4 հուշումներ `խուսափելու Համացանցային անվտանգության ընդհանուր խոցելիություններից

Webանցային անվտանգությունն այս օրերին զայրույթ է առաջացնում դրա պատճառով բազմաթիվ հակերության դեպքեր որոնք նորություններ են դարձնում.


Բայց հիասթափեցնողն այն է, որ չնայած թեմայի այսքան շատ հոդվածներին, կորպորացիաներն ու փոքր կայքերը միևնույն է թույլ են տալիս խուսափել սխալներից, երբ գործը ճիշտ է վարվում.

Directionիշտ ուղղությամբ մի քանի քայլ այն ամենը, ինչ անհրաժեշտ է ձեր կայքը անվտանգ պահելու համար.

Եկեք նայենք.

Մի օգտագործեք անծանոթների պատահական կոդերը

Պատահական կոդեր ից հրապարակայնորեն տեղադրված պահոցներ GitHub- ի, Sourceforge- ի և Bitbucket- ի նման կայքերում կարող են կրել վնասակար կոդեր.

Ահա, թե ինչպես կարելի է մի փոքր խելացի մտածողությամբ փրկվել: Կարող եք տեղադրել ծածկագիրը սպասարկման ռեժիմում և տեսնել, թե ինչպես է այն աշխատում, նախքան այն կենդանի դարձնելը.

Այդ կերպ Դուք կանխում եք հարյուրավոր ժամերի գլխատում.

Նախազգուշական միջոցներ չկիրառելը կարող է հանգեցնել ձեր կայքի չարամիտ կոդին և ստիպել ձեզ հրաժարվել ձեր կայքի վարչական արտոնություններից և կորցնել ձեր ծանր աշխատանքը:.

Երբեք պատճենեք կպցված ծածկագրերը ինտերնետում պատահական անծանոթ մարդկանցից: Կատարեք որոշակի ուսումնասիրություններ անձի վերաբերյալ, ապա անցեք ձեր աուդիտի ստացման կոդով ստուգմանը.

Կարող եք զգալ, որ դուք կկարողանաք խնայել որոշ ժամանակ պատճենող որոշ ծածկագիր, բայց մեկ անգամ այն ​​սխալ չստանալը բավարար է խնդիրների մեծ բեռի համար.

Նախկինում. Խոցելի WordPress- ը պարունակում է վնասակար կոդեր, որոնք կարող են տիրապետել ձեր կայքին կամ վնասել կայքը ավելի կարևորագույն ձևերով, ինչպիսիք են երրորդ կողմի կայքերին հետևելու հղումները և կապի հյութի սիֆոնացումը:.

Նման հղումները հաճախ հայտնվում են միայն այն ժամանակ, երբ Googlebot- ը այցելում է կայք, և բոլոր կանոնավոր այցելուների համար հղումը մնում է անտեսանելի.

Չարլզ Ֆլոտն ու Բառապաշար հավաքվել են ՝ վկայակոչելով WordPress plugin- ի խոցելիության շատ վերջին օրինակները.

Այս խարդախության որոշ եղանակով SEO- ի չարամիտ եղանակով աշխատելու եղանակն ուղեցույցներ է ուղարկվում WordPress plugin- ի սեփականատերերին, որոնց հավելվածները որոշ ժամանակով չեն թարմացվել.

Նրանք առաջարկում են գնել plugin- ը, այնուհետև թարմացնել այդ plugin- ը.

Մարդկանց մեծամասնությունը երբեք չի անհանգստացնում ստուգել, ​​թե ինչն է թարմացվել plugin- ում: Դրանցից շատերն են, որ հայտնվելուն պես թարմացնում են.

Բայց այս դեպքում plugin- ը կստեղծի հետին մուտք դեպի SEO կայք կամ հաճախորդի կայքեր: Plugin- ով օգտագործող բոլոր կայքերը այժմ անխզելիորեն դառնում են PBN ցանցի մաս.

Այս plugin- ներից մի քանիսը ունեն ավելի քան 50000 ակտիվ տեղադրում: Փաստորեն, նշված կայանքներից մեկը օգտագործվում է իմ կայքում, և ես մինչ այժմ չգիտեի հետևի մասի մասին.

Այս plugins- ը նաև նրանց վարչական հնարավորություն էր տալիս տուժած կայքերին.

Նրանք կարող էին շատ լավ տիրապետել մրցակցային կայքին այս մեթոդով և առանց ինդեքսավորելու այն ՝ արդյունավետորեն այն վերացնելով SERP- ներում.

Գաղտնագրեք զգայուն տեղեկատվությունը

Երբ գործ եք ունենում զգայուն տվյալների հետ, այն երբեք չպետք է համարվի ստացված.

Միշտ ավելի իմաստուն տարբերակ է զգայուն տվյալների կոդավորումը: Հաճախորդների և օգտվողի գաղտնաբառերի շուրջ անձնական տեղեկատվությունը պատկանում է այս կատեգորիայի.

Այդ նպատակով պետք է օգտագործվի ուժեղ ալգորիթմ.

Օրինակ, AES 256- ը լավագույններից մեկն է: ԱՄՆ կառավարությունն ինքն այն կարծիքին է, որ ԱԷՍ-ը կարող է օգտագործվել դասակարգված տեղեկությունները գաղտնագրելու և պաշտպանելու համար, իսկ գլխարկի հետևում ծածկագրերը գաղտնազերծվել են ԱԱԾ-ի կողմից:.

ԱԷՍ-ը պարունակում է հետևյալ ծածկագրերը. AES-128, AES-192 և AES-256: Յուրաքանչյուր ծածկագիր կոդավորում և գաղտնագրում է տվյալները 128-բիթանոց բլոկներում և ապահովում է ուժեղացված անվտանգություն.

Եթե ​​դուք վարում եք անդամ-կայքերի կայք, էլեկտրոնային առևտուր, ընդունելով վճարում, ապա դուք պետք է ապահովեք ձեր կայքը a TLS վկայագիր.

Օգտագործողի տվյալները միշտ պետք է պաշտպանված լինեն.

Չապահովված կապերի վերաբերյալ օգտվողի տվյալների ընդունումը հակերին միշտ հնարավորություն է տալիս շեղել թանկարժեք տվյալները.

Վճարումը վճարելը

Վարկային քարտի տեղեկատվությունը պահելու խնդիրն այն է, որ դուք դառնում եք թիրախ.

Sonic Drive-In հրապարակավ հայտարարեց, որ ընկերության սերվերների խախտմամբ հանգեցրել են միլիոնավոր գողացված վարկային և դեբետային քարտեր.

Նմանատիպ հակերներ են ունեցել նաև այլ ռեստորաններ, ավտոսիրակներ, ինչպիսիք են Չիպոտելը և Արբին.

Ժամանակ առ ժամանակ հարկ կլինի ընդունել վարկային քարտի մասին տեղեկությունները և պահպանել այն կրկնակի վճարման համար: Դա պահանջում է, որ դուք PCI- ի բողոք եք.

PCI- ի գոհացուցիչ լինելը աշխատասեր է.

Ոչ միայն ձեզ հարկավոր է ինչ-որ մեկը PCI խնայող, այլ նաև պետք է թարմացնեք կայքը և տվյալների բազան, որպեսզի հաճախակի բավարարվեք.

Համապատասխանությունը միանգամյա պահանջ չէ, և PCI- ն դրանք պարբերաբար փոխում է ՝ առաջացող սպառնալիքների լուծման համար.

Փոխարենը, դուք կարող եք բաց թողնել ծանր հատվածը և ընտրել վճարային պրոցեսոր, ինչպիսին է Շերտավոր դա ձեզ համար ծանրաբեռնվածություն է անում.

Նրանք մեծ են, նրանք ունեն աջակցություն, որն աշխատում է շուրջօրյա, և դրանք PCI- ի բողոք են.

Եվ եթե դուք աշխատում եք առցանց խանութ, ապա գուցե մտածեք օգտագործել Գնումներ կատարել.

Եթե ​​վարկային քարտի վերաբերյալ տեղեկատվություն եք պահում, ապա հատուկ ուշադրություն դարձրեք, որ վարկային քարտի տվյալները պահող ֆայլերը և ապարատը, որտեղ դրանք պահվում են, երկուսն էլ պետք է մնան գաղտնագրված:.

Անմիջապես կարկատեք այն

Ահա իմ կարծիքը բերելու մի օրինակ.

Աղբյուր

Լույս բերվեց զրոյական օրվա շահագործումը, որն աշխատում էր ՝ վնասելով Apache- ի շարքերը 2017-ի մարտի 7-ը.

Մինչև մարտի 8-ը, Apache- ն թողարկեց ծալքեր ՝ խնդիրը հաղթահարելու համար: Բայց կարկատելն ու ընկերությունները հրապարակելու միջև երկար ժամանակ է հարկավոր.

«Equifax» – ը այն ընկերություններից մեկն էր, որը կոտրվել էր.

Equifax- ը հայտարարության մեջ ասում է, որ 2017 թվականի սեպտեմբերի 7-ին հակերները 143 միլիոն հաճախորդների համար գողացել են անձնական տվյալները.

Հակերները շահագործեցին այն նույն կիրառման խոցելիությունը, որը մենք քննարկեցինք վերևում ՝ համակարգի ներս մղելու համար.

Խոցելիությունը Apache Struts- ում էր ՝ Java- ի վրա հիմնված վեբ ծրագրեր կառուցելու համար.

Հակերները շահագործել են այդ փաստը, երբ Struts- ը տվյալներ է ուղարկում սերվերին, նրանք կարող էին փոխզիջել այդ տվյալները: Օգտագործելով ֆայլերի վերբեռնումները, հակերները առաջացրեցին սխալներ, որոնք թույլ տվեցին նրանց ուղարկել վնասակար կոդեր կամ հրամաններ.

Ընկերության համաձայն ՝ «հաճախորդների անունները, սոցիալական ապահովության համարները, ծննդյան ամսաթիվը, հասցեները և որոշ դեպքերում ՝ վարորդական իրավունքի վկայական համարները», ինչպես նաև «վարկային քարտի համարները մոտավորապես 209,000 սպառողի համար»: Դրանից բացի, գողացվել են նաև 182,000 վարկային վեճերի փաստաթղթեր, որոնք պարունակում են անձնական տվյալներ.

Եզրափակիչ մտքերը

Ինչպես տեսնում եք, տեխնոլոգիայի փոփոխությունների մասին տեղյակ լինելը և ձեր ծրագրային ապահովման բծերը և մի փոքր ակնարկ լինելը, հաճախ միշտ ավելին է, քան բավարար է մեծամասնության հետ կապված խնդիրների համար:.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map