כיצד לאבטח את חשבון האירוח המשותף שלך?

מבין כל סוגי אירוחי האינטרנט הזמינים, אירוח משותף הוא הנפוץ ביותר והפגיע ביותר לבעיות אבטחה.


למד כיצד לשמור על שלך.

בואו נודה בזה: בכל הנוגע לאבטחת רשת, רובנו מעדיפים לחיות בהכחשה. “אני קטן מכדי שאיבד אותי”, “אני יודע שאני לא כל כך מזל”, “נראה על זה כשיהיה לי יותר זמן” – אין סוף לתירוצים שנוכל לבשל כדי להתחמק מסוממים עמל מייגע להקשות על אבטחת האתר שלך.

כן, אפילו המחשבה על יצירת גיבויים מספיקה כדי לשלוח אותנו לישון.

אז מה יכול לעודד אותנו לקחת יותר ביטחון ברצינות?

אולי להדביק על הקירות שלנו פרטים על פריצות הרסניות ביותר בעולם? אבל אז, המחשבות שאני-קטנות מדי להיות פרוצים ישתלטו. רעיון אחד שלדעתי יכול לעבוד כדלפק שרץ איפשהו – דלפק שמציג את המספר הכולל של השעות שיש לך לעסק או לאתר זה שלך. אם עברו חמש שנים (נניח שהכנסתם עסק של 15 שעות ביום בממוצע), זה יהיה 15 x 30 x 12 x 5 = 27,000 שעות מאמץ שירדו לטמיון ברגע אם האתר שלכם היה נפרץ וכל הנתונים נהרסו!

למרות שהפוסט הזה לא קשור להרגלים ומוטיבציה, חשבתי שדיון מהיר היה בסדר. אם זה לא מפחיד אותך ומניע אותך, אני לא יודע מה יהיה. ��

בכל אופן, למי שפחד מספיק או דואג לביטחונו באופן כללי, נעבור למה שתוכל לעשות כדי להפוך את חשבון האירוח המשותף שלך לבטוח יותר.

שימו לב: זהו חשבון אירוח משותף, אנו מדברים כאן, לא שרת וירטואלי או פיזי (או אפילו אוסף מהם). שרתים עצמאיים הם משחק כדור שונה לגמרי, בעוד שבפוסט זה אני מכוון לרוב האנשים, הלא כל כך טכניים, שהכנסתם מסתמכת על נכסים דיגיטליים.

צור (מבטיח) גיבויים רגילים

קשה להאמין שאפשר לחבר גיבויים לאבטחה, אך הם כן.

לעתים קרובות, הפריצות כה גרועות עד שהן מוחקות את הנתונים שלך; לפעמים הקוד הזדוני קבור את עצמו עמוק בתוך היסודות ומופיע שוב ושוב (אני אפילו לא יכול להתחיל להסביר כמה פעמים זה קרה לי באתר וורדפרס של לקוחות!) למרות הניקיון המקצועי הטוב ביותר..

בהזדמנויות כאלה אין דבר טוב יותר מללחץ על כפתור השחזור: עבור לגיבוי שבעבר עבד עבורך, נגב את הצפחה נקייה, הגדר הכל שוב וייבא את הנתונים בחזרה. מה אתה מפסיד? הנתונים שנאספו מאז הגיבוי. מה אתה מרוויח? כל העסק!

עם זאת, יש כמה דברים שכדאי לזכור לגבי גיבויים.

שיקום

גיבויים לא אומר כלום אם אין שום אפשרות לשחזור מהיר וצפוי מראש. סביר להניח שלספק האירוח המשותף שלך יש אפשרות שחזור, אך האם אתה בטוח שהוא עובד?

ואם אין כפתור שחזור, האם אתה יודע להגדיר הכל לגיבוי?

אין ספק שתופתעו, שכן עם הזמן אתם אוספים כמויות אדירות של נתונים, שיכולים להיות כאב בשיקום. ואז יש דברים נוספים שכדאי לקחת בחשבון: גרסת מסד נתונים, גרסת תוכנה, גרסת PHP (אם אתה מפעיל אתר PHP, כלומר), תאימות של גרסאות אלה וכן הלאה. סביר להניח שאין לך את מיומנותך או את האנרגיה להיכנס לכל זה.

אם לא, אני ממליץ לך בחום ללכת על שירות ניהול שידאג לכל דבר עבורך, גם אם זה נראה יקר. מצד שני, אם אתה מרגיש בטוח שאתה יכול לשלוף אותו, אני חייב לבקש ממך לערוך חזרות קבועות (נניח, כל חצי שנה) – האמינו לי, לא משנה כמה יהיה מומחה, תמיד יש מה לנסוע למעלה.

אם אתם מחפשים אירוח משותף אמין לבניית וורדפרס, ג’ומלה, אתר מג’נטו, המציע גיבוי יומי אז נסה SiteGround.

תדירות

באיזו תדירות כדאי לגבות? ישנם שני דברים שכדאי לקחת בחשבון כאן: גודל הנתונים שנאספו והביקורתיות של העסק שלך.

נניח שיש לך סך של 40 ג’יגה-בתים של נתונים הדרושים לניהול העסק. אם אתה מתזמן גיבויים יומיים, עליך להשתמש בנתונים של 40 x 30 = 1200 ג’יגה-בייט או 1.2 ט”ב במהלך החודש הראשון.

בסוף הרבעון הראשון הוא היה גדל ל -3.6 TB – לא משנה היכן תבחר לאחסן את כמות הנתונים הזו, חור בכיס שלך מובטח.

מקור: taylorirrigation.com

הפתרון?

מחק נתונים שגדלו ממשך מסוים. כעת, מה משך הזמן הזה, תלוי בעסק שלך לחלוטין, אם כי ברוב המקרים גיבויים פעמיים בשבוע שהוחזקו בחודש-חודשיים האחרונים הם די והותר.

גם אז, חשבונות הגיבויים יהיו לא טריוויאליים, ותצטרך לוודא שמדובר בנתונים השימושיים שמגבים, וגם זה בצורה לשימוש חוזר. אחרת, ובכן, אתה מכיר את הסיכונים. . . ��

חיבוק אימות דו-גורמי

למי שאינו מודע לרעיון, אימות דו-גורמי פירושו שימוש בתהליך דו-שלבי לאימות משתמשים לפני הכניסה אליהם ומסירת המושכות (פרטים נוספים כאן).

מקור: shahmeeramir.com

למה?

רק מכיוון שאם במקרה ינחש מישהו או גונב את הסיסמא שלך ומנסה להתחבר מהמחשב שלו, הוא יאתגר להוכיח את זהותו.

המערכת עשויה לבקש מהם לענות על שאלה סודית, להקליד OTP שנשלח באמצעות SMS או דוא”ל, לבקש מהם לבחור תמונה מועדפת או להשתמש בשיטה אחרת כדי לאכוף זהות. בכנות, בהתחשב בעובדה שאנשים מסוימים בוחרים סיסמאות (לא, s1mpled00d אינה סיסמה חזקה), וכמה קל עבור פריצות מבוססות דפדפן לאחזר את הסיסמאות שלך, עדיף להציב אימות דו-גורמי במקום.

באתרי WordPress ישנם כמה תוספים שתוכלו לבחור, מה שהופך את המשימה לקלה ומהירה מאוד.

הימנע ממקורות לא אמינים

זו נקודה נוספת שצריכה להיות ברורה כמו צבע השמים (זה ברור, נכון?), אבל כמו שקורה בעולם האנושי, הרגשות משתלטים די מהר.

אתה רוצה להפעיל תכונה במהירות, ואתה נתקל במקור שמציע בדיוק את מה שאתה צריך – אולי אפילו בחינם. ההדגמות מדהימות, UX מנפחת את הראש – מה עוד אתה צריך?!

לא כל כך מהיר, קטן! מקורות של צד שלישי יכולים להוות מקור לכמה בעיות מגעילות (ולעתים קרובות יותר מאשר לא) – הם יכולים להכיל קוד זדוני הגונב את הסיסמאות השמורות או את פרטי כרטיס האשראי שלך (באפליקציה לנייד, קוד הנזק הזדוני שיכול לעשות הוא מפחיד!), או שהם עשויים להיות מקודדים בצורה גרועה, וכך יהפכו לחוליה חלשה באבטחת האתר שלך לאחר שהטמעתם.

אנא אל תקשיב למפתח שלך אם יאמרו שהם עברו את הקוד ואשרו – עולם האבטחה מעוות במיוחד, עם התקפות ערמומיות להפליא שנחשפות מדי יום (הנה דוגמא כיצד ניתן לטפל בפונקציות ההמשכים () וה- unserialize () ב- PHP על מנת לאפשר ביצוע קוד מרחוק).

תמיד, קח תמיד תוספים, ערכות נושא, ספריות וכו ‘, ממקורות מהימנים. עבור משתמשי וורדפרס, משמעות הדבר היא היצמדות לתוספים הזמינים באופן רשמי (מכיוון שהם אכזריים, נבדקים בקפדנות לאיכות קוד ובטיחות), וזה הדין לגבי פלטפורמות אחרות שם.

שוב, לפני שאתה מרגיש את הדחף הבלתי נשלט לתפוס את התוסף הזה ולברוח משם, חשוב על המספר הכולל של השעות שאתה מסכן.

סיסמאות חזקות יותר

הבעיה עם הסיסמאות “החזקות” שאנו מוצאים להן היא שהן אינן אלא בטוחות.

עם מעט ידע על חייך האישיים ועזרת א התקפת מילון, הסיכוי לפיצוח הפגז פתוח הוא גבוה מאוד.

הפתרון?

אני ממליץ להשתמש בשירות בחינם ואמין כמו LastPass מחולל סיסמאות המאפשרת לך לבחור כמה הסיסמה צריכה להיות מורכבת וממושכת. אנא אל תלך על הכלי בקלות – גרם לו למתוח את שריריו עד למקסימום.

תשכח מזה שיש לך סיסמא שתוכל לזכור – לא, הימים ההם חלפו מזמן. קל לפיצוח סיסמאות שניתן לזכור. במקום זאת, תנו למחולל הסיסמאות סיבוב כמה פעמים והתפשרו על משהו שגורם לבטן שלכם להסתובב.

להלן כמה הצעות שקיבלתי (כאשר אורך הסיסמה מוגדר ל 20 תווים):

מכוער? מאוד. לבטח? מאוד!

לבסוף, אם יש לך אתר שבו מותר לאחרים ליצור חשבון, אנא וודא שאתה אוכף אימות סיסמאות וסרב לקבל כל דבר שאינו נורא להסתכל עליו. כן, התורם החדש מתכוון היטב, אבל כמו שאומרים, הדרך לגיהינום רצופה כוונות טובות. ??

עדכן תוכנה באופן קבוע

אם חשבון האירוח המשותף שלך מעניק לך פאנל ניהול המאפשר לך לשדרג את התוכנה המותקנת, אני ממליץ לך לעשות זאת.

למה? לא בגלל שהיא מרגישה עילית לעשות זאת, אלא בגלל שתוכנה חדשה משוחררת בכדי לפתור פרצות אבטחה שהתגלו במהדורות הקודמות (אהה! עכשיו אתה יודע מדוע Windows שלך כל כך נואש רוצה שתמשיך לעדכן).

אנא אל תקל בזה בקלילות (או למעשה, כל הצעה במאמר זה: ד). אין לדעת כמה התקנות, אפליקציות, שרתים ומכשירים יושבים בפצצות זמן מכיוון שהם מפעילים תוכנה ישנה.

אם אתה מגלגל את העיניים על זה, אני איתך – אין דבר יותר כואב מלצטרך לבדוק, לבדוק, לעדכן ולהפסיק כל הזמן דברים שלא עובדים. אבל זה “המס” שאנו משלמים על תשתית דיגיטלית – המאפיינים הדיגיטליים שלנו הרבה יותר רגישים וחזקים הרבה יותר מכל הדברים האחרים שאנחנו רגילים אליהם, ולכן הם דורשים תשומת לב מיוחדת.

שוב, אם אתה יכול להרשות זאת לעצמך, לך על הצעה מנוהלת.

בחר ספק אירוח בטוח יותר

לא כל ספקי האירוח נוצרים שווים, ובעולם הזה של פרסום אגרסיבי ושיווק שותפים, זה יכול להיות קשה לומר את הטובים מהרעים.

אז איך אתה מחליט איזה ספק אירוח הוא “טוב יותר”?

ובכן, הלוואי והיה לי אבן מידה קסומה, אבל לא.

תשתיות אירוח הן חיות מורכבות, ואין סיכוי שדירוגים, ביקורות, עיצוב אתרים או ידידותיות ללקוח יכולים לספק אינדיקטור טוב. אבל אני אגיד את זה: אם אתה נתקל בבעיות, אל תתבייש לנסות משהו חדש. אם כבר, הייתי ממליץ לך להתרחק מחברות ותיקות מאוד מאוד שמוכרות דומיינים ומארחות (אתה יודע למי אני מצביע, לא ?! )-) ובמקום זאת לתת צ’אנס לכמה צעירים יותר חברות רעבניות.

אני לא יכול למכור את זה מספיק.

המעבר לספק בטוח יותר ונותן ביצועים טובים יותר יכול לחסוך שעות של כאב ראש ולילות ללא שינה בכל חודש.

יש לי כמה חברים שמנהלים אתרי וורדפרס מונעי תוכן, שהאתר שלהם נעלם ברגע שהם עשו את הצעד הנועז (והכואב) לעבור, ולא היה נושא אחד מזה שנים. הם אומרים שדברים קטנוניים כמו איטי אתר והמתנה לא שווה את זמנם, ואני חושב שהם צודקים. ��

השתמש בהגנת DDoS

העניין עם האינטרנט הוא שזה האינטרנט “World Wide”. כל אחד מכל מקום יכול לגשת לאתר שלך, או לנסות לפרוץ.

אפילו בוטים.

כעת, אם מבין אלפי הביקורים שהאתר שלך מבקר בכל שעה, 99% הם בוטים שמנסים למצוא דרך, יש לך בעיה בידך – לא רק שהבקשות חסרות התועלת הללו יאכלו משאבי מערכת, הן גם צריכות לצרוך רוחב הפס מהמכסה שלך.

אני יודע שאתרי אירוח משותפים טוענים כי רוחב הפס “בלתי מוגבל”, אך האמינו לי, שום דבר אינו מוגבל.

מקור: britannica.com

גם אם נניח לרגע שהם מציעים העברת נתונים ללא הגבלה מדי חודש, בל נשכח שלרשתות הפיזיות שמחברות הכל יש יכולת מוגבלת. במילים אחרות, מספר המשתמשים שהאתר שלך יכול לשרת בו זמנית מוגבל, כך שלמרות שיש לך שימוש חודשי אינסופי, האתר שלך יהיה איטי או איטי מאוד למשתמשים.

ומי רוצה לבקר באתר כזה, נכון?

לעתים קרובות יותר מאשר לא, התקפה כזו מתועצמת על ידי תוקף על ידי שליטה בכמה מחשבים וגורמת להם לבקר באתר היעד (לכל מה שאתה יודע, המחשב שלך כבר משתתף לא מוכן בהתקפה כמו זו).

מקור: comodo.com

התרחיש שתיארתי זה בדיוק מה שמכונה טכנית התקפת מניעת השירות (DDoS) (פרטים נוספים כאן), והיא נותרה אחת מצורות ההתקפות המתסכלות ביותר שכן כמעט ולא ניתן להבחין בה במספר גדול של משתמשים המבקשים לאתר שלך.

עם זאת, חברות מסוימות כמו Cloudflare, SUCURI בנו מערכות הגנה מעולות שמסוגלות לנתח באופן מושכל ולחסום התקפות DDoS על בסיס דפוסי תנועה בעבר.

שוב, הדבר יקר עבור רבים, אבל אז אתה צריך להחליט בעצמך אם להסתכן באובדן כל העסק שלך שווה את זה.

חומת אש בענן

למי שאינו מודע, חומת אש היא רק פיסת תוכנה הפועלת במחשב וברשת החוסמת או מאפשרת תנועה על בסיס כללים ספציפיים. עכשיו צריך להיות ברור מה זה חומת אש “ענן”, אבל הנה תמונה שבהחלט שווה אלף מילים. ��

מקור: webscale.com

אם תשאל אותי, חומת אש המוגדרת כראוי עושה יותר כדי להגן על המאפיינים הדיגיטליים שלך מכל שאר האמצעים המשולבים. אם רשתות ענקיות הטכנולוגיה הן בלתי חדירות, הזיכוי יעבור לחומות האש המפחידות שלהן המסננות באגרסיביות את כל התנועה הנכנסת והיוצאת. אם תוקף אפילו מנסה לחפש פתחים, התוצאה היא מיד רשימה שחורה, מה שמקשה מאוד לפרוץ פנימה או להוריד את הרשת.

הנה ההמלצה שלנו על מיטב חומות האש בחוץ. שוב, אם אתה חושב שזה יקר, זכור את הדלפק!

ישנם דברים רבים אחרים שאתה יכול לעשות כדי להפוך את הדברים ל”בטוחים יותר “, אבל אני חושב שאם אתה מתייחס ברצינות למאמר הזה, אתה תחסוך מ -99.9% מהתקפות ופריצות שעלולות להיות מביכות.

זה נכון במיוחד למשתמשי וורדפרס, מכיוון שהוא לא פלטפורמה מאוד בטוחה בעיצוב. גם אם יש לך אתר HTML רגיל, זכור כי התקפות DDoS יכולות לקלקל את הטעם עבור המשתמשים שלך, ספק האירוח שלך, ואתה בו זמנית..

במילים אחרות, רק הפרנואידים שורדים (יש גם ספר מקסים על ידי זה שם, במקרה וזה מעניין אותך)! ��

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map