Кажется, почти каждый день в новостях появляется история о последнем взломанном сайте. Большинство думает, что это никогда не случится с ними – пока это не произойдет. В любой момент хакеры могут проверять ваш веб-сайт на предмет того, что они могут скомпрометировать его, чтобы использовать ваш сайт и / или сервер для своей гнусной деятельности. Если вы не хотите становиться жертвой их тактики, крайне важно провести аудит безопасности веб-сайта.
Прежде чем мы поговорим об аудите безопасности сайта, давайте посмотрим, как ваш сайт может быть взломан. Это даст вам представление о том, с чем вы столкнетесь, и о важности мониторинга вашего сайта.
6 самых распространенных форм атаки
Вредоносное ПО
Наиболее распространенная угроза, вредоносное ПО , – это всеобъемлющий термин, который охватывает вирусы, черви, троянских коней, вымогателей, шпионские программы и многое другое. Вредоносные программы могут стереть все ваши данные, украсть информацию о клиентах, заразить ваших посетителей – возможности практически безграничны.
Распределенный отказ в обслуживании (DDoS)
DDoS-атака может обрушить ваш сайт, затопив его потоком автоматизированного трафика. И каждую минуту, когда ваш сайт не работает, вы теряете клиентов и продажи.
Грубая сила
В этом случае приложение циклически перебирает все возможные комбинации паролей, пока не найдет тот, который подойдет. Оттуда хакеры могут получить доступ к вашей системе, украсть конфиденциальные данные и делать практически все, что им захочется.
Инъекция
Из-за недостатков кода хакер отправляет вредоносные данные как часть команды или запроса, который заставляет сайт делать то, что он не должен, например, предоставляет хакеру всю базу данных клиентов.
Межсайтовый скриптинг
Обычно называемый XSS, межсайтовый скриптинг отправляет предоставленные пользователем данные в веб-браузер без предварительной проверки. Хакеры используют эти недостатки для того, чтобы похитить пользователей или удалить их с сайта, что обойдется владельцу сайта в потерю бизнеса.
Нулевой день
Это атака, которая запускается, как только обнаруживается новая уязвимость, до того как патч станет доступен. Для защиты, вы можете использовать брандмауэр веб-приложений (WAF), который будет фактически исправлять ваш сайт в моменты раскрытия атаки нулевого дня .
Важно быть активным и внедрить процесс защиты своего сайта.
Многие ошибочно полагают, что просто потому, что у них нет «данных», их не стоит взламывать. Но это не так. Каждый веб-сайт содержит множество сценариев, поддерживаемых сервером, готовым к запуску новых сценариев, которые могут быть загружены без вашего ведома.
Выполнив аудит безопасности веб-сайта, вы можете защитить свой сайт, выявив уязвимости, которые могут быть скомпрометированы. Намного лучше пресечь это в зародыше, прежде чем вы заметите, что Google пометил ваш сайт в результатах поиска как наличие вредоносного ПО. Затем возникает паника, когда вы отчаянно ищете кого-то, чтобы ваш сайт был восстановлен и очищен.
Как самому провести аудит безопасности сайта
- Обновите ваши скрипты и приложения.
- Убедитесь, что ваш домен и IP чистые.
- Используйте надежные пароли.
- Удалить заброшенные учетные записи пользователей.
- Добавьте SSL.
- Используйте SSH.
- Запустите проверку безопасности.
В зависимости от вашей настройки и инфраструктуры аудит безопасности веб-сайта может быть довольно техническим. Сегодня мы расскажем об основных принципах, которые вы можете сделать сами, чтобы убедиться, что на вашем сайте нет хакерской надписи «Добро пожаловать».
1. Обновите ваши скрипты и приложения
Убедитесь, что все ваши скрипты и приложения, такие как WordPress и плагины актуальны. Когда вы будете получать уведомления об обновлениях, выделите время для обновления как можно скорее. Хакеры ищут устаревшие версии, чтобы воспользоваться уязвимостями, исправленными в последней версии.
2. Убедитесь, что ваш домен и IP чистые
Убедитесь, что ваш домен и IP чистые и не занесены в черный список. MxToolbox – отличный вариант для быстрых проверок. Поскольку черные списки IP-адресов, как правило, не управляются одним источником, вам, возможно, придется связаться с несколькими местами, чтобы удалить из черного списка (если обнаружится, что вы в него попали).
3. Используйте надежные пароли
Это может показаться легкой задачей, но надежные пароли являются обязательными. Для вашей личной учетной записи, учетных записей других пользователей, панели управления хостингом и доступа по FTP – все они должны быть защищены. Забудьте имена домашних животных и супругов, и, ради бога, не используйте «Password». Чем сложнее, тем лучше. Подумайте об использовании инструмента генератора паролей, чтобы придумать несколько хороших.
4. Удалите заброшенные учетные записи пользователей.
Удалите все оставленные учетные записи пользователей и никогда не сообщайте свои учетные данные. Всегда создавайте логины для новых пользователей, которые затем можно будет удалить, когда они больше не нужны.
5. Добавьте SSL
У вас есть SSL на сайте? Если нет, то почему нет? SSL будет шифровать данные между браузерами посетителя сайта и вашим сайтом. Это особенно важно, если у вас есть пользовательские логины и вы действительно храните конфиденциальные пользовательские данные. Тем не менее, SSL не только для сайтов электронной коммерции – теперь это стандартная процедура для всех сайтов.
6. Используйте SSH
Всегда используйте SSH при FTP-соединении с вашим сервером. Что такое SSH? По словам компании, которая ее разработала, SSH Communications Security :
«Протокол SSH (также называемый Secure Shell) – это метод безопасного удаленного входа с одного компьютера на другой. Он предоставляет несколько альтернативных вариантов для строгой аутентификации и защищает безопасность и целостность связи с помощью надежного шифрования. Это безопасная альтернатива незащищенным протоколам входа (например, telnet, rlogin) и небезопасным методам передачи файлов (например, FTP) ».
Вы же не хотите, чтобы кто-то перехватил ваши учетные данные, а затем отправился на ваш сервер!
7. Запустите проверку безопасности
Запустите проверку безопасности вашего сайта. Сканер SiteCheck Sucuri проверит ваш сайт на наличие известных вредоносных программ, статуса в черном списке, ошибок веб-сайта и устаревшего программного обеспечения. Или вы можете обратиться к нам для сканирования и удаления вредоносных программ.
Довольно легко, правда? Не позволяйте другим повседневным бизнес-задачам затмевать важность проверки безопасности веб-сайта. Вышеприведенные советы – это не общие советы, а только основы, но если вы будете выполнять их регулярно, ваш сайт окажется в гораздо более надежных руках.
Постоянное решение для безопасности
Вредоносные программы не берут выходной. На следующий день после того, как вы выполните проверку и получите чистую справку о состоянии здоровья, ваш сайт может заразиться. Вот почему такие службы, как WAF необходимы для превентивных мер.
Core Impact: уже более 20 лет на рынке, Core Impact претендует на самый большой диапазон эксплойтов, доступных на рынке, они также позволяют запускать бесплатные эксплойты Metasploit. Они автоматизируют множество процессов с помощью мастеров, имеют полный контрольный журнал, включая команды PowerShell, и могут повторно протестировать клиента, просто проиграв контрольный журнал.
> Система> Пакетная рассылка уведомлений.
