4 mẹo để tránh các lỗ hổng bảo mật web phổ biến

Bảo mật web là cơn thịnh nộ ngày nay vì nhiều vụ hack làm cho tin tức.


Nhưng điều khiến Bực bội là mặc dù có rất nhiều bài viết về chủ đề này, các doanh nghiệp và các trang web nhỏ cũng dễ dàng mắc phải những sai lầm khi xử lý mọi việc đúng cách.

Một vài bước đi đúng hướng là tất cả những gì cần thiết để giữ an toàn cho trang web của bạn.

Chúng ta hãy có một cái nhìn.

Donith sử dụng mã ngẫu nhiên từ người lạ

Mã ngẫu nhiên từ kho công khai trên các trang web như GitHub, Sourceforge và Bitbucket có thể mang mã độc.

Dưới đây, cách làm thế nào để tự cứu mình với một chút suy nghĩ thông minh. Bạn có thể triển khai mã trong chế độ bảo trì và xem cách nó hoạt động trước khi thực hiện mã.

Bằng cách đó, bạn có thể ngăn chặn hàng trăm giờ đồng hồ.

Không có biện pháp phòng ngừa có thể dẫn đến mã độc chiếm lấy trang web của bạn và khiến bạn từ bỏ các đặc quyền quản trị của trang web và mất công sức của bạn.

Không bao giờ sao chép mã dán từ người lạ ngẫu nhiên trên internet. Thực hiện một số nghiên cứu về người đó và sau đó tiến hành kiểm toán mã bạn nhận được.

Bạn có thể cảm thấy rằng bạn sẽ có thể tiết kiệm thời gian để sao chép một số mã nhưng chỉ cần sai một lần là đủ cho một đống rắc rối.

Ví dụ: WordPress dễ bị tấn công mã độc mã có thể kiểm soát trang web của bạn hoặc gây hại cho trang web theo những cách ít quan trọng hơn như chèn liên kết theo dõi đến trang web của bên thứ ba và hút nước trái cây liên kết.

Các liên kết như vậy thường chỉ xuất hiện khi Googlebot truy cập trang web và đối với tất cả khách truy cập thường xuyên, liên kết vẫn ở chế độ ẩn.

Charles Floate và Lời nói hợp tác để trích dẫn nhiều ví dụ gần đây về lỗ hổng plugin WordPress.

Cách thức hoạt động của trò lừa đảo này là một số SEO độc hại gửi email tiếp cận tới các chủ sở hữu plugin WordPress có plugin đã được cập nhật trong một thời gian.

Họ đề nghị mua plugin và sau đó chạy cập nhật cho plugin đó.

Hầu hết mọi người không bao giờ bận tâm đến việc kiểm tra những gì đã được cập nhật trong plugin. Có rất nhiều người trong số họ chạy bản cập nhật ngay khi nó xuất hiện.

Nhưng trong trường hợp này, plugin sẽ tạo ra quyền truy cập ngược vào trang web SEO hoặc trang web của khách hàng. Tất cả các trang web sử dụng plugin giờ đây vô tình trở thành một phần của mạng PBN.

Một số plugin này có hơn 50000 lượt cài đặt hoạt động. Trên thực tế, một trong những plugin được liệt kê được sử dụng trên trang web của tôi và tôi đã không biết về backlink cho đến bây giờ.

Các plugin này cũng cấp cho họ quyền truy cập quản trị vào các trang bị ảnh hưởng.

Họ rất có thể tiếp quản một trang web của đối thủ cạnh tranh bằng phương pháp này và không lập chỉ mục cho nó, làm cho nó biến mất một cách hiệu quả trong SERPs.

Mã hóa thông tin nhạy cảm

Khi bạn xử lý dữ liệu nhạy cảm, nó sẽ không bao giờ được coi là đương nhiên.

Nó luôn luôn là tùy chọn khôn ngoan hơn để mã hóa dữ liệu nhạy cảm. Thông tin cá nhân xung quanh khách hàng và mật khẩu người dùng thuộc danh mục này.

Một thuật toán mạnh nên được sử dụng cho đến cuối này.

Ví dụ, AES 256 là một trong những cái tốt nhất. Chính phủ Hoa Kỳ cho rằng AES có thể được sử dụng để mã hóa và bảo vệ thông tin được phân loại và mật mã đằng sau mui xe đã được NSA phê duyệt công khai.

AES bao gồm các mật mã sau: AES-128, AES-192 và AES-256. Mỗi mật mã mã hóa và giải mã dữ liệu trong các khối 128 bit và cung cấp bảo mật nâng cao.

Nếu bạn đang chạy một trang web dựa trên thành viên, Thương mại điện tử, chấp nhận thanh toán thì bạn phải bảo mật trang web của mình bằng một Chứng chỉ TLS.

Dữ liệu người dùng phải luôn được bảo vệ.

Chấp nhận dữ liệu người dùng qua các kết nối không bảo mật luôn mang đến cho hacker một cơ hội để lấy đi dữ liệu quý giá.

Xử lý thanh toán

Vấn đề với việc lưu trữ thông tin thẻ tín dụng là bạn trở thành mục tiêu.

Âm thanh Lái xe công khai thông báo rằng việc vi phạm vào các máy chủ của công ty dẫn đến hàng triệu thẻ tín dụng và thẻ ghi nợ bị đánh cắp.

Các nhà hàng khác, những người lái xe như Chipotle và Arby, cũng trải qua những vụ hack tương tự.

Đôi khi bạn sẽ phải chấp nhận thông tin thẻ tín dụng và lưu nó để thanh toán định kỳ. Điều đó đòi hỏi bạn phải khiếu nại PCI.

Tuân thủ PCI là công việc khó khăn.

Bạn không chỉ cần một người am hiểu về PCI mà còn cần cập nhật trang web và cơ sở dữ liệu để duy trì tuân thủ thường xuyên.

Tuân thủ không phải là yêu cầu một lần và PCI thay đổi chúng thường xuyên để giải quyết các mối đe dọa mới nổi.

Thay vào đó, bạn có thể bỏ qua phần cứng và chọn bộ xử lý thanh toán như Vạch sọc đó là nâng nặng cho bạn.

Họ rất lớn, họ có một hỗ trợ hoạt động suốt ngày đêm và họ là một khiếu nại của PCI.

Và nếu bạn đang điều hành một cửa hàng trực tuyến thì bạn có thể cân nhắc sử dụng Shopify.

Nếu trong trường hợp bạn lưu trữ thông tin thẻ tín dụng, hãy đặc biệt lưu ý rằng các tệp lưu trữ thông tin thẻ tín dụng và phần cứng nơi họ lưu trữ sẽ được mã hóa.

Vá nó ngay lập tức

Dưới đây là một ví dụ để đưa ra quan điểm của tôi.

Nguồn

Một khai thác 0 ngày hoạt động bằng cách thỏa hiệp các thanh chống của Apache đã được đưa ra ánh sáng bởi Ngày 7 tháng 3 năm 2017.

Đến ngày 8 tháng 3, Apache đã phát hành các bản vá để khắc phục vấn đề. Nhưng phải mất một thời gian dài giữa việc xuất bản một bản vá và các công ty để hành động.

Equachus là một trong những công ty bị hack.

Equachus nói trong một tuyên bố rằng vào ngày 7 tháng 9 năm 2017, tin tặc đã đánh cắp thông tin cá nhân của 143 triệu khách hàng.

Các tin tặc khai thác lỗ hổng ứng dụng rất giống chúng tôi đã thảo luận ở trên để vào bên trong hệ thống.

Lỗ hổng là ở Apache Struts, một khung để xây dựng các ứng dụng web dựa trên Java.

Các tin tặc khai thác thực tế đó khi Struts gửi dữ liệu đến máy chủ, chúng có thể xâm phạm dữ liệu đó. Sử dụng tải lên tệp, tin tặc đã kích hoạt các lỗi cho phép chúng gửi mã hoặc lệnh độc hại.

Theo công ty, tên khách hàng, số An sinh xã hội, ngày sinh, địa chỉ và trong một số trường hợp, số giấy phép lái xe, số cũng như số thẻ tín dụng, cho khoảng 209.000 người tiêu dùng. Ngoài ra, 182.000 tài liệu tranh chấp tín dụng, chứa thông tin cá nhân, cũng bị đánh cắp.

Suy nghĩ

Như bạn có thể thấy, nhận thức được những thay đổi trong công nghệ và cập nhật với các bản vá phần mềm của bạn và một chút trở ngại thường luôn là quá đủ để vượt qua hầu hết các rắc rối.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map