Bezpieczeństwo Witryn Internetowych – Przewodnik

Twoja strona jest zagrożona.

Nie mówię tego, żeby cię przestraszyć, ale taka jest rzeczywistość świata, w którym żyjemy. Ponad 30 000 stron internetowych zostaje zhakowanych każdego dnia.

Nie możesz mieć mentalności „mi się to nie przytrafi”. Cały czas spotykam firmy, które tak czują. Myślą, że hakerzy mają większe ryby do smażenia i nie mają żadnego powodu, aby kierować swoją stronę internetową. Tak po prostu nie jest. W rzeczywistości 43% cyberprzestępstw dotyczy małych firm.

Około połowa firm na całym świecie twierdzi, że doświadczyła cyberataku w 2019 roku. Tylko 40% firm twierdzi, że jest przygotowanych na ataki cybernetyczne.

Nie mam magicznej kryształowej kuli ani jakiegoś sposobu patrzenia w przyszłość, ale moje przeczucie mówi mi, że cyberprzestępcy nie obudzą się pewnego dnia i nie zdecydują się przestać hakować stron internetowych. Podsumowując: hakerzy nie przestaną próbować zdobyć przewagi. Oznacza to, że musisz regularnie poprawiać bezpieczeństwo swojej witryny.

To właśnie zainspirowało mnie do napisania tego przewodnika. Pokażę Ci, co należy zrobić, aby zabezpieczyć swoją stronę już dziś, w 2020 roku.

Typowe Zagrożenia Bezpieczeństwa Witryny

Strony internetowe są atakowane na wiele różnych sposobów. Zanim przejdziemy dalej, chcę dać ci krótki przegląd niektórych z najczęstszych zagrożeń dla bezpieczeństwa Twojej witryny. Są to rzeczy, na które warto być przygotowanym podczas podejmowania środków bezpieczeństwa.

Spam

Skontaktował się z nami nigeryjski książę lub zmarł daleki, bogaty krewny i musiał domagać się naszych pieniędzy. Zazwyczaj jest to irytujące – ale stosunkowo nieszkodliwe, jeśli go zignorujesz.

Czasami jednak spam jest bardziej złośliwy. Spam w postaci komentarzy jest niezwykle powszechny na stronach internetowych. Boty mogą młotkować sekcję komentarzy na twojej stronie z linkami do innej witryny, próbując zbudować linki zwrotne.

Te komentarze szkodzą twojej stronie, ponieważ:

  1. Nie wyglądają dobrze w Twojej witrynie i mogą wyłączyć czytelników, którzy w przeciwnym razie mogliby zaangażować się w Twoje treści, komentując.
  2. Łącza phishingowe mogą zawierać złośliwe oprogramowanie, które może zaszkodzić odwiedzającym Twoją witrynę, jeśli na nie klikną.

Ponadto roboty indeksujące Google mogą często wykrywać złośliwe adresy URL i karać witrynę za hostowanie spamu. To zmiażdży Twój ranking SEO.

Wirusy i złośliwe oprogramowanie

Dla tych z Was, którzy nie wiedzą, malware oznacza ” złośliwe oprogramowanie.”Złośliwe oprogramowanie i wirusy to w zasadzie to samo. Złośliwe oprogramowanie jest prawdopodobnie największym zagrożeniem dla Twojej witryny. Każdego dnia tworzy się aż 350 000 próbek złośliwego oprogramowania.

Według Statisty są to najczęstsze typy złośliwego oprogramowania używane w cyberatakach na całym świecie:Najczęściej spotykane typy złośliwego oprogramowania używane w cyberatakach na całym świecie w 2019 roku

Jak widać, złośliwe oprogramowanie ma różne kształty i rozmiary. Dlatego jest to tak duże zagrożenie dla Twojej witryny.

Tego typu wirusy są często używane do uzyskiwania dostępu do prywatnych danych lub korzystania z zasobów serwera. Przestępcy używają również złośliwego oprogramowania, aby zarabiać na reklamach lub linkach partnerskich, hakując uprawnienia witryny. Hakerzy są w stanie wprowadzić złośliwe oprogramowanie do infrastruktury komputera na wiele różnych sposobów, w tym wiadomości e-mail do pracowników, przekierowania i bezpośrednie hakowanie.

Nasza największa Rada: nie klikaj w dziwne linki. To może wydawać się momentem, ale łatwiej wpaść w pułapkę, niż ci się wydaje. Pamiętaj, aby edukować swoich pracowników i innych użytkowników, którzy mogą używać komputerów Twojej firmy, na temat znaczenia zachowania czujności online.

W przypadku złośliwego oprogramowania zarówno ty, jak i użytkownicy Witryny są zagrożeni. Ktoś odwiedzający Twoją witrynę może kliknąć łącze, które pobiera złośliwy plik na jego komputer. Twoim zadaniem jest dbanie o bezpieczeństwo witryny i zapobieganie temu.

Rejestracja domen WHOIS

Kupno nazwy domeny jest jak kupno domu. Firma, która sprzedaje dom musi wiedzieć, komu sprzedaje i być w stanie się z nimi skontaktować. Dodatkowo każdy może udać się do Powiatowego audytora i znaleźć informacje o dowolnym adresie.

To samo dotyczy zakupu strony internetowej. W zależności od kraju, w którym się znajdujesz, będziesz musiał ujawnić pewne informacje o sobie zapisane w danych WHOIS. Poza danymi osobowymi użytkownika, zawierają one również informacje o serwerach nazw URL (są to serwery, które łączą nazwę domeny użytkownika z rzeczywistym serwerem internetowym).

Hakerzy mogą wykorzystać te informacje, aby zawęzić lokalizację używanego serwera. Mogą używać tego jako bramy dostępu do serwera www.

Ataki DDoS

Ataki DDoS uniemożliwiają dostęp użytkownikom próbującym odwiedzić określoną witrynę. Zasadniczo haker używa fałszywych adresów IP do przeciążania serwerów ruchem. To zasadniczo prowadzi stronę w trybie offline. Pomyśl o tym jako o spamowaniu ruchu w witrynie. Zamiast czerpać korzyści z większego ruchu, Twoja witryna ulega awarii.

Teraz host musi się szyfrować, aby przywrócić serwer i działać tak szybko, jak to możliwe, co pozostawia serwer podatny na złośliwe oprogramowanie—nie wspominając o utracie przychodów i wiarygodności dla Ciebie.

Te ataki również rosną. W trzecim kwartale 2020 roku strony internetowe odnotowały 50% wzrost liczby ataków DDoS w porównaniu do 2019 roku.

Czarne listy wyszukiwarek

Jeśli nie zapewnisz bezpieczeństwa swojej stronie, będzie to miało wpływ na inne kluczowe obszary Twojej firmy. Na przykład, jeśli Twoja witryna zostanie zaatakowana, Google może zauważyć i zmniejszyć twoje rankingi SEO.

Według ostatnich badań, 74% zhakowanych stron internetowych zostało zaatakowanych z powodów SEO, takich jak dodawanie linków zwrotnych do twojej witryny. Mogą również tworzyć nowe strony internetowe w Twojej witrynie lub wyświetlać zupełnie inną witrynę, aby obniżyć ranking i zwiększyć ranking dowolnej witryny.

Krótko o tym wspomniałem wcześniej, gdy omawialiśmy komentarze spamowe. Jeśli Wyszukiwarki wykryją złośliwe treści w Twojej witrynie, ucierpi Twój ranking SEO.

Jeśli wielu użytkowników zgłasza Twoją witrynę jako spam lub niebezpieczne, możesz zostać dodany do czarnej listy w wyszukiwarkach. Kiedy jesteś na tej liście, bardzo trudno się z niej wydostać.

Oto kilka sposobów, w jakie ludzie mogą zgłaszać problemy z bezpieczeństwem Twojej witryny w Google:

  • Spam stron www. Są to strony internetowe, które próbują uzyskać lepsze miejsce w wynikach Google za pomocą metod czarnego kapelusza, takich jak ukryty tekst, przekierowania i maskowanie.
  • Płatne linki spam. Jest to kupno i sprzedaż linków, które przechodzą PageRank.
  • Rich snippets spam. Jeśli podasz liderom fałszywe lub wprowadzające w błąd informacje, takie jak fałszywe recenzje.
  • Złośliwe oprogramowanie. Dzieje się tak, gdy Witryny są zainfekowane złośliwym oprogramowaniem i w rezultacie powodują szkodliwe wrażenia użytkownika.
  • Phishing. Są to strony internetowe i strony zaprojektowane w celu kradzieży danych osobowych użytkownika, udając inną stronę (np. utworzenie fałszywej strony docelowej PayPal w celu uzyskania informacji bankowych).

Najlepszym sposobem, aby uniknąć zgłoszenia jest grać według zasad i robić dobrze dla odwiedzających witrynę. To zaczyna się od zapewnienia bezpieczeństwa Twojej witryny.

Jak dbać o bezpieczeństwo witryny

Teraz, gdy znasz niektóre z najczęstszych zagrożeń bezpieczeństwa, musisz poważnie rozważyć zapobieganie ich wystąpieniu w Twojej witrynie.

Nie możesz po prostu zakładać, że Twoja strona jest Bezpieczna. Jeśli nie zrobiłeś nic, aby wzmocnić ochronę, prawdopodobnie jest podatny na ataki. Nawet jeśli coś zrobiłeś, musisz aktualizować swoją witrynę i upewnić się, że jest ona nadal bezpieczna. Internet porusza się szybko. Nie ma tu miejsca na „prawdopodobnie”.

Oto kroki, które musisz podjąć, aby poprawić bezpieczeństwo swojej witryny w 2020 roku.

Użyj protokołu HTTPS

Jeśli Twoja witryna nie korzysta obecnie z protokołu HTTPS, musi przejść na górę listy priorytetów. To zasadniczo mówi odwiedzającym Twoją witrynę, że wchodzą w interakcję z odpowiednim serwerem i nic innego nie może zmienić ani przechwycić treści, które przeglądają.

Bez HTTPS haker może zmieniać informacje na stronie, aby zbierać dane osobowe od odwiedzających witrynę. Mogą na przykład wykraść dane logowania i hasła od użytkowników.

Protokół HTTPS poprawi również ranking wyszukiwania. Witryny Google rewards, które korzystają z tego środka bezpieczeństwa.

Jest to pocieszające dla osób, które odwiedzają również Twoją stronę. Gdy odwiedzą Twoją witrynę, zobaczą ją obok adresu URL:

Jest bezpieczny i godny zaufania. Teraz porównaj to z witryną, która nie używa protokołu HTTPS. Adres URL w przeglądarce internetowej będzie wyglądał następująco:

Czy czujesz się bezpiecznie, gdy przeglądasz stronę i widzisz to? Ja nie.

Co więcej, możesz jeszcze bardziej poprawić ten środek bezpieczeństwa, łącząc swój HTTPS z certyfikatem SSL (secure sockets layer). Jest to wymagane w przypadku witryn e-commerce, ponieważ użytkownicy przesyłają poufne informacje, takie jak numery kart kredytowych, nazwiska i adresy.

Certyfikaty SSL szyfrują komunikację pomiędzy serwerem a przeglądarką internetową użytkownika. Jest to bardzo ładna dodatkowa warstwa szyfrowania, aby zapewnić bezpieczeństwo twojej stronie (chociaż nie zapobiega atakom ani dystrybucji złośliwego oprogramowania). Nawet jeśli nie sprzedajesz niczego w swojej witrynie, zdecydowanie polecam korzystanie z protokołu HTTPS i dodanie certyfikatu SSL, aby zwiększyć bezpieczeństwo.

Aktualizacja oprogramowania

Jeśli posiadasz komputer, wiesz, jak często musisz aktualizować oprogramowanie, aby działało płynnie. Mogą być irytujące, ale są konieczne. To samo dotyczy twojej strony internetowej. Upewnij się, że masz najnowszą wersję oprogramowania WordPress, wtyczek, CMS i wszystkiego innego, co wymaga aktualizacji.

Oprócz naprawiania błędów lub usterek, aktualizacje oprogramowania zazwyczaj zawierają ulepszenia zabezpieczeń. Żadne oprogramowanie nie jest idealne. Hakerzy zawsze będą szukać sposobów na wykorzystanie swoich luk w zabezpieczeniach.

Wiele cyberataków jest zautomatyzowanych. Przestępcy używają botów do skanowania stron, które są podatne na ataki. Jeśli więc nie jesteś na bieżąco z najnowszymi wersjami oprogramowania, hakerzy będą mogli łatwo zidentyfikować twoją witrynę i skierować ją na nią, zanim będziesz mógł coś z tym zrobić.

Wybierz plan bezpiecznego hostingu

Teoretycznie, jeśli twój dostawca usług hostingowych ma zabezpieczenia na swoich serwerach, skorzystasz z tych samych poziomów ochrony. Jednak nie zawsze tak jest.

Korzystanie z wspólnego planu hostingu może być atrakcyjne ze względu na cenę, ale nie jest to najbezpieczniejszy wybór, jakiego możesz dokonać. Jak sama nazwa wskazuje, udostępniasz serwery innym stronom internetowym, jeśli wybierzesz ten typ planu hostingowego.

Jeśli jedna z tych witryn zostanie zaatakowana, haker może uzyskać dostęp do serwera, z którego również korzystasz. Oznacza to, że hakerzy mogą zaszkodzić twojej witrynie, nawet jeśli nie jesteś bezpośrednio ukierunkowany.

To tak, jakbyś dzielił mieszkanie ze współlokatorami – ale jeden z Twoich współlokatorów przypadkowo zostawia drzwi otwarte pewnego dnia. Włamywacz ukradł telewizor. Mimo, że to nie była twoja wina i niekoniecznie byłeś celem, nadal cierpisz z tego powodu.

Nie próbuję odciągać cię od wspólnego planu hostingowego, ale jeśli chcesz zwiększyć bezpieczeństwo swojej witryny, lepiej będzie skorzystać z innej opcji, takiej jak chmura lub VPS.

Sprawdź moją listę najlepszych usług hostingowych, które mogą pomóc ci poprowadzić cię we właściwym kierunku.

Zmień hasło

Zmieniaj swoje hasło-i rób to regularnie (co 6 miesięcy do roku). Nie mogę tego wystarczająco podkreślić.

Zbyt często rozmawiam z ludźmi, którzy mają to samo hasło do wszystkiego, co posiadają, i to jest coś, czego używają od czasu, gdy byli na studiach dziesięć lat temu.

Oto problem: jeśli hakerzy uzyskają dostęp do twojego hasła, będą przymierzać się do innych rzeczy, takich jak konta bankowe, konta w mediach społecznościowych i inne. Jeśli zachowałeś to samo hasło na wielu różnych kontach, zasadniczo przekazujesz im klucz główny do swojego życia w Internecie.

Co szokujące, 25% haseł można zhakować w ciągu zaledwie trzech sekund.

Informacje z tego wykresu uzyskano za pomocą oprogramowania open source o nazwie John the Ripper. Każdy może użyć tego narzędzia do łamania haseł.

Jeśli oprogramowanie takie jak to może dowiedzieć się więcej niż połowę haseł w ciągu zaledwie dwóch godzin, mogę obiecać, że najlepsi hakerzy łamią hasła jeszcze szybciej.

Dlatego musisz stale aktualizować swoje hasło. Możesz użyć menedżera haseł, takiego jak 1Password, aby pomóc w generowaniu długich haseł ze znakami specjalnymi, które są prawie niemożliwe do rozwiązania. Te menedżery haseł wykorzystują również potężne szyfrowanie, które chroni Twoje hasła przed hakerami. Możesz spać spokojnie wiedząc, że Twoje hasła są bezpieczne.

Ponadto powinieneś wybrać hosta sieciowego, który używa uwierzytelniania dwuskładnikowego. Jest to funkcja, która wymaga potwierdzenia logowania na osobnym urządzeniu (najczęściej smartfonie). Zapewni to dodatkową warstwę zabezpieczeń dla ochrony hasłem. Jeśli twój Hosting nie oferuje tego, istnieją inne sposoby, aby włączyć go samodzielnie za pomocą aplikacji lub stron trzecich.

Zabezpiecz swój komputer osobisty

Nie pozwól, aby własne urządzenia zagrażały Twojej witrynie.

Hakerzy mogą wstrzykiwać złośliwe pliki do witryn internetowych, kradnąc loginy FTP za pośrednictwem komputera osobistego. Dlatego potrzebujesz dobrego oprogramowania antywirusowego na swoim komputerze (tak, nawet jeśli te wyskakujące okienka McAfee Cię denerwują).

Ostatnią rzeczą, którą chcesz, to być nieostrożnym podczas przeglądania online na urządzeniach osobistych i mieć ten błąd w końcu raniąc własną stronę internetową. Jest to szczególnie ważne, jeśli używasz osobistego urządzenia do pracy.

Jeśli jesteś właścicielem firmy, pamiętaj, aby edukować swoich pracowników, aby chronić swoje komputery osobiste przed złymi aktorami. W obu przypadkach regularnie Skanuj maszynę.

Używaj narzędzi do monitorowania bezpieczeństwa

Nie można ręcznie zapobiegać atakom w witrynie. Zamiast tego poszukaj narzędzi i zasobów online, które będą monitorować bezpieczeństwo Twojej witryny.

Jeśli używasz WordPressa, Gorąco polecam zapoznanie się z moim przewodnikiem na temat najlepszych wtyczek bezpieczeństwa WordPress. Wtyczki z tej listy dodają zaporę do twojej witryny, jednocześnie zwalczając złośliwe oprogramowanie, spam i inne zagrożenia w czasie rzeczywistym.

Jeśli nie korzystasz z WordPressa, sprawdź, czy Menedżer zawartości witryny oferuje dobre dodatki zabezpieczające. W przeciwnym razie sprawdź tę listę dobrego oprogramowania zabezpieczającego punkty końcowe, które zapewni bezpieczeństwo Twojej infrastruktury IT bez względu na Twój CMS.

Możesz przeprowadzać audyty bezpieczeństwa, które podkreślą Twoje luki w zabezpieczeniach, dzięki czemu możesz podjąć środki zapobiegawcze, aby powstrzymać atak, zanim to nastąpi.

Ogranicz dostęp użytkowników

Nie obwiniaj się, ale 95% ataków cyberbezpieczeństwa jest wynikiem ludzkiego błędu. Dlatego tak ważne jest, aby edukować siebie i swoich pracowników na temat znaczenia cyberbezpieczeństwa.

Najlepszym sposobem, aby temu zapobiec, jest ograniczenie liczby ludzi, którzy mogą popełnić błąd. Nie każdy pracownik Twojej firmy powinien mieć dostęp do twojej witryny.

Jeśli zatrudniasz zewnętrznego konsultanta, projektanta lub blogera-gościa, nie dawaj automatycznie tym osobom dostępu do zmiany ustawień w Twojej witrynie. Wdrożyć zasadę najmniejszego przywileju.

Załóżmy, że przypisujesz projekt komuś, kto wymaga pewnego poziomu dostępu do twojej witryny. Stosując tę zasadę, dajesz im tylko absolutny minimalny poziom dostępu, aby mogli wykonać zadanie. Po ukończeniu, osoba wraca do swoich zwykłych umiejętności dostępu.

Upewnij się, że każdy użytkownik ma własne dane logowania. Jeśli Wiele osób udostępnia nazwę użytkownika i hasło, nie daje im to żadnej odpowiedzialności i utrudnia śledzenie naruszenia bezpieczeństwa. Twój zespół jest znacznie bardziej ostrożny w przypadku poufnych informacji, jeśli można do nich przypisać błąd lub zmianę.

Wykonaj kopię zapasową swojej witryny

Jeśli chodzi o zabezpieczenie witryny, zawsze powinieneś przygotować się na najgorsze. Oczywiście nigdy nie chcesz być w sytuacji, w której Twoja strona jest zagrożona. Ale w przypadku, gdy coś pójdzie nie tak, twoje życie będzie znacznie łatwiejsze, jeśli Twoje treści zostaną całkowicie zarchiwizowane.

Więc spróbuj użyć wtyczki do tworzenia kopii zapasowych, takiej jak BackupBuddy, aby upewnić się, że nie stracisz niczego na swojej stronie w wyniku ataku.

BackupBuddy jest jedną z pięciu najlepszych wtyczek do tworzenia kopii zapasowych WordPress, które recenzowałem w tym roku. Sprawdź pełną listę, aby zobaczyć, która opcja jest najlepsza dla twojej sytuacji.

Niektóre z tych wtyczek do tworzenia kopii zapasowych mają również wbudowane środki bezpieczeństwa, które mogą pomóc zapobiec atakowi.

Dostosuj domyślne ustawienia CMS

W dzisiejszych czasach tak wiele cyberataków jest zautomatyzowanych. Hakerzy programują boty, aby znaleźć witryny z ustawieniami domyślnymi. W ten sposób mogą kierować reklamy na szerszą gamę stron internetowych i uzyskać dostęp za pomocą tego samego typu złośliwego oprogramowania lub wirusa. Nie ułatwiaj im tego.

Po zainstalowaniu systemu CMS należy zmienić niektóre ustawienia domyślne:

  • Ustawienia komentarzy
  • Sterowanie użytkownika
  • Widoczność informacji
  • Uprawnienia do plików

Są to wszystkie przykłady niektórych ustawień, które można zmienić szybko i od razu.

Ogranicz przesyłanie plików

Pozwalanie odwiedzającym na przesyłanie plików do twojej witryny może być ryzykowne. Dzieje się tak dlatego, że każdy plik może potencjalnie zawierać skrypt, który wykorzystuje luki w Twojej witrynie, gdy jest wykonywany na serwerze.

W niektórych przypadkach charakter witryny może wymagać przesyłania plików. Możesz na przykład chcieć, aby użytkownicy dodawali zdjęcia swoich produktów podczas pisania recenzji. W takim przypadku należy nadal traktować wszystkie przesłane pliki jako potencjalne zagrożenie.

Możesz również skonfigurować go tak, aby przesłane pliki były przechowywane w folderze lub bazie danych w innej lokalizacji. Zazwyczaj wygląda to na jeden z trzech sposobów:

  • DIY. Możesz utworzyć skrypt, który pobierze te pliki z prywatnej i zdalnej lokalizacji, aby dostarczyć je do przeglądarki. Będzie to wymagało trochę kodowania i jest nieco skomplikowane do skonfigurowania, więc nie będę teraz wchodzić w zbyt wiele szczegółów na ten temat.
  • Oprogramowanie stron trzecich. Istnieje oprogramowanie innych firm, takie jak Filestack i Transloadit, które oferują bezpieczny system przesyłania plików z wysokiej klasy bezpieczeństwem i ochroną przed wirusami. To może być dość drogie.
  • Unikaj tego. Prostym rozwiązaniem jest całkowite uniknięcie przesyłania plików lub przynajmniej ograniczenie typów plików, które można przesłać do witryny.

Wybierz najlepsze dla siebie. Ważne jest, aby wybrać jeden i chronić swoją stronę.

Wniosek

Bezpieczeństwo witryny musi być jednym z twoich priorytetów.

Jeśli nie podjąłeś żadnych kroków w celu zabezpieczenia swojej witryny, jesteś obecnie zagrożony podczas czytania tego. Nawet jeśli podjąłeś kroki, musisz to robić regularnie i często, aby zapewnić bezpieczeństwo swojej witryny.

Czujność i wdrażanie odpowiednich systemów pomoże ci, twojej witrynie i Twojej firmie odnieść sukces, jeśli chodzi o unikanie złych aktorów. Ale możesz im to utrudnić, podejmując środki bezpieczeństwa, które opisałem powyżej.

Pod koniec dnia, jeśli cyberprzestępcy mają trudności z hakowaniem witryny, po prostu przejdą do innych witryn, które nie wdrożyły taktyki bezpieczeństwa witryny, o której mówiliśmy. Nie chcesz, aby Twoja strona była na tej liście.