9 metode prin care iti poti proteja site-ul

securitate-site-web

9 metode prin care iti poti securiza site-ul – Este posibil s─â nu crede╚Ťi c─â site-ul dvs. are ceva pentru care merit─â s─â fie piratat, dar site-urile web sunt compromise tot timpul. Majoritatea ├«nc─âlc─ârilor de securitate ale site-ului web nu au ca scop s─â v─â fure datele sau s─â v─â deranjeze aspectul site-ului dvs. , ci s─â ├«ncerce s─â v─â folosi╚Ťi serverul ca transmisie de e-mail pentru spam sau s─â configura╚Ťi un server web temporar, ├«n mod normal pentru a servi fi╚Öiere de natur─â ilegal─â.

Pastrati software-ul la zi

Poate p─ârea evident, dar asigurarea c─â ╚Ťine╚Ťi tot software-ul la zi este vital─â pentru a v─â men╚Ťine site-ul ├«n siguran╚Ť─â. Acest lucru se aplic─â at├ót sistemului de operare pentru server, c├ót ╚Öi oric─ârui software pe care ├«l pute╚Ťi rula pe site-ul dvs. web, cum ar fi un CMS sau un forum. C├ónd se g─âsesc g─âuri de securitate a site-ului web ├«n software, hackerii ├«ncearc─â rapid s─â le abuzeze.

Dac─â utiliza╚Ťi software ter╚Ť─â parte pe site-ul dvs. web, cum ar fi un CMS sau un forum, ar trebui s─â v─â asigura╚Ťi c─â aplica╚Ťi rapid orice corec╚Ťie de securitate. Majoritatea furnizorilor au o list─â de coresponden╚Ť─â sau un flux RSS care detaliaz─â orice probleme de securitate ale site-ului web. WordPress , Umbraco ╚Öi multe alte CMS-uri v─â anun╚Ť─â actualiz─ârile de sistem disponibile atunci c├ónd v─â conecta╚Ťi.

Atentie la injectarea bazei de date SQL

Atacurile cu injec╚Ťie SQL sunt atunci c├ónd un atacator folose╚Öte un c├ómp de formular web sau un parametru URL pentru a ob╚Ťine acces la sau pentru a manipula baza de date. C├ónd utiliza╚Ťi Transact SQL standard, este u╚Öor s─â insera╚Ťi, f─âr─â s─â ╚Öti╚Ťi, cod neautorizat ├«n interogarea dvs., care ar putea fi folosit pentru a schimba tabelele, a ob╚Ťine informa╚Ťii ╚Öi a ╚Öterge date. Pute╚Ťi preveni cu u╚Öurin╚Ť─â acest lucru utiliz├ónd ├«ntotdeauna interog─âri parametrizate, majoritatea limbilor web au aceast─â caracteristic─â ╚Öi este u╚Öor de implementat.

Protejati site-ul impotriva atacurilor XSS

Atacurile de tip cross-site scripting (XSS) injecteaz─â JavaScript r─âu inten╚Ťionat ├«n paginile dvs., care apoi ruleaz─â ├«n browserele utilizatorilor dvs. ╚Öi pot modifica con╚Ťinutul paginii sau pot fura informa╚Ťii pentru a le trimite ├«napoi atacatorului. De exemplu, dac─â afi╚Öa╚Ťi comentarii pe o pagin─â f─âr─â validare, atunci un atacator poate trimite comentarii care con╚Ťin etichete de script ╚Öi JavaScript, care ar putea rula ├«n browserul oric─ârui alt utilizator ╚Öi ar putea fura cookie-ul de autentificare, permi╚Ť├ónd atacului s─â preia controlul asupra contului fiec─ârui utilizator. utilizator care a vizualizat comentariul. Trebuie s─â v─â asigura╚Ťi c─â utilizatorii nu pot injecta con╚Ťinut JavaScript activ ├«n paginile dvs.

Aceasta este o preocupare deosebit─â ├«n aplica╚Ťiile web moderne, ├«n care paginile sunt acum construite ├«n principal din con╚Ťinutul utilizatorului ╚Öi care, ├«n multe cazuri, genereaz─â HTML, care este apoi interpretat ╚Öi de cadrele front-end precum Angular ╚Öi Ember. Aceste cadre ofer─â multe protec╚Ťii XSS, dar amestecarea red─ârii serverului ╚Öi clientului creeaz─â, de asemenea, c─âi de atac noi ╚Öi mai complicate: nu numai c─â injectarea JavaScript ├«n HTML este eficient─â, dar pute╚Ťi ╚Öi injecta con╚Ťinut care va rula cod prin inserarea directivelor Angular sau folosind Ember. ajutoare.

Cheia aici este s─â v─â concentra╚Ťi asupra modului ├«n care con╚Ťinutul dvs. generat de utilizatori ar putea sc─âpa de limitele la care v─â a╚Ötepta╚Ťi ╚Öi poate fi interpretat de browser ca altceva dec├ót ceea ce v-a╚Ťi propus. Acest lucru este similar cu ap─ârarea ├«mpotriva inject─ârii SQL. C├ónd genera╚Ťi HTML dinamic, utiliza╚Ťi func╚Ťii care efectueaz─â ├«n mod explicit modific─ârile pe care le c─âuta╚Ťi (de exemplu, utiliza╚Ťi element.setAttribute ╚Öi element.textContent, care vor fi eliminate automat de browser, ├«n loc s─â seta╚Ťi manual element.innerHTML) sau utiliza╚Ťi func╚Ťii ├«n instrumentul dvs. de ╚Öabloane, care efectueaz─â automat evadarea adecvat─â, mai degrab─â dec├ót concatenarea ╚Öirurilor sau setarea con╚Ťinutului HTML brut.

Un alt instrument puternic din setul de instrumente al ap─âr─âtorului XSS este Politica de securitate a con╚Ťinutului (CSP). CSP este un antet pe care serverul dvs. ├«l poate returna, care ├«i spune browserului s─â limiteze cum ╚Öi ce JavaScript este executat ├«n pagin─â, de exemplu, s─â interzic─â rularea oric─âror scripturi care nu sunt g─âzduite pe domeniul dvs., s─â nu permit─â JavaScript inline sau s─â dezactiveze eval(). Mozilla are un ghid excelent cu c├óteva exemple de configura╚Ťii. Acest lucru face ca scripturile unui atacator s─â func╚Ťioneze mai greu, chiar dac─â le pot introduce ├«n pagina ta.

Securitate site web

Atentie la mesajele de eroare

Fi╚Ťi aten╚Ťi la c├óte informa╚Ťii furniza╚Ťi ├«n mesajele dvs. de eroare. Furniza╚Ťi doar erori minime utilizatorilor dvs., pentru a v─â asigura c─â nu scurg secrete prezente pe serverul dvs. (de exemplu, chei API sau parole de baze de date). Nu furniza╚Ťi nici detalii complete despre excep╚Ťii, deoarece acestea pot face atacurile complexe precum injec╚Ťia SQL mult mai u╚Öoar─â. P─âstra╚Ťi erorile detaliate ├«n jurnalele serverului dvs. ╚Öi afi╚Öa╚Ťi utilizatorilor doar informa╚Ťiile de care au nevoie.

Validati site-ul pe ambele parti (browser si server)

Validarea ar trebui s─â se fac─â ├«ntotdeauna at├ót pe partea de browser, c├ót ╚Öi pe server. Browserul poate detecta erori simple, cum ar fi c├ómpurile obligatorii care sunt goale ╚Öi c├ónd introduce╚Ťi text ├«ntr-un c├ómp numai cu numere. Acestea pot fi totu╚Öi ocolite ╚Öi ar trebui s─â v─â asigura╚Ťi c─â verifica╚Ťi validarea ╚Öi validarea mai profund─â din partea serverului, deoarece nerespectarea acestui lucru ar putea duce la inserarea de cod r─âu inten╚Ťionat sau cod de scripting ├«n baza de date sau ar putea cauza rezultate nedorite pe site-ul dvs. web.

Verificati si schimbati des parolele

Toat─â lumea ╚Ötie c─â ar trebui s─â foloseasc─â parole complexe, dar asta nu ├«nseamn─â c─â o fac ├«ntotdeauna. Este esen╚Ťial s─â utiliza╚Ťi parole puternice pentru serverul dvs. ╚Öi zona de administrare a site-ului dvs. web, dar la fel de important ╚Öi s─â insista╚Ťi asupra bunelor practici de parole pentru utilizatorii dvs. pentru a proteja securitatea conturilor lor.

Oric├ót de mult ar putea s─â nu le plac─â utilizatorilor, aplicarea cerin╚Ťelor privind parola, cum ar fi cel pu╚Ťin aproximativ opt caractere, inclusiv o liter─â mare ╚Öi un num─âr, va ajuta la protejarea informa╚Ťiilor pe termen lung.

Parolele ar trebui s─â fie ├«ntotdeauna stocate ca valori criptate, de preferin╚Ť─â folosind un algoritm de hashing unidirec╚Ťional, cum ar fi SHA. Folosirea acestei metode ├«nseamn─â c─â atunci c├ónd autentifica╚Ťi utilizatorii nu compara╚Ťi dec├ót valorile criptate. Pentru securitate suplimentar─â a site-ului web, este o idee bun─â s─â s─âra╚Ťi parolele, folosind o nou─â sare pentru fiecare parol─â.

Din fericire, multe CMS-uri ofer─â gestionarea utilizatorilor de pe pia╚Ť─â, cu multe dintre aceste caracteristici de securitate a site-ului web integrate, de╚Öi ar putea fi necesare unele configura╚Ťii sau module suplimentare pentru a utiliza parole s─ârate (├«nainte de Drupal 7) sau pentru a seta puterea minim─â a parolei. Dac─â utiliza╚Ťi .NET, atunci merit─â s─â utiliza╚Ťi furnizori de membri, deoarece ace╚Ötia sunt foarte configurabili, ofer─â securitate integrat─â a site-ului ╚Öi includ controale gata pentru autentificare ╚Öi resetare a parolei.

Evitati incarcarea multor fisiere pe site

Permiterea utilizatorilor s─â ├«ncarce fi╚Öiere pe site-ul dvs. web poate reprezenta un risc mare pentru securitatea site-ului, chiar dac─â este pur ╚Öi simplu pentru a-╚Öi schimba avatarul. Riscul este ca orice fi╚Öier ├«nc─ârcat, oric├ót de inocent ar p─ârea, s─â poat─â con╚Ťine un script care, atunci c├ónd este executat pe serverul t─âu, deschide complet site-ul t─âu.

Dac─â ave╚Ťi un formular de ├«nc─ârcare a fi╚Öierelor, atunci trebuie s─â trata╚Ťi toate fi╚Öierele cu mare suspiciune. Dac─â permite╚Ťi utilizatorilor s─â ├«ncarce imagini, nu v─â pute╚Ťi baza pe extensia fi╚Öierului sau pe tipul mime pentru a verifica dac─â fi╚Öierul este o imagine, deoarece acestea pot fi falsificate cu u╚Öurin╚Ť─â. Chiar ╚Öi deschiderea fi╚Öierului ╚Öi citirea antetului sau utilizarea func╚Ťiilor pentru a verifica dimensiunea imaginii nu sunt sigure. Majoritatea formatelor de imagini permit stocarea unei sec╚Ťiuni de comentarii care ar putea con╚Ťine cod PHP care ar putea fi executat de server.

Unele op╚Ťiuni sunt redenumirea fi╚Öierului la ├«nc─ârcare pentru a asigura extensia corect─â a fi╚Öierului sau modificarea permisiunilor fi╚Öierului, de exemplu, chmod 0666, astfel ├«nc├ót s─â nu poat─â fi executat. Dac─â utiliza╚Ťi *nix, pute╚Ťi crea un fi╚Öier .htaccess (vezi mai jos) care va permite accesul numai la fi╚Öierele setate, prevenind atacul cu extensie dubl─â men╚Ťionat mai devreme.

Utilizati HTTPS

HTTPS este un protocol folosit pentru a oferi securitate pe Internet. HTTPS garanteaz─â c─â utilizatorii vorbesc cu serverul la care se a╚Öteapt─â ╚Öi c─â nimeni altcineva nu poate intercepta sau modifica con╚Ťinutul pe care ├«l v─âd ├«n tranzit.

Dac─â ave╚Ťi ceva ce utilizatorii ar putea dori privat, este foarte recomandabil s─â utiliza╚Ťi numai HTTPS pentru a-l livra. Asta ├«nseamn─â, desigur, c─âr╚Ťile de credit ╚Öi paginile de conectare (╚Öi adresele URL la care se trimit), dar de obicei mult mai mult din site-ul t─âu. Un formular de autentificare va seta adesea un cookie, de exemplu, care este trimis cu orice alt─â solicitare c─âtre site-ul dvs. pe care o face un utilizator conectat ╚Öi este folosit pentru a autentifica acele solicit─âri. Un atacator care fur─â acest lucru ar putea s─â imite perfect un utilizator ╚Öi s─â preia sesiunea de conectare a acestuia. Pentru a ├«nvinge acest tip de atacuri, aproape ├«ntotdeauna dori╚Ťi s─â utiliza╚Ťi HTTPS pentru ├«ntregul site.

├Än special, Google a anun╚Ťat c─â v─â va cre╚Öte ├«n clasamentul c─âut─ârii dac─â utiliza╚Ťi HTTPS, oferind ╚Öi acestui beneficiu SEO. HTTP nesigur este pe cale de dispari╚Ťie ╚Öi acum este momentul s─â face╚Ťi upgrade.

Folose╚Öti deja HTTPS peste tot? Merge╚Ťi mai departe ╚Öi uita╚Ťi-v─â la configurarea HTTP Strict Transport Security (HSTS), un antet u╚Öor pe care ├«l pute╚Ťi ad─âuga la r─âspunsurile serverului dvs. pentru a interzice HTTP nesecurizat pentru ├«ntregul dvs. domeniu.

Obtineti instrumente de securitate pentru site

Odat─â ce crede╚Ťi c─â a╚Ťi f─âcut tot ce pute╚Ťi, atunci este timpul s─â v─â testa╚Ťi securitatea site-ului. Cea mai eficient─â modalitate de a face acest lucru este prin utilizarea unor instrumente de securitate a site-ului web, denumite adesea testarea de penetrare sau testarea stiloului pe scurt.

Exist─â multe produse comerciale ╚Öi gratuite pentru a v─â ajuta ├«n acest sens. Ei func╚Ťioneaz─â pe o baz─â similar─â cu hackerii de scripturi, deoarece testeaz─â toate exploat─ârile cunoscute ╚Öi ├«ncearc─â s─â compromit─â site-ul dvs. folosind unele dintre metodele men╚Ťionate anterior, cum ar fi SQL Injection.

Concluzie

Hackingul este efectuat ├«n mod regulat prin scripturi automate scrise pentru a cerceta internetul ├«n ├«ncercarea de a exploata problemele cunoscute de securitate a site-ului web ├«n software. Ati primit cele mai bune nou─â sfaturi ale noastre pentru a v─â men╚Ťine siguran╚Ťa dvs. ╚Öi a site-ului dvs. online.

ANTI
HACKING

Securitate maxima Ôťö

Prin ├«nregistrare pute╚Ťi ob╚Ťine parola pentru a viziona intreg articolul despre ANTI HACKING!

We donÔÇÖt spam! Read our privacy policy for more info.

1 thought on “9 metode prin care iti poti proteja site-ul”

  1. Pingback: Cum te poate spiona oricine folosind Cookie-uri - Artemir ­čöą

Comments are closed.