10 olennaiset vaiheet parantaa sivuston turvallisuutta
viime vuosina verkkosivujen rakentamisen helppous on laajentunut. Kiitos content management systems (CMS), kuten WordPress ja Joomla, yritysten omistajat ovat nyt webmasters.
vastuu verkkosivujen turvallisuudesta on nyt sinun käsissäsi, mutta silti monet omistajat eivät osaa tehdä verkkosivuistaan turvallisia.
kun asiakkaat käyttävät online-luottokorttimaksun käsittelijää, heidän on tiedettävä, että heidän tietonsa ovat turvallisia. Kävijät eivät halua henkilötietojensa päätyvän vääriin käsiin.
olipa kyseessä pienyritys tai yritys, käyttäjät odottavat turvallista verkkokokemusta.
Google Registryn vuonna 2019 julkaisema raportti ja Harrisin kysely osoittivat, että vaikka yhä useammat ihmiset luovat verkkosivustoja, suurimmalla osalla amerikkalaisista on merkittävä tietovaje verkkoturvallisuuden suhteen.
kun 55% vastaajista antoi itselleen arvosanan A tai B verkkoturvallisuudessa, noin 70% tunnisti väärin, miltä turvallisen URL-osoitteen tulisi näyttää verkkosivustolle.
on monia tapoja vakuuttaa itsellesi, työntekijöille ja asiakkaille, että sivustosi on turvallinen. Sivuston tietoturvan ei tarvitse olla arvailua.
ota oleellisia askelia sivustosi turvallisuuden parantamiseksi. Auta pitämään tiedot poissa uteliailta katseilta.
mikään menetelmä ei voi taata sivustosi olevan ikuisesti ”hakkerivapaa.”Ennaltaehkäisevien menetelmien käyttö vähentää sivustosi haavoittuvuutta.
verkkosivujen turvallisuus on sekä yksinkertainen että monimutkainen prosessi. On ainakin kymmenen olennaisia toimia voit parantaa sivuston turvallisuutta ennen kuin on liian myöhäistä.
nettimaailmassakin omistajien on pidettävä asiakastiedot turvassa. Ryhdy varotoimiin äläkä jätä kiveäkään kääntämättä.
jos sinulla on verkkosivusto, on aina parempi olla turvassa kuin katua.
miten parantaa verkkosivustojen turvallisuutta
- pidä ohjelmistot ja liitännäiset ajan tasalla
- lisää HTTPS ja SSL-varmenne
- valitse Älysalasana
- käytä suojattua Web-isäntää
joka päivä lukemattomat verkkosivustot vaarantuvat vanhentuneiden ohjelmistojen vuoksi. Mahdolliset hakkerit ja botit skannaavat sivustoja hyökätäkseen.
päivitykset ovat elintärkeitä verkkosivustosi terveydelle ja turvallisuudelle. Jos sivustosi ohjelmisto tai sovellukset eivät ole ajan tasalla, sivustosi ei ole turvallinen.
Ota kaikki ohjelmistojen ja liitännäisten päivityspyynnöt vakavasti.
päivitykset sisältävät usein tietoturvaparannuksia ja haavoittuvuuden korjauksia. Tarkista sivustosi päivitykset tai lisää päivitysilmoitus plugin. Jotkut alustat sallivat automaattiset päivitykset, mikä on toinen vaihtoehto sivuston turvallisuuden varmistamiseksi.
mitä kauemmin odotat, sitä turvattomampi sivustosi on. Tee sivustosi ja sen komponenttien päivittäminen ensisijaiseksi tavoitteeksi.
pitääksesi sivustosi turvassa tarvitset suojatun URL-osoitteen. Jos sivustosi kävijät tarjoavat lähettää yksityisiä tietoja, tarvitset HTTPS, ei HTTP, toimittaa sen.
mikä on HTTPs?
HTTPS (Hypertext Transfer Protocol Secure) on protokolla, jota käytetään tietoturvan tarjoamiseen Internetissä. HTTPS estää kuuntelun ja keskeytykset sisällön siirron aikana.
jotta voit luoda turvallisen verkkoyhteyden, sivustosi tarvitsee myös SSL-varmenteen. Jos sivustosi pyytää kävijöitä rekisteröitymään, rekisteröitymään tai tekemään minkä tahansa tapahtuman, sinun on salattava yhteytesi.
mitä SSL on?
SSL (Secure Sockets Layer) on toinen tarpeellinen sivustoprotokolla. Tämä siirtää kävijän henkilökohtaisia tietoja sivuston ja tietokannan välillä. SSL salaa tietoja, jotta muut eivät lukisi niitä kuljetuksen aikana.
se kieltää niiltä, joilla ei ole asianmukaista auktoriteettia, myös pääsyn tietoihin. GlobalSign on esimerkki SSL-sertifikaatista, joka toimii useimpien verkkosivustojen kanssa.
kun salasanoja tarvitsevia verkkosivustoja, tietokantoja ja ohjelmia on niin paljon, että niitä on vaikea seurata. Moni päätyy käyttämään samaa salasanaa kaikissa paikoissa muistaakseen kirjautumistietonsa.
, mutta kyseessä on merkittävä tietoturvavirhe.
luo yksilöllinen salasana jokaiseen uuteen kirjautumispyyntöön. Keksi monimutkaisia, satunnaisia ja vaikeasti arvattavia salasanoja. Sitten, tallentaa ne ulkopuolella verkkosivuilla hakemistoon.
esimerkiksi salasanana voi käyttää 14-numeroista kirjainten ja numeroiden sekoitusta. Voit sitten tallentaa salasanan(t) offline-tiedoston, älypuhelin, tai eri tietokoneeseen.
CMS pyytää kirjautumista, ja sinun täytyy valita älysalasana. Pidättäydy käyttämästä mitään henkilökohtaisia tietoja sisällä salasanan samoin. Älä käytä syntymäpäivääsi tai lemmikkisi nimeä; tee siitä täysin unguessable.
kolmen kuukauden kuluttua tai aikaisemmin Vaihda salasana toiseen ja toista. Älysalasanat ovat pitkiä ja niiden pitäisi olla vähintään kaksitoista merkkiä, joka kerta. Salasanasi on oltava numeroiden ja symbolien yhdistelmä. Muista vaihtaa isoja ja pieniä kirjaimia.
Älä koskaan käytä samaa salasanaa kahdesti tai jaa sitä muille.
jos olet yrityksen omistaja tai CMS-johtaja, varmista, että kaikki työntekijät vaihtavat salasanansa usein.
ajattele verkkosivustosi verkkotunnusta katuosoitteena. Nyt, ajattele web isäntä tontti ”kiinteistö”, jossa sivusto on olemassa verkossa.
koska tutkisit tontin talon rakentamiseksi, sinun täytyy tutkia mahdollisia verkkoisäntiä löytääksesi sinulle sopivan.
monet isännät tarjoavat palvelimen tietoturvaominaisuuksia, jotka suojaavat paremmin ladattuja verkkosivustosi tietoja. On tiettyjä kohteita tarkistaa valitessaan isäntä.
- tarjoaako web-isäntä turvallisen Tiedostonsiirtoprotokollan (SFTP)? Sftp.
- onko tuntemattoman käyttäjän FTP-palvelu poistettu käytöstä?
- käyttääkö se Rootkit-skanneria?
- tarjoaako se tiedostojen varmuuskopiointipalveluita?
- kuinka hyvin he pysyvät ajan tasalla tietoturvapäivityksistä?
valitsetpa web-isäntänäsi SiteGroundin tai WP Enginen, varmista, että siinä on se, mitä tarvitset pitääksesi sivustosi turvallisena.
aluksi saatat tuntea olosi mukavaksi antamalla useille korkean tason työntekijöille pääsyn verkkosivustollesi. Annat jokaiselle hallinnolliset oikeudet ajatellen, että he käyttävät sivustoaan huolellisesti. Vaikka tämä on ideaalitilanne, niin aina näin ei ole.
valitettavasti työntekijät eivät ajattele verkkosivujen turvallisuutta kirjautuessaan CMS: ään. Sen sijaan heidän ajatuksensa ovat käsillä olevassa tehtävässä.
jos he tekevät virheen tai sivuuttavat ongelman, siitä voi seurata merkittävä turvallisuusongelma.
on tärkeää tutustua työntekijöihin ennen kuin heille annetaan pääsy verkkosivuille. Selvitä, onko heillä kokemusta CMS: n käytöstä ja tietävätkö he, mitä etsiä tietoturva-aukon välttämiseksi.
valistaa jokaista CMS-käyttäjää salasanojen ja ohjelmistopäivitysten tärkeydestä. Kerro heille kaikki keinot, joilla he voivat auttaa ylläpitämään sivuston turvallisuutta.
jos haluat seurata, kenellä on pääsy CMS: ään ja niiden hallinnollisiin asetuksiin, tee tallenne ja päivitä se usein.
työntekijää tulee ja menee. Yksi parhaista tavoista estää turvallisuuskysymyksiä on olla fyysinen kirjaa kuka tekee mitä sivustosi.
ole järkevä, kun on kyse käyttöoikeudesta.
yleisimmät hyökkäykset verkkosivustoja vastaan ovat täysin automatisoituja. Mitä monet hyökkäys botit luottaa on käyttäjät ovat niiden CMS asetukset oletuksena.
kun olet valinnut CMS: n, muuta oletusasetuksesi välittömästi. Muutokset auttavat estämään suuren määrän hyökkäyksiä.
CMS-asetukset voivat sisältää säätökommenttien, käyttäjän näkyvyyden ja käyttöoikeuksien säätämisen.
hyvä esimerkki oletusasetusmuutoksesta, joka sinun pitäisi tehdä, on ’tiedostojen käyttöoikeudet.’Voit muuttaa käyttöoikeuksia määrittääksesi, kuka voi tehdä mitä tiedostolle.
jokaisella tiedostolla on kolme käyttöoikeutta ja numero, joka edustaa jokaista käyttöoikeutta:
- ’Lue ”(4): Tarkastele tiedoston sisältöä.
- ”Write” (2): Muuta tiedoston sisältöä.
- ”suorita” (1): Suorita ohjelmatiedosto tai skripti.
selventääksesi, jos haluat sallia monta lupaa, lisää numerot yhteen. Esimerkiksi salliaksesi lukea (4) ja kirjoittaa (2) asetat käyttäjän oikeudet arvoon 6.
oletustiedostojen käyttöoikeusasetusten ohella on olemassa kolme käyttäjätyyppiä:
- omistaja-usein tiedoston luoja, mutta omistusta voidaan muuttaa. Vain yksi käyttäjä voi olla omistaja kerrallaan.
- ryhmä-jokainen tiedosto on liitetty ryhmään. Käyttäjät, jotka kuuluvat kyseiseen ryhmään, saavat käyttöönsä Ryhmän käyttöoikeudet.
- Julkinen-kaikki muut.
muokkaa käyttäjiä ja heidän käyttöoikeusasetuksiaan. Älä pidä oletusasetuksia sellaisenaan, tai törmäät sivuston tietoturvaongelmiin jossain vaiheessa.
yksi parhaista tavoista pitää sivustosi turvassa on hyvä vararatkaisu. Sinulla pitäisi olla enemmän kuin yksi. Jokainen on ratkaisevan tärkeää palauttaa sivuston jälkeen suuri turvallisuus vaaratilanne tapahtuu.
on olemassa useita erilaisia ratkaisuja, joiden avulla voit palauttaa vahingoittuneet tai kadonneet tiedostot.
pidä verkkosivustosi tiedot poissa sivustolta. Älä tallenna varmuuskopioita samalle palvelimelle kuin sivustosi; ne ovat yhtä alttiita hyökkäyksille liian.
valitse verkkosivujesi varmuuskopiointi kotitietokoneella tai kovalevyllä. Etsi off-site paikka tallentaa tietoja ja suojella sitä laitteisto epäonnistumisia, hakata, ja virukset.
toinen vaihtoehto on varmuuskopioida sivustosi pilveen. Se tekee tietojen tallentamisesta helppoa ja mahdollistaa pääsyn tietoihin mistä tahansa.
sen lisäksi, että valitset sivustosi varmuuskopiointipaikan, sinun on harkittava niiden automatisointia. Käytä ratkaisua, jossa voit ajoittaa sivuston varmuuskopiot. Haluat myös varmistaa, että ratkaisullasi on luotettava palautusjärjestelmä.
ole tarpeeton varmuuskopiointiprosessissasi-varmuuskopioi varmuuskopiosi.
tekemällä tämän, voit palauttaa tiedostoja mistä tahansa kohdasta ennen hakata tai virus tapahtuu.
Tutustu WWW-palvelimen asetustiedostoihin. Löydät ne root web-hakemistosta. WWW-palvelimen asetustiedostojen avulla voit hallinnoida palvelimen sääntöjä. Tämä sisältää direktiivit parantaa sivuston turvallisuutta.
jokaisella palvelimella on käytössä erilaisia tiedostotyyppejä. Opettele käyttämään sitä.
- Apache-verkkopalvelimet käyttävät.htaccess-tiedosto
- Nginx-palvelimet käyttävät nginxiä.conf
- Microsoftin IIS-palvelimet käyttävät Webiä.config
jokainen webmaster ei tiedä, mitä www-palvelinta he käyttävät. Jos olet yksi heistä, käytä sitecheckin kaltaista sivustoskanneria sivustosi tarkistamiseen. Se etsii tunnettuja haittaohjelmia, viruksia, mustalle listalle tila, sivuston virheitä, ja enemmän.
mitä enemmän tiedät sivustosi tietoturvan nykytilasta, sen parempi. Se antaa sinulle aikaa korjata se ennen kuin mitään vahinkoa tapahtuu.
varmista, että haet web-sovelluksen palomuuria (WAF). Se asettaa välillä sivuston palvelimen ja datayhteyden. Tarkoituksena on lukea jokainen vähän tietoa, joka kulkee sen kautta suojata sivustosi.
nykyään suurin osa Wafeista on pilvipohjaisia ja plug-and-play-palvelu. Pilvipalvelu on portti kaikkeen saapuvaan liikenteeseen, joka estää kaikki hakkerointiyritykset. Se suodattaa myös muunlaista ei-toivottua liikennettä, kuten roskapostittajia ja haittaohjelmistoja.
kun uskot verkkosivustosi olevan turvallinen, sinun on analysoitava verkon tietoturva.
toimistotietokoneita käyttävät työntekijät saattavat vahingossa luoda turvattoman väylän verkkosivustollesi.
jos haluat estää heitä antamasta pääsyä verkkosivustosi palvelimelle, harkitse seuraavan tekemistä yrityksessäsi:
- pyydä tietokoneen kirjautumisia vanhentumaan lyhyen käyttämättömyyden jälkeen.
- varmista, että järjestelmäsi ilmoittaa käyttäjille salasanojen muutoksista kolmen kuukauden välein.
- varmista, että kaikki verkkoon kytketyt laitteet skannataan haittaohjelmien varalta joka kerta, kun ne liitetään verkkoon.
johtopäätös
yrittäjänä ja webmestarina ei voi vain perustaa verkkosivustoa ja unohtaa sitä. Vaikka verkkosivujen luominen on helpompaa kuin koskaan, se ei muuta sitä tosiasiaa, että tietoturvan ylläpito on välttämätöntä.
ole aina ennakoiva yrityksesi ja asiakkaan tietojen suojaamisessa. Riippumatta siitä, ottaako sivustosi verkkomaksuja tai henkilökohtaisia tietoja, sivustoosi tulevien tietojen on oltava oikeissa käsissä.