Как защитить сайт: Как обезопасить свой веб-сайт? / Хабр

Содержание

6 способов защитить свой сайт от хакеров – База знаний Timeweb Community

С хакерскими атаками знаком практически каждый веб-мастер, разработчик или владелец сайта. Атаки вредят репутации ресурса и его рейтингу в поисковой выдаче, что негативно сказывается на посещаемости сайта, а также на доходах его владельца, если проект является коммерческим. Именно поэтому необходимо рассматривать безопасность ресурса как приоритетную задачу для вашего бизнеса, особенно если вы запрашиваете личную информацию у клиентов. Каким образом можно обеспечить эту безопасность? Прочтите эту статью и узнайте о 6 способах защиты от хакерских атак.

1. Храните только нужные данные клиентов

Хакеры не могут украсть то, чего у вас нет. Поэтому запрашивайте через ваш интернет-ресурс и сохраняйте только те личные данные клиента, которые действительно необходимы для ведения вашего бизнеса. Когда необходимо обработать данные банковских карт, используйте зашифрованный канал для их обработки, чтобы исключить возможность прочтения данных карты вашими серверами. Это может занять больше времени при проведении платежа вашими клиентами, однако подобные действия оградят вас от рисков, связанных с сохранностью данных банковских карт ваших клиентов.

Комьюнити теперь в Телеграм

Подпишитесь и будьте в курсе последних IT-новостей

Подписаться

2. Обновите SSL

При передаче конфиденциальной информации необходимо зашифровать соединение между сайтом и браузером. Для того, чтобы обезопасить сайт от взлома хакерами, постоянно обновляйте версии текущих шифровальных алгоритмов, например для SSL (Secure Sockets Layer — уровень защищенных сокетов). Для обеспечения безопасности важно использовать обновленные версии библиотеки шифрования. Некоторое время назад исследователи обнаружили серьезную уязвимость в коде версий SSL 3.0 и 2.0. Именно поэтому обновления необходимы.

3. Тестируйте свой сайт на наличие уязвимостей

Компании, выпускающие банковские карты, обязывают продавцов тестировать их ресурсы на соответствие определенным стандартам безопасности. Однако этого порой недостаточно. Самый надежный путь предотвращения непредвиденных взломов — проведение регулярного тестирования ваших ресурсов. Это включает в себя:

  • Регулярную проверку веб-сайтов (включая тестирование всех ссылок) для того, чтобы убедиться, что хакеры не внедрили вредоносные программы (malware) в рекламные объявления, графику или любой другой контент, размещенный на вашем сайте третьими лицами.

  • Тестирование на проникновение. Если ваш бюджет позволяет, подумайте о том, чтобы нанять специалиста по кибер-безопасности для нахождения уязвимостей в коде.

  • Подбор инструментов для сканирования, которые в процессе тестирования программы помогают вычислить различные уязвимости в коде.

4. Шифруйте коммуникации

Шифруйте коммуникации со своими партнерами по бизнесу, особенно когда это касается данных платежных карт. При необходимости можно даже задуматься о шифровке ваших электронных писем. Помните, что никогда не стоит отправлять важные личные данные простым текстом через Интернет. Зачем рисковать сохранностью ваших данных?

5. Доверяй, но проверяй

Мы все хотим доверять свои клиентам, верно? Однако в наши дни лучше всего проверить дважды. Поэтому подключите систему подтверждения адреса и запрашивайте клиентов вводить код проверки подлинности карты для всех транзакций.

6. Выбирайте надежного хостинг-провайдера

Выбирая хостинг-провайдера, убедитесь, что вы инвестируете в качественные услуги. Множество хостеров, например, Timeweb, предлагают набор услуг, способствующих стабильной и надежной работе вашего сайта. Наибольшую безопасность вам могут гарантировать провайдеры, которые:

  • проводят регулярное резервное копирование;

  • проводят регулярный мониторинг сети;

  • предоставляют поддержку в случае возникновения каких-либо проблем.

Вы должны быть уверены, что у хостинг-провайдера есть сценарии реагирования на непредвиденные неполадки или атаки. Уточните у хостера всю необходимую информацию.

Вывод

Ваши клиенты должны быть уверены, что вы делаете все необходимое для обеспечения онлайн-безопасности. Для этого регулярно тестируйте свой сайт, оперативно устраняйте проблемы в случае их обнаружения и следите за тем, чтобы все уязвимости были под вашим контролем.

Защита сайта от взлома и вирусов — что можно сделать, чтобы повысить безопасность сайта

Что только не придумывают владельцы сайтов, чтобы не заниматься вопросами их безопасности: «мой сайт не представляет ценности для хакеров», «вряд ли меня кто-нибудь захочет взломать» и все в этом духе. Мол, работает сайт, и ладно.

Полагая, что ваш сайт не представляет для киберпреступников никакой ценности, вы сильно недооцениваете вашего незримого противника. Большинство взломов — это не банальные кража данных или поломка шаблона сайта, а попытка использовать сайт для распространения спама или создания на нем временного хранилища файлов незаконного характера. Другие, не менее распространенные случаи злоупотребления взломанными сайтами, заключаются в использовании сайтов для ботнета или для скрытого майнинга криптовалюты. И не забывайте про интернет-вымогателей.

Как правило, взлом выполняется автоматическими скриптами, написанными для эксплуатирования уязвимостей в программном обеспечении. По данным компании Positive Technologies, специализирующейся на информационной безопасности, количество киберпреступлений в 1 квартале 2019 года выросло на 32% по сравнению с аналогичным периодом предыдущего года. И, исходя из прогнозов экспертов, количество кибератак будет расти. Поэтому предлагаем вам действовать превентивно и подготовить защиту заранее.

В этой статье собраны 5 лучших советов, которые помогут вам и вашему сайту безопасно работать в интернете.

Регулярно обновляйте CMS сайта

Этот совет может показаться очевидным, однако регулярное обновление программного обеспечения имеет важное значение для обеспечения безопасности вашего сайта. Когда в программном обеспечении обнаруживается уязвимость, хакеры моментально пытаются ее эксплуатировать. Не медлите: регулярно обновляйте CMS и все ее компоненты (плагины, модули, файлы темы и др.). Однако не забывайте, некоторые обновления могут быть несовместимы друг с другом. Поэтому перед любым обновлением настоятельно рекомендуем делать резервную копию.

Также обязательно подпишитесь на уведомления от поставщика вашего программного обеспечения, чтобы держать руку на пульсе самых последних новостей. На сегодняшний день подавляющее большинство компаний делают email-рассылки, поддерживают push-уведомления и ведут группы в социальных сетях, через которые оперативно оповещают своих подписчиков об обнаруженных уязвимостях и актуальных обновлениях. А некоторые CMS, в числе которых популярный WordPress, сообщают об обновлениях каждый раз при входе в систему.

Устанавливайте SSL-сертификаты

На сайте, который защищен SSL-сертификатом, злоумышленники не могут перехватывать личные данные посетителей: логины, пароли, данные банковских карт и другую информацию. SSL-сертификат гарантирует их защиту. Вспомним, как в свое время поисковик Google объявил, что будет повышать в поисковой выдаче сайты, которые перешли на протокол HTTPS, что дает неоспоримое преимущество для SEO. Яндекс также не остался в стороне и упомянул о преимуществах использования SSL сертификата в своем блоге. Так что времена небезопасного протокола HTTP уходят в прошлое.

Определить сайт с SSL-сертификатом легко — если вы видите небольшой замок рядом с адресом сайта в браузере, значит сайт защищен, а вся информация передается по защищенному протоколу HTTPS.

Компании, выпускающие SSL-сертификаты, называются удостоверяющими центрами, которые, в свою очередь, делятся на коммерческие и некоммерческие. Например, некоммерческий удостоверяющий центр Let’s Encrypt выпускает полностью бесплатные и автоматизированные сертификаты, которые защищают сайты не хуже платных аналогов. Главное отличие платного сертификата от бесплатного — финансовая гарантия. В случае взлома платного сертификата удостоверяющий центр может выплатить компенсацию. Порой, это весьма солидные суммы, от $500К и выше.

Шифруйте пароли

Пароли на сайте всегда должны храниться в виде зашифрованных значений, предпочтительно с использованием алгоритма хеширования (например, SHA). Использование этого алгоритма означает, что при аутентификации пользователей вы будете сверять только зашифрованные значения. В случае взлома и кражи захешированных паролей это минимизирует ущерб, поскольку расшифровка таких паролей невозможна. Единственное, что с ними можно сделать, это провести атаку с использованием словаря или угадывать каждую комбинацию скриптом, что в вычислительном плане долго и нецелесообразно.

Также крайне важно самому использовать надежные пароли и учить этому посетителей сайта, чтобы защитить их учетные записи. Внедрение таких требований к паролям, как минимальное количество символов, наличие заглавных букв и цифр поможет защитить пользовательские данные в долгосрочной перспективе.

В недавнем исследовании, российские эксперты по безопасности проверили 3,7 миллиарда логинов и ключей за последние 3 месяца, которые можно найти в свободном доступе и отметили, что доля надежных паролей (буквы + цифры + символы) в сети всего 3%.

Как сгенерировать надежный пароль?



  1. Не менее 8 символов, желательно от 16.

  2. Должны быть цифры, буквы (в том числе и заглавные) и символы. 

  3. Пароль должен быть бессмысленный. 

    Пример: Rk3@s*9c;h48~Bj

Также особое внимание следует уделить способу хранению пароля.

Большинство пользователей предпочитают запоминать пароль, записывать в блокнот или заметки телефона, использовать оффлайн менеджер паролей и приложение на телефон.

Выполняйте резервное копирование сайта

Резервное копирование может спасти ваш сайт даже тогда, когда нет надежды вернуть работоспособность проекту. Часто бывает, что злоумышленник заносит «заразу» на сайт задолго до того, как вы ее заметите и в этом случае, чем старее будет ваша резервная копия, тем больше шансов на восстановление. Для бизнеса в сети наличие резервного копирования должно быть не менее важным, чем продажи. Если сайт пропадет, ваша торговля не только будет остановлено, но вам нужно будет создавать сайт с нуля, что требует инвестиций и времени.

Таким образом, резервное копирование спасает, если:

  1. Произошел взлом злоумышленниками 

  2. От случайного удаления файлов сайта. 

  3. От падения сервера, пожара и других катастроф.

Рекомендуем ежедневно делать резервную копию, при это несколькими способами с обязательной, регулярной загрузкой копии на локальный компьютер или на внешнее записывающее устройство, вроде флешки или переносного жесткого диска

Как осуществлять резервное копирование?

Существует несколько способов:

  1. В зависимости от CMS, используйте специальные плагины и модули по резервному копированию.

  2. Вручную копируйте файлы с сервера на локальный компьютер. 

  3. Ежедневное копирование, предоставляемое SpaceWeb. 

  4. При помощи других специальных программ и скриптов.

Проверяйте сайт на вирусы

SpaceWeb предоставляет пакет антивирусного ПО Revisium, который способен определить:

  1. Вирусные вставки;

  2. Веб-шеллы;

  3. Бэкдоры;

  4. Фишинговые страницы;

  5. Дорвеи;

  6. Cпам-скрипты;


Антивирусное ПО работает в 2х режимах, в автоматическом и ручном, а также способно самостоятельно, с вашего разрешения, удалять вредоносный код.

Подробнее с антивирусом Revisium на SpacWeb вы можете ознакомиться здесь: https://help.sweb.ru/entry/38/

Также предлагаем воспользоваться нашей подсказкой и защитить свой сайт от вредоносного ПО: https://help.sweb.ru/entry/37/

Пожалуй, это основные способы обезопасить свой сайт.

Есть также отдельные способы взлома, которые применяют наиболее опытные хакеры и мы отдельно их осветим в следующих статьях. Если вы стали жертвой злоумышленников и вышеуказанные методы безопасности вам не помогают, рекомендуем обратиться к нашему сертифицированному партнеру Revisium.

Как обезопасить веб-сайт и защитить его от хакеров

Что может быть ужаснее для владельца веб-сайта, чем мысль о том, что вся ваша работа будет изменена или полностью уничтожена гнусным хакером?

Мы постоянно видим утечки данных и взломы в новостях. И вы можете подумать, зачем кому-то приходить на мой веб-сайт для малого бизнеса? Но взломы случаются не только с большими парнями. В одном отчете говорится, что малые предприятия стали жертвами 43% всех утечек данных.

Вы усердно работали над своим веб-сайтом (и над своим брендом), поэтому важно уделить время его защите с помощью этих основных советов по защите от хакеров.

Чему вы научитесь…

  • 5 простых шагов для защиты вашего веб-сайта от хакеров
    • Шаг №1: Установите плагины безопасности.
    • Шаг 2. Используйте HTTPS.
    • Шаг № 3. Поддерживайте платформу веб-сайта и программное обеспечение в актуальном состоянии.
    • Шаг № 4: Убедитесь, что ваши пароли безопасны.
    • Шаг 5. Инвестируйте в автоматическое резервное копирование.
  • 5 дополнительных шагов для защиты вашего веб-сайта от хакеров
    • Шаг № 6: Примите меры предосторожности при приеме файлов, загружаемых через ваш сайт.
    • Шаг № 7: Используйте параметризованные запросы.
    • Шаг 8. Используйте CSP.
    • Шаг № 9: Заблокируйте права доступа к каталогу и файлам.
    • Шаг 10: Сообщения об ошибках должны быть простыми (но при этом полезными).
  • Еще 3 шага для защиты вашего интернет-магазина от хакеров
    • Шаг 1. Получите стороннюю услугу по предотвращению мошенничества для своего магазина, даже если ваша платформа электронной коммерции или платежные системы предлагают защиту от мошенничества.
    • Шаг № 2: Установите некоторые ограничения на транзакции для отражения мошеннических атак.
    • Шаг 3. Ознакомьтесь с требованиями и рекомендациями PCI-DSS.
  • Защитите свой веб-сайт от хакеров

5 простых шагов для защиты вашего веб-сайта от хакеров

Возможно, начиная этот пост, вы беспокоились о том, что он будет полон технического жаргона, который средний владелец веб-сайта сочтет запутанным. Некоторые из наших советов ниже носят технический характер, и вы можете привлечь к ним своего разработчика.

Но есть несколько вещей, которые вы можете сделать самостоятельно, не требуя особых технических знаний.

Шаг 1. Установите подключаемые модули безопасности.

Если вы создали свой веб-сайт с помощью системы управления контентом (CMS), вы можете улучшить свой веб-сайт с помощью подключаемых модулей безопасности, которые активно предотвращают попытки взлома веб-сайта. Для каждой из основных опций CMS доступны плагины безопасности, многие из них бесплатны.

Плагины безопасности для WordPress:

  • iThemes Security 
  • Bulletproof Security 
  • Sucuri
  • Wordfence
  • fail2Ban

Security options for Magento:

  • Amasty
  • Watchlog Pro

Security extensions for Joomla:

  • JHacker Watch
  • jomDefender
  • RSFirewall
  • Антивирусная защита веб-сайта

Эти параметры устраняют уязвимости безопасности, присущие каждой платформе, предотвращая дополнительные типы попыток взлома, которые могут угрожать вашему веб-сайту.

Кроме того, все веб-сайты — независимо от того, используете ли вы сайт, управляемый CMS, или HTML-страницы — могут выиграть от использования SiteLock. SiteLock выходит за рамки простого закрытия лазеек в безопасности сайта, обеспечивая ежедневный мониторинг всего: от обнаружения вредоносных программ до выявления уязвимостей, активного сканирования на вирусы и многого другого. Если ваш бизнес зависит от своего веб-сайта, SiteLock, безусловно, является достойным вложением.

Примечание. В наш план управляемого хостинга WordPress встроена функция SiteLock, а также другие функции, помогающие защитить ваш сайт.

Шаг 2. Используйте HTTPS.

Как потребитель, вы, возможно, уже знаете, что всегда нужно искать зеленое изображение замка и https в строке браузера каждый раз, когда вы предоставляете конфиденциальную информацию веб-сайту. Эти пять маленьких букв являются важным сокращением хакерской безопасности: они сигнализируют о том, что предоставлять финансовую информацию на этой конкретной веб-странице безопасно.

SSL-сертификат важен, потому что он обеспечивает передачу информации, такой как кредитные карты, личные данные и контактная информация, между вашим веб-сайтом и сервером.

Несмотря на то, что SSL-сертификат всегда был необходим для веб-сайтов электронной коммерции, в последнее время он стал важным для всех веб-сайтов. Google выпустил обновление для Chrome в 2018 году. Обновление безопасности вышло в июле и предупреждает посетителей веб-сайта, если на вашем веб-сайте не установлен SSL-сертификат. Это повышает вероятность отказа посетителей, даже если ваш сайт не собирает конфиденциальную информацию.

Поисковые системы относятся к безопасности веб-сайтов более серьезно, чем когда-либо, потому что они хотят, чтобы пользователи имели положительный и безопасный опыт просмотра веб-страниц. Принимая на себя обязательства по обеспечению безопасности, поисковая система может ранжировать ваш сайт ниже в результатах поиска, если у вас нет SSL-сертификата.

Что это значит для вас? Если вы хотите, чтобы люди доверяли вашему бренду, вам нужно инвестировать в SSL-сертификат. Стоимость SSL-сертификата минимальна, но дополнительный уровень шифрования, который он предлагает вашим клиентам, значительно повышает безопасность и надежность вашего веб-сайта.

В HostGator мы также серьезно относимся к безопасности веб-сайтов, но самое главное, мы хотим, чтобы вы были в безопасности. Все пакеты веб-хостинга HostGator поставляются с бесплатным сертификатом SSL. SSL-сертификат будет автоматически применен к вашей учетной записи, но вам нужно выполнить несколько шагов, чтобы установить бесплатный SSL-сертификат на свой веб-сайт.

Шаг № 3. Поддерживайте платформу веб-сайта и программное обеспечение в актуальном состоянии.

Использование CMS с различными полезными плагинами и расширениями дает много преимуществ, но также сопряжено с риском. Основной причиной заражения веб-сайтов являются уязвимости в расширяемых компонентах системы управления контентом.

Поскольку многие из этих инструментов созданы как программы с открытым исходным кодом, их код легко доступен как для разработчиков с добрыми намерениями, так и для злонамеренных хакеров. Хакеры могут изучить этот код в поисках уязвимостей безопасности, которые позволяют им получить контроль над вашим веб-сайтом, используя любую уязвимость платформы или скрипта.

Чтобы защитить свой веб-сайт от взлома, всегда проверяйте, чтобы ваша система управления контентом, плагины, приложения и любые установленные скрипты были обновлены.

Если вы используете веб-сайт, построенный на WordPress, вы можете быстро проверить, обновлены ли вы, войдя в панель управления WordPress. Найдите значок обновления в левом верхнем углу рядом с названием вашего сайта. Нажмите на число, чтобы получить доступ к обновлениям WordPress.

Шаг № 4: Убедитесь, что ваши пароли безопасны.

Это кажется простым, но это так важно.

Заманчиво использовать пароль, который, как вы знаете, всегда будет легко запомнить. Вот почему самый распространенный пароль № 1 — это , но все еще 123456. Вы должны сделать лучше — намного лучше, чем это, чтобы предотвратить попытки входа в систему со стороны хакеров и других посторонних.

Приложите усилия, чтобы придумать действительно безопасный пароль (или используйте генератор паролей HostGator). Сделайте его длинным. Используйте сочетание специальных символов, цифр и букв. И держитесь подальше от потенциально легко угадываемых ключевых слов, таких как ваш день рождения или имя ребенка. Если хакер каким-то образом получит доступ к другой информации о вас, он будет знать, что нужно сначала угадать ее.

Придерживаться высоких стандартов безопасности паролей — это первый шаг. Вы также должны убедиться, что все, кто имеет доступ к вашему веб-сайту, имеют такие же надежные пароли. Один слабый пароль в вашей команде может сделать ваш сайт восприимчивым к утечке данных, поэтому будьте готовы ко всем, у кого есть доступ.

Установленные требования ко всем пользователям веб-сайта в отношении длины и типов символов. Если ваши сотрудники хотят использовать простые пароли для своих менее защищенных учетных записей, это их дело. Но когда дело доходит до вашего веб-сайта, это ваш бизнес (буквально), и вы можете требовать от них более высоких стандартов.

Шаг № 5. Инвестируйте в автоматическое резервное копирование.

Даже если вы сделаете все остальное из этого списка, вы все равно столкнетесь с определенным риском. Наихудший сценарий взлома веб-сайта — это потеря всего, потому что вы забыли создать резервную копию своего веб-сайта. Лучший способ защитить себя — убедиться, что у вас всегда есть последняя резервная копия.

Несмотря на то, что утечка данных вызовет стресс, если у вас есть текущая резервная копия, восстановить ее будет намного проще. Вы можете сделать привычкой ежедневное или еженедельное резервное копирование своего веб-сайта вручную. Но если есть хоть малейший шанс, что вы забудете, инвестируйте в автоматическое резервное копирование. Это дешевый способ купить душевное спокойствие.

5 дополнительных шагов для защиты вашего веб-сайта от хакеров

Все вышеперечисленные шаги относительно безболезненны даже для владельцев веб-сайтов с минимальным техническим опытом. Вторая половина списка становится немного сложнее, и вы можете позвонить разработчику или ИТ-консультанту, чтобы помочь вам.

Шаг № 6. Примите меры предосторожности при загрузке файлов через ваш сайт.

Когда у кого-либо есть возможность загрузить что-либо на ваш веб-сайт, он может злоупотребить этой привилегией, загрузив вредоносный файл, перезаписав один из существующих файлов, важных для вашего веб-сайта, или загрузив файл настолько большого размера, что весь ваш веб-сайт будет отключен.

Если возможно, просто не принимайте загрузки файлов через ваш сайт. Многие веб-сайты для малого бизнеса могут вообще обойтись без возможности загрузки файлов. Если это относится к вам, вы можете пропустить все остальное на этом шаге.

Но отказ от загрузки файлов возможен не для всех веб-сайтов. Некоторым видам бизнеса, например бухгалтерам или поставщикам медицинских услуг, необходимо предоставить клиентам возможность безопасно предоставлять документы.

Если вам нужно разрешить загрузку файлов, выполните несколько шагов, чтобы защитить себя:

  • Создайте белый список разрешенных расширений файлов. Указав, какие типы файлов вы принимаете, вы исключаете подозрительные типы файлов.
  • Использовать проверку типа файла. Хакеры пытаются незаметно обойти фильтры белого списка, переименовывая документы с расширением, отличным от типа документа, или добавляя точки или пробелы к имени файла.
  • Установите максимальный размер файла. Избегайте распределенных атак типа «отказ в обслуживании» (DDoS), отклоняя любые файлы, превышающие определенный размер.
  • Сканировать файлы на наличие вредоносных программ. Используйте антивирусное программное обеспечение для проверки всех файлов перед открытием.
  • Автоматически переименовывать файлы при загрузке. Хакеры не смогут повторно получить доступ к своему файлу, если он будет иметь другое имя, когда они будут его искать.
  • Держите папку загрузки за пределами веб-корня. Это предотвращает доступ хакеров к вашему веб-сайту через загруженный файл.

Эти шаги могут устранить большинство уязвимостей, присущих разрешению загрузки файлов на ваш веб-сайт.

Шаг № 7: Используйте параметризованные запросы.

SQL-инъекции являются одним из наиболее распространенных способов взлома веб-сайтов, жертвами которых становятся многие сайты.

SQL-инъекции могут вступить в игру, если у вас есть веб-форма или параметр URL, который позволяет внешним пользователям предоставлять информацию. Если вы оставите параметры поля слишком открытыми, кто-то может вставить в них код, разрешающий доступ к вашей базе данных. Важно защитить свой сайт от этого из-за большого количества конфиденциальной информации о клиентах, которая может храниться в вашей базе данных.

Существует ряд шагов, которые вы можете предпринять, чтобы защитить свой веб-сайт от взлома с помощью SQL-инъекций; одним из самых важных и простых в реализации является использование параметризованных запросов. Использование параметризованных запросов гарантирует, что ваш код имеет достаточно конкретных параметров, чтобы хакер не мог с ними возиться.

Шаг 8. Используйте CSP.

Атаки с использованием межсайтовых сценариев (XSS) — еще одна распространенная угроза, которую владельцы сайтов должны остерегаться. Хакеры находят способ внедрить на ваши страницы вредоносный код JavaScript, который затем может заразить устройство любого посетителя веб-сайта, подвергшегося воздействию кода.

Часть борьбы за защиту вашего сайта от XSS-атак аналогична параметризованным запросам для SQL-инъекций. Убедитесь, что любой код, который вы используете на своем веб-сайте для функций или полей, позволяющих ввод, является как можно более явным в том, что разрешено, чтобы вы не оставляли места для чего-либо.

Content Security Policy (CSP) — еще один удобный инструмент. которые могут помочь защитить ваш сайт от XSS. CSP позволяет указать, какие домены браузер должен рассматривать как допустимые источники исполняемых скриптов на вашей странице. После этого браузер будет знать, что не следует обращать внимание на вредоносные скрипты или вредоносные программы, которые могут заразить компьютер посетителя вашего сайта.

Использование CSP включает в себя добавление правильного HTTP-заголовка на вашу веб-страницу, который предоставляет строку директив, сообщающих браузеру, какие домены разрешены, и любые исключения из правила. Вы можете найти подробную информацию о создании заголовков CSP для вашего веб-сайта здесь.

Шаг № 9: Заблокируйте права доступа к каталогу и файлам.

Все веб-сайты можно свести к набору файлов и папок, которые хранятся в вашей учетной записи веб-хостинга. Помимо того, что они содержат все сценарии и данные, необходимые для работы вашего веб-сайта, каждому из этих файлов и папок назначается набор разрешений, которые контролируют, кто может читать, записывать и выполнять любой данный файл или папку относительно пользователя, которым они являются или группа, к которой они принадлежат.

В операционной системе Linux разрешения отображаются в виде трехзначного кода, где каждая цифра представляет собой целое число от 0 до 7. Первая цифра представляет разрешения для владельца файла, вторая — для всех, кто входит в группу, владеющую файлом, а третья — для всех остальных. Назначения работают следующим образом:

  • 4 равно Чтение
  • 2 равно Запись
  • 1 равно Выполнение
  • 0 равно отсутствие разрешений для этого пользователя

В качестве примера возьмем код разрешения «644». В этом случае «6» (или «4+2») в первой позиции дает владельцу файла возможность читать и записывать файл. «4» во второй и третьей позициях означает, что как пользователи группы, так и пользователи Интернета в целом могут только читать файл, защищая файл от неожиданных манипуляций.

Таким образом, файл с разрешениями «777» (или 4+2+1 / 4+2+1 / 4+2+1) доступен для чтения, записи и выполнения пользователем, группой и всеми остальными. в мире.

Как и следовало ожидать, файл, которому назначен код разрешения, дающий любому пользователю в Интернете возможность писать и выполнять его, гораздо менее безопасен, чем файл, который был заблокирован, чтобы сохранить все права только для владельца. Конечно, существуют веские причины для открытия доступа другим группам пользователей (например, анонимная загрузка на FTP), но эти случаи необходимо тщательно рассмотреть, чтобы не создавать угрозу безопасности веб-сайта.

По этой причине рекомендуется установить права доступа следующим образом:

  • Папки и каталоги = 755
  • Отдельные файлы = 644

Чтобы установить права доступа к файлам, войдите в диспетчер файлов cPanel или подключитесь к вашему серверу через FTP. Оказавшись внутри, вы увидите список существующих прав доступа к файлам (как в следующем примере, сгенерированном с помощью FTP-программы Filezilla):

В последнем столбце этого примера отображаются права доступа к папкам и файлам, назначенные в настоящее время для содержимого веб-сайта. Чтобы изменить эти разрешения в Filezilla, просто щелкните правой кнопкой мыши нужную папку или файл и выберите параметр «Разрешения файла». Это запустит экран, который позволит вам назначать различные разрешения, используя ряд флажков:

Хотя серверная часть вашего веб-узла или программы FTP может выглядеть немного по-другому, основной процесс изменения разрешений остается прежним. На нашем портале поддержки есть решения о том, как изменить права доступа к папке и файлу с помощью разрешений chmod.

Шаг № 10: Сообщения об ошибках должны быть простыми (но при этом полезными).

Подробные сообщения об ошибках могут быть полезными для внутреннего использования, чтобы помочь вам определить, что происходит не так, чтобы вы знали, как это исправить. Но когда эти сообщения об ошибках отображаются для внешних посетителей, они могут раскрывать конфиденциальную информацию, которая сообщает потенциальному хакеру, где именно находятся уязвимости вашего сайта.

Будьте очень осторожны с информацией, которую вы предоставляете в сообщении об ошибке, чтобы вы не предоставили информацию, которая поможет злоумышленнику взломать вас. Сообщения об ошибках должны быть достаточно простыми, чтобы они непреднамеренно не раскрывали слишком много информации. Но также избегайте двусмысленности, чтобы ваши посетители могли узнать из сообщения об ошибке достаточно информации, чтобы знать, что делать дальше.

Еще 3 шага для защиты вашего интернет-магазина от хакеров

Все советы, которыми мы поделились до сих пор, помогут защитить ваш интернет-магазин от преступников. При этом, поскольку веб-сайты электронной коммерции являются популярными целями для мошенников и похитителей данных, есть еще несколько шагов, которые вы должны предпринять, чтобы защитить свой бизнес и своих клиентов.

Шаг № 1: Получите стороннюю услугу по предотвращению мошенничества для вашего магазина, даже если ваша платформа электронной коммерции или платежные системы предлагают защиту от мошенничества.

Зачем вам платить за дополнительную защиту от мошенничества в электронной коммерции, если вы уже получаете ее бесплатно? Потому что этот дополнительный уровень защиты может сэкономить ваше время и помочь избежать ошибочного отклонения хороших заказов.

Защита от мошенничества, которая поставляется со многими платформами электронной коммерции, отлично справляется с идентификацией заказов, которые имеют высокий риск мошенничества. Что произойдет после того, как эти заказы будут идентифицированы, зависит от вас: отклонить их все или просмотреть их и решить, какие из них одобрить.

Оба варианта имеют свои риски. Отклоняйте каждый заказ, который может быть мошенническим, и вы можете в конечном итоге отклонить много хороших заказов из-за мелких проблем, таких как несоответствие адреса доставки и платежного адреса или местонахождение за пределами вашей страны. Многие отвергнутые клиенты больше не вернутся, поэтому со временем автоматические отказы могут стоить вам больших доходов. Но рассмотрение рискованных ордеров требует времени и знаний, которых у вас может не быть.

Сторонняя служба, которая предлагает ручную проверку, может экспертно изучить заказы с высоким риском мошенничества, отклонить фактические попытки мошенничества и подтвердить хорошие, но немного неуклюжие заказы. Вы избегаете мошенничества и сохраняете приток денег от хороших клиентов. 

Шаг 2. Установите ограничения на количество транзакций, чтобы отразить мошеннические атаки.

Преступникам очень легко получить украденные номера кредитных карт в Интернете и использовать их для покупки товаров для перепродажи. Но часто в этих номерах карт отсутствует важнейший CVV — 3- или 4-значный номер на карте, который требуется платежным системам для завершения транзакции.

Изображение: Experian

Что делать мошеннику с картами? Во многих случаях они проводят так называемое тестирование карты : посещают небольшой интернет-магазин со слабой системой безопасности при оформлении заказа, добавляют что-то небольшое в свою корзину и продолжают пробовать различные CVV, пока не найдут совпадение с номером украденной карты, которую они пытаются получить. использовать.

Вуаля! Их заказ проходит, они могут пойти по магазинам в другом месте в поисках дорогих товаров, которые они действительно хотят скупить, а вас обдирают.

Теперь представьте себе ботнет, который ничего не делает, кроме проверки карт — сотни или тысячи попыток сопоставления CVV всего за несколько минут, чтобы они могли быстрее совершать больше мошенничества. На самом деле, вам не нужно воображать, потому что мошеннические ботнеты для проверки карт — это вещь, и они могут стоить вашему бизнесу небольшого состояния в виде убытков от мошенничества и сборов за возврат средств.

Чтобы мошенники не заполонили вашу кассу, установите некоторые ограничения.

  • Настройте параметры своей программы по борьбе с мошенничеством, чтобы ограничить количество попыток ввода правильного CVV клиентом и заблокировать свой IP-адрес, если он слишком много раз отклоняется.
  • Установить ограничение на количество транзакций, которые могут поступать с одного и того же IP-адреса в час, день, неделю и т.  д., и заблокировать адреса, превышающие этот лимит.
  • Отслеживайте количество отклоненных транзакций и сразу же проверяйте их, если заметите всплеск.

Шаг 3. Ознакомьтесь с требованиями и рекомендациями PCI-DSS.

PCI-DSS — это стандарт безопасности данных в индустрии платежных карт. Каждый продавец, принимающий платежи картой, обязан следовать рекомендациям, чтобы не разглашать платежные данные своих клиентов и не нести ответственность.

Любая платежная платформа, процессор или шлюз, который вы используете для приема платежей на своем сайте, должны соответствовать стандарту PCI-DSS, что сокращает количество шагов, которые вам необходимо предпринять для защиты платежных данных. В конечном счете, вы несете ответственность за знание основных требований, и вам будет полезно ознакомиться с бесплатными ресурсами Совета по стандартам безопасности PCI. Хорошим местом для начала является Инструмент оценки безопасности данных для продавцов, который может показать вам, где ваша безопасность сильна и где она могла бы быть сильнее.

Защитите свой веб-сайт от хакеров

Защита вашего сайта и изучение способов защиты от хакеров — важная составляющая поддержания работоспособности и безопасности вашего сайта в долгосрочной перспективе! Не откладывайте эти важные шаги.

В HostGator мы создали набор пользовательских правил безопасности для модов, чтобы помочь защитить ваш сайт. Если вы ищете нового поставщика веб-хостинга, вы можете нажать здесь, чтобы подписаться на выгодную сделку. Для новых аккаунтов мы даже перенесем вас бесплатно! После того, как вы создали учетную запись, вам просто нужно заполнить форму здесь.

Не бойтесь споткнуться в процессе. Ознакомьтесь с нашими статьями поддержки HostGator или свяжитесь с одним из наших специалистов по поддержке клиентов, которые доступны 24/7/365 в чате или по телефону. Мы поможем вам обезопасить себя!

Кейси Роуленд

Кейси является старшим директором по маркетингу хостинга и работает в сфере веб-хостинга уже 7 лет. Он любит кататься на склонах и проводить время со своими детьми.

Как защитить сайт

Хакерская атака происходит каждые 39секунд в США , что ежегодно затрагивает каждого третьего американца.

Не оставляйте входную дверь своего сайта нараспашку! Вам необходимо обезопасить свой веб-сайт , что означает обеспечение защиты от хакеров, ошибок и других онлайн-гадостей. В противном случае ваши данные могут оказаться под угрозой, ваш сайт может выйти из строя или вы даже можете потерять деньги.

Вот как сделать веб-сайт безопасным:

  1. Установите SSL — покупка простого сертификата Secure Sockets Layer — важный первый шаг.
  2. Используйте антивирусное программное обеспечение — для обнаружения и предотвращения вредоносных атак.
  3. Сделайте ваши пароли невзламываемыми – 123456 не поможет!
  4. Поддерживайте актуальность своего веб-сайта. Использование устаревшего программного обеспечения равносильно тому, чтобы оставить свой черный ход незапертым.
  5. Не помогайте хакерам — следите за фишинговыми сообщениями и другими видами мошенничества.
  6. Вручную принимать комментарии на сайте — сохраняйте контроль над потенциально сомнительными комментариями.
  7. Запускайте регулярное резервное копирование — чтобы подготовиться к худшему сценарию.

Безопасность важна для всех…

…и наше исследование подтверждает это. Мы поговорили с 425 пользователями, некоторые из которых выбрали свой первый веб-хостинг, а другие сменили провайдера, о том, какие функции они ценят больше всего. 25% всех респондентов назвали безопасность своим главным приоритетом.

Но я даже не зарабатываю на своем сайте. Это просто небольшой блог. Зачем кому-то взламывать меня? Почему это вообще имеет значение, если хакер все равно проникнет?

Помимо потери денег, взлом может привести к огромным потерям трафика, блокировке или сбою вашего сайта и даже к краже личных данных. Ваши личные данные и данные ваших посетителей могут оказаться под угрозой.

Но как мне бороться с хакерами? Я не настолько технически подкован!

Это еще одно распространенное беспокойство, но, к счастью, вам не нужны страшные технические навыки, чтобы защитить свой веб-сайт . Все эти шаги просты в реализации, и мы проведем вас через каждую часть процесса.

Прежде чем мы углубимся в детали того, как предотвратить взлом вашего веб-сайта, нам, вероятно, следует поговорить о том, как выглядит взломанный веб-сайт.

Хотя не существует определенного способа, которым веб-сайт будет выглядеть после взлома, существуют шаблоны. И мы должны сказать вам сейчас, если ваш сайт был взломан, вы не будете сомневаться в этом, потому что что-то будет очень не так. Вот несколько распространенных способов взлома:

  • Программы-вымогатели. Хакер будет угрожать опубликовать ваши данные и/или запретить доступ к вашему сайту, если не будет выплачена сумма выкупа.
  • Тарабарщина . Вы обнаружите множество автоматически созданных страниц, заполненных ключевыми словами и тарабарщиной, с целью повышения их рейтинга в Google по ключевым словам. При нажатии они будут перенаправлены на сомнительный сайт.
  • Взлом скрытых ключевых слов . То же, что и выше, но немного сложнее — на первый взгляд они будут выглядеть как страницы вашего сайта, так как изменено только письменное содержание.
  • Японские ключевые слова взломать . Создает случайные страницы на японском языке, полные партнерских ссылок на магазины, торгующие поддельными товарами.
  • Вредоносный код/вирусы . Если на ваш сайт будет вставлен вредоносный код или вирус, ваш сайт может выйти из строя, или вы не сможете получить к нему доступ. Вы можете обнаружить, что все ваше оборудование также затронуто.
  • Отказ в обслуживании (DoS) . Хакеры используют ботов, чтобы перегрузить веб-сайт запросами и вывести из строя сервер, на котором он находится.
  • Фишинг . Мошенники связываются с вашими клиентами, притворяясь частью вашего бизнеса и используя ваш бренд в надежде найти личную информацию.

ОТ ЭКСПЕРТА

Мы попросили Криса Ламбиаса, старшего менеджера по маркетингу продуктов Endurance International Group (EIG) , материнской компании гигантов веб-хостинга Bluehost и HostGator, поделиться своим мнением о безопасности веб-сайтов с нами и нашими читателями. . В этом руководстве вы найдете цитаты и советы от Krys — f , , хотя Krys раскрывает самые большие риски безопасности для новых веб-сайтов:

«Устаревшее программное обеспечение. Владельцы веб-сайтов должны быть в курсе обновлений WordPress и других CMS, плагинов и всего остального, что требует обновления. В дополнение к исправлению ошибок или сбоев обновления программного обеспечения обычно включают улучшения или исправления безопасности. Хакеры всегда будут искать способы извлечь выгоду из уязвимостей программного обеспечения. В наши дни многие кибератаки автоматизированы. Преступники используют ботов для сканирования уязвимых веб-сайтов. Так что, если вы не будете в курсе последних версий программного обеспечения, хакерам будет легко идентифицировать ваш веб-сайт, прежде чем вы сможете что-либо с этим сделать».

Итак, теперь вы знаете, как выглядит взломанный веб-сайт, пришло время рассмотреть семь способов предотвратить его превращение в один:

Один из самых простых способов защитить свой веб-сайт, себя и своих пользователей. , заключается в установке сертификата SSL (Secure Sockets Layer). Вы можете этого не осознавать, но вы постоянно сталкиваетесь с SSL при просмотре веб-страниц — это причина «s» в «https» и замка в адресной строке.

Полезно знать…

SSL расшифровывается как Secure Sockets Layer. Вы устанавливаете сертификат SSL на свой веб-сайт, и он шифрует данные (например, данные для входа), передаваемые между вашим сайтом и вашими посетителями. Существуют разные уровни SSL — например, сайты ecommecre, обрабатывающие платежные реквизиты, должны использовать более продвинутую версию.

Хотите больше? Получите более подробную информацию о том, что такое SSL-сертификат, из нашего специального руководства.

SSL шифрует информацию, передаваемую между вашим сайтом и вашими посетителями. Google теперь предупреждает посетителей, когда они заходят на сайт без SSL, и даже «дискриминирует» эти сайты в результатах поиска.

Безопасность SSL особенно важна, если вы принимаете платежи через свой сайт, запрашиваете данные для входа или передаете файлы. Без него данные не защищены и уязвимы для хакеров.

Крис Ламбиасе подчеркивает важность SSL для защиты веб-сайтов, особенно интернет-магазинов:

«Сертификат SSL является обязательным, если вы управляете магазином электронной коммерции или собираете информацию о посетителях, например электронные письма, на своем сайте. В дополнение к повышению SEO, SSL-сертификаты доказывают, что любые данные, которые ваши посетители отправляют на ваш сайт, используют зашифрованный канал, поэтому хакеры не могут их увидеть, пока они находятся в пути».

Для вас не важно знать технические тонкости безопасности SSL, поэтому не беспокойтесь, если вы действительно не понимаете, как это работает. Самое главное — знать, что вашему сайту нужен SSL, и как его получить.

Существует несколько способов установки SSL. Мы предлагаем три основных способа:

  1. Выберите качественный конструктор веб-сайтов, который бесплатно включает SSL
  2. Выберите хостинг-провайдера (например, HostGator), который предоставляет бесплатный SSL со всеми планами с системой управления контентом, такой как WordPress.org)
  3. Установите базовый SSL-сертификат Let’s Encrypt бесплатно самостоятельно

Если вам нужен гораздо более высокий уровень безопасности, вам нужно будет заплатить за расширенный SSL-сертификат. Они различаются по цене, и вы можете купить их у хостинг-провайдеров или регистраторов доменов. Если вы не управляете крупным интернет-магазином или не обрабатываете большие объемы конфиденциальных данных, бесплатной версии SSL, вероятно, будет достаточно.

Для получения дополнительной информации о том, как получить SSL-сертификат для вашего веб-сайта, изучите наше специальное руководство. Мы проведем вас через весь процесс всего за семь простых шагов!

Знаете ли вы?

Взлом является методом номер один утечки данных в Интернете, на который приходится 61,9% потерянной информации. Из-за взлома было утеряно более 8 миллиардов записей.

«Программное обеспечение для защиты от вредоносных программ» может показаться слишком жаргонным, но хорошая новость заключается в том, что программное обеспечение для защиты от вредоносных программ на самом деле делает всю тяжелую работу за вас, поэтому вам не нужно беспокоиться ни о каких технических вещах.

Существует множество различных вариантов защиты от вредоносных программ. У некоторых есть бесплатные планы, например Bitdefender Antivirus Free, а за другие нужно платить, например SiteLock.

SiteLock используется более чем на 12 миллионах веб-сайтов и предлагает различные пакеты, обеспечивающие различные уровни защиты. Это означает, что вы можете адаптировать систему безопасности к потребностям вашего сайта, а также к вашему бюджету. Некоторые из предоставляемых услуг безопасности включают:

  • Веб-сканирование
  • Обнаружение и удаление вредоносных программ 
  • Брандмауэр веб-приложений
  • Исправление уязвимостей
  • Защита от DDoS 
  • Соответствие PCI

Хороший конструктор веб-сайтов или хостинг-провайдер должен позаботиться о безопасности вашего сайта вместо вас. Хостинг-провайдеры часто включают программное обеспечение для защиты от вредоносных программ как часть своих планов — некоторые даже предлагают платные услуги, такие как SiteLock, бесплатно!

Другие провайдеры включают встроенный набор инструментов. InMotion, например, включает в себя пакет безопасности в своем самом дешевом тарифном плане. Это состоит из:

  • БЕСПЛАТНО SSL
  • . всякий раз, когда вы смотрите на выбор хостинг-провайдера. Независимо от того, поставляется ли ваш провайдер со встроенными инструментами или предлагает дополнительные бесплатные услуги, такие как SiteLock, программное обеспечение для защиты от вредоносных программ обеспечивает вам долгожданный дополнительный уровень защиты.

    Хорошая безопасность веб-сайта начинается с хорошего веб-хостинга, как отмечает Крис Ламбиасе:

    «Веб-хосты — это основа вашего веб-сайта. Они помогают вам выйти в Интернет и часто предоставляют дополнительные инструменты для вашего веб-сайта, что дает вам возможность создать веб-сайт с нужным вам внешним видом. Провайдеры качественного хостинга веб-сайтов имеют протоколы для защиты WordPress и других систем управления контентом, которые они размещают, такие как автоматические исправления и обновления безопасности. Задача хостинг-провайдера — обслуживать свои серверы и осуществлять необходимый мониторинг безопасности».

    Знаете ли вы?

    Атака DDoS может стоить малому бизнесу до 120 000 долларов, и если вы работаете в сфере финансов или розничной торговли, вы особенно подвержены риску. Однако никто не в безопасности — Cloudflare сообщила, что во втором квартале 2022 года количество DDoS-атак на сетевом уровне увеличилось на колоссальные 109% по сравнению с предыдущим годом!

    Пароли. Они настолько знакомы, что иногда мы забываем, насколько они важны. Легко упустить из виду тот факт, что часто ваш пароль — это все, что стоит между хакером и вашей личной информацией.

    Пароли — это не только жизненно важный шаг, но и одна из самых простых вещей, которые вы можете изменить, чтобы повысить безопасность своего веб-сайта. Потратьте сегодня всего 20 минут на укрепление своих паролей, и вы окажетесь на пути к более безопасному сайту.

    Знаете ли вы?

    40% опрошенных респондентов малого бизнеса заявили, что их компания подверглась атаке из-за взлома паролей сотрудников. Средняя стоимость каждой атаки составила чуть более 380 тысяч долларов!

    Исследование, проведенное Национальным центром кибербезопасности Великобритании, проанализировало наиболее распространенные пароли, используемые учетными записями, которые были взломаны по всему миру. Затем они составили список из 10 самых популярных паролей — , если вы используете какой-либо из следующих, пришло время изменить его (например, прямо сейчас)!

    1. 123456
    2. 123456789
    3. QWERTY
    4. PASSWER
    5. 4
    6. 11111111111111111111111111111111111111111111111111111111111111111111111111111111111111111119н0165
    7. 12345678
    8. abc123
    9. 1234567
    10. password1
    11. 12345

    Instead of using easy to guess phrases, here are some things you should do instead:

    • Combine три случайные, несвязанные, но запоминающиеся фразы
    • Используйте случайно сгенерированную последовательность символов
    • Не используйте пароли повторно – используйте менеджер паролей, чтобы отслеживать их все
    • Сделайте свой пароль длинным
    • Никогда не используйте личную информацию в своем пароле — это первое, что попытаются сделать хакеры!

    Существует, казалось бы, бесконечный список советов по паролю, и вы должны комбинировать некоторые из этих тактик, чтобы создавать пароли, которые невозможно взломать. Получив новые блестящие пароли, будьте осторожны с ними: не не делитесь ими со всеми, даже с друзьями, и регулярно меняйте их (примерно раз в квартал).

    Мы не говорим о том, чтобы публиковать последние сплетни или держать посетителей в курсе вашего новейшего продукта. Речь идет о важности поддержания программного обеспечения вашего сайта в актуальном состоянии.

    Если вы используете конструктор веб-сайтов, вам не нужно об этом так сильно беспокоиться, потому что большинство конструкторов будут обрабатывать обновления программного обеспечения и вопросы безопасности за вас. Однако, если вы используете такую ​​платформу, как WordPress, вам нужно быть в курсе всего и запускать обновления, когда это необходимо.

    Вам необходимо запустить обновления для основного программного обеспечения WordPress, а также для всех установленных вами плагинов . Если вы этого не сделаете, все это может устареть и стать уязвимым для ошибок, сбоев и, что хуже всего, хакеров, использующих вредоносный код.

    Знаете ли вы?

    К 2021 году киберпреступность будет стоить миру более 6 триллионов долларов в год — это на 100% больше, чем в 2015 году!

    Хорошей новостью является то, что вы сможете настроить автоматическое обновление этих обновлений на панели инструментов, но все же стоит следить за тем, чтобы все работало гладко. Если ваш сайт устареет, это может стать смертельным ударом с точки зрения безопасности, поэтому не помешает быть бдительным и следить за обновлениями.

    Полезно знать… Выбирая плагины для своего сайта WordPress, будьте внимательны к их качеству. Плагины могут создаваться кем угодно, а некачественные могут содержать ошибки или вредоносный код. Читайте обзоры, ищите надежных разработчиков и тщательно проверяйте плагин, прежде чем нажимать «Установить».

    Узнать больше
    • Если вы используете WordPress, важно поддерживать актуальность и безопасность вашего сайта. Откройте для себя лучших хостинг-провайдера WordPress , чтобы дать вашему сайту лучший старт в жизни.
    • Прочитайте наш подробный обзор Bluehost Review , чтобы узнать, почему сам WordPress рекомендует его для вашего веб-сайта WordPress — и почему мы тоже!
    • Ознакомьтесь с нашим подробным руководством по защите вашего веб-сайта WordPress от угроз и злонамеренных атак, среди прочего!

    Мы знаем, это звучит как полный «дух» момент. Ну, очевидно же, что я не собираюсь передавать свои данные и допускать, чтобы мой сайт был взломан — это единственная причина, по которой я читаю эту статью! Беда в том, что люди до сих пор не по своей вине становятся жертвами мошенников и по незнанию выдают важную информацию о себе.

    Знаете ли вы, что 92,4% вредоносных программ доставляются по электронной почте? Это делает метод атаки номер один и означает, что вы всегда должны следить за чем-либо необычным в своем почтовом ящике.

    Всегда есть больше технологий, которые вы можете внедрить для защиты своего веб-сайта, но вы не должны забывать, что 95% нарушений кибербезопасности происходят из-за человеческого фактора. Защитите свой веб-сайт, остерегайтесь и с подозрением относитесь к текстовым сообщениям, электронным письмам или телефонным звонкам с просьбой предоставить личную информацию.

    Звучит достаточно просто, но мошенничество становится все более изощренным. Вот пять вещей, которые вы можете сделать, чтобы ваш веб-сайт не открывал двери нежелательным посетителям: не будет безопасным!

  • Никогда не переходите по ссылкам в сообщениях электронной почты, которые кажутся подозрительными – немедленно удаляйте сообщения электронной почты! Это по-прежнему важно, если вы используете профессиональную электронную почту, связанную с вашим сайтом, а не личную.
  • Будьте осторожны, кому вы предоставляете доступ к своему веб-сайту — убедитесь, что администраторы — это люди, которым вы можете доверять, и убедитесь, что они заботятся о безопасности.
  • Измените настройки по умолчанию , пароли и имена пользователей вашего сайта, как только вы настроите свою учетную запись — это особенно важно для сайтов WordPress.
  • Только проверенным специалистам доступ к вашему сайту. Например, мошенники иногда хотят завладеть вашим экраном под предлогом решения технической проблемы.

    • Вы поняли. Мы знаем, что это кажется здравым смыслом, но фишинговые электронные письма становятся все более реальными, так что будьте начеку!

    Что может быть лучше, чем нажать кнопку «Опубликовать» на вашем сайте, а затем увидеть, как начинают появляться комментарии? Это доказательство того, что люди действительно посещали ваш сайт — и наслаждался этим.

    Комментарии — это идеальный способ измерить вовлеченность, предоставить социальное доказательство другим посетителям, связаться с другими людьми в вашей нише и даже получить конструктивную обратную связь. Мы любим получать комментарии, и вы тоже должны!

    Тем не менее, всегда есть не очень веселые комментарии. Боты, фейковые аккаунты и тролли готовы и ждут глупого комментария или спам-ссылки. В лучшем случае это раздражает — , в худшем — может представлять угрозу безопасности для вас и ваших пользователей.

    Если люди могут оставлять комментарии непосредственно на вашем веб-сайте, есть вероятность, что вредоносные ссылки могут проникнуть в раздел комментариев. Это особенно опасно для посетителей вашего веб-сайта, которые могут перейти по ссылке и рискуют раскрыть личные данные или случайно установить вредоносное ПО.

    Знаете ли вы?

    Каждый десятый URL является вредоносным – и это число растет.

    Чтобы бороться с этим, вы можете изменить настройки вашего сайта так, чтобы вам нужно было вручную одобряйте комментарии , прежде чем они появятся на вашем сайте, что дает вам возможность удалить весь спам. Другие способы уменьшить количество этих вредоносных ссылок включают в себя:

    • Использование программного обеспечения или плагина для защиты от спама (например, Akismet для пользователей WordPress)
    • Попросите посетителей зарегистрироваться, прежде чем они смогут начать комментировать two

    Эта тактика должна сделать ваш раздел комментариев безопасным, интересным и счастливым местом как для вас, так и для ваших посетителей, а хакеров и их вредоносные ссылки — снаружи.

    Выполнение каждого из описанных выше шагов поможет вам остановить хакеров на их пути. Но не принимайте безопасность вашего сайта как должное — точно так же, как наличие сети безопасности под вами — хорошая идея, когда вы идете по канату, регулярное резервное копирование вашего сайта просто имеет смысл .

    Создание резервных копий вашего веб-сайта гарантирует, что, если случится худшее, у вас все еще будет последняя версия вашего сайта, сохраненная в целости и сохранности и готовая к повторному запуску.

    Резервная копия — это, по сути, копия данных вашего веб-сайта , таких как файлы, контент, мультимедиа и базы данных. Если у вас большой или сложный веб-сайт, вам потребуется больший объем резервного хранилища для хранения всех ваших данных.

    Крис Ламбиасе объясняет, почему резервное копирование — это хорошая идея:

    «Если сайт вашего бизнеса взломан, вам нужен способ быстро возобновить работу, чтобы не упустить клиентов. Воспользуйтесь услугой автоматического резервного копирования сайта, такой как CodeGuard, и вы сможете быстро восстановить самую последнюю неповрежденную версию своего сайта, если что-то пойдет не так. Убедитесь, что выбранный вами сервис выполняет ежедневное резервное копирование, чтобы вам не пришлось возвращаться к устаревшей версии сайта в случае сбоя».

    Итак, как сделать резервную копию вашего сайта, чтобы все работало бесперебойно? Ну, есть несколько способов сделать резервную копию вашего веб-сайта, в том числе:

    • Используйте службу резервного копирования , такую ​​как CodeGuard или Sucuri, которая сделает всю работу за вас по цене.
    • Используйте веб-хостинг, который включает резервные копии в свои планы, , например A2 Hosting. Некоторые хосты имеют встроенное программное обеспечение для резервного копирования или доступны в качестве надстроек. Однако у них может быть ограниченное хранилище, поэтому мы обычно не рекомендуем полагаться на них в течение все нужные резервные копии.
    • Используйте плагин WordPress , например UpdraftPlus или VaultPress. Пользователи WordPress могут просто установить выбранный ими плагин и управлять собственными настройками резервного копирования.

    Использование службы резервного копирования обычно является самым безопасным и надежным способом. Тем не менее, какой бы метод резервного копирования вы ни выбрали, есть несколько важных вещей, которые вы всегда должны учитывать: на обычном сервере. Это также защищает ваши резервные копии от сбоев оборудования.

  • Автоматическое резервное копирование — помните, мы говорили, что 95 % нарушений безопасности происходят из-за человеческого фактора? Не забывайте создавать резервные копии и платить за это — автоматизировав этот процесс, вы можете просто сесть и расслабиться.
  • Избыточные резервные копии — это означает, что данные вашего веб-сайта хранятся не на одном, а на нескольких серверах. Думайте об этом как о резервных копиях или ваших резервных копиях!
  • Регулярные резервные копии — не годится, если вы выполняете резервное копирование только один раз в год. Если произойдет хакерская атака, у вас останется устаревшая версия вашего сайта. Вы должны стремиться к еженедельному резервному копированию как минимум.

    • Чем чаще вы обновляете свой веб-сайт, тем чаще должны создаваться резервные копии. Тем не менее, мы рекомендуем проявлять осторожность — если вы подвергнетесь атаке, вы никогда не пожалеете, что сделали резервную копию своего сайта слишком много !

    №1. Zynga: взломано 172,9 миллиона записей

    12 сентября 2019 года Zynga — производитель мобильных игр, ответственный за «Фармвилль», — был взломан.

    Хакер получил доступ к данным для входа в систему для игроков популярных игр «Слова с друзьями» и «Нарисуй что-нибудь», в том числе:

    • Имена пользователей
    • Пароли
    • Идентификаторы входа и Facebook
    • Номера телефонов
    • Идентификаторы учетных записей Zynga

    Первоначально предполагалось, что этот взлом затронул 218 миллионов человек из-за заявлений реальных злоумышленников. Но окончательная цифра была оценена сайтом мониторинга нарушений Have I Been Pwned примерно в 90 164 173 миллиона 90 165.

    В ответ на атаку Zynga посоветовала своим пользователям не использовать один и тот же пароль для нескольких учетных записей — это подчеркивает важность наличия уникальные, безопасные и отдельные пароли для разных онлайн-аккаунтов.

    #2. 7-Eleven, Япония: 500 000 долларов потерянных денег клиентов

    Если вы думаете, что ожидание еще одного дня, чтобы разобраться с вашей безопасностью, ничего не изменит, подумайте еще раз.

    7-Eleven Japan представила новое платежное приложение для своих клиентов, но оставила серьезный недостаток в виде простого сброса пароля, который может запросить практически любой.

    Приложение было запущено в понедельник, 1 июля 2019 г., а был закрыт через два дня после , 3 июля, из-за жалоб клиентов — хакерам потребовалось столько времени, чтобы взломать около 900 учетных записей и украсть 55 миллионов йен (510 000 долларов США).

    Хакерские атаки случаются часто, и если они найдут уязвимость, можете поспорить, что они не станут ее использовать. Не ждите, пока разберетесь со своей безопасностью — данные ваших пользователей подвергаются такому же риску, как и ваши, если ваш сайт подвергнется атаке!

    #3. Marriott: раскрыты данные 500 миллионов гостей

    Гостиничная компания Marriott International была скомпрометирована хакерской атакой, которая началась еще в 2014 году и оставалась незамеченной до 2018 года. В прошлом году она все еще попадала в заголовки газет, поскольку Marriott продолжала бороться с последствиями.

    Первоначально предполагалось, что около 500 миллионов клиентов пострадали от взлома, в результате которого произошла утечка:

    • Имена
    • Адреса
    • Номера телефонов
    • Адреса электронной почты
    • Номера паспортов
    • 1 Дата рождения0014
    • Пол
    • Зашифрованные платежные реквизиты

    С тех пор предполагалось, что число пострадавших на самом деле было намного меньше — около 383 миллионов человек. Тем не менее, с учетом того, что было раскрыто 5,25 миллиона незашифрованных номеров паспортов, это все еще довольно серьезный сбой в области кибербезопасности.

    Несмотря на это, одна из главных причин критики Marriott — это реакция на атаку — в основном из-за отсутствия связи, а также из-за дальнейших проблем с безопасностью своего домена электронной почты.

    Если вы ведете бизнес-сайт или даже личный блог, и его взломали, убедитесь, что вы четко общаетесь со своей аудиторией. Немедленно расскажите им о том, что произошло, сообщите им факты, а также посочувствуйте им в том, что они могут чувствовать.

    Узнайте, где такие компании, как Marriott, ошиблись!

    Хорошая безопасность веб-сайта начинается с вас — вы выбираете надежного конструктора веб-сайтов или хостинг-провайдера, делаете разумный выбор в отношении того, как вы управляете своим сайтом, и прилагаете дополнительные усилия для обеспечения безопасности паролей.

    И мы здесь, чтобы помочь вам на этом пути!

    Надеюсь, вы научились защищать веб-сайт и обнаружили, что это не так сложно, как вы думали вначале. Вам не нужны технические навыки или огромный бюджет, чтобы сделать ваш сайт безопасным — как показал наш список!

    Мы описали семь шагов, которые вы можете предпринять, чтобы начать защищать свой веб-сайт. Однако это ни в коем случае не исчерпывающий список — есть еще множество советов, приемов и инструментов, которые вы можете использовать для лучшей защиты своего веб-сайта.

    Например, если вы являетесь пользователем WordPress, вы можете найти множество советов по безопасности на страницах поддержки WordPress. Sucuri — еще один отличный ресурс с огромным количеством руководств, инфографики и курсов, которые помогут вам надежно защитить свой веб-сайт.

    А пока начните с наших простых шагов…

    Как защитить веб-сайт: 7 простых шагов

    1. Установите SSL. Сертификат SSL необходим для любого сайта. Он шифрует информацию, проходящую между вашим сайтом и вашими посетителями.
    2. Используйте антивирусное программное обеспечение. Используйте программное обеспечение, такое как SiteLock, для сканирования и защиты вашего сайта от вредоносного кода.
    3. Сделайте ваши пароли невзламываемыми. По возможности используйте случайную комбинацию букв, цифр и символов.
    4. Поддерживайте актуальность вашего веб-сайта. Установите все обновления программного обеспечения или подключаемых модулей, как только они станут доступны.
    5. Не помогайте хакерам. Остерегайтесь фишинговых писем.
    6. Принимать комментарии вручную. Позволяет удалять спам до того, как он будет опубликован.
    7. Регулярное резервное копирование. Если ваш сайт все же взломают, у вас будет последняя версия для переустановки.

    Если у вас уже есть веб-сайт , первым делом проверьте, установлен ли у вас сертификат SSL. Вы узнаете, если нет, потому что ваш веб-адрес будет начинаться с «http» вместо «https». Вы также должны проверить свои пароли и убедиться, что они достаточно надежны, чтобы противостоять атакам!

    К счастью, SSL-сертификаты легко получить, и они относительно дешевы, хотя мы рекомендуем точно узнать, сколько стоит SSL-сертификат, прежде чем тянуться к кошельку!

    Если вы еще не начали создавать свой веб-сайт, , то самым важным шагом для вас будет выбор качественного конструктора веб-сайтов или хостинг-провайдера, в зависимости от того, как вы хотите создать свой сайт.

    Если вам нужна помощь в выборе правильного, мы можем помочь — у нас есть обзоры лучших конструкторов веб-сайтов и лучших провайдеров веб-хостинга, чтобы убедиться, что вы найдете идеальное решение.

    Да! Даже если ваш сайт небольшой и не приносит прибыли, его безопасность крайне важна. Это вопрос защиты ваших собственных данных и данных ваших посетителей.

    Конструкторы веб-сайтов, как правило, гораздо менее требовательны к обслуживанию, когда речь идет о безопасности.