10 podstawowych kroków do poprawy bezpieczeństwa witryny
W ostatnich latach zwiększyła się łatwość tworzenia stron internetowych. Dzięki systemom zarządzania treścią (CMS), takim jak WordPress i Joomla, właściciele firm są teraz webmasterami.
odpowiedzialność za bezpieczeństwo witryny jest teraz w twoich rękach, ale wielu właścicieli nie wie, jak sprawić, aby ich strona była bezpieczna.
gdy klienci korzystają z internetowego procesora płatności kartą kredytową, muszą wiedzieć, że ich dane są bezpieczne. Odwiedzający nie chcą, aby ich dane osobowe wpadły w niepowołane ręce.
niezależnie od tego, czy prowadzisz małą firmę, czy przedsiębiorstwo, użytkownicy oczekują bezpiecznego korzystania z Internetu.
raport z 2019 r. sporządzony przez Google Registry i Harris Poll wykazały, że chociaż więcej osób tworzy strony internetowe, większość Amerykanów ma znaczną lukę w wiedzy w zakresie bezpieczeństwa online.
podczas gdy 55% respondentów oceniło bezpieczeństwo w Internecie na poziomie A lub B, około 70% błędnie określiło, jak powinien wyglądać Bezpieczny adres URL witryny.
istnieje wiele sposobów, aby zapewnić sobie, pracownikom i klientom, że Twoja strona jest Bezpieczna. Bezpieczeństwo witryny nie musi być zgadywanką.
podejmij niezbędne kroki w kierunku poprawy bezpieczeństwa witryny. Pomóż zachować dane z dala od wścibskich oczu.
żadna metoda nie może zagwarantować, że Twoja strona będzie na zawsze ” wolna od hakerów.”Zastosowanie metod zapobiegawczych zmniejszy podatność Twojej witryny.
bezpieczeństwo witryny jest zarówno prostym, jak i skomplikowanym procesem. Istnieje co najmniej dziesięć podstawowych kroków, które możesz podjąć, aby poprawić bezpieczeństwo witryny, zanim będzie za późno.
nawet w świecie online właściciele muszą chronić informacje o klientach. Podejmij wszelkie niezbędne środki ostrożności i nie pozostawiaj kamienia na kamieniu.
jeśli masz stronę internetową, zawsze lepiej być bezpiecznym niż przepraszać.
jak poprawić bezpieczeństwo swoich stron internetowych
- Aktualizuj oprogramowanie i wtyczki
- Dodaj HTTPS i certyfikat SSL
- Wybierz Inteligentne hasło
- użyj bezpiecznego hosta
każdego dnia niezliczona ilość stron internetowych jest zagrożona z powodu przestarzałego oprogramowania. Potencjalni hakerzy i boty skanują witryny pod kątem ataku.
aktualizacje są niezbędne dla zdrowia i bezpieczeństwa Twojej witryny. Jeśli oprogramowanie lub aplikacje witryny nie są aktualne, witryna nie jest Bezpieczna.
poważnie traktuj wszystkie żądania aktualizacji oprogramowania i wtyczek.
Aktualizacje często zawierają ulepszenia zabezpieczeń i naprawy luk w zabezpieczeniach. Sprawdź swoją witrynę pod kątem aktualizacji lub dodaj wtyczkę powiadomienia o aktualizacji. Niektóre platformy umożliwiają automatyczne aktualizacje,co jest kolejną opcją zapewniającą bezpieczeństwo witryny.
im dłużej czekasz, tym mniej bezpieczna będzie Twoja strona. Spraw, aby aktualizacja witryny i jej komponentów była priorytetem.
aby Twoja witryna była bezpieczna, potrzebujesz bezpiecznego adresu URL. Jeśli odwiedzający Twoją witrynę oferują wysyłanie swoich prywatnych informacji, potrzebujesz HTTPS, a nie HTTP, aby je dostarczyć.
co to jest HTTPs?
HTTPS (Hypertext Transfer Protocol Secure) to protokół używany do zapewnienia bezpieczeństwa w Internecie. Protokół HTTPS zapobiega przechwytywaniu i przerwom podczas przesyłania treści.
aby utworzyć bezpieczne połączenie online, Twoja witryna wymaga również certyfikatu SSL. Jeśli Twoja witryna prosi odwiedzających o rejestrację, rejestrację lub dokonanie transakcji jakiegokolwiek rodzaju, musisz zaszyfrować połączenie.
CO TO JEST SSL?
SSL (Secure Sockets Layer) jest kolejnym niezbędnym protokołem witryny. To przenosi dane osobowe odwiedzających między witryną a bazą danych. SSL szyfruje informacje, aby uniemożliwić innym odczytanie ich podczas przesyłania.
odmawia również osobom bez odpowiednich uprawnień dostępu do danych. GlobalSign jest przykładem certyfikatu SSL, który działa z większością stron internetowych.
ponieważ istnieje tak wiele stron internetowych, baz danych i programów wymagających haseł, trudno je śledzić. Wiele osób używa tego samego hasła we wszystkich miejscach, aby zapamiętać swoje dane logowania.
ale to poważny błąd bezpieczeństwa.
Utwórz unikalne hasło dla każdego nowego żądania logowania. Wymyślaj skomplikowane, losowe i trudne do odgadnięcia hasła. Następnie przechowuj je poza katalogiem stron.
na przykład jako hasła możesz użyć 14-cyfrowej mieszaniny liter i cyfr. Następnie możesz zapisać hasło (hasła) w pliku offline, smartfonie lub innym komputerze.
Twój CMS zażąda loginu i musisz wybrać inteligentne hasło. Powstrzymaj się również od wykorzystywania jakichkolwiek danych osobowych zawartych w Twoim haśle. Nie używaj imienia swojego zwierzaka ani daty urodzin; spraw, aby było to całkowicie nie do odgadnięcia.
po trzech miesiącach lub wcześniej Zmień hasło na inne, a następnie powtórz. Inteligentne hasła są długie i powinny zawierać co najmniej dwanaście znaków za każdym razem. Twoje hasło musi być kombinacją cyfr i symboli. Pamiętaj, aby na przemian zmieniać wielkie i małe litery.
nigdy nie używaj tego samego hasła dwa razy ani nie udostępniaj go innym.
jeśli jesteś właścicielem firmy lub menedżerem CMS, upewnij się, że wszyscy pracownicy często zmieniają swoje hasła.
pomyśl o nazwie domeny swojej witryny jako o adresie ulicy. Teraz pomyśl o hostingu jako o fabule „nieruchomości”, w której istnieje Twoja strona internetowa.
jak byś zbadał działkę pod budowę domu, musisz zbadać potencjalne hosty internetowe, aby znaleźć odpowiedni dla ciebie.
wiele hostów zapewnia funkcje bezpieczeństwa serwera, które lepiej chronią przesłane dane witryny. Istnieją pewne elementy, które należy sprawdzić przy wyborze hosta.
- czy host internetowy oferuje bezpieczny protokół przesyłania plików (SFTP)? SFTP.
- czy Korzystanie z FTP przez nieznanego użytkownika jest wyłączone?
- czy używa skanera rootkitów?
- czy oferuje usługi tworzenia kopii zapasowych plików?
- jak dobrze są na bieżąco z aktualizacjami zabezpieczeń?
niezależnie od tego, czy wybierzesz SiteGround, czy WP Engine jako swojego hosta, upewnij się, że ma to, czego potrzebujesz, aby zapewnić bezpieczeństwo swojej witryny.
początkowo możesz czuć się komfortowo dając kilku pracownikom wysokiego szczebla dostęp do twojej witryny. Zapewniasz każdemu Uprawnienia administracyjne myśląc, że będą ostrożnie korzystać ze swojej witryny. Chociaż jest to idealna sytuacja, nie zawsze tak jest.
niestety pracownicy nie myślą o bezpieczeństwie witryny podczas logowania do CMS. Zamiast tego, ich myśli są na zadanie pod ręką.
jeśli popełnią błąd lub przeoczą problem, może to spowodować poważny problem z bezpieczeństwem.
ważne jest, aby zweryfikować swoich pracowników przed udostępnieniem im strony internetowej. Dowiedz się, czy mają doświadczenie w korzystaniu z twojego CMS i czy wiedzą, czego szukać, aby uniknąć naruszenia bezpieczeństwa.
poinformuj każdego użytkownika CMS o znaczeniu haseł i aktualizacji oprogramowania. Powiedz im, w jaki sposób mogą pomóc w utrzymaniu bezpieczeństwa witryny.
aby śledzić, kto ma dostęp do Twojego systemu CMS i jego ustawień administracyjnych, zrób rekord i często go Aktualizuj.
pracownicy przychodzą i odchodzą. Jednym z najlepszych sposobów zapobiegania problemom z bezpieczeństwem jest posiadanie fizycznego zapisu, kto co robi z Twoją witryną.
bądź rozsądny, jeśli chodzi o dostęp Użytkownika.
najczęstsze ataki na strony internetowe są całkowicie zautomatyzowane. To, na czym polega wiele ataków botów, polega na tym, że użytkownicy mają domyślne ustawienia CMS.
po wybraniu systemu CMS natychmiast zmień ustawienia domyślne. Zmiany zapobiegają wystąpieniu dużej liczby ataków.
ustawienia CMS mogą obejmować dostosowanie komentarzy kontrolnych, widoczności użytkownika i uprawnień.
świetnym przykładem domyślnej zmiany ustawień, którą powinieneś wprowadzić, jest ” uprawnienia do plików.’Możesz zmienić uprawnienia, aby określić, kto może co zrobić z plikiem.
każdy plik ma trzy uprawnienia i liczbę, która reprezentuje każde uprawnienie:
- 'Read '(4): wyświetla zawartość pliku.
- 'Write '(2): zmienia zawartość pliku.
- 'Execute’ (1): Uruchom plik programu lub skrypt.
aby wyjaśnić, jeśli chcesz zezwolić na wiele uprawnień, Dodaj liczby razem. Na przykład, aby zezwolić na odczyt (4) i zapis (2), ustawiasz uprawnienia użytkownika na 6.
wraz z domyślnymi ustawieniami uprawnień do plików istnieją trzy typy użytkowników:
- właściciel-często twórca pliku, ale własność może zostać zmieniona. Właścicielem może być tylko jeden użytkownik.
- Grupa – każdy plik jest przypisany do grupy. Użytkownicy, którzy należą do tej konkretnej grupy, uzyskają dostęp do uprawnień grupy.
- publiczne – wszyscy inni.
Dostosuj użytkowników i ich ustawienia uprawnień. Nie zachowuj domyślnych ustawień w takim stanie, w jakim są, w przeciwnym razie w pewnym momencie napotkasz problemy z bezpieczeństwem witryny.
jedną z najlepszych metod zapewnienia bezpieczeństwa witryny jest dobre rozwiązanie do tworzenia kopii zapasowych. Powinieneś mieć więcej niż jedną. Każdy z nich ma kluczowe znaczenie dla odzyskania witryny po wystąpieniu poważnego incydentu bezpieczeństwa.
istnieje kilka różnych rozwiązań, których możesz użyć, aby pomóc odzyskać uszkodzone lub utracone pliki.
Zachowaj informacje o swojej witrynie poza witryną. Nie przechowuj kopii zapasowych na tym samym serwerze co witryna; są one również podatne na ataki.
Wybierz, aby zachować kopię zapasową witryny na komputerze domowym lub dysku twardym. Znajdź zewnętrzne miejsce do przechowywania danych i ochrony przed awariami sprzętu, hackami i wirusami.
inną opcją jest utworzenie kopii zapasowej witryny w chmurze. Ułatwia przechowywanie danych i umożliwia dostęp do informacji z dowolnego miejsca.
poza wyborem miejsca, w którym chcesz wykonać kopię zapasową witryny, musisz rozważyć ich automatyzację. Użyj rozwiązania, w którym możesz zaplanować tworzenie kopii zapasowych witryny. Chcesz również mieć pewność, że Twoje rozwiązanie ma niezawodny system odzyskiwania.
bądź redundantny w procesie tworzenia kopii zapasowej-wykonaj kopię zapasową.
w ten sposób możesz odzyskać pliki z dowolnego punktu, zanim wystąpi hack lub wirus.
poznaj pliki konfiguracyjne serwera www. Możesz je znaleźć w głównym katalogu stron internetowych. Pliki konfiguracyjne serwera www umożliwiają administrowanie regułami serwera. Obejmuje to dyrektywy poprawiające bezpieczeństwo Twojej witryny.
istnieją różne typy plików używane na każdym serwerze. Dowiedz się więcej o tym, którego używasz.
- Serwery WWW Apache wykorzystująplik htaccess
- serwery nginx używają nginx.conf
- serwery Microsoft IIS używają sieci web.config
nie każdy webmaster wie z jakiego serwera korzysta. Jeśli jesteś jednym z nich, użyj skanera witryny, takiego jak Sitecheck, aby sprawdzić swoją witrynę. Skanuje w poszukiwaniu znanego złośliwego oprogramowania, wirusów, statusu czarnej listy, błędów witryny i innych.
im więcej wiesz o aktualnym stanie bezpieczeństwa swojej witryny, tym lepiej. Daje Ci czas na naprawienie go, zanim stanie się coś złego.
upewnij się, że aplikuj o zaporę aplikacji webowej (WAF). Ustawia między serwerem witryny a połączeniem danych. Celem jest odczytanie każdego bitu danych, który przechodzi przez niego, aby chronić Twoją witrynę.
obecnie większość WAF-ów jest oparta na chmurze i jest usługą typu plug-and-play. Usługa w chmurze jest bramą do całego ruchu przychodzącego, która blokuje wszelkie próby włamania. Filtruje również inne rodzaje niechcianego ruchu, takie jak spamerzy i złośliwe boty.
gdy uważasz, że Twoja witryna jest Bezpieczna, musisz przeanalizować bezpieczeństwo sieci.
pracownicy korzystający z komputerów biurowych mogą przypadkowo tworzyć niebezpieczną ścieżkę do twojej witryny.
aby uniemożliwić im dostęp do serwera witryny, rozważ wykonanie następujących czynności w swojej firmie:
- po krótkim okresie braku aktywności logowania do komputera wygasają.
- upewnij się, że system powiadamia użytkowników co trzy miesiące o zmianie hasła.
- upewnij się, że wszystkie urządzenia podłączone do sieci są skanowane pod kątem złośliwego oprogramowania za każdym razem, gdy są podłączone.
podsumowanie
jako właściciel firmy i webmaster nie możesz po prostu założyć strony internetowej i o niej zapomnieć. Chociaż tworzenie stron internetowych jest łatwiejsze niż kiedykolwiek, nie zmienia to faktu, że utrzymanie bezpieczeństwa jest konieczne.
zawsze bądź proaktywny, jeśli chodzi o ochronę danych twojej firmy i klientów. Niezależnie od tego, czy witryna pobiera płatności online, czy dane osobowe, dane wprowadzane przez odwiedzających do witryny muszą trafić w odpowiednie ręce.