Semalt эксперт: Surefire бир сайтты хакерлерден кантип коргоонун жолдору

Көпчүлүк адамдардын айтымында, алардын веб-сайтында эч кандай маанилүү нерсе жок. Веб-сайтка хакер тарабынан серверди спам таратуу үчүн же аны мыйзамсыз файлдарды кармоо үчүн убактылуу сервер катары колдонуу үчүн компромисстик берилиши мүмкүн. Хакерлер веб-серверлерди биткойндорду иштетип, ботнеттердин ролун аткарышат же ransomware-ге талап кылышат. Хакерлер автоматтык сценарийлерди колдонуп, интернетте бузулуп, программалык камсыздоодогу кемчиликтерди колдонушат.

Төмөндө Semalt Кардарлардын Ийгиликтерин Жетектөөчү Игорь Гаманенко тарабынан даярдалган айрым кеңештер сизди жана вебсайтыңызды сактайт .

Эң акыркы программа

Сервердин иштөө программасы жана колдоочу программалар үзгүлтүксүз жаңыланып турушу керек. Программалык камсыздоодогу кандайдыр бир алсыздык хакерлерге алардын иликтөө жана бузуку ниетин көрсөтүү үчүн жеңилирээк илмек берет. Эгер хостинг компаниясы веб-сайтыңызды башкарса, анда сиз тынчсыздана турган нерсе жок, анткени хост фирмасы веб-коопсуздукту камсыз кылышы керек. Жаңы коопсуздук тактарын колдонуу үчүн, үчүнчү тараптын бардык арыздары үзгүлтүксүз жаңыртылып турушу керек.

SQL сайынуу

Вебсайттын маалымат базасын башкаруу үчүн, хакерлер ийне чабуулдарды колдонушат. Transact SQL стандартын колдонуу, сурамжылоолорго зыяндуу коддорду таблицаларды башкарууга же маалыматтарды жок кылууга колдонулушу мүмкүн. Буга жол бербөө үчүн, ар дайым төмөндө сүрөттөлгөн сыяктуу параметрленген сурамдарды колдонуңуз:

$ stmt = $ pdo-> даярдоо ('КАНТИП ЖАНА ТЕҢДЕШТЕ ЖЕ БАЯН =: маани');

$ stmt-> аткарыңыз (массив ('value' => $ параметр));

Cross site scripting

Кол салуунун ушул түрлөрү интернет браузерлерде жашыруун иштелип чыккан веб-баракчасына жалган JavaScript коддорун киргизип, веб-мазмунун өзгөртө же хакерлерге кайтарып берүү үчүн жашыруун маалыматты уурдап алышат. Вебсайттын администратору колдонуучулардын сиздин баракчаңызга JavaScript мазмунун ийгиликтүү киргизе албай тургандыгын камсыз кылышы керек. Мазмун коопсуздугу саясаты сыяктуу куралдарды колдонуу веб-браузерди баракта кандайча жана кандай JavaScript иштээрин чектөөгө багыттайт.

Ката билдирүүлөр

Веб-сайттын администратору ката билдирүүлөрүңүздө көрсөтүлгөн маалыматтардан этият болушу керек. Серверлериңизде сырсөздөр же API ачкычтары сыяктуу жашыруун маалыматтарды бербөө үчүн, колдонуучуларга чектелген каталарды гана бериңиз.

сырсөздөр

Сервериңизге же веб-сайттын администратор бөлүмүнө кирүү үчүн татаал сырсөздөрдү колдонуу өтө маанилүү. Ошондой эле колдонуучулар өз каттоо эсептерин бекемдөө үчүн күчтүү сырсөздөрдү колдонушу керек. Чоң тамга, кичине тамга, сандар жана атайын белгилердин айкалышы коопсуз паролду түзөт. Сырсөздөр хэш алгоритминин жардамы менен сакталууга тийиш. Сырсөздү жаңы жана уникалдуу тузду колдонуу менен веб-сайттын коопсуздугун өркүндөтүүгө болот.

Файл жүктөөлөр

Хакердик аракетти болтурбоо үчүн, жүктөлүп берилген файлдарга түздөн-түз жетки бербөө сунушталат. Вебсайтыңызга жүктөлгөн каалаган файл Webrootтун сыртында өзүнчө папкада сакталууга тийиш. Жеке папкадан файлдарды алып келип, аларды браузерге жеткирүү үчүн башка сценарий түзүлүшү керек.

HTTPS

Бул интернет аркылуу коопсуздукту камсыз кылган протокол. Бул колдонуучулар өздөрү күтүп жаткан серверге кире тургандыгын жана бир дагы хакер өткөрүп жаткан мазмунуна тоскоол болбой тургандыгына кепилдик берет. Насыя карталарын же башка төлөм формаларын колдогон веб-сайт колдонуучунун каалоосу менен жөнөтүлгөн накта кукилерди колдонушу керек. Бул сурамдарды аныктыгын текшерүүгө жардам берет, ошондуктан чабуулдардан арыласыз.

Вебсайттын коопсуздук куралдарын колдонуңуз

Жогоруда көрсөтүлгөн чараларды аткаргандан кийин, веб-сайтыңыздын коопсуздугун текшерүү өтө маанилүү. Бул Netsparker, OpenVAS, Security Headers.io жана Xenotix XSS Exploit Framework камтылган кирүү тестинин куралдары аркылуу эң мыкты. Инструменттерди колдонуунун натыйжалары ар кандай көйгөйлөрдү жана мүмкүн болгон өркүндөтүлгөн чечимдерди сунуш кылат.