Ar saugu naudotis jūsų svetaine? Sužinokite apie grėsmes ir kaip išlikti saugiems

Atskleidimas: Jūsų palaikymas padeda išlaikyti svetainę! Mes uždirbame siuntimo mokestį už kai kurias paslaugas, kurias rekomenduojame šiame puslapyje.


Kadangi šiuolaikinė rinka pasikliauja virtualia žiniasklaida, parduotuvių vitrinomis ir santykių valdymu, reikėjo didesnio kibernetinio saugumo – visose srityse, pradedant serverių priegloba ir baigiant asmeniniais kompiuteriais, ir mobiliaisiais įrenginiais. Baigėsi atsitiktinių „GeoCities“ parduotuvių dienos, apsaugotos tik tvirtu (tikimasi) slaptažodžiu ir budria akimi..

Ar saugi jūsų svetainė?

Nusivylimas žiniatinklyje

Šiandien žiniatinklyje yra beveik 15 milijardų tinklalapių (pasklidusių daugiau nei 600 milijonų svetainių), o kibernetinis saugumas tapo dideliu verslu. Sąvokos, kurios mažai reiškė niekam iš anuomet reto informacinių technologijų srities prieš dvidešimt ar net dešimt metų – įsilaužimas, sukčiavimas, sukčiavimas, paslaugų neigimo (DoS) išpuolis -, tapo įprasta, nes ir verslas, ir privatūs asmenys atsiduria priimančiojo interneto gale. piktadarys.

Tačiau „blogybė“ nėra pakankamai stiprus terminas. Atakos verslo ir vyriausybės tinklalapiuose padaugėjo, nes aktyvistai, anarchistai ir (galbūt garsiausiai) „hacktivist“ grupuotė „Anonymous“ kompromitavo svetaines ir saugojo savo nelaimingų taikinių failus į kažkokį meną. Tiems, kurie atsiduria įsilaužėlių „spektaklio kūrinio“ gale, išlaidos gali būti astronominės.

Vyriausybės tinklalapiai nėra imunitetingi

Apsvarstykite Napervilio miestą, Ilinojaus valstiją, kurio oficiali miesto svetainė buvo nulaužta 2012 m. Spalio mėn. Be to, kad buvo uždrausta siųsti el. Laiškus miesto darbuotojams ir iš jų, tai iš esmės panaikino Napervilio gyventojų internetinę prieigą prie komunalinių paslaugų ir socialinių paslaugų. Miestas leido atkurti svetainę ir padidinti saugumą beveik 700 000 USD, tačiau sunkiau apskaičiuoti papildomas išlaidas – laiką, piliečių pasitikėjimą savo duomenų saugumu, vėlavimą teikti paslaugas..

Be abejo, vyriausybių svetainės nėra vienintelis populiarus puolimo taikinys. Tai, kas tapo atsargia pasaka tiek žaidimų bendruomenei, tiek kibernetinio saugumo šalininkams, „Sony“ „PlayStation Network“ 2011 m. Buvo sugadinta dėl kibernetinės atakos, kuri įmonei kainavo 171 milijoną dolerių ir paliko asmeninius duomenis (įskaitant vardus, adresus ir kreditą). informacija apie kortelę) iš 77 milijonų sąskaitos savininkų. Dėl elektronikos elektronikos žurnalas susidūrė su dideliais teismo procesais, buvo priverstas pakeisti prekės ženklą ir toliau stengiasi atgauti klientų pasitikėjimą..

Grėsmės yra realios – ir didžiulės

Grėsmė yra reali, o statymai yra dideli. 86 proc. Svetainių, kurios šiuo metu yra pažeidžiamos bent vieno kibernetinės atakos pernešėjo, intelektualus, gerai išplėtotas ir pritaikomas kibernetinio saugumo planas – tas, kuris apima prieglobos paslaugų teikėjo su tinkamomis saugumo galimybėmis paiešką – nebebus pasirenkamas įmonėms, norinčioms išlaikyti savo svetaines. ir klientų duomenys yra saugūs.

kaip saugu - tavo svetainė - didelė

Ar saugu naudotis jūsų svetaine?

Kiekvienais metais puolama šimtai tūkstančių svetainių, turinčių dvi labiausiai paplitusias turinio valdymo sistemas. Mes pažvelgėme, kaip dažnai pasitaiko šių išpuolių, kas juos sukelia ir kaip užkirsti jiems kelią po jūsų svetainę.

Pranešimų apie 634 000 000 svetainių visame pasaulyje – 2012 m. Gruodžio mėn.

  • 10% svetainių, kurias naudoja „WordPress“
  • 4,7% svetainių, kurias palaiko „Joomla“!
  • 48% iš 100 populiariausių BLOB naudoja „WordPress“.

Galima įsigyti beveik 25 000 „WordPress“ papildinių su daugiau nei 450 milijonų atsisiuntimų.

Nuo 2010 iki 2012 m. Kenkėjiškos žiniatinklio programos išaugo apie 140 proc..

Beveik 200 000 sukčiavimo apsimetant išpuolių visame pasaulyje per pirmąjį 2012 m. Pusmetį iš viso patirta 687 mln. USD nuostolių – 19% daugiau nei 2011 m..

  • 2013 m. Balandžio mėn
    • 90 000 IP adresų naudojant „WordPress“ ir „Joomla!“ svetaines
      • Priežastis: Silpni vartotojo vardai ir slaptažodžiai
    • Į populiarų „WordPress“ socialinės medijos valdiklio įskiepį (socialinės medijos valdiklį) buvo įterptos šlamšto nuorodos „Pay Day Loan“, į kurias buvo atsiųsta 900 000
      • Priežastis: papildinys buvo parduotas, o naujieji savininkai nusprendė naudoti savo bi auditoriją ir švirkšti šlamštą visose svetainėse, naudojančiose papildinį. Tai nutiko ir „Joomla“! svetaines
  • 2012 gruodis
    • „WordPress“ ir „Joomla“! svetainės buvo apsinuodijimo paieškos varikliais (SEP) aukos
      • Priežastis: Viena teorija buvo „GoDaddy“ priegloba, kita – pasenusios platformų versijos. „Securi“ nustatė du skirtingus išpuolio variantus
  • 2012 rugsėjis
    • Pirmosios JAV bankų svetainės, tada daugybė kitų PHP žiniatinklio programų, tokių kaip „Joomla!“. ir daug „WordPress“ svetainių
      • Priežastis: Pasenusi „timthumb“ papildinio versija (populiarus vaizdų keitiklis, paremtas PHP). Dėl įsilaužimo į jo tinklalapį buvo pateikti keli melagingi įrašai, įskaitant netikrą interviu su Sirijos sukilėlių armijos vadovu.
  • 2012 rugpjūtis
    • „Thomson Reuters“
      • Priežastis: pasenusi „WordPress“ versija (veikia 3.1.1, o ne tuo metu galiojusia 3.4.1)
  • 2012 m. Kovo mėn
    • Per 30 000 „ExpressionEngine“, „Joomla!“ Ir „WordPress“ svetainių užklupo masinis injekcijų išpuolis, kurio tikslas buvo paskleisti padirbtą antivirusinę programinę įrangą.
      • Priežastis: Silpni FTP kredencialai

Dažniausiai pasitaikantys „WordPress“ ir „Joomla!“ Išpuolių tipai! Sklypai

  • Užpakalinės durys
    • Užpultas apeiti įprastą autentifikavimą, kad gautumėte nuotolinę prieigą prie savo aplinkos neįprastais metodais, tokiais kaip FTP, SFTP & WP-administratorius.
  • „Drive-by“ atsisiuntimai
    • Kenkėjiška programa yra įdėta į jūsų svetainę naudojant tam tikro tipo scenarijus. Dažniausios priežastys yra pasenusi programinė įranga, pažeisti įgaliojimai ir SQL įterpimas.
  • „Pharma Hacks“
    • Labiau šlamšto grėsmė nei kenkėjiška programinė įranga. Tai yra dar pavojingesni, nes jie matomi pirmiausia tik paieškos varikliams. Jei tai paveikiama, „Google“ gali pažymėti jūsų svetainę kaip „pažeistą“.
  • Kenkėjiški peradresavimai
    • Peradresuoja vartotoją į kitą svetainę ir gali paveikti ir jūsų pagrindinį domeną, ir antrinius domenus.

Dažniausios problemos

  • Pigus hostingas
  • Blogai užkoduoti trečiųjų šalių plėtiniai
  • Prasti ar silpni slaptažodžiai ir administratoriaus įgaliojimai
  • Pasenę pagrindiniai failai, platformos, papildiniai ir plėtiniai

Saugumo sprendimai ir geriausia praktika

  • Likite išsilavinę
  • Naudokite saugų pagrindinį kompiuterį
  • Norėdami patikrinti, ar nėra infekcijų, naudokite skaitytuvą, pvz., „Securi“ svetainės patikrinimą (kuris yra nemokamas). Taip pat yra temų ir papildinių patikrinimai
  • Prisiregistruokite naudoti „Google“ žiniatinklio valdytojo įrankius ir patvirtinkite savo svetainę
  • Naudokite labai stiprius slaptažodžius
  • Atlikite PHP plėtinių inventorių, nuolat atnaujinkite juos
  • Užregistruokite tinklo srautą norėdami atskleisti atvykstančias PHP užklausas, atskleidžiančias potencialius užpuolikus, ieškančius tokių programų
  • Sukurkite atsarginę savo svetainės kopiją

„WordPress“

  • Atnaujinkite savo svetainę (neignoruokite „WordPress“ pranešimo, raginančio atnaujinti naujausią versiją!)
  • Įdiekite papildinius, kurie riboja prisijungimo bandymų skaičių iš to paties IP adreso arba tinklo (ir nuolat atnaujina)
  • Įjunkite dviejų veiksnių autentifikavimą, kad pridėtumėte papildomą saugos lygį

Joomla!

  • Naudokite naujausią saugos naujinimą
  • Naudokite SEF komponentą, kuris jūsų svetainę daro saugesnę. Numatytasis „Joomla“ URL nurodo daug lankytojui apie aplankytą puslapį; kad tai Joomla! puslapis ir kokie komponentai naudojami. SEF komponentas užmaskuoja tą informaciją ir apsunkina įsilaužėlių galimybes rasti saugos spragas
  • Apsaugokite savo konfigūracijos failą (padarykite nerašomą). Failas vadinamas „Configuration.php“ ir yra jūsų domeno šakniniame aplanke
  • Ištrinkite nenaudojamus šablonus
  • Pakeiskite failo teises, norėdami apriboti redagavimą ar perrašymą

Atnaujinkite ir saugokite!

Šaltiniai

  • wordpress.com
  • wordpress.org
  • wp.smashingmagazine.com
  • tinklaraščiai.rsa.com
  • thenextweb.com
  • tinklaraštis.sucuri.net
  • informationweek.com
  • tinklaraščiai.wsj.com
  • hyphenet.com
  • wpmu.org
  • joomlasecurity.org
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me