4 съвета за избягване на често срещаните уязвимости на уеб сигурността

Сигурността в мрежата е яростта в наши дни заради множество хакерски инциденти които правят новините.


Но това, което е разочароващо, е, че въпреки толкова много статии по темата, корпорациите и малките уебсайтове си правят лесно избягващи грешки, когато става въпрос за работа с нещата по правилния начин.

Няколко стъпки в правилната посока са всичко необходимо, за да защитите сайта си.

Нека погледнем.

Не използвайте случайни кодове от непознати

Случайни кодове от публично публикувани хранилища на сайтове като GitHub, Sourceforge и Bitbucket може да носят злонамерени кодове.

Ето как да се спасите с малко интелигентно мислене. Можете да разгърнете кода в режим на поддръжка и да видите как работи, преди да го активирате.

По този начин предотвратявате стотици часове на главата.

Ако не предприемате никакви предпазни мерки, това може да доведе до превземането на злонамерен код и да ви накара да се откажете от административните привилегии на вашия сайт и да загубите упоритата си работа.

никога копирайте кодове от паста от случайни непознати в интернет. Направете някои изследвания на човека и след това пристъпете към одит на получения код.

Може да почувствате, че ще успеете да спестите известно време, копирайки някакъв код, но да го сбъркате само веднъж е достатъчно за натоварване с лодка.

За бивш: Уязвим WordPress плъгини злонамерени кодове, които могат да поемат контрола над вашия сайт или да навредят на сайта по по-малко критични начини, като вмъкване на последващи връзки към сайтове на трети страни и пресичане на сок от връзки.

Такива връзки често се появяват само когато Googlebot посещава сайта, а за всички редовни посетители връзката остава невидима.

Чарлз Флоат и Wordfence се обединиха, за да цитирам много скорошни примери за уязвимости на WordPress плъгини.

Начинът, по който работи тази измама, е някакво злонамерено SEO изпращане на електронни съобщения до собственици на приставки на WordPress, чиито приставки не са били актуализирани от известно време.

Те предлагат да закупят приставката и след това да пуснат актуализация на тази приставка.

Повечето хора никога не си правят труда да проверят какво е актуализирано в приставката. Има толкова много от тях, че те стартират актуализация веднага щом се появи.

Но в този случай, плъгинът ще създаде резервиран достъп до уебсайта за SEO или клиентските сайтове. Всички сайтове, използващи приставката, по невнимание стават част от PBN мрежа.

Някои от тези плъгини имат над 50000 активни инсталации. Всъщност един от изброените плъгини се използва на моя сайт и досега не знаех за задната врата.

Тези плъгини им предоставиха и административен достъп до засегнатите сайтове.

Те биха могли да превземат конкурентно място с този метод и да не го индексират, ефективно да го изчезнат в SERPs.

Шифроване на чувствителна информация

Когато имате работа с чувствителни данни, те никога не трябва да се приемат за даденост.

Винаги е по-мъдрата опция за криптиране на чувствителни данни. Личната информация около клиентите и потребителските пароли попадат в тази категория.

За тази цел трябва да се използва силен алгоритъм.

Например AES 256 е един от най-добрите. Самото правителство на САЩ е на мнение, че AES може да се използва за криптиране и защита на класифицираната информация, а шифърът зад капака е публично одобрен от NSA.

AES включва следните шифри: AES-128, AES-192 и AES-256. Всеки шифър криптира и декриптира данни в 128-битови блокове и осигурява подобрена сигурност.

Ако използвате уебсайт, базиран на членове, електронна търговия, приемате плащане, тогава трябва да защитите вашия сайт с a TLS сертификат.

Потребителските данни трябва винаги да бъдат защитени.

Приемането на потребителски данни през незащитени връзки винаги дава шанс на хакер да отхвърли ценни данни.

Работа с плащането

Проблемът със съхранението на информация за кредитната карта е, че ставате цел.

звуков Влезте публично обяви, че нарушение в сървърите на компанията доведе до милиони откраднати кредитни и дебитни карти.

Други ресторанти, драйвери като Chipotle и Arby също са имали подобни хакове.

Понякога ще трябва да приемете информация за кредитната карта и да я запазите за периодично таксуване. Това изисква да сте оплакване от PCI.

Да бъдеш съвместим с PCI е трудно.

Имате нужда не само от някой, който да е PCI, но също така трябва да актуализирате сайта и базата данни, за да останете често съвместими.

Съответствието не е еднократно изискване и PCI ги променя редовно, за да отговори на възникващите заплахи.

Вместо това можете да пропуснете твърдата част и да изберете процесор за плащане като райе това прави тежкото повдигане за вас.

Те са големи, имат поддръжка, която работи денонощно и са оплакване от PCI.

И ако използвате онлайн магазин, тогава може да помислите да използвате Shopify.

Ако в случай, че съхранявате информация за кредитната карта, внимавайте, че файловете, които съхраняват информацията за кредитната карта, и хардуерът, в който се съхраняват, трябва да останат криптирани..

Направете го веднага

Ето един пример, за да изложа мнението си.

източник

Експлоатация с нулев ден, която работеше чрез компрометиране на подпори на Apache, беше осветена 7 март 2017 г..

До 8 март Apache пусна пластири, за да преодолее проблема. Но отнема много време между публикуването на пластир и компаниите да предприемат действия.

Equifax беше една от компаниите, които се хакнаха.

От Equifax посочват в изявление, че на 7 септември 2017 г. хакери са откраднали лична информация на 143 милиона клиенти.

Хакерите използваха същата уязвимост на приложението, за която говорихме по-горе, за да влязат вътре в системата.

Уязвимостта беше в Apache Struts, рамка за изграждане на базирани на Java уеб приложения.

Хакерите използват този факт, когато Struts изпраща данни на сървъра, те могат да компрометират тези данни. Използвайки качване на файлове, хакерите задействаха грешки, които им позволяваха да изпращат злонамерени кодове или команди.

Според компанията „имена на клиенти, номера на социалното осигуряване, дати на раждане, адреси и в някои случаи номера на шофьорските книжки“, както и „номера на кредитни карти за приблизително 209 000 потребители“. В допълнение към това бяха откраднати и 182 000 документи за кредитни спорове, които съдържат лична информация.

Заключителни мисли

Както можете да видите, да сте наясно с промените в технологията и да сте в крак с вашите софтуерни лепенки и малко заден план често винаги е повече от достатъчно, за да преодолеете повечето проблеми.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map