1. Головна
    2. Інтернет–безпека
    3. Як убезпечити веб–сайт: 9 кроків (з ілюстраціями)

Як убезпечити веб–сайт: 9 кроків (з ілюстраціями)

У цій статті ми розповімо вам, як убезпечити сайту від атак. Обов'язково використовуйте SSL-сертифікат і протокол HTTPS; також є й інші способи захисту сайтів від хакерів і шкідливих програм.

Кроки

  1. Регулярно оновлюйте сайт.якщо не оновлювати програмне забезпечення, безпеку і Скрипти сайту, його можуть зламати зловмисники або атакувати шкідливі програми.
    • Це ж стосується патчів від вашого хостингу (якщо вони є). Якщо доступні нові патчі для вашого сайту, обов'язково встановіть їх.
    • Також оновлюйте сертифікати сайту. Хоча вони впливають на безпеку лише побічно, це гарантує, що сайт продовжить з'являтися в пошукових системах.
  2. Використовуйте програми для забезпечення безпеки або плагіни.існують різні брандмауери для веб-сайтів, на які можна підписатися і забезпечити постійний захист; також деякі хостинги (наприклад, WordPress) надають плагіни для захисту сайтів. Тому рекомендуємо захистити сайт програмним забезпеченням, як ви захищаєте комп'ютер за допомогою, наприклад, антивіруса.[1]
    • Sucuri Firewall-відмінний платний брандмауер; безкоштовні брандмауери або плагіни для захисту сайтів є у WordPress, Weebly, Wix та інших служб хостингу.
    • Брандмауери веб-додатків, як правило, є хмарними, тобто завантажувати їх і встановлювати на комп'ютері не потрібно.
  3. Забороніть користувачам завантажувати файли на сайт.якщо не зробити це, безпека сайту постраждає. Якщо можливо, видаліть з сайту все, що дозволяє користувачам завантажувати файли на сайт.
    • Якщо заборонити завантажувати файли не можна, дозвольте завантаження тільки певних типів файлів, наприклад, JPG-файлів в разі фотографій.
    • Також можна створити поштову скриньку, а електронну адресу вказати на сайті, щоб користувачі зв'язувалися з вами по електронній пошті. У цьому випадку користувачі будуть відправляти файли на електронну пошту, а не завантажувати їх на сайт.
  4. Встановіть сертифікат SSL.він підтверджує, що веб-сайт захищений і може обмінюватися зашифрованою інформацією між сервером і браузером користувача. Як правило, за користування цим сертифікатом потрібно платити раз на рік.[2]
    • На платній основі SSL-сертифікат поширюють, наприклад, GoGetSSL і SSLs.com.
    • Безкоштовно цей сертифікат видає Let's Encrypt.
    • При виборі SSL-сертифіката Доступні три опції: Перевірка домену, перевірка бізнесу і розширена перевірка. Google вимагає перевірки бізнесу та розширеної перевірки, щоб зліва від URL - адреси вашого сайту відображався зелений значок безпеки.[3]
  5. Користуйтеся протоколом шифрування HTTPS. коли ви встановите SSL-сертифікат, сайт отримає право на HTTPS-шифрування; щоб активувати цей протокол, встановіть SSL-сертифікат в розділ» Certificates " (сертифікати) свого веб-сайту.[4]
    • Деякі хостинги, наприклад, WordPress або Weebly, автоматично активують протокол HTTPS.
    • Сертифікат HTTPS оновлюється щороку.
  6. Встановлюйте безпечні паролі.надійного пароля адміністратора сайту не достатньо-створіть складні випадкові паролі, які ніде не використовуються, і зберігайте їх поза сайтом.[5]
    • Наприклад, в якості пароля використовуйте 16-значний набір букв і цифр. Цей пароль збережіть у файлі на іншому комп'ютері або жорсткому диску.
  7. Сховайте папки адміністратора. якщо папка з конфіденційними файлами називається «Admin» або «Root», це зручно, але, на жаль, як для вас, так і для хакерів. Тому перейменуйте папки на щось буденне, наприклад « "Нова папка (2)»або "Історія".[6]
  8. Спростіть повідомлення про помилки.якщо в такому повідомленні занадто багато інформації, хакери і шкідливі програми можуть скористатися нею, щоб знайти і отримати доступ до кореневого каталогу сайту. Тому в повідомлення про помилку додайте просто коротке вибачення і посилання на основний сайт.[7]
    • Це стосується всіх помилок з кодом від 404 до 500.
  9. Хешуйте паролі.якщо паролі користувачів зберігаються на веб-сайті, робіть це в хешированном вигляді. Недосвідчені власники сайтів зберігають паролі як текст, що спрощує їх крадіжку в разі злому сайту.
    • Навіть великі сайти, такі як Twitter, в минулому допускали такі помилки.

Поради

  • Скористайтеся послугами консультанта з веб-безпеки, щоб він або вона ознайомилися зі скриптами сайту — це найшвидший (але і найдорожчий) спосіб усунення потенційних вразливостей.
  • Перевірте веб-сайт за допомогою інструменту перевірки безпеки (наприклад, Observatory від Mozilla), перш ніж запустити його.

Попередження

  • Часто уразливості безпеки не виявляються, поки хтось не постраждає. Щоб уникнути негативних наслідків, регулярно (раз на тиждень) створюйте резервні копії веб-сайту і зберігайте їх на комп'ютері, який не підключений до мережі, або на зовнішньому жорсткому диску.

Джерела

  1. Https://www.pickaweb.co.uk/blog/how-to-secure-my-website/
  2. Http://www.networksolutions.com/education/what-is-an-ssl-certificate/
  3. Https://www.smashingmagazine.com/2017/06/guide-switching-http-https/
  4. Https://support.google.com/webmasters/answer/6073543?hl=en
  5. Https://www.hostgator.com/blog/3-easy-steps-that-protect-your-website-from-hackers/
  6. Https://smallbiztrends.com/2014/12/secure-your-website-from-hackers.html
  7. Https://www.creativebloq.com/web-design/website-security-tips-protect-your-site-7122853

Ще почитати: