4 Këshilla për të Shmangur Rreziqet e Përbashkët të Sigurisë në Ueb

Siguria në internet është tërbimi këto ditë për shkak të incidente të shumëfishta hakimi që e bëjnë lajmin.


Por ajo që është zhgënjyese është se pavarësisht kaq shumë artikujve mbi këtë temë, korporatat dhe faqet e internetit të vogla njësoj bëjnë gabime lehtësisht të shmangshme kur bëhet fjalë për trajtimin e gjërave në mënyrën e duhur.

Disa hapa në drejtimin e duhur janë gjithçka që nevojitet për të mbajtur të sigurt faqen tuaj.

Le t’i hedhim një sy.

Mos përdorni kode të rastit nga të huajt

Kodet e rastësishme nga depo të postuara publikisht në faqet si GitHub, Sourceforge dhe Bitbucket mund të mbajnë kode me qëllim të keq.

Ja se si të kurseni veten me pak mendim të zgjuar. Mund ta vendosni kodin në modalitetin e mirëmbajtjes dhe të shihni se si funksionon para se ta bëni të gjallë.

Në këtë mënyrë ju parandaloni qindra orë kokëçarje.

Mos marrja e masave paraprake mund të rezultojë në marrjen e kodit me qëllim të keq faqen tuaj dhe të bëjë që ju të hiqni dorë nga privilegjet administrative të faqes tuaj dhe të humbni punën tuaj të vështirë.

kurrë kopjoni kodet e ngjitjes nga të huajt e rastit në internet. Bëni disa hulumtime në lidhje me personin dhe më pas vazhdoni të auditoni kodin që merrni.

Ju mund të mendoni se do të keni mundësi të kurseni ca kohë duke kopjuar disa kod, por gabimi vetëm një herë është i mjaftueshëm për një ngarkesë me probleme.

Për një ish: plugins të cenueshëm të WordPress plugins kodet me qëllim të keq që mund të marrin kontrollin e faqes tuaj ose të dëmtojnë faqen në mënyra më pak kritike, si futja e lidhjeve të ndjekura në faqet e palëve të treta dhe sifonimi i lëngut të lidhjeve.

Lidhje të tilla shpesh shfaqen vetëm kur Googlebot viziton sitin, dhe për të gjithë vizitorët e rregullt, lidhja mbetet e padukshme.

Charles Float dhe Wordfence u bashkuan për të cituar shumë shembuj të fundit të dobësive të plugin-it të WordPress-it.

Mënyra se si funksionon kjo scam është disa SEO me qëllim të keq dërgojnë postë elektronike për pronarët e shtojcave të WordPress, shtojcat e të cilave nuk janë azhurnuar brenda një kohe.

Ata ofrojnë të blejnë shtojcën dhe pastaj të ekzekutojnë një azhurnim në atë shtojcë.

Shumica e njerëzve kurrë nuk shqetësojnë të kontrollojnë se çfarë azhurnohet në shtojcë. Ka kaq shumë prej tyre sa që ekzekutojnë një azhurnim sa më shpejt që të shfaqet.

Por në këtë rast, shtojca do të krijojë një qasje në prapavijë në faqen e internetit SEO ose faqet e klientit. Të gjitha faqet që përdorin plugin tani bëhen pa dashje pjesë e një rrjeti PBN.

Disa nga këto shtojca kanë mbi 50000 instalime aktive. Në fakt, një nga shtojcat e listuara është përdorur në faqen time, dhe unë nuk kam ditur për prapavijën deri tani.

Këto shtojca gjithashtu u dhanë atyre qasje administrative në faqet e prekura.

Ata mund të marrin përsipër një faqe konkurruese me këtë metodë dhe të mos e indeksojnë atë, duke e bërë atë të zhduket në mënyrë efektive në SERP.

Kriptoni informacionin e ndjeshëm

Kur merreni me të dhëna të ndjeshme, asnjëherë nuk duhet të merret si e mirëqenë.

Gjithmonë është opsioni më i mençur për të kriptuar të dhëna të ndjeshme. Informacioni personal që rrethon klientët dhe fjalëkalimet e përdoruesve hyn në këtë kategori.

Për këtë qëllim duhet të përdoret një algoritëm i fortë.

Për shembull, AES 256 është një nga më të mirët. Vetë qeveria amerikane është e mendimit se AES mund të përdoret për të kriptuar dhe mbrojtur informacionin e klasifikuar dhe shifra pas kapuçit është aprovuar publikisht nga NSA.

AES përfshin shifrat e mëposhtëm: AES-128, AES-192 dhe AES-256. Eachdo shifër kodon dhe dekripton të dhënat në blloqe 128-bit dhe siguron siguri të zgjeruar.

Nëse jeni duke drejtuar një sit me qendër në anëtar, eCommerce, duke pranuar pagesa, atëherë duhet të siguroni faqen tuaj me një Certifikatë TLS.

Të dhënat e përdoruesit duhet të mbrohen gjithmonë.

Pranimi i të dhënave të përdoruesit mbi lidhjet e pasigurta gjithmonë i jep mundësinë një hakeri të nxjerrë të dhëna të çmuara.

Trajtimi i Pagesës

Problemi me ruajtjen e informacionit për kartat e kreditit është që ju bëheni një objektiv.

i zërit Nxjerr-në publik njoftoi se një shkelje në serverat e kompanisë rezultoi në miliona karta krediti dhe debiti të vjedhura.

Restorante të tjera, makina si Chipotle dhe Arby gjithashtu pësuan hile të ngjashme.

Ndonjëherë do të duhet të pranoni informacione për kartën e kreditit dhe t’i ruani për përsëritjen e faturimit. Kjo kërkon që ju të jeni një ankesë për PCI.

Të qenit në përputhje me PCI-në është punë e vështirë.

Jo vetëm që ju nevojitet dikush PCI tru, por gjithashtu duhet të azhurnoni faqen dhe bazën e të dhënave për të qëndruar shpesh në përputhje.

Pajtueshmëria nuk është një kërkesë një herë, dhe PCI i ndryshon ato rregullisht për të adresuar kërcënimet në zhvillim.

Në vend të kësaj, ju mund të kaloni pjesën e vështirë dhe të zgjidhni një procesor pagese si shirit kjo bën ngritjen e rëndë për ju.

Ata janë të mëdhenj, kanë një mbështetje që funksionon tërë kohën, dhe janë një ankesë për PCI.

Dhe nëse po drejtoni një dyqan në internet, atëherë mund të konsideroni ta përdorni Shopify.

Nëse në rast se i ruani informacionet e kartës së kreditit, bëni kujdes të veçantë që skedarët që ruajnë informacionin e kartës së kreditit dhe pajisjen ku janë ruajtur duhet të mbeten të koduara.

Patch atë menjëherë

Këtu është një shembull për të dhënë pikëpamjen time.

burim

Një shfrytëzim ditor zero që funksionoi duke kompromentuar shiritat Apache u dha dritë nga 7 Mars 2017.

Deri në 8 Mars, Apache lëshoi ​​arna për të kapërcyer problemin. Por kërkon shumë kohë në mes të botimit të një copë toke dhe ndërmarrjeve për të ndërmarrë veprime.

Equifax ishte një nga kompanitë që u hakua.

Equifax tha në një deklaratë se më 7 shtator 2017, hakerat vodhën informacione personale mbi 143 milion konsumatorë.

Hakerët shfrytëzuan të njëjtën dobësi të aplikacionit që diskutuam më lart për të hyrë brenda sistemit.

Dobësia ishte në Apache Struts, një kornizë për ndërtimin e aplikacioneve në internet me bazë Java.

Hakerët shfrytëzuan atë fakt kur Struts dërgon të dhëna në server, ata mund të komprometojnë ato të dhëna. Duke përdorur ngarkime të skedarëve, hakerat shkaktuan gabime që u lejuan atyre të dërgojnë kode ose komanda me qëllim të keq.

Sipas kompanisë, “emrat e klientëve, numrat e Sigurimeve Shoqërore, datat e lindjes, adresat dhe në disa raste, numrat e patentë shoferit”, si dhe “numrat e kartave të kreditit për afro 209,000 konsumatorë”. Përveç kësaj, u vodhën edhe 182,000 dokumente të mosmarrëveshjeve të kredive, të cilat përmbajnë informacione personale.

Mendime përmbyllëse

Siç mund ta shihni, të jesh i vetëdijshëm për ndryshimet në teknologji dhe të azhurnosh me programet e tua dhe pak vështirësi shpesh është gjithnjë më shumë sesa të mjaftosh për të pasur më shumë probleme.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map