4 patarimai, kaip išvengti įprastų interneto saugumo pažeidžiamumų

Tinklo saugumas šiais laikais yra siautėjimas daugybiniai įsilaužimo atvejai kad skelbia naujienas.


Apmaudu yra tai, kad, nepaisant tiek daug straipsnių šia tema, tiek korporacijose, tiek mažose svetainėse padarytos lengvai išvengiamos klaidos, kai reikia teisingai tvarkyti reikalus..

Norint apsaugoti savo svetainę, reikia kelių žingsnių teisinga linkme.

Pažiūrėkime.

Nenaudokite atsitiktinių nepažįstamų žmonių kodų

Atsitiktiniai kodai nuo viešai paskelbtos saugyklos tokiose svetainėse kaip „GitHub“, „Sourceforge“ ir „Bitbucket“ gali būti kenksmingų kodų.

Štai kaip sutaupyti šiek tiek sumanaus mąstymo. Galite įdiegti kodą palaikymo režimu ir pamatyti, kaip jis veikia prieš pradėdamas jį naudoti.

Tokiu būdu jūs išvengsite šimtų valandų galvos sumušimo.

Jei nesiimsite jokių atsargumo priemonių, kenksmingas kodas gali užvaldyti jūsų svetainę, todėl galite atsisakyti savo svetainės administracinių privilegijų ir prarasti sunkų darbą..

Niekada nukopijuokite įklijuotus kodus iš atsitiktinių nepažįstamų žmonių internete. Atlikite keletą tyrimų su asmeniu ir tada patikrinkite gautą kodą.

Galbūt jaučiate, kad pavyks sutaupyti šiek tiek laiko, kai norite įklijuoti kodą, bet suklysti tik vieną kartą, kad užtektų problemų.

Ex: Pažeidžiami „WordPress“ įskiepiai kenkėjiškų kodų, kurie gali užvaldyti jūsų svetainę ar pakenkti svetainei ne tokiais kritiniais būdais kaip įterpimas sekti nuorodas į trečiųjų šalių svetaines ir sifonuoti nuorodų sultys.

Tokios nuorodos dažnai pasirodo tik apsilankius „Googlebot“ svetainėje, o visiems nuolatiniams lankytojams nuoroda išlieka nematoma.

Charleso plūdės ir „Wordfence“ susibūrė į komandą ir cituoja daug naujausių „WordPress“ papildinio pažeidžiamumų pavyzdžių.

Tai, kaip ši apgavystė veikia, yra tam tikri kenkėjiški SEO, siunčiantys informavimo el. Laiškus „WordPress“ įskiepių savininkams, kurių įskiepiai kurį laiką nebuvo atnaujinti.

Jie siūlo įsigyti papildinį ir tada paleisti to papildinio naujinius.

Daugelis žmonių niekada nesivargina tikrinti, kas atnaujinta papildinyje. Jų yra tiek daug, kad jie atnaujina, kai tik jis pasirodo.

Bet tokiu atveju papildinys sukurs prieigą prie SEO ar klientų svetainių su backboored. Visos svetainės, naudojančios papildinį, dabar netyčia tampa PBN tinklo dalimi.

Kai kuriuose iš šių papildinių yra daugiau nei 50000 aktyvių diegimų. Tiesą sakant, vienas iš išvardytų papildinių yra naudojamas mano svetainėje, o aš iki šiol nežinojau apie užpakalinius duris.

Šie papildiniai jiems taip pat suteikė administracinę prieigą prie paveiktų svetainių.

Jie labai gerai galėtų perimti konkurentų svetainę naudodamiesi šiuo metodu ir jo neindeksuoti, kad išnyktų SERP..

Šifruokite neskelbtiną informaciją

Kai tvarkote neskelbtinus duomenis, jie niekada neturėtų būti laikomi savaime suprantamu dalyku.

Visada yra protingiausias būdas užšifruoti neskelbtinus duomenis. Į šią kategoriją patenka asmeninė informacija apie klientus ir vartotojo slaptažodžiai.

Tam turėtų būti naudojamas stiprus algoritmas.

Pavyzdžiui, AES 256 yra vienas geriausių. Pati JAV vyriausybė laikosi nuomonės, kad AES galėtų būti naudojama įslaptintai informacijai užšifruoti ir apsaugoti, o už gaubto esančią šifrą viešai patvirtino NSA.

AES sudaro šie šifrai: AES-128, AES-192 ir AES-256. Kiekvienas šifras užkoduoja ir iššifruoja duomenis 128 bitų blokuose ir suteikia padidintą saugumą.

Jei naudojate nariais pagrįstą el. Prekybos svetainę, priimate mokėjimą, tada turite apsaugoti savo svetainę naudodami TLS sertifikatas.

Vartotojo duomenys turėtų būti visada saugomi.

Vartotojų duomenų priėmimas nesaugiais ryšiais visada suteikia įsilaužėjui galimybę nuskaityti brangius duomenis.

Mokėjimo tvarkymas

Kreditinės kortelės informacijos saugojimo problema yra ta, kad jūs tampate taikiniu.

Sonic Prisijunkite viešai paskelbė, kad įsilaužus į įmonės serverius, pavogtos milijoninės kredito ir debeto kortelės.

Kiti restoranai, įvažiavimai, tokie kaip „Chipotle“ ir „Arby“, taip pat patyrė panašių įsilaužimų.

Kartais turėsite sutikti su kreditinės kortelės informacija ir išsaugoti ją pakartotiniams atsiskaitymams. Tam reikia, kad pateiktumėte PCI skundą.

Atitikti PCI yra sunkus darbas.

Jums ne tik reikia PCI išmanančiųjų, bet taip pat turite atnaujinti svetainę ir duomenų bazę, kad ji dažnai atitiktų reikalavimus.

Atitikimas nėra vienkartinis reikalavimas, ir PCI juos reguliariai keičia, kad pašalintų kylančias grėsmes.

Vietoj to, galite praleisti kietąją dalį ir pasirinkti mokėjimo procesorių Juostelė tai daro sunkų kėlimą už jus.

Jie yra dideli, jie turi palaikymą, kuris veikia visą parą, ir jie yra PCI skundai.

Ir jei jūs naudojate internetinę parduotuvę, tada galite apsvarstyti galimybę ją naudoti Shopify.

Jei saugote kredito kortelės informaciją, ypač atidžiai stebėkite, kad failai, kuriuose saugoma kredito kortelės informacija, ir aparatinė įranga, kurioje jie saugomi, liktų užšifruoti..

Nedelsdami užklijuokite

Štai pavyzdys, kuriame norėčiau pasakyti.

Šaltinis

Nulinį dienų išnaudojimą, kuris veikė kompromituodamas „Apache“ statulėles, atkreipė dėmesį 2017 m. Kovo 7 d.

Iki kovo 8 d. „Apache“ išleido pataisas problemai pašalinti. Tačiau reikia daug laiko, kol bus paskelbtas pataisymas ir įmonės imsis veiksmų.

„Equifax“ buvo viena iš bendrovių, kurios įsilaužė.

„Equifax“ pareiškime teigė, kad 2017 m. Rugsėjo 7 d. Įsilaužėliai pavogė asmeninę informaciją apie 143 milijonus klientų.

Piratai pasinaudojo tuo pačiu programos pažeidžiamumu, apie kurį kalbėjome aukščiau, kad patektų į sistemos vidų.

Pažeidimas buvo „Apache Struts“ – „Java“ pagrindu sukurtų interneto programų kūrimo pagrindas.

Piratai pasinaudojo tuo faktu, kai „Struts“ siunčia duomenis į serverį, jie galėjo sugadinti tuos duomenis. Naudodamiesi failų įkėlimu, įsilaužėliai sukėlė klaidas, kurios leido jiems nusiųsti kenksmingus kodus ar komandas.

Pasak bendrovės, „klientų vardai, socialinio draudimo numeriai, gimimo datos, adresai ir kai kuriais atvejais vairuotojo pažymėjimų numeriai“, taip pat „maždaug 209 000 vartotojų kreditinių kortelių numeriai“. Be to, buvo pavogta ir 182 000 kredito ginčų dokumentų, kuriuose yra asmeninės informacijos.

Baigiamosios mintys

Kaip matote, žinant apie technologijos pokyčius ir atnaujinant programinės įrangos pataisas bei šiek tiek užpakaliuko, dažnai visada yra daugiau nei pakankamai, kad įveiktume daugumą rūpesčių..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map