Oli aika, jolloin ihmiset ja yritykset hakasivat verkkosivustoja kokonaan hylkäämällä, toivoen vain, ettei kukaan hakkeroisi sisältöä tai asenna haittaohjelmia sivustolle.
Nuo päivät ovat jo kauan takana, koska hyökkäysten määrä ja tiheys tarkoittavat jatkuvaa uhkaa - ja mitä onnistuneempi verkkosivusto on, sitä suurempi vaara.
Joten millä tavoin voit suojata verkkosivustoasi (verkkopalveluntarjoajasi kautta), ja miten voit vähentää mahdollisuutta, että sivusto hakkeroidaan ja muutetaan surkeasti?
Ennen kuin pääsemme siihen, meidän on kuitenkin ymmärrettävä perusturvataso, joka on vastuussa monista hakkeroiduista sivustoista - jopa suojatuilla palvelimilla.
- Olemme valinneet parhaat web-hosting-palvelut täällä
- Nämä ovat parhaita ilmaisia web-hosting-yrityksiä
- Ja nämä ovat tällä hetkellä parhaita verkkosivustojen rakentajia
Ensimmäinen puolustuslinja
Vaikka jotkut yritykset vaativat isännöidä omia verkkosivustojaan, useimmat yritystoimialueet sijaitsevat suojatuilla palvelimilla, joille on tehty sopimus.
Kun valitset isännän, sinun on määritettävä, mikä käyttöjärjestelmä kyseisessä järjestelmässä on (Windows Server, Linux tai Unix) ja joka sanelee vaaditut suojausprotokollat.
Henkilöllä tai henkilöillä, jotka ovat vastuussa sivuston hallinnasta, on järjestelmänvalvojan oikeudet muuttaa sen tiedostorakenteita, eikä kukaan muu.
Tämä voi mennä pieleen alusta alkaen, jos liian monet ihmiset tietävät järjestelmänvalvojan tilin tiedot eikä salasanaa vaihdeta säännöllisesti. Ja se tarvitsee vain näppäinlukijan asennettavaksi yhteen koneista, joita käytetään järjestelmänvalvojan tekemiseen, ja salasana paljastetaan juuri sellaisille ihmisille, joita haluat vähiten.
Mutta rehellisesti sanottuna, kuinka moni ihminen työskentelee toimistossa, jossa salasanat muistetaan säännöllisesti post-it-muistiinpanoilla? Muutama käsi nousi epäilemättä sinne.
Näiden salasanojen suojaaminen on ensimmäinen puolustuslinja, ja ilman sitä mitä tahansa tekemäsi voi helposti kumota.
Joten verkkosivustojen turvallisuudesta on opittava kaksi ensimmäistä oppituntia:
- Se on vain yhtä hyvä kuin verkko, johon verkkosivusto rakennettiin
- Turvallisuutta parannetaan harvoin kirjoittamalla salasanat ylös ja asettamalla ne hyvin näkyvään paikkaan
Tietoturvatarkastus
Tietoturvatarkastuksen suorittaminen sivustolla on suhteellisen yksinkertainen harjoitus, jonka IT-henkilöstö voi suorittaa ohjelmistotyökalujen avulla. Tai vaihtoehtoisesti voit sopia kolmannen osapuolen suorittamaan skannauksen puolestasi ja antamaan luettelon mahdollisista heikkouksista.
Jos ostat verkkopalvelua, palveluntarjoaja voi myös niputtaa tietoturvatyökalun varmistaakseen, että olet kohtuullisen turvallinen alusta alkaen - mutta ei yleensä jatkuvasti.
Tämän lisäksi monet palveluntarjoajat tarjoavat myös verkkosivustojen suojauspaketin, jossa he lupaavat nopean vastauksen uhkiin ja palvelunestohyökkäysten lieventämisen. Ellei sinulla ole vain pieni henkilökohtainen blogi, nämä ovat hyvä sijoitus.
Näiden palvelujen hinta ei ole suuri, kun otetaan huomioon, kuinka kallista sivuston pitäminen offline-tilassa tahansa ajaksi voi olla etenkin sähköistä kaupankäyntiä tarjoaville.
Riippumatta lähestymistavastasi, on tärkeää, että tietoturvatarkistukset suoritetaan säännöllisesti, tunnistetaan mahdolliset uudet uhat niiden esiintyessä ja puututaan niihin välittömästi.
Yleisiä huolenaiheita
Yleisimmät hyökkäysmuodot, joita verkkosivustot kohtaavat, ovat seuraavat:
- Hajautettu palveluneston esto (DDoS) - Monet etätietokoneet, yleensä troijalaistartunnassa, toimivat yhdessä vaativilla verkkosivuilla toistuvasti siihen pisteeseen asti, että palvelimet eivät pysty käsittelemään pyyntöjen määrää.
- Haittaohjelmatartunta - Jotenkin tiedostot, jotka sisältävät pientä koodia, sijoitetaan sivustolle tarkoituksena ladata se kaikille vierailijoille.
- SQL-injektio - Haitallinen koodi, joka on lisätty lomakkeeseen tai syötteeseen, jonka SQL-tietokanta suorittaa sitten palvelimella. Tämä koodi voi mahdollistaa asiakastietojen käytön tai avata koneen ulkoisen pääsyn.
- Raaka voima - Usein käyttöjärjestelmän puute sallii toistuvan hyökkäyksen aiheuttaa nollaus, joka avaa portin hetkeksi toissijaiselle hyökkäykselle. Nykyaikaisten käyttöjärjestelmien monimutkaisuuden vuoksi uusia haavoittuvuuksia löydetään säännöllisesti.
- Sivustojen välinen komentosarja - hakkerointimenetelmä, jossa selain voidaan ohjata toiselle sivustolle tai korvata uhrisivuston sisältö kävijää tietämättä.
- "Nollapäivän" hakkerointi - Nämä ovat uusia ja vaikeasti pysäytettäviä hyökkäyksiä, joissa käytetään heikkoutta, joka ei ole julkista tietoa. Haavoittuvuuden löytämisen ja korjaamisen välinen aika on kriittinen, ja se saattaa edellyttää joidenkin palvelimen ominaisuuksien poistamista väliaikaisesti käytöstä, kunnes korjaus löytyy.
Heikkoudet suunnittelun mukaan
Vaikka monet sivustot käyttävät seuraavia ominaisuuksia, ne ovat useiden tietoturvaongelmien lähde useista syistä:
- Lomakkeet - Kaikki, mikä käsittelee syötettä palvelimella, on haittaohjelmien mahdollinen lähtökohta, ja sitä voidaan hyödyntää myös käyttäjätietojen purkamiseen.
- Foorumit - Komentosarjojen sijoittaminen ja käyttäjien uudelleenohjaaminen haittaohjelmia jakaville verkkosivustoille ovat vain muutama mahdollinen ongelma käyttäjien luomissa foorumeissa.
- Sosiaalisen median sisäänkirjautuminen - Facebook- tai Google-tilisi käyttäminen kirjautumiseen sivustoon on nopeaa ja helppoa, mutta se voi myös olla tapa, jolla nämä tilit hakkeroidaan.
- Verkkokauppa - Rikollisuus seuraa rahaa, ja hakkerit käyttävät paljon enemmän ponnisteluja sähköisen kaupankäynnin sivuston hakkeroimiseksi.
- Sääntelemätön sisältö - Jos hankit uutisia ja artikkeleita muilta sivustoilta, olet riippuvainen heidän turvatoimistaan riippumatta siitä, mitä ne ovat.
On selvää, että kaikkien näiden toimintojen poistaminen verkkosivustolta tekisi siitä paljon vähemmän kutsuvan paikan vierailijoille. Arviointipyyntö on tehtävä siitä, mitä elementtejä olet valmis käyttämään ja miten aiot lieventää niihin liittyviä mahdollisia turvallisuusongelmia.
Asianmukainen suoja
On vain yksi tapa taata, että verkkosivustoasi ei koskaan hakata, eikä sitä ole. Viime kädessä verkkosivustojen tietoturva on lieventämisharjoitus, jossa teet tarpeeksi, jotta sivustosi hakkerointi olisi vähemmän kannattavaa, ja varmistat myös, että se on nopeampi toipua kaikista tapahtumista.
Suoritettujen tietoturvatasojen tarkka taso on valinta, jonka kanssa kaikkien yritysten on taisteltava, mutta verkkomyyntiin osallistuvien on sitouduttava 100-prosenttisesti turvaamaan kanssasi kauppaneiden henkilöiden ja taloudelliset tiedot.
Lukuisat yritykset ja organisaatiot ovat varastaneet kaikki asiakastietonsa ja käyttäneet niitä myöhemmin henkilöllisyysvarkauksien huijauksiin, joilla on kalliita seurauksia.
Riippumatta valitsemastasi suojaustasosta ja valvonnasta, sen on oltava tarkoitukseen sopiva. Lopuksi, harkitse, että paremmalla turvallisuudella kuin tarvitset, sillä on vähäinen kustannusvaikutus, mutta pienemmällä voi olla valtavia oikeudellisia ja kaupallisia seurauksia.
