מומחה Semalt: דרכים בטוחות להגן על אתר מפני האקרים

רוב האנשים חושבים שבאתר שלהם אין שום דבר חשוב שייפרץ. האקר עלול להיפגע על ידי האקר כדי להשתמש בשרת להעברת דואר זבל או להשתמש בו כשרת זמני לאירוח קבצים לא חוקיים. האקרים ממוקדים לשרתי אתרים בכריית bitcoins, פועלים כבוטנט או דורשים תוכנות כופר. האקרים משתמשים בסקריפטים אוטומטיים כדי להפר את האינטרנט בניסיון לנצל פגיעויות בתוכנה.

להלן כמה מהטיפים שהכין איגור גמנקנקו , מנהל הצלחת לקוחות Semalt , לשמירה עליך ועל אתרך.

תוכנה עדכנית

יש לעדכן באופן קבוע את תוכנת הפעלת השרת וכל תוכנת תמיכה. כל פגיעות בתוכנה מאפשרת להאקרים פרצה קלה יותר לתמרן ולהביע את המניעים החולים שלהם. אם חברת אירוח מנהלת את האתר שלך, אין לך מה לדאוג מכיוון שחברת המארח צריכה לדאוג לאבטחת האינטרנט. יש לעדכן באופן קבוע את כל יישומי הצד השלישי כדי להחיל תיקוני אבטחה חדשים.

הזרקת SQL

האקרים משתמשים בהתקפות הזרקה כדי לתפעל את בסיס הנתונים של האתר. השימוש ב- Transact SQL רגיל מקל על הכרת המודעות של קודים זדוניים לשאילתה, שניתן להשתמש בהם כדי לתפעל טבלאות או למחוק נתונים. כדי להימנע מכך, השתמש תמיד בשאילתות פרמטריות כמו זו המתוארת למטה:

$ stmt = $ pdo-> להכין ('בחר * מתוך הטבלה איפה העמודה =: ערך');

$ stmt-> לבצע (מערך ('value' => פרמטר $));

חוצה תסריטים באתר

צורות התקפות אלה מזריקות קודי JavaScript סוררים לדף האינטרנט, הפועל בדפדפני האינטרנט באופן אנונימי, ויכולים לשנות את תוכן האינטרנט, או לגנוב מידע רגיש שישלח חזרה להאקר. מנהל אתר חייב לוודא שמשתמשים לא יוכלו להחדיר בהצלחה תוכן JavaScript בדף שלך. שימוש בכלים כמו מדיניות אבטחת תוכן מכוון את דפדפן האינטרנט להגביל כיצד JavaScript ומה פועל בדף.

הודעות שגיאה

על מנהל האתר להיות זהיר במידע המוצג בהודעות השגיאה שלך. ספק רק למשתמשים שגיאות מוגבלות, כדי להבטיח שהם לא מוסרים נתונים סודיים בשרתים שלך, כגון סיסמאות או מפתחות API.

סיסמאות

חשוב מאוד להשתמש בסיסמאות מורכבות כדי לגשת לקטע השרתים או לניהול האתר שלך. כמו כן יש לעודד משתמשים להשתמש בסיסמאות חזקות כדי לאבטח את חשבונותיהם. שילוב של אותיות רישיות, אותיות קטנות, מספרים ותווים מיוחדים מהווים סיסמא מאובטחת. יש לאחסן סיסמאות באמצעות אלגוריתם ה- hashing. ניתן לשפר את אבטחת האתר באמצעות מלח חדש וייחודי לכל סיסמא.

העלאת קבצים

כדי למנוע ניסיון פריצה, מומלץ להימנע מגישה ישירה לקבצים שהועלו. כל קובץ שהועלה לאתר שלך צריך להיות מאוחסן בתיקיה נפרדת מחוץ ל- Webroot. יש ליצור סקריפט אחר כדי להביא את הקבצים מהתיקיה הפרטית ולהשתמש בהם בדפדפן.

HTTPS

זה פרוטוקול המספק אבטחה באינטרנט. זה מבטיח למשתמשים שהם ניגשים לשרת שהם מצפים ושאף האקר לא יכול ליירט את התוכן שהם מעבירים. אתר התומך בכרטיסי זיכוי או בצורות תשלום אחרות אמור להשתמש בעוגיות אותנטיות שנשלחות בכל בקשת משתמש. זה עוזר לאמת את הבקשות ובכך לנעול התקפות.

השתמש בכלי אבטחת אתרים

לאחר שביצעת את כל האמצעים לעיל, בדיקת אבטחת האתר שלך היא קריטית. זה מבוצע בצורה הטובה ביותר על ידי שימוש בכלי בדיקת חדירה, הכוללים Netsparker, OpenVAS, Security Headers.io ו- Xenotix XSS Exploit Framework. תוצאות השימוש בכלים מציגות מגוון רחב של חששות פוטנציאליים ופתרונות מתקדמים אפשריים.