kā jūs plānojat mazināt ar tiem saistītās iespējamās drošības problēmas.
Atbilstoša aizsardzība
Ir tikai viens veids, kā garantēt, ka jūsu vietne nekad netiek uzlauzta, un tā nav. Galu galā vietņu drošība ir mazināšanas pasākums, kurā jūs darāt pietiekami daudz, lai padarītu daudz mazāk vērtīgu izmēģināt un uzlauzt savu vietni, kā arī nodrošinātu, ka tā ir ātrāk atgūstama no jebkura incidenta.
Precīzs veikto drošības pasākumu līmenis ir izvēle, ar kuru jācīnās visiem uzņēmumiem, bet tiem, kas nodarbojas ar tiešsaistes pārdošanu, ir jāapņemas 100% garantēt to personu personisko un finansiālo informāciju, kas tirgojas ar jums.
Daudziem uzņēmumiem un organizācijām visi klienta dati ir nozagti un pēc tam izmantoti identitātes zādzību izkrāpšanai, kas rada dārgas sekas.
Neatkarīgi no izvēlētā aizsardzības un uzraudzības līmeņa tam jābūt piemērotam mērķim. Visbeidzot, apsveriet, ka labāka drošība nekā jums ir saistīta ar minimālām izmaksām, taču, ja jums ir mazāk, tam varētu būt milzīgas juridiskas un komerciālas sekas.