Как обеспечить безопасность веб-сайтов: угрозы и устранение уязвимостей

Посещение вредоносного веб-сайта может быть одной из худших вещей, которые могут случиться с людьми, работающими в Интернете(Internet) , особенно с теми, кто интересуется покупками в Интернете. Веб-мастерам необходимо знать об угрозах для веб-сайтов и их разрушительных возможностях, в первую очередь о потере потребительской базы. Если вы ведете веб-сайт или блог, вам необходимо знать о возможных угрозах веб-сайта. В этой статье рассказывается об угрозах и их последствиях, о некоторых методах, используемых хакерами для нанесения вреда вашему веб-сайту, а затем обсуждаются способы обеспечения безопасности веб-сайтов.

Веб - (Website) угрозы(Threats) и их (Their) последствия(Effects) или возможности

Как обеспечить безопасность веб-сайтов

Хакерам выгодно воровать данные людей и использовать их в личных целях. Прибыль может быть денежной или абстрактной. Хотя взлом, фишинг и социальная инженерия являются распространенными методами, хакеры также используют веб-сайты других людей для взлома компьютеров пользователей и доступа к их данным. Следующее изображение дает вам представление об угрозах веб-сайта.

Поэтому работа веб-мастера состоит в том, чтобы убедиться, что его или ее веб-сайт свободен от любого вредоносного кода и уязвимостей. Это непростая работа, учитывая, что страниц могут быть тысячи, и хакер выборочно вставляет код на некоторые страницы. Поскольку это вопрос вашей репутации, вы должны это сделать. К счастью, есть несколько доступных инструментов, которые могут ежедневно сканировать ваши веб-сайты, чтобы предоставить вам отчет о зараженном коде и точках уязвимости (таких как экраны входа в систему, формы и т. д.).

Кроме того, доступны браузеры и плагины для браузеров, которые вызывают тревогу, когда вы собираетесь посетить вредоносный, зараженный веб-сайт. Хотя вы, возможно, посещали этот сайт раньше, и хотя вам может быть трудно поверить, что сайт, которому вы доверяете, заражен, он может быть действительно вредоносным без ведома веб-мастера, потому что часом ранее какой-то хакер добавил некоторый код в сайт.

Говоря о наихудших сценариях — или возможностях веб-угроз — есть две основные стороны ущерба:

  1. Веб-мастера могут потерять свою клиентскую базу, поскольку браузер посетителей выдает сигнал тревоги, когда они пытаются посетить их сайт; Google и другие поисковые системы могут внести веб-сайт в черный список, если обнаружат какой-либо вредоносный код при сканировании веб-сайта.
  2. Со стороны пользователя компьютер пользователя и, следовательно, его/ее данные скомпрометированы, что может привести к краже личных данных.

Распространенные типы веб-угроз

Наиболее распространенным и заметным является кликджекинг(clickjacking) . В этом методе прозрачный слой вредоносного кода размещается на кнопке или видео. Когда вы нажимаете на кнопку, он загружает код на ваш компьютер. Вы могли видеть подобные методы рекламы на веб -сайтах категории C(C-grade) , в основном связанных с пиратством, контентом для взрослых и т. д.

Уязвимости перенаправления веб(Website redirection) -сайтов позволяют хакерам использовать перенаправления для своей выгоды. Они могут либо перехватывать обмениваемые данные, либо использовать перенаправление для перенаправления пользователей на фишинговый сайт.

Среди других типов веб-сайтов угрозы представляют собой целевые атаки с использованием готовых наборов эксплойтов(readymade exploit kits) , которые легко доступны в Интернете(Internet) . Эти наборы позволяют хакерам ориентироваться на определенные (типы) веб-сайты и добавлять на них вредоносные ссылки. Другой метод — отправлять электронные письма на веб-сайт с вредоносными ссылками, которые обходят ничего не подозревающего веб-мастера, чтобы сделать его вредоносным веб-сайтом.

Недавние атаки на популярные веб-сайты показывают, что даже самые крупные веб-сайты уязвимы. Люди, однажды потерявшие свои учетные данные, вряд ли вернутся на сайт снова.

Представьте(Imagine) , что ваш бизнес или веб-сайт электронной коммерции попадает в черный список, и вы остаетесь в неведении в течение нескольких недель, пока поисковые системы снова не занесут их в белый список. Хотя процесс удаления веб-сайта из черных списков сложен, сможет ли ваш бизнес выжить, если он не будет появляться в открытом доступе в течение нескольких недель?

Читайте(Read) : Как удалить скрипт криптомайнинга Coinhive с вашего сайта.

Как обеспечить безопасность веб-сайтов

  • Актуальное программное обеспечение(Up-to-date software) : полностью обновляйте и исправляйте серверное программное обеспечение вашего веб -сайта.
  • SSL(SSL Certificates:) -сертификаты: компании, предлагающие сертификаты безопасности, проверяют ваш сайт перед выдачей сертификата доверия. Зеленая часть адресной строки рядом с «https» дает некоторую уверенность пользователям веб-сайта.
  • Шифрование:(Encryption:) используйте безопасное соединение для всего, что пользователи делают на вашем веб-сайте, особенно если они участвуют в транзакциях.
  • Обновление до EV SSL: (Upgrade to EV SSL: ) сделайте это в любой части веб-сайта, где клиент может вводить данные.
  • Ежедневное сканирование вредоносных программ:(Daily Malware Scan:) вы можете использовать продукты, которые сканируют страницы вашего веб-сайта на наличие вредоносных программ, не сокращая время их загрузки. Таким образом, вы можете удалить вредоносный код — если он есть — до того, как это затронет пользователей.
  • Еженедельная оценка уязвимостей: (Weekly Assessment of Vulnerabilities:) проверьте(Check) возможные точки уязвимости и внедрите там дополнительную безопасность.

Выше приведены лишь несколько советов по обеспечению безопасности вашего сайта. В нем кратко объясняются угрозы для веб-сайтов и их возможности.

Теперь прочитайте(Now read) : Как защитить сайт WordPress(How to secure a WordPress site) .

Позже сегодня мы прочитаем о загрузках Drive-by,(Drive-by downloads)  а через несколько дней о том, как обеспечить безопасность веб-сайта WordPress .



About the author

Я инженер-программист с более чем 10-летним опытом работы в индустрии Xbox. Я специализируюсь на разработке игр и тестировании безопасности. Я также являюсь опытным обозревателем и работал над проектами для некоторых из самых известных игровых компаний, включая Ubisoft, Microsoft и Sony. В свободное время я люблю играть в видеоигры и смотреть сериалы.



Related posts