אל תשכח מעשרת טיפים לאבטחה בעת הפעלת אתר חדש

פרסומת

קל לטעות במהלך ההתרגשות של פתיחת אתר חדש כיצד להכין אתר: למתחיליםהיום אני אדריך אותך בתהליך יצירת אתר שלם מאפס. אל תדאג אם זה נשמע קשה. אני אדריך אתכם בכל צעד ושעל. קרא עוד . הפעלת חנות, תיק או בלוג קטנים זה כיף מאוד - אבל התמודדות עם פרצות אבטחה ופריצות זה הרבה פחות. כשאתה מקים אתר חדש, חשוב לוודא שהוא מאובטח.

למרבה המזל, רוב הדברים שאתה צריך לעשות הם קלים מאוד. חלקם ייקח קצת זמן, אבל זו השקעה ראויה. אל תשאיר את האתר שלך לא מוגן! להלן 10 דברים שתוכלו לעשות כדי לשמור על זה.

1. בחר רשם דומיין מאובטח

בעת רישום הדומיין שלך, אתה רוצה לוודא שאף אחד לא עומד לקבל שליטה עליו. אם לא מצליח יכול להתחבר לרשם הדומיינים שלך, הוא יכול להעביר את זה לעצמם או לגרום להרס נוסף.

ישנן מספר אפשרויות לרשמי דומיין המשתמשים אימות דו-גורמי (2FA) מה זה אימות דו-גורמי, ומדוע עליך להשתמש בואימות דו-גורמי (2FA) הוא שיטת אבטחה הדורשת שתי דרכים שונות להוכחת זהותך. הוא נפוץ בחיי היומיום. למשל תשלום בכרטיס אשראי לא רק מחייב את הכרטיס, ... קרא עוד . זה מוסיף רמת אבטחה נוספת ומקשה על מישהו אחר גישה אליו. גם אם מישהו יצליח להשיג את הסיסמה שלך, כנראה שלא תהיה לו גישה לטלפון שלך.

להלן מספר רשמים שמציעים 2FA:

• דינאדות
• קדימה אבא
• לקססינרגיה
• Name.com
• שם צ'יפ

2. הסתר את המידע שלך מ- WHOIS

לכל אתר יש כניסה של WHOIS, ואם לא תנקוט צעדים כדי לוודא שהמידע שלך שם מוגן, שמות וכתובת הדוא"ל שלך יהיו קלים לחברות ספאם למצוא. גם שמך וגם כתובת הדואר האלקטרוני שלך נחוצים לגניבת זהות, ולכן שמירה על פרטיותם יכולה לעזור לך גם להגן עליך בחזית זו.

מרבית מארחי האינטרנט מציעים רישום אנונימי של WHOIS תמורת סכום נמוך, אך ישנם מעטים המספקים זאת בחופשיות. שניהם Dreamhost ו 1and1 מאפשר לך לפתוח אתר עם מידע אנונימי של WHOIS ללא עלות.

בין אם תחליט לשלם על זה ובין אם לא, עשה את מה שאתה יכול כדי להשאיר את שמך ואת כתובת הדוא"ל שלך (או אפילו רק את כתובת הדואר האלקטרוני שלך) מכל רשומת WHOIS שלך. זה יחסוך לך את זמן ההתמודדות עם הרבה ספאם ויקשה על מישהו לקבל מעט יותר את המידע שלך.

3. שנה את הסיסמאות שלך

אני מקווה שזה מובן מאליו, אבל שנה את הסיסמאות שלך מייד כיצד ליצור סיסמאות חזקות התואמות את אישיותךללא סיסמה חזקה אתה יכול למצוא את עצמך במהירות בסוף הפשע הקיברנטי. אחת הדרכים ליצור סיסמא בלתי נשכחת יכולה להיות להתאים אותה לאישיות שלך. קרא עוד . אם התחום, המארח, CMS או כל דבר אחר מגיע עם סיסמת מנהל רגילה, שנה אותה. עליך אפילו לשנות את שם המשתמש שלך מ"ניהול "למשהו אחר אם זהו ברירת המחדל.

לא רע לשנות גם את הסיסמאות שלך באופן קבוע. תשתמש ב מנהל סיסמאות 7 מעצמות מנהל סיסמאות חכמות שעליך להתחיל להשתמש בהןמנהלי סיסמאות כוללים הרבה תכונות נהדרות, אך האם ידעת על אלה? להלן שבעה היבטים של מנהל סיסמאות שכדאי לנצל אותם. קרא עוד כדי לעקוב אחריהם ולוודא שהם מאובטחים.

4. עדכן את תוכנת האתר שלך

לאחר שתאבטח את ההרשמה שלך, הגיע הזמן לאבטח את האתר עצמו. והצעד הראשון בזה - ממש כמו הצעד הראשון בהבטחת כל דבר אחר - הוא לשמור על הכל מעודכן.

כאשר חברות מגלות חורים באבטחתן, הן משחררות טלאים ועדכונים. אם אינך מעדכן את התוכנה שלך, אתה תישאר פגיע. רוב המארחים הופכים את זה לקל מאוד, ולעתים קרובות יזכירו לכם לעדכן כשיש גרסה חדשה זמינה. עם זאת, כדאי לבדוק את פרטי הגרסאות שלך באופן קבוע.

5. השתמש בתוספי אבטחה

אם אתה משתמש ב- מערכת ניהול תוכן (CMS) 10 מערכות ניהול תוכן הפופולריות ביותר באינטרנטהימים של דפי HTML המקודדים ביד, ושליטה ב- CSS, חלפו מזמן. התקן מערכת לניהול תוכן (CMS) ותוך דקות תוכל לקבל אתר אינטרנט לחלוק עם העולם. קרא עוד , ישנם תוספי אבטחה זמינים עבור זה. ה גדולים כמו וורדפרס 18 תוספי אבטחה וטיפים לאבטחת הבלוג שלך קרא עוד , דרופל, ג'ומלה ומג'נטו כולן טונות מהן. כל שעליך לעשות הוא לבחור את אלה המתאימים ביותר למצבך, ואז להוריד, להתקין ולהפעיל.

כל סיומת אבטחה וסיבולת אבטחה יעניקו לך עצות שונות לגבי בדיוק מה עליך להשתמש. כדאי גם להתייעץ ביקורות של צד שלישי על תוספי אבטחה. אבל אם התוסף נעשה על ידי ספק בעל מוניטין, הוא יעזור לשמור על האתר שלך בטוח. השתמש בהגדרות אבטחה גבוהה יותר כדי לחסל פגיעויות עוד יותר, ולשמור גם על התוספים שלך מעודכנים.

6. אפשר HTTPS

זה לא רק הביטחון שלך שאתה צריך לחשוב עליו. גם המבקרים וגם גוגל יעריכו שאתה מצפין את כל התנועה באתר שלך. במיוחד אם המבקרים שלך ישתפו מידע רגיש.

שירותי אירוח מסוימים מפעילים עבורך HTTPS באופן אוטומטי ואחרים מאפשרים לך לעשות זאת בלחיצה או שתיים. אם אתה מארח את עצמך או פשוט שוכר שטח שרת, ייתכן שיהיה עליך לעשות זאת בדרך הקשה. זה כרוך ברכישת אישור SSL, הפעלתו והגדרת התצורה של האתר שלך לשימוש ב- HTTPS.

זה לא מסובך במיוחד, אך התהליך עשוי להיות שונה בשירות האירוח שלך, אז בדוק איתם כדי למצוא את הדרך הטובה ביותר לעשות זאת.

7. בדוק הרשאות

למשתמשים שונים באתר שלך יהיו רמות הרשאה שונות. כמנהל, תהיה לך הרשאה לשנות כל מה שאתה רוצה - אנשים אחרים צריכים להיות מוגבלים יותר. CMS לעתים קרובות מאפשרים לך לשנות את ההרשאות למבקרים, אורחים מחוברים, עורכים, תורמים וקבוצות משתמשים רבות אחרות.

חשוב על כמה גישה צריכה להיות לכל קבוצה. האם העורכים שלך צריכים ליצור משתמשים חדשים? האם הקוראים שלך צריכים להיות מסוגלים לערוך דפים? תן לכולם את הרשאות המועטות ביותר שניתן למלא את תפקידם.

אם אתה רוצה להיות טכני באמת, אתה יכול השתמש בלקוח FTP כיצד להפוך את סייר הקבצים של Windows ללקוח FTPכאשר אתה צריך להעביר קבצים בין מחשבים, FTP הוא דרך נהדרת לעשות זאת. אם אתה משתמש בסייר הקבצים של Windows, אינך זקוק עוד ללקוח FTP של צד שלישי. הנה איך ... קרא עוד לבדוק את כל הקבצים באתר שלך ולבדוק את הרשאותיהם בסימון סמלי או מספרי. לאחר מכן תוכל להשתמש במסוף הפקודות כדי לשנות הרשאות. (אם אין לך מושג על מה אני מדבר, היזהר בזה!)

8. הסתר את דפי הניהול שלך

הדפים שבהם אתה משתמש בכניסה לאתר וניהולו אינם אמורים להיות גלויים למנועי חיפוש. זה אולי לא נראה כמו אמצעי ביטחון רב, אבל זה מקשה על אנשים עם כוונות ממאירות למצוא את הדפים האלה. ומכיוון שלרוב קל מאוד לעשות זאת, כדאי לקחת כמה דקות.

כמה CMS ותוספי אבטחה יאפשרו לך להסתיר דפים אלה ממנועי חיפוש. אם שלך אינו מספק פונקציונליות זו, אתה יכול לעשות זאת ידנית על ידי עריכת קובץ robots.txt שלך, שאמור להיות נגיש מההגדרות CMS או מקטע מנהל ה- cPanel. הוסף לקובץ את הדברים הבאים:

סוכן משתמש: * בטל: [כתובת האתר היחסית של הדף]

ב- WordPress, היית משתמש ב" / wp-admin / "ככתובת האתר. CMSs אחרים יהיו עם כתובות URL שונות. אתה יכול גם לא לאפשר כל דפים אחרים שמשתמשים אינם צריכים לראות. זה לא רק שזה טוב לביטחון, אלא שהוא יכול לעזור גם ל- SEO שלך!

9. הגן מפני סקריפטים חוצה אתרים

XSS הוא טקטיקת פריצה מהו סקריפטים חוצה אתרים (XSS) ומדוע זה איום ביטחוניפגיעויות בין סקריפטים בין אתרים הם הבעיה הגדולה ביותר בתחום אבטחת האתר כיום. מחקרים מצאו שהם נפוצים באופן מזעזע - 55% מהאתרים הכילו פגיעויות ב- XSS בשנת 2011, על פי הדו"ח האחרון של White Hat Security, שפורסם ביוני ... קרא עוד הכרוך בהפעלת קוד באתר שלך בשיטות עגולות. זה יכול לקרות בטופס יצירת קשר, למשל. על ידי הכללת סקריפט בטופס יצירת הקשר, האקר יכול לגרום לאתר שלך לבצע את הקוד הזה, להעניק להם גישה או לעשות הרס.

הגנה מפני התקפה מסוג זה היא למעשה מסובכת למדי. אם אתה רוצה ללמוד על השיטות בהן אתה יכול להשתמש, בדוק את זה מדהים גיליון רמאות נגד XSS מ- OWASP. אם אתה נוטה פחות מבחינה טכנית, יש המון תוספים נגד XSS זמינים. כמה תוספי אבטחה רגילים עשויים לכסות את הפגיעות הזו, אך אל תניחו שזה המצב. וודא שאתה מוגן.

10. למנוע דליפת מידע

בעוד XSS, הזרקת SQL מהי הזרקת SQL? [MakeUseOf מסביר]עולם האבטחה באינטרנט מכוסה בנמלים פתוחים, דלתות אחוריות, חורי אבטחה, סוסים טרויאניים, תולעים, פגיעויות בחומת אש ועוד שלל נושאים אחרים שמשאירים את כולנו על בהונותינו מדי יום. למשתמשים פרטיים, ... קרא עוד פיצוח סיסמאות ושיטות פריצה אחרות עשויות להראות כמסוכנות ביותר, לרוב הדברים הפשוטים ביותר גורמים לבעיות. זליגת מידע היא אחד הדברים האלה.

כשאתה מוסר בטעות מידע שלא התכוונת אליו (או שאינך מודע אליו), מדובר בזליגת מידע. קל למפתחים להשאיר בטעות הערות HTML בקוד האתר שלך, למשל, המכילים מידע רגיש.

אם אתה עובד עם יישום CMS סטנדרטי, זו לא תהיה בעיה רבה. אבל אם היה לך מישהו שיעצב עבורך נושא מותאם אישית, או עשית עבודות פיתוח נרחבות באתר האינטרנט, עליך לבדוק אם מדובר בדליפת מידע. אחת הדרכים הטובות ביותר היא פשוט להשתמש ב- ראה מקור אפשרות בדפדפן שלך וסרוק במהירות תגובות HTML שלא נמחקו.

אתרים גדולים יותר המורכבים ממאות או אלפי עמודים עשויים לדרוש מומחה אבטחה ייעודי (או לפחות מתמחה) לעבור תהליך זה. כך או כך, זה דבר שקל לבדוק אותו, אז אל תדלג עליו.

אבטח את האתר שלך עכשיו!

כשאתה יוצר אתר חדש, יש המון דברים שאתה צריך לעשות. וקל לשכוח מאמצעי האבטחה הבסיסיים האלה. אבל הם יכולים לחסוך לך הרבה צרות (וייתכן כסף רב) בטווח הרחוק. אז אל תדלג עליהם! וודא שהאתר שלך מאובטח לפני שתתחיל לעבוד על התוכן שלך.

אילו טיפים נוספים יש לך לאבטחת אתרים חדשים? שתף את מחשבותיך בתגובות למטה!