4 tipp a webes biztonsági rések elkerülése érdekében

A webbiztonság napjainkban düh több hackeléses esemény amelyek elkészítik a hírt.


De az ijesztő, hogy a sok ilyen témájú cikk ellenére a vállalatok és a kis webhelyek egyaránt könnyen elkerülhető hibákat követnek el, amikor a dolgok helyes kezelésével járnak..

Néhány lépés a helyes irányba, amire szükség van a webhely biztonságának megőrzése érdekében.

Nézzük meg.

Ne használjon idegen emberek véletlenszerű kódjait

Véletlen kódok innen: nyilvánosan közzétett tárolók olyan webhelyeken, mint a GitHub, a Sourceforge és a Bitbucket, rosszindulatú kódokat hordozhatnak.

Így mentheti meg magát egy kis okos gondolkodással. Telepítheti a kódot karbantartási módban, és megnézheti, hogyan működik, mielőtt életre kelti.

Így megakadályozhatja a több száz órás fejfájást.

Ha óvintézkedéseket nem teszünk, akkor a rosszindulatú kód átveheti a webhelyet, és lemondhat webhelyének adminisztratív jogosultságairól, és elveszítheti a kemény munkáját..

Soha másolja be az interneten véletlen idegenek beillesztési kódjait. Készítsen néhány kutatást a személyről, majd folytassa a kapott kód ellenőrzését.

Lehet, hogy időt takaríthat meg egy kód másolásával, beillesztésével, de ha egyszer egyszer megsérül, elég a bajok hajóterheléséhez..

Például: A sérülékeny WordPress olyan rosszindulatú programokat telepít, amelyek átvehetik az ön webhelyének irányítását, vagy kevésbé kritikus módon károsíthatják a webhelyet, mint például a követő linkek beillesztése harmadik fél webhelyeire és a linklé leválasztása.

Az ilyen linkek gyakran csak akkor jelennek meg, amikor a Googlebot meglátogatja a webhelyet, és minden szokásos látogató számára a link láthatatlan marad.

Charles Floate és Wordfence összeállt, hogy idézze a WordPress plugin sebezhetőségének számos új példáját.

Ennek a csalásnak az a módja, hogy néhány rosszindulatú SEO elküldi a kommunikációs e-maileket a WordPress bővítménytulajdonosoknak, akiknek a pluginjait egy ideje nem frissítették.

Felkínálják a plugin megvásárlását, majd annak frissítését.

A legtöbb ember soha nem zavarja, hogy ellenőrizze, mi frissült a beépülő modulban. Olyan sokan vannak, hogy frissítést futtatnak, amint megjelenik.

De ebben az esetben a beépülő modul hátrányos hozzáférést biztosítana a SEO webhelyhez vagy az ügyfél webhelyekhez. A plugin-t használó összes webhely véletlenül PBN-hálózat részévé válik.

Ezeknek a bővítményeknek egy része több mint 50000 aktív telepítéssel rendelkezik. Valójában a felsorolt ​​pluginek egyikét használják a webhelyemen, és a hátsó ajtóról eddig nem tudtam.

Ezek a bővítmények adminisztratív hozzáférést biztosítottak számukra az érintett webhelyekhez.

Nagyon jól megszerezhetik egy konkurens webhelyet ezzel a módszerrel, és nem indexelhetik azt, ténylegesen eltüntetve azt a SERP-kben..

Titkosítsa az érzékeny információkat

Amikor érzékeny adatokkal foglalkozik, azokat soha nem szabad magától értetődőnek tekinteni.

Mindig a legokosabb lehetőség az érzékeny adatok titkosítása. Az ügyfelek körüli személyes adatok és a felhasználói jelszavak ebbe a kategóriába tartoznak.

Erre egy erős algoritmust kell használni.

Például az AES 256 az egyik legjobb. Maga az Egyesült Államok kormánya azon a véleményen van, hogy az AES felhasználható a minősített információk titkosítására és védelmére, és a motorháztető mögött található rejtjelet az NSA nyilvánosan jóváhagyta..

Az AES a következő rejtjeleket tartalmazza: AES-128, AES-192 és AES-256. Minden rejtjel titkosítja és dekódolja az adatokat 128 bites blokkokban, és fokozott biztonságot nyújt.

Ha tag-alapú webhelyet működtet, e-kereskedelem, elfogadja a fizetést, akkor a webhelyet egy TLS tanúsítvány.

A felhasználói adatokat mindig védeni kell.

A felhasználói adatok nem biztonságos kapcsolatokon keresztüli elfogadása mindig lehetővé teszi a hackerek számára, hogy értékes adatokat szedjenek el.

A fizetés kezelése

A hitelkártya-adatok tárolásának problémája az, hogy célgé válsz.

Szonikus Jelentkezzen be nyilvánosan bejelentette, hogy a vállalati szerverek megsértése millióval ellopott hitel- és bankkártyákat eredményez.

Más éttermek, bejáratók, például a Chipotle és az Arby szintén tapasztalt hasonló csapkodást.

Időnként el kell fogadnia a hitelkártya-információkat és el kell mentenie azokat az ismétlődő számlázáshoz. Ehhez PCI panaszt kell benyújtani.

A PCI-kompatibilisség nehéz feladat.

Nem csak PCI-hozzáértőkre van szüksége, hanem frissítenie kell a webhelyet és az adatbázist is, hogy gyakran megfeleljenek a követelményeknek.

A megfelelés nem egyszeri követelmény, és a PCI rendszeresen megváltoztatja azokat a felmerülő veszélyek kezelése érdekében.

Ehelyett kihagyhatja a kemény részt, és választhat például a fizetési processzort Csík ez megteszi a nehéz emelést.

Nagyok, támogatást nyújtanak, amely éjjel-nappal működik, és PCI panaszt képeznek.

És ha online áruházat működtet, akkor fontolóra veheti a használatát Shopify.

Ha hitelkártya-információkat tárol, akkor ügyeljen arra, hogy a hitelkártya-információkat tároló fájlok és a tárolt hardver is titkosítva maradjanak.

Azonnal javítsa meg

Íme egy példa, amiben szeretném megjegyezni.

Forrás

Megvilágította egy nulla napos kizsákmányolást, amely az Apache alátámasztásainak veszélyeztetésével működött 2017. március 7.

Március 8-ig az Apache kiadott javításokat a probléma leküzdésére. De a javítás közzététele és a vállalkozások közötti cselekvés sokáig tart.

Az Equifax egyike volt azoknak a vállalatoknak, amelyeket megtámadtak.

Az Equifax nyilatkozatában kijelentette, hogy 2017. szeptember 7-én a hackerek 143 millió ügyféltől loptak személyes információkat.

A hackerek ugyanazt az alkalmazás-biztonsági rést, amellyel fentebb tárgyaltuk, kihasználták, hogy belépjenek a rendszerbe.

A sérülékenységet az Apache Struts, a Java-alapú webes alkalmazások készítésének kerete képezte.

A hackerek kihasználták ezt a tényt, amikor Struts adatokat küld a kiszolgálónak, és veszélyeztethetik ezeket az adatokat. A feltöltött fájlok használatával a hackerek hibákat indítottak el, amelyek lehetővé tették számukra rosszindulatú kódok vagy parancsok elküldését.

A társaság szerint „ügyfélnevek, társadalombiztosítási számok, születési dátumok, címek és egyes esetekben a járművezetői engedélyek száma”, valamint „mintegy 209 000 fogyasztó hitelkártya-száma”. Ezen túlmenően 182 000 hitel-vita-okmányt loptak, amelyek személyes információkat tartalmaznak.

Záró gondolatok

Mint láthatja, a technológiai változások tudatában, naprakészen tartása a szoftverjavításokkal és egy kis utótekintés gyakran mindig több, mint elegendő a legtöbb baj áthidalásához..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map