Hversu örugg er vefsíðan þín? Lærðu ógnirnar og hvernig hægt er að vera öruggur

Birting: Stuðningur þinn hjálpar til við að halda vefnum í gangi! Við þénum tilvísunargjald fyrir sumar þjónusturnar sem við mælum með á þessari síðu.


Þar sem nútímamarkaðurinn hefur treyst á sýndarmiðla, geymslur og stjórnun samskipta hefur þörfin fyrir aukið netöryggi – allt frá hýsingu netþjóna til einkatölva til farsíma – aukist veldishraða. Farnir eru dagar frjálsra GeoCities geymslufólks, aðeins tryggðir með (vonast er) sterkt lykilorð og vakandi auga.

Hversu örugg er vefsíðan þín?

Skaðsemi á veraldarvefnum

Í dag er veraldarvefurinn nærri 15 milljarðar vefsíðna (dreifður yfir meira en 600 milljónir vefsíðna) og netöryggi hefur orðið stórfyrirtæki. Skilmálar sem þýddu lítið fyrir neinn utan þá gervalla upplýsingatæknigreinar fyrir tuttugu eða jafnvel tíu árum síðan – reiðhestur, phishing, Denial of Service (DoS) árás – hafa farið í almennar aðstæður þar sem fyrirtæki og einstaklingar finna sig á endalokum Internet illvirki.

Samt er „ódæði“ ekki nógu sterkt hugtak. Árásir á vefsíður fyrirtækja og stjórnvalda hafa aukist þar sem aðgerðarsinnar, anarkistar og (kannski frægastur) „hacktivist“ hópurinn Anonymous hafa gert það að verkum að vefsíðurnar og öruggar skrár af óheppnum markmiðum þeirra eru eitthvað listir. Og fyrir þá sem finna sig á endasprettinum „flutningsverk tölvusnámsins“ getur kostnaðurinn verið stjarnfræðilegur.

Vefsíður stjórnvalda eru ekki ónæmar

Hugleiddu borgina Naperville, Illinois, sem opinber borgarvefurinn var tölvusnápur í október 2012. Auk þess að slökkva á tölvupósti til og frá starfsmönnum borgarinnar, útrýmdi árásin í raun netaðgangi Naperville íbúa á netsveitum og félagsþjónustu. Borgin heimilaði næstum $ 700.000 til að endurheimta síðuna og bæta öryggi, en aukakostnaðurinn – tími, traust borgaranna á öryggi gagna sinna, tafir á þjónustu – er erfiðara að mæla.

Auðvitað eru vefsíður stjórnvalda ekki eina vinsæla skotmarkið fyrir árás. Í því sem hefur orðið nokkuð að varúðarsögu fyrir bæði leikjasamfélagið og talsmenn netöryggismála var PlayStation Network frá Sony árið 2011 aflöguð af netárás sem kostaði fyrirtækið $ 171 milljón dollara og skildi eftir persónuleg gögn (þ.m.t. nöfn, heimilisföng og lánstraust) kortaupplýsingar) 77 milljóna reikningshafa sem verða fyrir. Rafeindatækni juggernaut stóð frammi fyrir miklum málaferlum, neyddist til rebrand og heldur áfram að berjast fyrir því að endurheimta traust viðskiptavina.

Hótanirnar eru raunverulegar – og gríðarlegar

Ógnin er raunveruleg og húfi er mikil. Með 86% vefsíðna sem nú eru viðkvæmar fyrir að minnsta kosti einum vektor af netárásum, er snjallt, vel þróað og aðlaganlegt netöryggisáætlun – sem felur í sér að finna hýsingaraðila með fullnægjandi öryggisvalkosti – ekki lengur valfrjáls fyrir fyrirtæki sem vilja halda vefsíðum sínum og viðskiptavina gögn örugg.

how-safe-is-your website-large

Hversu örugg er vefsíðan þín?

Ráðist er á hundruð þúsunda vefsíðna með tvö algengustu efnisstjórnunarkerfin á ári hverju. Við höfum skoðað hversu algengar þessar árásir eru, hvað veldur þeim og hvernig á að koma í veg fyrir að þær fari eftir vefsvæðinu þínu.

634.000.000 vefsíður tilkynntar um heim allan – desember 2012.

  • 10% vefsvæða sem WordPress hefur sent frá sér
  • 4,7% vefsvæða knúin af Joomla!
  • 48% af 100 efstu dropunum nota WordPress.

Nærri 25.000 WordPress viðbætur eru fáanlegar með meira en 450 milljón niðurhalum.

Frá 2010 til 2012 jókst malware á vefnum um 140%.

Nærri 200.000 phishing-árásir á heimsvísu á fyrri helmingi ársins 2012 og námu samtals 687 milljónum dala tapi – 19% aukning frá 2011.

  • Apríl 2013
    • 90.000 IP tölur með WordPress og Joomla! vefsvæði
      • Orsök: Veik notendanöfn og lykilorð
    • „Pay Day Loan“ ruslpósttenglum var sprautað í vinsæla WordPress viðbótarmiðstöð fyrir samfélagsmiðla (samfélagsmiðla-búnaður) með 900.000 niðurhal
      • Orsök: Viðbætið var selt og nýju eigendurnir ákváðu að nota bi áhorfendur sína og sprauta ruslpósti á allar þær síður sem nota viðbætið. Þetta hefur líka gerst á Joomla! vefsvæði
  • Desember 2012
    • WordPress og Joomla! vefsíður voru fórnarlömb árásar á leitarvélareitrun (SEP)
      • Orsök: Ein kenning var GoDaddy hýsing, önnur var gamaldags útgáfur af pöllunum. Securi auðkenndi tvö mismunandi afbrigði af árásinni
  • September 2012
    • Fyrstu bandarísku bankavefirnir, síðan fjöldi annarra PHP vefforrita, svo sem Joomla! og margar WordPress síður
      • Orsök: Úrelt útgáfa af timúm tappinu (vinsæll myndbotni byggður á PHP). Hakkið leiddi til margra rangra pósta á vefsíðu þess, þar á meðal falsviðtal við sýrlenskan uppreisnarmannher
  • Ágúst 2012
    • Thomson Reuters
      • Orsök: Úrelt útgáfa af WordPress (keyrð á 3.1.1 í stað núverandi 3.4.1)
  • Mars 2012
    • Yfir 30.000 ExpressionEngine, Joomla !, og WordPress vefsíður lentu í mikilli innspýtingarárás sem miðaði að því að dreifa fölsuðum vírusvarnarhugbúnaði
      • Orsök: Veikt FTP persónuskilríki

Algengustu tegundir árása á WordPress og Joomla! Síður

  • Aftureldingar
    • Ráðist á framhjá venjulegri sannvottun til að fá ytra aðgang að umhverfi þínu með óeðlilegum aðferðum eins og FTP, SFTP & WP-stjórnandi.
  • Drive-by niðurhöl
    • Malware er innbyggt á vefsíðuna þína með einhvers konar handritssprautun. Algengar orsakir eru gamaldags hugbúnaður, skilríki og SQL innspýting.
  • Pharma Járnsög
    • Meira af ruslpósti en malware. Þetta er enn hættulegra vegna þess að þau eru fyrst og fremst sýnileg fyrir leitarvélar. Ef það hefur áhrif á þetta, Google kann að vera merkt af vefsíðu þinni sem „málamiðlun“.
  • Illgjarn tilvísanir
    • Vísar notandanum á aðra vefsíðu og getur haft áhrif á bæði aðal lén þitt og undirlén.

Algengustu vandamálin

  • Ódýrt hýsing
  • Slæmt dulrituð viðbætur frá þriðja aðila
  • Lélegt eða veikt lykilorð og persónuskilríki stjórnanda
  • Foreldar kjarna skrár, pallur, viðbætur og viðbætur

Lausnir og bestu starfshættir fyrir öryggi

  • Vertu menntaður
  • Notaðu öruggan gestgjafa
  • Notaðu skanni eins og Securis tékka (sem er ókeypis) til að athuga hvort sýkingar séu. Þema- og viðbótareftirlit er einnig fáanlegt
  • Skráðu þig fyrir verkfæri vefstjóra Google og staðfestu vefsíðuna þína
  • Notaðu mjög sterk lykilorð
  • Taktu skrá yfir PHP viðbætur, haltu þeim uppfærðum
  • Skráðu netkerfisumferð til að sýna PHP beiðnir á heimleið sem afhjúpa árásarmenn sem gerðu ráð fyrir slíkum forritum
  • Afritaðu síðuna þína

WordPress

  • Uppfærðu síðuna þína (ekki hunsa WordPress skilaboðin sem hvetja þig til að uppfæra í nýjustu útgáfuna!)
  • Settu upp viðbætur sem takmarka fjölda innskráningartilrauna frá sama IP-tölu eða neti (og halda þeim uppfærðum)
  • Kveiktu á tveggja þátta auðkenningu til að bæta við auknu öryggislagi

Joomla!

  • Notaðu nýjustu öryggisuppfærsluna
  • Notaðu SEF íhlut sem gerir síðuna þína öruggari. Sjálfgefin Joomla URL segir áhorfandanum mikið um síðuna sem heimsótt er; að það er Joomla! síðu og hvaða íhlutir eru notaðir. SEF íhlutur grímar þessar upplýsingar og gerir erfiðara fyrir tölvusnápur að finna öryggisleysi
  • Skrifaðu og verndaðu stillingarskrána þína (gerðu óskrifanlegar). Skráin heitir „Configuration.php“ og er staðsett í rótarmöppu lénsins þíns
  • Eyða ónotuðum sniðmátum
  • Breyta heimildum til að takmarka klippingu eða skrifa yfir

Fylgstu með og vera öruggur!

Heimildir

  • wordpress.com
  • wordpress.org
  • wp.smashingmagazine.com
  • blogs.rsa.com
  • thenextweb.com
  • blog.sucuri.net
  • informationweek.com
  • blogs.wsj.com
  • hyphenet.com
  • wpmu.org
  • joomlasecurity.org
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map