4 Tips untuk Menghindari Kerentanan Keamanan Web Umum

Keamanan web adalah kemarahan hari ini karena beberapa insiden peretasan yang membuat berita.


Tetapi yang membuat frustrasi adalah bahwa meskipun ada begitu banyak artikel tentang masalah ini, perusahaan dan situs web kecil sama-sama membuat kesalahan yang mudah dihindari ketika datang untuk menangani hal-hal dengan cara yang benar.

Beberapa langkah ke arah yang benar adalah semua yang diperlukan untuk menjaga keamanan situs Anda.

Mari kita lihat.

Jangan gunakan kode acak dari orang asing

Kode acak dari repositori diposting publik di situs-situs seperti GitHub, Sourceforge dan Bitbucket dapat membawa kode berbahaya.

Inilah cara menyelamatkan diri Anda dengan sedikit pemikiran cerdas. Anda dapat menggunakan kode dalam mode pemeliharaan dan melihat cara kerjanya sebelum membuatnya aktif.

Dengan begitu Anda mencegah ratusan jam head-butting.

Tidak melakukan tindakan pencegahan dapat mengakibatkan kode berbahaya mengambil alih situs Anda dan menyebabkan Anda mengabaikan hak administratif di situs Anda dan kehilangan kerja keras Anda.

Tidak pernah salin kode tempel dari orang asing acak di internet. Lakukan riset pada orang tersebut dan kemudian lanjutkan untuk mengaudit kode yang Anda dapatkan.

Anda mungkin merasa bahwa Anda akan dapat menghemat waktu menyalin-menempelkan beberapa kode tetapi salah hanya cukup sekali untuk satu kapal penuh masalah.

Sebagai contoh: WordPress plugin rentan kode yang dapat mengendalikan situs Anda atau merusak situs dengan cara yang kurang penting seperti memasukkan ikuti link ke situs pihak ketiga dan menyedot jus tautan.

Tautan semacam itu sering muncul hanya ketika Googlebot mengunjungi situs tersebut, dan untuk semua pengunjung biasa, tautan tersebut tetap tidak terlihat.

Charles Floate dan Wordfence bekerja sama untuk mengutip banyak contoh kerentanan plugin WordPress terbaru.

Cara penipuan ini bekerja adalah beberapa SEO jahat mengirim email penjangkauan ke pemilik plugin WordPress yang pluginnya belum diperbarui dalam beberapa saat..

Mereka menawarkan untuk membeli plugin dan kemudian menjalankan pembaruan untuk plugin itu.

Kebanyakan orang tidak pernah repot untuk memeriksa apa yang telah diperbarui dalam plugin. Ada begitu banyak dari mereka yang mereka jalankan pembaruan segera setelah muncul.

Tetapi dalam kasus ini, plugin akan membuat akses backdoored ke situs web SEO atau situs klien. Semua situs yang menggunakan plugin sekarang secara tidak sengaja menjadi bagian dari jaringan PBN.

Beberapa plugin ini memiliki lebih dari 50000 pemasangan aktif. Faktanya, salah satu plugin yang terdaftar digunakan di situs saya, dan saya tidak tahu tentang backdoor sampai sekarang.

Plugin ini juga memberi mereka akses administratif ke situs yang terkena dampak.

Mereka bisa saja mengambil alih situs pesaing dengan metode ini dan tidak mengindeksnya, sehingga secara efektif menghilang dalam SERPs.

Enkripsi Informasi Sensitif

Saat Anda berurusan dengan data sensitif, itu tidak boleh dianggap remeh.

Itu selalu merupakan pilihan yang lebih bijaksana untuk mengenkripsi data sensitif. Informasi pribadi di sekitar pelanggan dan kata sandi pengguna termasuk dalam kategori ini.

Algoritma yang kuat harus digunakan untuk tujuan ini.

Misalnya, AES 256 adalah salah satu yang terbaik. Pemerintah AS sendiri berpendapat bahwa AES dapat digunakan untuk mengenkripsi dan melindungi informasi rahasia dan sandi di balik tudung telah disetujui secara publik oleh NSA.

AES terdiri dari cipher berikut: AES-128, AES-192, dan AES-256. Setiap sandi mengenkripsi dan mendekripsi data dalam blok 128-bit dan memberikan keamanan yang ditingkatkan.

Jika Anda menjalankan situs berbasis anggota, eCommerce, menerima pembayaran maka Anda harus mengamankan situs Anda dengan Sertifikat TLS.

Data pengguna harus selalu dilindungi.

Menerima data pengguna melalui koneksi yang tidak aman selalu memberi peluang bagi peretas untuk menyedot data berharga.

Menangani Pembayaran

Masalah dengan menyimpan informasi kartu kredit adalah Anda menjadi target.

Sonik Drive-In untuk umum mengumumkan bahwa pelanggaran ke server perusahaan mengakibatkan jutaan kartu kredit dan debit dicuri.

Restoran lain, drive-ins seperti Chipotle dan Arby juga mengalami peretasan yang serupa.

Terkadang Anda harus menerima informasi kartu kredit dan menyimpannya untuk penagihan berulang. Itu mengharuskan Anda keluhan PCI.

Menjadi PCI compliant adalah kerja keras.

Anda tidak hanya membutuhkan seseorang yang mengerti PCI, tetapi Anda juga perlu memperbarui situs dan basis data untuk tetap mematuhi standar.

Kepatuhan bukan persyaratan satu kali, dan PCI mengubahnya secara berkala untuk mengatasi ancaman yang muncul.

Sebaliknya, Anda dapat melewati bagian yang sulit dan memilih prosesor pembayaran seperti Garis yang melakukan angkat berat untuk Anda.

Mereka besar, mereka memiliki dukungan yang bekerja sepanjang waktu, dan mereka adalah keluhan PCI.

Dan jika Anda menjalankan toko online maka Anda dapat mempertimbangkan untuk menggunakan Shopify.

Jika seandainya Anda menyimpan informasi kartu kredit, berhati-hatilah agar file yang menyimpan informasi kartu kredit dan perangkat keras tempat mereka disimpan harus tetap terenkripsi..

Tempel segera

Inilah contoh untuk menjelaskan maksud saya.

Sumber

Eksploitasi nol hari yang bekerja dengan mengkompromikan struts Apache dibawa oleh 7 Maret 2017.

Pada 8 Maret, Apache merilis tambalan untuk mengatasi masalah tersebut. Tetapi butuh waktu lama antara menerbitkan tambalan dan perusahaan untuk mengambil tindakan.

Equifax adalah salah satu perusahaan yang diretas.

Equifax mengatakan dalam sebuah pernyataan bahwa pada 7 September 2017, peretas mencuri informasi pribadi pada 143 juta pelanggan.

Para peretas mengeksploitasi kerentanan aplikasi yang sama dengan yang kami diskusikan di atas untuk masuk ke dalam sistem.

Kerentanan berada di Apache Struts, kerangka kerja untuk membangun aplikasi web berbasis Java.

Para peretas mengeksploitasi fakta itu ketika Struts mengirim data ke server mereka dapat membahayakan data itu. Menggunakan unggahan file, peretas memicu bug yang memungkinkan mereka mengirim kode atau perintah jahat.

Menurut perusahaan, “nama pelanggan, nomor Jaminan Sosial, tanggal lahir, alamat, dan dalam beberapa kasus, nomor SIM” serta “nomor kartu kredit untuk sekitar 209.000 konsumen.” Selain itu, 182.000 dokumen sengketa kredit, yang berisi informasi pribadi, juga dicuri.

Pikiran penutup

Seperti yang dapat Anda lihat, menyadari perubahan teknologi dan mengetahui patch perangkat lunak Anda dan sedikit melihat ke belakang seringkali selalu lebih dari cukup untuk mengatasi sebagian besar masalah.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map