Buvo laikas, kai žmonės ir įmonės visiškai atsisakė svetainių, tikėdamiesi, kad niekas nesugadins turinio ir neįdiegs kenkėjiškų programų.
Tos dienos jau seniai atsilieka, nes užpuolimų skaičius ir dažnumas reiškia nuolatinę grėsmę - ir kuo sėkmingesnė svetainė, tuo didesnis pavojus.
Taigi, kokiais būdais galite apsaugoti savo svetainę (naudodamiesi interneto prieglobos paslaugų teikėju) ir kaip sumažinti galimybę įsilaužti į svetainę ir ją keisti?
Prieš tai pasiekdami, turime suprasti pagrindinį saugumo lygį, kuris yra atsakingas už daugelį nulaužtų svetainių - net ir saugomų serveriuose.
- Čia mes pasirinkome geriausias interneto prieglobos paslaugas
- Tai yra geriausios nemokamos interneto prieglobos įmonės
- Ir šiuo metu tai geriausi svetainių kūrėjai
Pirmoji gynybos linija
Nors kai kurios įmonės primygtinai reikalauja savo svetainių talpinimo, dauguma verslo sričių yra saugiuose serveriuose, kurie sudaryti tam tikslui.
Kai pasirenkate prieglobą, turite apibrėžti, kokia OS ta sistema veikia („Windows Server“, „Linux“ ar „Unix“) ir kas diktuoja reikalingus saugos protokolus.
Asmuo ar žmonės, atsakingi už svetainės administravimą, turi administratoriaus teises keisti failų struktūras joje, ir niekas kitas.
Tai gali būti neteisinga nuo pat pradžių, jei per daug žmonių žino išsamią administratoriaus paskyros informaciją ir slaptažodis nėra reguliariai keičiamas. „Keylogger“ reikia įdiegti tik vienoje iš mašinų, naudojamų administratoriui atlikti, ir slaptažodis bus atskleistas būtent tiems žmonėms, kurių mažiausiai norėtumėte turėti.
Bet jei kalbėti sąžiningai, kiek žmonių dirba biure, kuriame slaptažodžiai reguliariai atsimenami su „post-it“ užrašais? Neabejotinai ten pakilo kelios rankos.
Šių slaptažodžių užtikrinimas yra pirmoji gynybos linija, be to, ką darysite, galite lengvai anuliuoti.
Taigi, apie svetainių saugumą reikia išmokti dvi pradines pamokas:
- Tai tik tiek pat, kiek tinklas, kuriame buvo sukurta svetainė
- Saugumas retai patobulinamas užrašant slaptažodžius ir dedant juos gerai matomoje vietoje
Saugumo auditas
Saugos audito atlikimas svetainėje yra gana paprastas pratimas, kurį IT darbuotojai gali atlikti naudodamiesi programinės įrangos įrankiais. Arba galite sudaryti sutartį su trečiąja šalimi, kuri atliks nuskaitymą už jus, ir pateikite galimų trūkumų sąrašą.
Jei perkate žiniatinklio prieglobos paslaugą, teikėjas taip pat gali susieti saugos įrankį, kad įsitikintumėte, jog jūs esate pakankamai saugus nuo pat pradžių, bet ne visada nuolat.
Be to, daugelis paslaugų teikėjų taip pat siūlo interneto saugumo paketą, kuriame jie žada greitai reaguoti į grėsmes ir sušvelninti paslaugų atsisakymo užpuolimus. Tai yra gera investicija, nebent turite tik nedidelį asmeninį tinklaraštį.
Šių paslaugų kaina yra nedaug, jei apsvarstysite, ar gali brangiai kainuoti interneto neprisijungimas bet kuriuo laikotarpiu, ypač tiems, kurie siūlo el. Prekybą.
Nepriklausomai nuo požiūrio, svarbu, kad saugumo patikrinimai būtų atliekami reguliariai, kad būtų galima nustatyti galimas naujas grėsmes, kai jos iškyla, ir nedelsiant jas pašalinti.
Bendri rūpesčiai
Dažniausios atakų formos, su kuriomis susiduria svetainės, yra šios:
- Paskirstytas paslaugų atsisakymas (DDoS) - Daugelis nuotolinių kompiuterių, paprastai užkrėstų Trojanu, veikia kartu reikalaudami tinklalapių pakartotinai tiek, kad serveriai negalėtų apdoroti užklausų kiekio.
- Kenkėjiškų programų infekcija - Kažkaip failai, kuriuose yra nedoras kodas, dedami į svetainę, ketinant juos įkelti visiems, kurie lankosi.
- SQL injekcija - Kenkėjiškas kodas, įterptas į formą ar įvestį, kurią serveryje įvykdo SQL duomenų bazė. Šis kodas gali leisti pasiekti kliento duomenis arba atverti įrenginį išorinei prieigai.
- Brutali jėga - Dažnai OS trūkumas leidžia pakartotinai atakai sukelti atstatymą, kuris trumpam atidaro prievadą antriniam užpuolimui. Atsižvelgiant į šiuolaikinių operacinių sistemų sudėtingumą, nauji pažeidžiamumai randami reguliariai.
- Skriptai keliose svetainėse - Įsilaužimo metodas, kai naršyklę galima nukreipti į kitą svetainę arba pakeisti aukos svetainės turinį lankytojui nežinant.
- "Nulinės dienos" nulaužimas - Tai yra nauji ir sunkiai sustabdomi išpuoliai, kuriuose naudojama silpnybė, apie kurią nėra žinoma viešai. Laikas tarp pažeidžiamumo aptikimo ir pataisymo yra labai svarbus, todėl gali prireikti laikinai išjungti kai kurias serverio funkcijas, kol bus surastas pataisymas.
Trūkumai pagal dizainą
Nors daugelis svetainių veikia su šiomis aktyviomis funkcijomis, dėl daugelio priežasčių jose kyla daugybė saugumo problemų:
- Formos - Viskas, kas apdoroja įvestį serveryje, yra potencialus kenkėjiško kodo įvedimo taškas, ir jį taip pat galima panaudoti norint išgauti vartotojo duomenis.
- Forumai - Scenarijų įdėjimas ir naudotojų nukreipimas į svetaines, kurios platina kenkėjiškas programas, yra tik keletas galimų vartotojų sukurtų forumų problemų.
- Prisijungimas prie socialinės žiniasklaidos - „Facebook“ ar „Google“ paskyros naudojimas norint prisijungti prie svetainės yra greitas ir lengvas, tačiau tai taip pat gali būti būdas įsilaužti į šias paskyras.
- Elektroninė komercija - Nusikalstamumas seka pinigus, o įsilaužėliai išleis kur kas daugiau pastangų įsilauždami į elektroninės prekybos svetainę.
- Nereguliuojamas turinys - Jei siunčiate naujienų istorijas ir straipsnius iš kitų svetainių, esate priklausomas nuo jų saugumo priemonių, kad ir kokios jos būtų.
Akivaizdu, kad pašalinus visas šias funkcijas iš svetainės, lankytojų vieta būtų kur kas mažiau kviečianti. Reikia paskambinti, kokius elementus esate pasirengę naudoti ir kaip ketinate sušvelninti galimas su jais susijusias saugumo problemas.
Tinkama apsauga
Yra tik vienas būdas garantuoti, kad jūsų svetainė niekada nebūtų įsilaužta, ir tai nėra. Galų gale, svetainės saugumas yra švelninimo pratimas, kai jūs darote pakankamai, kad bandyti įsilaužti į savo svetainę būtų daug mažiau verta, taip pat užtikrinkite, kad ji greičiau atsigautų po bet kokio įvykio.
Tikslus saugumo pastangų lygis yra pasirinkimas, su kuriuo turi kovoti visos įmonės, tačiau tiems, kurie užsiima pardavimu internetu, 100 proc. Turi būti įsipareigota apsaugoti su jumis prekiaujančių asmenų asmeninę ir finansinę informaciją.
Daugybė įmonių ir organizacijų visus savo klientų duomenis pavogė ir vėliau panaudojo tapatybės vagystės sukčiavimui, o tai sukėlė brangių padarinių.
Kad ir kokį apsaugos ir stebėjimo lygį pasirenkate, jis turi atitikti paskirtį. Galiausiai apsvarstykite, kad turint geresnį saugumą nei jums reikia, tai turi minimalių išlaidų, tačiau turint mažiau, tai gali turėti didžiulę teisinę ir komercinę pasekmę.