10 съвета за да се предпазите вашия сайт от хакери, сигурност
Може да си мислите, че вашият сайт няма смисъл да пробие в, но уеб сайтове са постоянно под заплаха от влизане с взлом.
Повечето хакерство уеб сайтове, които не са предназначени да крадат вашите данни или да наруши функционирането на сайта. Те имат за цел да използват вашия сървър за изпращане на спам или временно ползване за съхранение на файлове на уеб сървър, обикновено незаконно съдържание.
Влизане с взлом са постоянно произвеждани от автоматизирани скриптове, написани специално за разресване интернет и опитайте да проникна сайтове са известни дупки в софтуера.
Тук са нашите 10 съвета, за да ви помогне да поддържате сайта си сигурен:
01. Актуализиране на софтуера
Това може да изглежда очевидно, но редовна актуализация на софтуера е от жизненоважно значение за поддържане на сигурността на вашия сайт.
Това важи както за операционната система на сървъра и всеки софтуер, който се използва в сайта си, като CMS или форум. Когато намери дупки в сигурността в софтуера, хакери се опитват да вземат бързо се възползват от него.
Ако сайтът ви се хоства, а след това не е нужно да се притеснявате за своевременното инсталиране на актуализации на операционната система, тъй като хостинг компания трябва да се погрижим за това себе си.
Ако използвате софтуер на трети страни на сайта си, като CMS или офлайн, не забравяйте да инсталирате актуализиране на системата, веднага след като те са освободени.
Повечето продавачи имат бюлетин или RSS емисия с описание на уебсайтове проблеми със сигурността. WordPress, Umbraco и много други CMS ви уведомява за наличните актуализации, когато влезете в административната част на сайта.
02. SQL инжектиране
Когато атакува чрез SQL инжекция, нападателя използва параметър поле уеб форма или URL адрес, за да получат достъп до вашата база данни или манипулира данни.
Когато се използва стандартен Transact SQL, че е възможно да поставите безпроблемно измамно код в молбата ви, така че да може да се използва за модифициране маси, информация или заличаване на данни.
Можете лесно да се предотврати това, винаги използвайте параметризираните запитвания.
Повечето езици за уеб програмиране поддържат тази функция.
Ако на някой хакер да промените URL параметъра да "или" 1 "= '1, това ще доведе до факта, че молбата ви отнема следния вид:
Тъй като "1" е "1", нападателят има достъп до всички таблици с данни. Също така, това ще му позволи да се добави допълнителна заявка в края на лицето, което ще бъде изпълнена заедно с оригинала.
При създаване на форма, винаги проверявайте данните, които идват от потребителите, и шифроване или маска някакви специални знаци.
04. Съобщения за грешка
Трябва да се използват общи фрази, като "Неправилно потребителско име или парола", и не означава това, което потребителят не е наред.
Ако някой хакер се опитва да изберете потребителско име и парола, както и дава съобщение за грешка, че една от областите, беше вярно, тогава той може да се концентрира върху оставащия областта, която опростява задачата:
05. Проверка на форми от страна на сървъра
Проверка форми винаги трябва да бъдат направени, както от страна на браузъра и от страна на сървъра. Браузърът може да провери прости грешките, като незапълнени задължителни полета или текст, въведени в поле, което изисква въвеждане на номер.
Въпреки това, тези проверки могат да бъдат прескочени, а вие трябва да проверите тези условия, а също и от страна на сървъра. Липсата на контрол може да доведе до поставяне на зловреден код в базата от данни или нежелани резултати на сайта.
06. Пароли
Въпреки факта, че потребителите не го харесват, принудени изисквания пароли като минимална дължина от най-малко осем знака, включването на символите на паролата в главни букви или числа, за да им помогнат, в крайна сметка, за да спаси своята информация.
За допълнителна защита можете да използвате "сол" за парола, а добавянето на нов "сол" на всяка парола.
Ако уебсайт е компрометиран и нападателя получава данни с пароли, съхраняване хеширана пароли, за да помогне за намаляване на щетите, тъй като Тя изисква тяхното разшифроване. Най-доброто нещо, което може да се направи на нападателя в този случай - речникова атака или груба сила атака, трябва да се провери всички възможни комбинации, докато се намери мач.
При използване на "сол" пароли, процесът на разбиване на голям брой пароли е още по-бавно, защото Всяка опция трябва да се сегментира отделно за всички комбинации от парола + "сол", която изисква голяма изчислителна цена.
За щастие, CMS, повечето инструменти за управление предоставят на потребителите много вградени системи за безопасност, въпреки че използването на "сол" и определя минимален сложността парола може да изисква известно заместник тунинг или допълнителни модули.
Ако използвате .NET, тогава е необходимо да се използва доставчици за членство, като те имат много настройки, предоставя вградена система за сигурност и включва елементи, готови да влезете в системата и да промените паролата.
07. изтегляне на файла
Ако сайтът Ви има форма за качване на файлове, тогава ще трябва да се отнасяме към всички изтеглени файлове с подозрение. Ако позволите на потребителите да качват снимки, когато се определя от вида на файла, не можете да разчитате на разширяването или мим-тип, тъй като те лесно могат да бъдат обработвани.
И така, какво можете да направите, за да се предотврати това? Обикновено трябва да деактивирате изпълнение на качени от потребителите файлове.
По подразбиране, уеб сървъри не се опитват да се изпълни файлове с разширения на изображения, но това не е препоръчително да се разчита единствено на разширението на файла, тъй като има случаи, когато файл «image.jpg.php» на заобикаля тази проверка.
Ето няколко решения на проблема: Преименуване да изтеглите файла, за да се гарантира точността на разрешението; промените разрешенията за файла, като коригират 0666. така че да не могат да бъдат изпълнени.
В Никс системи *, можете да създадете файл .htaccess (виж примера по-долу), което ще позволи достъп само до набор от файлове, която ще премахне възможността за атака с двойно разширение, споменато по-рано:
Ако вашите файлове не са достъпни директно, че ще трябва да се създаде скрипт (или HTTP манипулатор в .NET), за да ги извлече от затворената папка и ще даде на браузъра.
Повечето хостинг доставчици правят необходимите настройки на сървъра за вас, но ако вашият сайт е пуснат на вашия собствен сървър, а след това има няколко неща, които трябва да се провери.
Уверете се, че сте конфигурирали защитна стена и той блокира несъществени пристанища. Ако е възможно, създаден демилитаризираната зона (демилитаризирана зона), свободния достъп до външния свят само за портове 80 и 443. Въпреки, че тя може да се окаже невъзможно, ако не разполагате с достъп до вашия сървър от локалната мрежа, тъй като в този случай ще трябва да се отвори портове, които позволяват да се качват файлове и да се управлява дистанционно вашия сървър чрез SSH или ПРСР.
Ако позволите на сваляне на файлове от интернет, използвайте защитените начините за предаване, като SFTP или SSH.
Ако е възможно, изберете един сървър за базата данни, с изключение на уеб сървъра.
В този случай, сървърът на базата данни не е достъпен директно от външния свят, само вашия уеб сървър ще бъде в състояние за достъп до нея, като по този начин се свежда до минимум риска от кражба на вашите данни.
И накрая, не забравяйте да се ограничи физически достъп до вашия сървър.
SSL - е протокол, използван за безопасно прехвърляне на данни по интернет. Това е добра идея да се използва сертификат за сигурност всеки път, когато предават лични данни между клиент и уеб сървър или база данни.
10. Инструменти тест уебсайт
Когато вече мислите, че сте направили всичко възможно, че е време да се провери сигурността на вашия сайт. Най-ефективният начин да се направи това - използва тест инструменти сайтове, известни също като проникване тестване или писалка-тестове.
За да направите това, има много търговски и безплатни продукти. Те се работи по подобна схема със скриптове хакери, като се използват всички известни подвизи и се опитва да пробие в сайта си един от методите, описани по-горе, например, с помощта на SQL-инжекция.
Ето някои безплатни инструменти:
- Netsparker (безплатна пробна версия е налична). Подходящи за тестване SQL-инжектиране и XSS
- OpenVAS. Той е и позициониране като най-модерната скенера за сигурност с отворен код. Подходящ е за тестване на известни уязвимости, който в момента повече от 25,000 проверки.
Но това е сложно да се създаде и изисква сървъра OpenVAS който работи на * никс.
OpenVAS - един вид Nessus система преди последният се превръща в търговски продукт.
Резултатите от автоматизирани тестове могат да бъдат плашещи, тъй като те показват всички видове потенциални заплахи. Важното е да се работи основно върху критичните бележки.
За всеки идентифициран проблем свързан добро обяснение на потенциалните рискове за сигурността. Възможно е да се реши, че някои средно- и уязвимост ниско опасни не представляват заплаха за вашия сайт.
Ако искате да се отиде по-далеч, а след това все още има някои стъпки, които можете да предприемете, опитвайки се да проникна ръчно сайта си, промяна на POST / GET заявки ценности.
Тук можете да се помогне за отстраняване на грешки прокси (прокси отстраняване на грешки), тъй като тя дава възможност за заснемане на HTTP заявки ценности в района между вашия браузър и сървъра. Популярни безплатно приложение, наречено Фидлър. подходящ за начало.
Друг възможен тест площ - форма. Променете стойността на POST. се опита да изпратите заявка за крос-сайт или изтегляне от страна на сървъра скрипт:
Надяваме се, че тези съвети ще ви помогнат да запазите сайта и информацията за него в областта на сигурността.
За щастие, повечето CMS имат достатъчно вградени инструменти за сигурност, но все пак е добре да знаете за най-популярните заплахи за сигурността, за да сте сигурни, че сте ги осигурено.
Има и някои полезни CMS модули, за да проверите вашата система за най-често срещаните уязвимости.
Сред тях са Security Review за Drupal и WP Scan сигурност за WordPress.
Превод на статията "10 съвета за сигурност за защита на вашия сайт от хакери» е изготвен от екип от приятелски Уеб дизайн проект от А до Я.