4 совета, как избежать распространенных уязвимостей веб-безопасности

Веб-безопасность в моде в наши дни из-за множественные инциденты взлома которые делают новости.


Но что разочаровывает, так это то, что, несмотря на большое количество статей на эту тему, корпоративные и небольшие веб-сайты делают ошибки, которых легко избежать, когда дело доходит до правильного поведения.

Несколько шагов в правильном направлении – это все, что нужно для обеспечения безопасности вашего сайта..

Давайте посмотрим.

Не используйте случайные коды от незнакомцев

Случайные коды от публично размещенные репозитории на таких сайтах, как GitHub, Sourceforge и Bitbucket, могут содержаться вредоносные коды..

Вот как можно сэкономить с помощью умного мышления. Вы можете развернуть код в режиме обслуживания и посмотреть, как он работает, прежде чем начать работу.

Таким образом вы предотвратите сотни часов ударов головой.

Принятие каких-либо мер предосторожности может привести к тому, что вредоносный код захватит ваш сайт, и вы откажетесь от административных привилегий вашего сайта и потеряете тяжелую работу..

Никогда копировать вставить коды от случайных незнакомцев в Интернете. Проведите некоторое исследование этого человека, а затем приступайте к аудиту кода, который вы получаете..

Возможно, вы почувствуете, что сможете сэкономить время, вставляя какой-то код, но сделать его неправильно, только один раз, достаточно для множества проблем..

Например, уязвимые WordPress-плагины содержат вредоносные коды, которые могут взять под контроль ваш сайт или нанести вред сайту менее критичным способом, таким как вставка следующих ссылок на сторонние сайты и удаление ссылок..

Такие ссылки часто появляются только тогда, когда робот Google посещает сайт, и для всех постоянных посетителей ссылка остается невидимой.

Чарльз Флоат и Wordfence объединились, чтобы привести множество недавних примеров уязвимостей плагина WordPress.

Эта мошенническая работа заключается в том, что некоторые вредоносные SEO-рассылки отправляют электронные письма владельцам плагинов WordPress, чьи плагины не обновлялись в течение долгого времени..

Они предлагают купить плагин, а затем запустить обновление этого плагина.

Большинство людей никогда не проверяют, что было обновлено в плагине. Их так много, что они запускают обновление, как только оно появляется.

Но в этом случае плагин создает закулисный доступ к веб-сайту SEO или сайтам клиентов. Все сайты, использующие плагин, теперь непреднамеренно становятся частью сети PBN..

Некоторые из этих плагинов имеют более 50000 активных установок. На самом деле, один из перечисленных плагинов используется на моем сайте, и я до сих пор не знал о бэкдоре.

Эти плагины также дали им административный доступ к уязвимым сайтам..

С помощью этого метода они вполне могли бы захватить сайт конкурента и не индексировать его, фактически делая его исчезающим в поисковой выдаче..

Шифровать конфиденциальную информацию

Когда вы имеете дело с конфиденциальными данными, они никогда не должны восприниматься как должное.

Это всегда более разумный вариант для шифрования конфиденциальных данных. Личная информация о клиентах и ​​пароли пользователей попадают в эту категорию.

Для этого следует использовать сильный алгоритм.

Например, AES 256 – один из лучших. Само правительство США считает, что AES можно использовать для шифрования и защиты секретной информации, а шифр за капотом был публично одобрен АНБ..

AES включает в себя следующие шифры: AES-128, AES-192 и AES-256. Каждый шифр шифрует и дешифрует данные в 128-битных блоках и обеспечивает повышенную безопасность..

Если вы работаете с сайтом на основе членства, электронной коммерцией, принимаете платежи, то вы должны обезопасить свой сайт с помощью Сертификат TLS.

Пользовательские данные всегда должны быть защищены.

Принятие пользовательских данных через незащищенные соединения всегда дает хакеру возможность отобрать ценные данные.

Обработка оплаты

Проблема с хранением информации о кредитной карте заключается в том, что вы становитесь целью.

звуковой Въезд публично объявил, что взлом серверов компании привел к миллионам украденных кредитных и дебетовых карт.

Другие рестораны, такие как Chipotle и Arby’s, также подверглись подобным атакам..

Иногда вам нужно будет принять информацию о кредитной карте и сохранить ее для повторного выставления счетов. Это требует, чтобы вы были жалобой PCI.

Быть совместимым с PCI – тяжелая работа.

Мало того, что вам нужен кто-то сообразительный по PCI, но вам также нужно обновить сайт и базу данных, чтобы оставаться часто совместимым.

Соответствие требованиям не является разовым требованием, и PCI регулярно их меняет для устранения возникающих угроз..

Вместо этого вы можете пропустить сложную часть и выбрать платежный процессор, например нашивка это делает тяжелую работу для вас.

Они большие, у них есть поддержка, которая работает круглосуточно, и они жалуются на PCI.

И если у вас есть интернет-магазин, то вы можете рассмотреть возможность использования Shopify.

Если в случае, если вы сохраняете информацию о кредитной карте, особое внимание следует уделить тому, чтобы файлы, хранящие информацию о кредитной карте, и оборудование, на котором они хранятся, оставались зашифрованными..

Патч Немедленно

Вот пример, чтобы сделать мою точку зрения.

Источник

Эксплойт нулевого дня, сработавший путем компрометации Apache, был выявлен 7 марта 2017 г..

К 8 марта Apache выпустил патчи для решения проблемы. Но между публикацией патча и компаниями требуется много времени, чтобы принять меры.

Equifax была одной из взломанных компаний.

В заявлении Equifax говорится, что 7 сентября 2017 года хакеры украли личную информацию у 143 миллионов клиентов..

Хакеры использовали ту же самую уязвимость приложения, которую мы обсуждали выше, чтобы проникнуть внутрь системы.

Уязвимость была в Apache Struts, фреймворке для создания веб-приложений на основе Java.

Хакеры воспользовались этим фактом, когда Struts отправляет данные на сервер, они могли скомпрометировать эти данные. Используя загрузку файлов, хакеры вызывали ошибки, которые позволяли им отправлять вредоносные коды или команды.

По словам компании, «имена клиентов, номера социального страхования, даты рождения, адреса и, в некоторых случаях, номера водительских прав», а также «номера кредитных карт для примерно 209 000 потребителей». Кроме того, было украдено 182 000 документов по кредитным спорам, которые содержат личную информацию..

Заключительные мысли

Как вы можете видеть, быть в курсе изменений в технологии и быть в курсе ваших патчей программного обеспечения и немного оглядываться назад часто всегда более чем достаточно, чтобы преодолеть большинство проблем.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map