10 alapvető lépés a webhely biztonságának javításához
az elmúlt években bővült a weboldalak készítésének egyszerűsége. A tartalomkezelő rendszereknek (CMS) köszönhetően, mint a WordPress és a Joomla, a vállalkozások tulajdonosai most a webmesterek.
a weboldal biztonságáért való felelősség most a kezedben van, mégis sok tulajdonos nem tudja, hogyan lehet biztonságossá tenni webhelyét.
amikor az ügyfelek online hitelkártya-fizetési processzort használnak, tudniuk kell, hogy adataik biztonságban vannak. A látogatók nem akarják, hogy személyes adataik rossz kezekbe kerüljenek.
függetlenül attól, hogy kisvállalkozást vagy vállalkozást működtet, a felhasználók biztonságos online élményt várnak el.
A Google Registry és a Harris Poll 2019-es jelentése azt mutatta, hogy bár egyre több ember hoz létre weboldalakat, az amerikaiak többségének jelentős ismerethiánya van az online biztonság biztonságával kapcsolatban.
míg a válaszadók 55% – a A vagy B fokozatot adott magának az online biztonság terén, mintegy 70% – uk helytelenül határozta meg, hogyan kell kinéznie egy biztonságos URL-nek egy webhely számára.
számos módon biztosíthatja magát, alkalmazottait és ügyfeleit arról, hogy webhelye biztonságos. A webhely biztonságának nem kell találgatásnak lennie.
tegyen alapvető lépéseket webhelye biztonságának javítása felé. Segítsen távol tartani az adatokat a kíváncsiskodó szemektől.
egyetlen módszer sem garantálja, hogy webhelye örökre “hacker-mentes” lesz.”A megelőző módszerek használata csökkenti webhelye sebezhetőségét.
a weboldal biztonsága egyszerű és bonyolult folyamat. Legalább tíz alapvető lépést tehet a webhely biztonságának javítása érdekében, mielőtt túl késő lenne.
még az online világban is a tulajdonosoknak biztonságban kell tartaniuk az ügyfelek adatait. Tegyen meg minden szükséges óvintézkedést, és minden követ megmozgasson.
ha van weboldala, mindig jobb félni, mint megijedni.
hogyan lehet javítani a webhelyek biztonságát
- Tartsa naprakészen a szoftvereket és a bővítményeket
- HTTPS és SSL tanúsítvány hozzáadása
- válasszon egy intelligens jelszót
- használjon biztonságos internetes gazdagépet
minden nap számtalan webhely kerül veszélybe az elavult szoftverek miatt. A potenciális hackerek és botok támadásra szkennelik a webhelyeket.
A frissítések elengedhetetlenek az Ön webhelyének egészségéhez és biztonságához. Ha webhelye szoftverei vagy alkalmazásai nem naprakészek, akkor webhelye nem biztonságos.
vegye komolyan az összes szoftver-és bővítményfrissítési kérelmet.
A frissítések gyakran tartalmaznak biztonsági fejlesztéseket és biztonsági rések javítását. Ellenőrizze webhelyén a frissítéseket, vagy adjon hozzá egy frissítési értesítési bővítményt. Egyes platformok lehetővé teszik az automatikus frissítéseket, ami egy másik lehetőség a webhely biztonságának biztosítására.
minél tovább vár, annál kevésbé lesz biztonságos a webhelye. Tegye a webhely és összetevőinek frissítését kiemelt prioritássá.
A webhely biztonságának megőrzéséhez biztonságos URL-re van szükség. Ha a webhely látogatói felajánlják, hogy elküldik személyes adataikat, akkor HTTPS-re van szüksége, nem pedig HTTP-re.
mi az a HTTPs?
a HTTPS (Hypertext Transfer Protocol Secure) egy olyan protokoll, amelyet az interneten keresztüli biztonság biztosítására használnak. A HTTPS megakadályozza a lehallgatásokat és megszakításokat a tartalom továbbítása közben.
A biztonságos online kapcsolat létrehozásához webhelyének SSL tanúsítványra is szüksége van. Ha webhelye arra kéri a látogatókat, hogy regisztráljanak, regisztráljanak vagy bármilyen tranzakciót hajtsanak végre, titkosítania kell a kapcsolatot.
mi az SSL?
az SSL (Secure Sockets Layer) egy másik szükséges webhelyprotokoll. Ez továbbítja a látogató személyes adatait a weboldal és az adatbázis között. Az SSL titkosítja az információkat, hogy megakadályozza, hogy mások elolvassák azokat szállítás közben.
megtagadja a megfelelő felhatalmazással nem rendelkezők számára az adatokhoz való hozzáférés lehetőségét is. A GlobalSign egy példa egy SSL tanúsítványra, amely a legtöbb webhelyen működik.
mivel olyan sok weboldal, adatbázis és program van, amely jelszavakat igényel, nehéz nyomon követni. Sokan végül ugyanazt a jelszót használják minden helyen, hogy emlékezzenek bejelentkezési adataikra.
de ez egy jelentős biztonsági hiba.
hozzon létre egy egyedi jelszót minden új bejelentkezési kérelemhez. Gyere fel bonyolult, véletlenszerű és nehezen kitalálható jelszavakkal. Ezután tárolja őket a webhely könyvtárán kívül.
például a betűk és számok 14 számjegyű keverékét használhatja jelszóként. Ezután tárolhatja a jelszót egy offline fájlban, egy okostelefonon vagy egy másik számítógépen.
A CMS bejelentkezést kér, és ki kell választania egy intelligens jelszót. Tartózkodjon a jelszaván belüli személyes adatok felhasználásától is. Ne használja születésnapját vagy háziállatának nevét; tegye teljesen kitalálhatatlanná.
három hónap vagy annál hamarabb változtassa meg jelszavát egy másikra, majd ismételje meg. Az intelligens jelszavak hosszúak, minden alkalommal legalább tizenkét karakterből kell állniuk. A jelszavának számok és szimbólumok kombinációjából kell állnia. Ügyeljen arra, hogy váltogassa a nagy-és kisbetűket.
soha ne használja ugyanazt a jelszót kétszer, vagy ossza meg másokkal.
ha Ön cégtulajdonos vagy CMS-menedzser, győződjön meg arról, hogy minden alkalmazott gyakran megváltoztatja a jelszavát.
gondoljon a webhely domain nevére utcacímként. Most gondolj a web host, mint a telek “ingatlan”, ahol a honlapon létezik online.
ahogy egy telket kutatna egy ház építéséhez, meg kell vizsgálnia a potenciális webtárhelyeket, hogy megtalálja az Ön számára megfelelőt.
számos gazdagép rendelkezik olyan szerverbiztonsági funkciókkal, amelyek jobban védik a feltöltött webhelyadatokat. Vannak bizonyos elemek, amelyeket ellenőrizni kell a házigazda kiválasztásakor.
- a webgazda biztonságos fájlátviteli protokollt (SFTP) kínál? SFTP.
- le van tiltva az FTP használata ismeretlen felhasználók számára?
- használ Rootkit szkennert?
- kínál-e fájlmentési szolgáltatásokat?
- mennyire tudják naprakészen tartani a biztonsági frissítéseket?
akár A SiteGround-ot, akár a WP Engine-t választja webgazdának, győződjön meg róla, hogy rendelkezik a webhely biztonságának megőrzéséhez szükséges eszközökkel.
kezdetben kényelmesen érezheti magát, ha több magas szintű alkalmazottnak hozzáférést biztosít a webhelyéhez. Mindegyik adminisztrátori jogosultsággal rendelkezik, gondolva, hogy gondosan fogja használni a webhelyét. Bár ez az ideális helyzet, nem mindig ez a helyzet.
sajnos az alkalmazottak nem gondolnak a webhely biztonságára, amikor bejelentkeznek a CMS-be. Ehelyett a gondolataik a feladatról szólnak.
ha hibát követnek el, vagy figyelmen kívül hagynak egy problémát, ez jelentős biztonsági problémát eredményezhet.
fontos, hogy az alkalmazottak, mielőtt nekik honlap hozzáférést állatorvos. Tudja meg, hogy van-e tapasztalata a CMS használatával, és tudják-e, mit kell keresniük a biztonsági megsértés elkerülése érdekében.
oktasson minden CMS-felhasználót a jelszavak és a szoftverfrissítések fontosságáról. Mondja el nekik, hogyan tudnak segíteni a webhely biztonságának fenntartásában.
annak nyomon követéséhez, hogy ki fér hozzá a CMS-hez és az adminisztrációs beállításaihoz, készítsen rekordot és frissítse gyakran.
alkalmazottak jönnek és mennek. A biztonsági problémák megelőzésének egyik legjobb módja az, ha fizikai nyilvántartást vezet arról, hogy ki mit csinál a webhelyével.
legyen ésszerű, amikor a felhasználói hozzáférésről van szó.
a webhelyek elleni leggyakoribb támadások teljesen automatizáltak. Amit sok támadórobot támaszkodik, az az, hogy a felhasználók alapértelmezett CMS-beállításokkal rendelkezzenek.
A CMS kiválasztása után azonnal módosítsa az alapértelmezett beállításokat. A változások segítenek megakadályozni a támadások nagy számát.
A CMS beállításai magukban foglalhatják a vezérlési megjegyzések, a felhasználói láthatóság és az engedélyek beállítását.
Az alapértelmezett beállítások módosításának nagyszerű példája a ‘file permissions.’Megváltoztathatja az engedélyeket annak megadásához, hogy ki mit tehet egy fájllal.
minden fájlnak három engedélye van, és egy szám, amely minden engedélyt képvisel:
- ‘Read ‘(4): a fájl tartalmának megtekintése.
- ‘Write ‘(2): a fájl tartalmának módosítása.
- ‘Execute ‘(1): futtassa a programfájlt vagy szkriptet.
a tisztázáshoz, ha sok engedélyt szeretne engedélyezni, adja hozzá a számokat. Például a read (4) és az write (2) engedélyezéséhez a felhasználói engedélyt 6-ra kell állítani.
Az alapértelmezett fájlengedély-beállításokkal együtt három felhasználótípus létezik:
- tulajdonos-gyakran a fájl létrehozója, de a tulajdonjog megváltoztatható. Egyszerre csak egy felhasználó lehet a tulajdonos.
- csoport – minden fájl egy csoporthoz van rendelve. Az adott csoporthoz tartozó felhasználók hozzáférhetnek a csoport engedélyeihez.
- nyilvános – mindenki más.
a felhasználók és jogosultsági beállításaik testreszabása. Ne tartsa az alapértelmezett beállításokat úgy, ahogy van, különben valamikor webhelybiztonsági problémákba ütközik.
az egyik legjobb módszer a webhely biztonságának megőrzésére egy jó biztonsági mentési megoldás. Több kell, mint egy. Mindegyik elengedhetetlen a webhely helyreállításához egy nagyobb biztonsági esemény bekövetkezése után.
számos különböző megoldás használható a sérült vagy elveszett fájlok helyreállítására.
tartsa a webhely adatait a webhelyen kívül. Ne tárolja a biztonsági mentéseket ugyanazon a szerveren, mint a webhelyén; ugyanolyan sebezhetőek a támadásokkal szemben is.
válassza ki, hogy a webhely biztonsági mentését otthoni számítógépen vagy merevlemezen tárolja. Keressen egy off-site helyet az adatok tárolására és a hardverhibák, hackek és vírusok elleni védelemre.
egy másik lehetőség a webhely biztonsági mentése a felhőben. Egyszerűvé teszi az adatok tárolását, és bárhonnan hozzáférést biztosít az információkhoz.
A webhely biztonsági mentésének kiválasztása mellett fontolóra kell vennie azok automatizálását. Használjon olyan megoldást, ahol ütemezheti a webhely biztonsági mentéseit. Azt is biztosítani szeretné, hogy megoldása megbízható helyreállítási rendszerrel rendelkezzen.
legyen redundáns a biztonsági mentési folyamatban — készítsen biztonsági másolatot.
ezzel visszaállíthatja a fájlokat bármely pontról, mielőtt a hack vagy a vírus bekövetkezik.
Ismerje meg a webkiszolgáló konfigurációs fájljait. Megtalálhatja őket a gyökér webkönyvtárban. A webkiszolgáló konfigurációs fájljai lehetővé teszik a kiszolgálói szabályok felügyeletét. Ez magában foglalja a webhely biztonságának javítását célzó irányelveket is.
minden szerverhez különböző fájltípusokat használnak. Tudjon meg többet arról, amit használ.
- Apache webszerverek használják a .htaccess fájl
- az Nginx szerverek nginx-et használnak.conf
- a Microsoft IIS-kiszolgálók a webet használják.config
nem minden webmester tudja, hogy melyik webszervert használja. Ha ön egyikük, használjon olyan webhely-szkennert, mint a Sitecheck, hogy ellenőrizze webhelyét. Ez átvizsgálja az ismert malware, vírusok, feketelistára állapot, honlap hibák, és így tovább.
minél többet tud a webhely biztonságának jelenlegi állapotáról, annál jobb. Időt ad, hogy megjavítsd, mielőtt bármi baj érné.
győződjön meg róla, hogy webalkalmazás-tűzfalra (WAF) pályázik. A webhely szervere és az adatkapcsolat között helyezkedik el. A cél az, hogy olvassa el az összes adatot, amely áthalad rajta, hogy megvédje webhelyét.
ma a legtöbb WAF felhőalapú és plug-and-play szolgáltatás. A felhőszolgáltatás az összes bejövő forgalom átjárója, amely blokkolja az összes hackelési kísérletet. Ezenkívül kiszűri a nem kívánt forgalom más típusait is, például a spammereket és a rosszindulatú botokat.
ha úgy gondolja, hogy webhelye biztonságos, elemeznie kell a hálózat biztonságát.
az irodai számítógépeket használó alkalmazottak véletlenül nem biztonságos útvonalat hozhatnak létre az Ön webhelyére.
annak megakadályozása érdekében, hogy hozzáférést biztosítsanak a webhely szerveréhez, fontolja meg a következőket a vállalkozásában:
- a számítógépes bejelentkezések rövid inaktivitás után lejárnak.
- győződjön meg róla, hogy a rendszer háromhavonta értesíti a felhasználókat a jelszó megváltoztatásáról.
- győződjön meg arról, hogy a hálózathoz csatlakoztatott összes eszközt minden egyes csatlakoztatáskor átvizsgálja a rosszindulatú programok.
következtetés
üzleti tulajdonosként és webmesterként nem lehet egyszerűen létrehozni egy weboldalt, és elfelejteni. Bár a weboldal létrehozása könnyebb, mint valaha, ez nem változtat azon a tényen, hogy biztonsági karbantartásra van szükség.
mindig legyen proaktív, amikor a vállalat és az ügyfelek adatainak védelméről van szó. Függetlenül attól, hogy webhelye online fizetéseket vagy személyes adatokat vesz fel, a látogatók által az Ön webhelyére megadott adatoknak a megfelelő kezekbe kell kerülniük.