4 sfaturi pentru a evita vulnerabilitățile comune de securitate web

Securitatea web este furie în aceste zile din cauza multiple incidente de hacking care fac veștile.


Dar ceea ce este frustrant este faptul că, în ciuda atâtor articole pe această temă, corporațiile și site-urile mici deopotrivă fac greșeli ușor de evitat atunci când vine vorba de a gestiona lucrurile așa cum trebuie.

Câțiva pași în direcția corectă sunt necesare pentru a vă asigura securitatea site-ului.

Hai să aruncăm o privire.

Nu folosiți coduri aleatorii de la străini

Coduri aleatorii din depozite publicate public pe site-uri precum GitHub, Sourceforge și Bitbucket pot transporta coduri rău intenționate.

Iată cum să te salvezi cu un pic de gândire inteligentă. Puteți implementa codul în modul de întreținere și puteți vedea cum funcționează înainte de a-l face live.

În felul acesta, preveniți sute de ore de spălare a capului.

Dacă nu luați măsuri de precauție, este posibil ca codul rău intenționat să preia site-ul dvs. și să vă determine să renunțați la privilegiile administrative ale site-ului dvs. și să pierdeți munca grea..

Nu copiați codurile de lipit de la persoane necunoscute aleatoare pe internet. Efectuați unele cercetări asupra persoanei și apoi continuați să auditați codul pe care îl primiți.

S-ar putea să simțiți că veți putea salva o perioadă de copiere, lipind un cod, dar greșit o singură dată este suficient pentru o încărcare a problemelor.

Pentru un ex: WordPress vulnerabil conectează coduri rău intenționate care pot prelua controlul site-ului dvs. sau pot dăuna site-ului în moduri mai puțin critice, cum ar fi introducerea linkurilor de urmărire către site-uri terțe și sifonarea sucului de link-uri.

Aceste link-uri apar adesea doar când Googlebot vizitează site-ul, iar pentru toți vizitatorii obișnuiți, linkul rămâne invizibil.

Charles Floate și Wordfence s-a alăturat pentru a cita numeroase exemple recente de vulnerabilități ale pluginului WordPress.

Modul în care funcționează această înșelătorie este unele SEO dăunătoare trimit e-mailuri de informare către proprietarii de pluginuri WordPress ale căror pluginuri nu au fost actualizate de ceva vreme.

Se oferă să cumpere pluginul și apoi să ruleze o actualizare la acel plugin.

Majoritatea oamenilor nu se deranjează niciodată să verifice ce a fost actualizat în plugin. Există atât de mulți dintre ei încât execută o actualizare imediat ce apare.

Dar, în acest caz, pluginul ar crea un acces întârziat la site-ul SEO sau site-urile clientului. Toate site-urile care folosesc pluginul devin acum din neatenție parte a unei rețele PBN.

Unele dintre aceste pluginuri au peste 50000 de instalări active. De fapt, unul dintre pluginurile enumerate este folosit pe site-ul meu și nu știam despre backdoor până acum.

Aceste plugin-uri le-au oferit acces administrativ și la site-urile afectate.

Ei ar putea foarte bine să preia un site concurent cu această metodă și să nu-l indexeze, făcându-l să dispară efectiv în SERP-uri.

Criptați informații sensibile

Când aveți de-a face cu date sensibile, nu ar trebui să fie luate în considerare niciodată.

Este întotdeauna opțiunea cea mai înțeleaptă pentru a cripta date sensibile. Informațiile personale care înconjoară clienții și parolele utilizatorilor se încadrează în această categorie.

În acest scop ar trebui utilizat un algoritm puternic.

De exemplu, AES 256 este unul dintre cele mai bune. Însuși guvernul Statelor Unite este de părere că AES ar putea fi utilizat pentru criptarea și protejarea informațiilor clasificate, iar cifrul din spatele capotei a fost aprobat public de către ANS.

AES cuprinde următoarele cifre: AES-128, AES-192 și AES-256. Fiecare cifru criptează și decriptează datele în blocuri de 128 de biți și asigură o securitate sporită.

Dacă executați un site bazat pe membri, comerț electronic, acceptați plata, atunci trebuie să vă asigurați site-ul cu un Certificat TLS.

Datele utilizatorului trebuie să fie întotdeauna protejate.

Acceptarea datelor utilizatorului prin conexiuni nesecurizate oferă întotdeauna un hacker șansa de a șterge date prețioase.

Gestionarea plății

Problema cu stocarea informațiilor despre cardul de credit este că deveniți o țintă.

Sonic Drive-In public a anunțat că o încălcare în serverele companiei a dus la milioane de carduri furate de credit și debit.

Alte restaurante, drive-ins-uri precum Chipotle și Arby au experimentat, de asemenea, hacks similare.

Uneori, va trebui să acceptați informațiile despre cardul de credit și să le salvați pentru facturare repetată. Aceasta necesită să fiți o reclamație PCI.

Faptul că este compatibil cu PCI este greu.

Nu numai că aveți nevoie de cineva cunoscător PCI, dar, de asemenea, trebuie să actualizați site-ul și baza de date pentru a rămâne conforme frecvent.

Conformitatea nu este o cerință unică și PCI le schimbă în mod regulat pentru a aborda amenințările emergente.

În schimb, puteți săriți partea hard și alegeți un procesor de plată de genul Dunga asta face ridicarea grea pentru tine.

Sunt mari, au un suport care funcționează în permanență și sunt o reclamație PCI.

Și dacă rulați un magazin online, atunci puteți lua în considerare utilizarea Shopify.

Dacă în cazul în care păstrați informații despre cardul de credit, aveți grijă în special ca fișierele care stochează informațiile cardului de credit și hardware-ul în care sunt stocate să rămână criptate..

Patch-l imediat

Iată un exemplu care să-mi spună punctul de vedere.

Sursă

O exploatare de zero zile care a funcționat compromițând struturile Apache a fost adusă la lumină 7 martie 2017.

Până pe 8 martie, Apache a lansat patch-uri pentru a depăși problema. Dar este nevoie de mult timp între publicarea unui plasture și companii pentru a lua măsuri.

Equifax a fost una dintre companiile care au fost hacked.

Equifax a declarat într-o declarație că, pe 7 septembrie 2017, hackerii au furat informații personale la 143 de milioane de clienți.

Hackerii au exploatat aceeași vulnerabilitate a aplicației despre care am discutat mai sus pentru a intra în sistem.

Vulnerabilitatea a fost în Apache Struts, un cadru pentru construirea aplicațiilor web bazate pe Java.

Hackerii au exploatat acest fapt atunci când Struts trimite date către server, ar putea compromite aceste date. Folosind încărcări de fișiere, hackerii au declanșat erori care le-au permis să trimită coduri sau comenzi rău intenționate.

Potrivit companiei, „nume de clienți, numere de securitate socială, date de naștere, adrese și, în unele cazuri, numere de permis de conducere”, precum și „numere de card de credit pentru aproximativ 209.000 de consumatori”. În afară de aceasta, au fost furate și 182.000 de documente privind disputa de credit, care conțin informații personale.

Gânduri încheiate

După cum vedeți, a fi conștient de schimbările tehnologiei și de a fi actualizat cu patch-urile software și un pic de retrospectivă este adesea întotdeauna mai mult decât suficient pentru a evita cele mai multe probleme..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map