Имаше време, когато хората и компаниите хвърляха уебсайтове с пълно изоставяне, просто надявайки се, че никой няма да хакне съдържанието или да инсталира зловреден софтуер на сайта.
Тези дни отдавна са зад нас, тъй като броят и честотата на атаките означават, че има постоянна заплаха - и колкото по-успешен е уебсайтът, толкова по-голяма е опасността.
И така, какви са начините, по които можете да защитите уебсайта си (чрез вашия доставчик на уеб хостинг) и как можете да намалите възможността сайтът да бъде хакнат и подло променен?
Преди да стигнем до това обаче, трябва да разберем най-основното ниво на сигурност, което е отговорно за много хакнати сайтове - дори тези, хоствани на защитени сървъри.
- Избрахме най-добрите услуги за уеб хостинг точно тук
- Това са най-добрите компании за безплатен уеб хостинг наоколо
- И това в момента са най-добрите създатели на уебсайтове
Първата отбранителна линия
Въпреки че някои компании настояват да хостват собствени уебсайтове, повечето бизнес домейни се намират на защитени сървъри, договорени за целта.
Когато изберете хостинг, вие трябва да дефинирате коя операционна система се изпълнява (Windows Server, Linux или Unix) и която диктува необходимите протоколи за сигурност.
Лицето или хората, отговорни за администрирането на сайта, имат администраторски права да променят файловите структури в него и никой друг.
Това може да се обърка от самото начало, ако твърде много хора знаят подробностите за администраторския акаунт и паролата не се променя редовно. И е необходим само кейлоггер, който да бъде инсталиран на една от машините, използвани за извършване на администратора, и паролата се разкрива точно на хората, от които най-малко бихте искали да я имате.
Но честно казано, колко хора работят в офис, където паролите редовно се запомнят с бележки след него? Няколко ръце се изкачиха там, несъмнено.
Осигуряването на тези пароли е първата линия на защита и без това каквото и да е друго можете лесно да отмените.
И така, има два първоначални урока за сигурността на уебсайта, а именно, че:
- Той е толкова добър, колкото мрежата, в която е изграден уебсайтът
- Сигурността рядко се подобрява чрез записване на пароли и поставянето им на добре видимо място
Одит на сигурността
Извършването на одит на сигурността на даден сайт е относително просто упражнение, което може да бъде направено от ИТ служители с помощта на селекция от софтуерни инструменти. Или пък можете да сключите договор с трета страна, която да извърши сканирането вместо вас, и да предоставите списък с потенциални слабости, които да укрепите.
Ако купувате услуга за уеб хостинг, доставчикът може да включи и инструмент за сигурност, за да се увери, че сте разумно защитени от самото начало - но обикновено не постоянно.
Освен това много доставчици предлагат и пакет за защита на уебсайтове, където обещават бърза реакция на заплахи и смекчаване на нападения срещу отказ на услуги. Освен ако нямате само малък личен блог, това са добра инвестиция.
Цената на тези услуги не е много, ако се замислите колко скъпо може да бъде даден сайт офлайн за даден период от време, особено за тези, които предлагат електронна търговия.
Какъвто и подход да предприемете, важно е сканирането за сигурност да се извършва редовно, за да се идентифицират възможните нови заплахи при появата им и да се адресират незабавно.
Често срещани опасения
Най-често срещаните форми на атаки, които уебсайтовете срещат, са следните:
- Разпределено отказване на услуга (DDoS) - Много отдалечени компютри, обикновено заразени с троянски коне, действат в унисон, изисквайки многократно уеб страници до точката, в която сървърите не могат да обработят количеството заявки.
- Инфекция на зловреден софтуер - По някакъв начин файлове, които съдържат някакъв подъл код, се поставят на сайта с намерението да го качат на всеки, който посети.
- SQL инжекция - Зловреден код, вмъкнат във форма или вход, който след това се изпълнява от базата данни SQL на сървъра. Този код може да позволи достъп до клиентски данни или да отвори машината за външен достъп.
- Груба сила - Често недостатък в операционната система позволява повторна атака да предизвика нулиране, което отваря порт за кратко за вторично нападение. Предвид сложността на съвременните операционни системи, редовно се откриват нови уязвимости.
- Скриптове между сайтове - Метод за хакерство, при който браузърът може да бъде пренасочен към друг сайт или да замени съдържанието на сайта на жертвата, без посетителят да е наясно.
- Хакът на „нулевия ден“ - Това са нови и трудни за спиране атаки, които използват слабост, която не е обществено известна. Времето между откриването и корекцията на уязвимостта е критично и може да наложи някои функции на сървъра да бъдат временно деактивирани, докато не бъде намерена корекция.
Слабости по дизайн
Въпреки че много сайтове работят със следните функции, те са източник на много проблеми със сигурността по много причини:
- Форми - Всичко, което обработва въвеждането на сървъра, е потенциална входна точка за злонамерен код и може да бъде използвано за извличане на потребителски данни.
- Форуми - Поставянето на скриптове и пренасочването на потребителите към уебсайтове, които разпространяват зловреден софтуер, са само някои от потенциалните проблеми с генерираните от потребителите форуми.
- Вход в социалните медии - Използването на вашия акаунт във Facebook или Google за влизане в даден сайт е бързо и лесно, но може да бъде и начин тези акаунти да бъдат хакнати.
- Електронна търговия - Престъпността следва парите и хакерите ще похарчат много повече усилия за хакване на сайт за електронна търговия.
- Нерегламентирано съдържание - Ако източник на новини и статии от други сайтове, вие сте зависими от техните мерки за сигурност, каквито и да са те.
Очевидно премахването на всички тези функции от уебсайт би го направило много по-малко привлекателно място за посетители. Трябва да се направи преценка за това кои елементи сте готови да използвате и как възнамерявате да смекчите възможните проблеми със сигурността, свързани с тях.
Подходяща защита
Има само един начин да гарантирате, че уебсайтът ви никога няма да бъде хакнат, а това е да не го имате. В крайна сметка сигурността на уебсайта е смекчаващо упражнение, при което правите достатъчно, за да ви стане много по-малко полезно да опитате да хакнете вашия сайт, а също така да гарантирате, че по-бързо се възстановява от всеки инцидент.
Точното ниво на усилията за сигурност е избор, с който всички компании трябва да се борят, но за тези, които участват в онлайн продажбите, ангажиментът трябва да бъде 100% за осигуряване на личните и финансовите данни на тези, които търгуват с вас.
Многобройни компании и организации са откраднали всички свои клиентски данни и след това са ги използвали за измами с кражба на самоличност със скъпи последствия.
Независимо от нивото на защита и мониторинг, което изберете, трябва да отговаря на целта. И накрая, помислете, че по-добрата сигурност, отколкото ви е необходима, има минимални разходи, но ако имате по-малко, това може да има огромни правни и търговски последици.
