Как обеспечить безопасность сайта


Безопасность и защита сайта: советы экспертов, решения проблем

Что такое взлом сайта?

Сайт считается взломанным, если посторонний человек (без вашего ведома и неважно каким путем) получил доступ к файлам вашего сайта, которые хранятся на сервере.

Зачем взламывают сайты?

Как правило, сайты взламывают для того, чтобы заражать вирусом компьютеры пользователей, которые на них заходят. Еще одна очень важная цель - рассылка спама с помощью вашего сервера, а также размещение скрытых ссылок на различные сайты злоумышленников. В остальных случаях - это целенаправленный взлом, чтобы украсть информацию, либо требование денег, чтобы хакеры перестали взламывать сайт. Ну и конечно же конкуренты могут портить бизнес друг другу.

Способы взлома сайтов и защита от них

Кража паролей от FTP и хостинга

Если кому-то даете пароли от FTP/хостинг-аккаунта или административной части сайта, то вы должны быть точно уверены в том, что эти пароли не будут переданы еще кому-то.

Лучше вообще ограничиться лишь передачей паролей к FTP. А если нужен доступ к хостинг-аккаунту, то его можно, скорее всего, предоставить посредством функционала хостера и при этом не должно быть никаких рисков для вас.

Как избежать?

Старайтесь никому не давать пароли от хостин

Обеспечьте изоляцию безопасности для веб-сайтов

  • 7 минут на чтение

В этой статье

Тали Смит

Введение

Рекомендация по изоляции веб-сайтов в среде общего хостинга соответствует всем общим рекомендациям по изоляции безопасности для Internet Information Services 7 (IIS 7) и выше.В частности, рекомендуется:

  • Используйте один пул приложений на каждый веб-сайт.
  • Используйте выделенную учетную запись пользователя в качестве идентификатора для пула приложений.
  • Настройте анонимный идентификатор пользователя для использования идентификатора пула приложений.
  • Убедитесь, что олицетворение FastCGI включено в файле Php.ini.

Архитектурный вид пулов приложений показан на следующем рисунке.

Рисунок 1: Пулы приложений

Создание пулов приложений

Вы можете создавать пулы приложений из пользовательского интерфейса или командной строки.

  1. Из IIS Manager перейдите на панель Connections .
  2. Выберите вариант Пулы приложений , а затем выберите Добавить пул приложений , чтобы открыть диалоговое окно Добавить пул приложений.
  3. Введите уникальное имя для пула приложений.
  4. Выберите версию Microsoft® .NET Framework, если таковая имеется, для использования пула приложений, а затем выберите режим конвейера.

После создания пула вы можете при необходимости изменить его настройки.

  1. На панели Connections выберите Application Pools .
  2. На панели Work выберите пул приложений, который вы хотите настроить.
  3. На панели Действия выберите Основные настройки . Обратите внимание, что, за исключением заголовка диалогового окна, диалоговое окно «Основные параметры» и диалоговые окна «Добавить пул приложений» выглядят одинаково.

Также можно использовать командную строку. Использование:

  appcmd добавить пул приложений / имя: строка  

Обратите внимание, что строка - это имя пула приложений.

Диалоговое окно «Изменить пул приложений» позволяет настроить способ обработки IIS 7 и более поздних версий обработки перезапуска рабочих процессов для пула приложений.

Рисунок 2: Изменить пул приложений

Удостоверения пула приложений

Application Pool Identities - это новая функция безопасности, которая позволяет запускать пулы приложений под уникальной учетной записью без необходимости создавать доменные или локальные учетные записи и управлять ими. Имя учетной записи пула приложений соответствует имени пула приложений.На следующем рисунке показан рабочий процесс IIS (w3wp.exe), работающий как идентификатор DefaultAppPool.

Рисунок 3: Учетные записи идентификации пула приложений

Учетные записи удостоверений пула приложений

Рабочие процессы в IIS 6 и IIS 7 и более поздних версиях по умолчанию выполняются как NETWORKSERVICE. NETWORKSERVICE - это встроенное удостоверение Windows®. NETWORKSERVICE не требует пароля и имеет только пользовательские привилегии (это относительно низкие привилегии). Запуск в качестве учетной записи с низким уровнем привилегий является хорошей практикой безопасности, поскольку это не позволяет злоумышленникам использовать программные ошибки для захвата системы.

Однако со временем все больше и больше системных служб Windows запускаются как NETWORKSERVICE, и эти службы могут вмешиваться в работу других служб, работающих под тем же именем. Поскольку рабочие процессы IIS по умолчанию запускают сторонний код (PHP, классический ASP и Microsoft® ASP.NET), возникла необходимость изолировать рабочие процессы IIS от других системных служб Windows и запускать рабочие процессы IIS с уникальными идентификаторами. Операционная система Windows предоставляет функцию, называемую виртуальными учетными записями, которая позволяет IIS создавать уникальные удостоверения для каждого из своих пулов приложений.

Каждый раз, когда создается новый пул приложений, процесс управления IIS создает идентификатор безопасности (SID), представляющий имя самого пула приложений. Например, если вы создаете пул приложений с именем «MyNewAppPool», в системе безопасности Windows создается SID с именем «MyNewAppPool». Ресурсы могут быть защищены с помощью этого удостоверения. Обратите внимание, что это удостоверение не является реальной учетной записью пользователя; он не будет отображаться как пользователь в консоли управления пользователями Windows.

Попробуйте выбрать файл в Windows Explorer® и добавить идентификатор DefaultAppPool в его список управления доступом (ACL):

  1. Запустите Проводник Windows .
  2. Выберите файл или каталог .
  3. Щелкните правой кнопкой мыши имя файла , а затем щелкните Свойства .
  4. Щелкните вкладку Безопасность .
  5. Щелкните Изменить , а затем щелкните Добавить .
  6. Щелкните Locations и выберите ваш компьютер .
  7. В поле Введите имена объектов, чтобы выбрать текстовое поле , введите iis apppool \ defaultapppool
  8. Щелкните Проверить имена , а затем щелкните ОК .

Выбранный файл или каталог также разрешает идентификационный доступ DefaultAppPool.

Рисунок 4. Выбор пользователей или групп

Вы также можете использовать командную строку с инструментом Icacls.exe. Следующее дает полный доступ к идентификатору DefaultAppPool:

  Тест ICACLS.txt / grant «IIS AppPool \ DefaultAppPool»: F  

В операционных системах Windows® 7 и Windows Server® 2008 R2 по умолчанию пулы приложений запускаются как этот идентификатор безопасности (как идентификатор пула приложений). Доступен новый тип удостоверения с именем «AppPoolIdentity». Если выбран тип удостоверения «AppPoolIdentity» (это значение по умолчанию в Windows 7 и Windows Server 2008 R2), IIS будет запускать рабочие процессы как удостоверение пула приложений. Для каждого другого типа удостоверения идентификатор безопасности вводится только в токен доступа процесса.Если идентификатор введен, контент все еще может быть включен в список ACL для идентификатора AppPool, но владелец токена, вероятно, не уникален. См. Следующий раздел «Изолировать пулы приложений».

Доступ к сети

Использование учетной записи NETWORKSERVICE в доменной среде дает большое преимущество. Рабочий процесс, запущенный как NETWORKSERVICE, может получить доступ к сети как учетная запись компьютера. Учетные записи компьютеров создаются при присоединении компьютера к домену:

  <имя домена> \ <имя машины> $,  

Например:

  mydomain \ machine1 $  

Сетевые ресурсы, такие как общие файловые ресурсы или базы данных Microsoft® SQL Server®, могут быть включены в список ACL, чтобы разрешить доступ для этой учетной записи компьютера.Удостоверения пула приложений также используют учетную запись компьютера для доступа к сетевым ресурсам. Никаких изменений не требуется.

Проблемы совместимости с идентификаторами пула приложений

Проблема с идентификаторами пула приложений заключается в том, что руководящие документы явно рекомендуют ресурсы ACL для NETWORKSERVICE (идентификатор DefaultAppPool по умолчанию в IIS 6.0 и 7.0). Пользователи должны изменить свои сценарии на ACL для «IIS AppPool \ DefaultAppPool» при работе в IIS 7.5 и выше.

IIS не загружает профиль пользователя Windows, но некоторые приложения (например, Microsoft® SQL Server® 2008 Express) все равно могут его использовать (например, для хранения временных данных).Профиль пользователя должен быть создан для хранения временных данных в каталоге профиля или в кусте реестра. Профиль пользователя для учетной записи NETWORKSERVICE был создан системой и всегда был доступен. Однако профиль пользователя не создается системой при переключении на уникальные идентификаторы пула приложений. Только стандартные пулы приложений (DefaultAppPool и Classic .NET AppPool) имеют профили пользователей на диске. Профиль пользователя не создается, если администратор создает новый пул приложений.

Обратите внимание, что пулы приложений IIS можно настроить для загрузки профиля пользователя, установив для параметра «LoadUserProfile» значение «true».

Изолировать пулы приложений

Разделение приложений на несколько пулов приложений не только может улучшить производительность, но и повысить надежность сервера и сайта. Однако в предыдущих версиях IIS иногда было сложно изолировать пулы веб-приложений друг от друга. Если несколько пулов приложений настроены для работы с одним и тем же идентификатором, то код, выполняющийся внутри одного пула приложений, может использовать объекты файловой системы (FSO) для доступа к ресурсам, принадлежащим другому.

В IIS 7 каждый пул приложений имеет файл конфигурации, который создается при запуске пула приложений. Эти файлы по умолчанию хранятся в папке % systemdrive% \ inetpub \ temp \ AppPools .

У каждого пула приложений также есть идентификатор безопасности (SID), который добавляется к соответствующему процессу w3wp.exe. В файле конфигурации пула приложений есть список управления доступом (ACL), чтобы разрешить доступ только к этому SID.

Вы можете использовать инструмент Icacls.exe, чтобы определить SID, примененный к любому файлу конфигурации пула приложений, с помощью:

  icacls.exe% systemdrive% \ inetpub \ temp \ appPools \ appPool.config / сохранить output.txt  

Пользователь может использовать SID пула приложений для ACL своего содержимого и защиты своего веб-сайта. Это полезно для веб-хостеров, которым необходимо принимать контент из различных внешних источников.

  1. Настройте каждый веб-сайт (или веб-приложение) для работы в собственном пуле веб-приложений.
  2. Настройте анонимную проверку подлинности для использования удостоверения пула приложений, а не учетной записи Industry Usability Reporting (IUSR), изменив свойства анонимной проверки подлинности.
  3. Удалите разрешения NTFS для группы IUSRS и учетной записи IUSR из файлов и папок веб-сайта.
  4. Используйте инструмент Icacls.exe, чтобы предоставить SID пула приложений «чтение» (и, при необходимости, «выполнение» и «запись») доступа к файлам и папкам веб-сайта. Вы можете использовать IIS APPPOOL \ ApplicationPoolName в качестве пользователя для предоставления разрешений на чтение.

После настройки разрешений NTFS только тот SID, который был внедрен в конкретный процесс w3wp.exe, сможет читать содержимое веб-сайта.Весь код, выполняемый в других процессах w3wp.exe (даже если он выполняется с тем же идентификатором), не сможет получить доступ к содержимому этого веб-сайта.

Ссылки для получения дополнительной информации

.

Как обеспечить онлайн-безопасность веб-сайта

Хакерство - это термин, используемый для описания действия по получению несанкционированного доступа к компьютерной системе, сети или веб-сайту. Взлом может нанести ущерб веб-сайту или компьютерной сети, и тех, кто участвует в таких действиях, называют хакерами. Мотивы взлома включают материальную выгоду, стремление привлечь внимание к протесту или даже желание принять вызов.

С быстрым ростом использования Интернета и электронной коммерции у хакеров теперь больше, чем когда-либо, возможностей для эксплуатации владельцев веб-сайтов, предприятий и обычных пользователей.Владельцы бизнеса и веб-сайтов должны обратить особое внимание, поскольку на карту поставлена ​​не только безопасность их бизнеса, но и безопасность их постоянных посетителей и клиентов.

Преимущества онлайн-безопасности

Есть компании, которые могут помочь вам в обеспечении безопасности вашего сайта. С их услугами вы сможете полностью создать резервную копию своего сайта, а также восстановить его при обнаружении любого вида вредоносного ПО, присутствующего на вашем сайте. Вы должны хранить все свои данные, такие как сведения о клиентах и ​​другой контент / информацию, в безопасности и избегать попадания в черный список Google.

Сертификат SSL

и его важность

Сертификат уровня защищенных сокетов или сертификат SSL важен для безопасности веб-сайта любого веб-сайта, обрабатывающего денежные транзакции. SSL создает безопасную связь между веб-браузером посетителя и бизнес-сайтом. Шифрование SSL проверяет информацию, которой обмениваются посетитель и веб-сайт, и гарантирует, что она безопасна и что хакеры не смогут получить доступ к важной информации, такой как имена, адреса или номера кредитных карт, во время или после транзакции.Следовательно, если веб-сайт ведет бизнес в Интернете, необходимо использовать сертификат SSL, чтобы обеспечить онлайн-безопасность данных, номеров кредитных карт и т. Д.

Существует три типа SSL-сертификатов для безопасности веб-сайтов. К ним относятся подтвержденный доменом SSL-сертификат, подтвержденный организацией SSL-сертификат и SSL-сертификат расширенной проверки.

Прочие соображения

При выборе хостинговой компании следует также учитывать, какие функции безопасности они предлагают.Компания или служба веб-хостинга должны предоставить антиспам, брандмауэр, антивирусное программное обеспечение и т. Д. Для защиты вашего сайта. Также следует воспользоваться печатью «подтверждения места». Конфиденциальная информация должна быть переведена в коды, чтобы сохранить ее секретность и конфиденциальность.

Ваша компания, занимающаяся веб-безопасностью, должна проверить, истек ли срок действия вашего SSL-сертификата или он работает, истек ли срок действия доменного имени, а также просканировать ваш веб-сайт на наличие вредоносных программ, троянов и бэкдоров. Рекомендуется ежедневное сканирование веб-сайтов, которые носят коммерческий характер.Выбор может быть сделан с учетом имеющегося бюджета, необходимых приоритетов безопасности и других соображений.

Проведение гарантии

Вы также можете опубликовать гарантию, что никакая личная информация клиентов и посетителей не будет передана третьим лицам. Эта гарантия может быть размещена на одной из страниц вашего сайта (за вашей подписью). Эта политика повысит доверие клиентов к вашему веб-сайту, а также покажет, что вы привержены обеспечению безопасности в Интернете.Вы также можете попросить своих сотрудников подписать правила безопасности веб-сайта и политику регулирования и убедиться, что правила соблюдаются должным образом.

Заключение

Вы можете работать со своей веб-командой и услугами веб-хостинга, чтобы обеспечить безопасность вашего веб-сайта как для вас, так и для ваших клиентов. Поскольку опытные покупатели в Интернете становятся все более осведомленными о том, как отличать безопасные от небезопасных торговых сайтов, несоблюдение передовых методов обеспечения безопасности в Интернете может иметь пагубные последствия для вашей прибыли.Посетители, которые считают ваш сайт безопасным и заслуживающим доверия, с гораздо большей вероятностью совершат покупку и вернутся в будущем.

Звездный рейтинг GD
загрузка ...

Как обеспечить онлайн-безопасность веб-сайта, 3.8 из 5 на основе оценок 4.

Простое руководство по безопасности веб-сайтов

Эксперты прогнозировали, что в 2019 году бизнес-веб-сайты станут жертвами атак программ-вымогателей с частотой один сайт каждые 14 секунд.

В 2018 году ущерб, нанесенный сайтам, атакованным киберпреступниками, превысил 5 миллиардов долларов.

С каждым годом масштабы этих атак увеличиваются, и, прежде чем вы об этом узнаете, это может быть ваш веб-сайт.

Почему необходимо обеспечивать безопасность своего веб-сайта

Каждый веб-сайт потенциально уязвим для этих атак.

Береги свое. Незащищенный сайт может быть взломан. Данные вашего клиента могут быть украдены. Это может привести к потере дохода, дорогостоящему ремонту кода веб-сайта и многим другим проблемам.

Вы можете защитить свой сайт от хакеров. Мы начнем с нескольких основных описаний типов атак, с которыми вы можете столкнуться. Далее следуют одиннадцать советов по защите вашего сайта.

Возможные веб-атаки / к чему готовиться

Китобойный промысел / Spear-Phishing

Фишинговые атаки используются, чтобы заставить людей выдать свою личную информацию, такую ​​как номер социального страхования или пин-код банковского счета.Эти атаки нацелены на широкую аудиторию в надежде обмануть как можно больше людей. Обычно фишинг осуществляется по электронной почте.

Например, хакер отправляет электронное письмо, которое выглядит так, как будто оно пришло из банка, в результате чего получатель в панике нажимает на ссылку. Эта ссылка приведет человека на его стандартный банковский сайт. Но это сайт, созданный только для того, чтобы выглядеть как настоящий. Кто-то, кто попался на одну из этих уловок и заполнил форму на этом сайте, случайно выдает свою информацию.

Spear-phishing аналогичен, но нацелен на одного конкретного человека, а не на множество людей в целом. Хакеры выбирают конкретную цель, а затем пытаются заставить их выдать свою конфиденциальную информацию.

Китобойный промысел похож на целевой фишинг. Только в этом случае целью является критически важный руководитель компании. Этого человека называют «китом» из-за его влияния и силы. Хакеры пытаются заманить китов, надеясь получить высокоуровневый доступ к веб-сайтам компаний и банковским счетам.

Программа-вымогатель на стороне сервера

Ransomware поражает всех, от среднего пользователя компьютера до тех, кто управляет веб-сайтами.

Эти атаки заключаются в том, что хакер берет под свой контроль компьютер и отказывается предоставить пользователю доступ даже к самым простым командам. Программа-вымогатель на стороне сервера работает аналогично, за исключением того, что хакер получает контроль над сервером веб-сайта. Доступ ко всем веб-сайтам на этом сервере теряется до тех пор, пока хакеры не будут перехвачены или пока их требования не будут выполнены.

Уязвимости Интернета вещей

IoT - это Интернет вещей.Этот термин относится к большому количеству устройств, которые подключаются к Интернету, таких как смартфоны и планшеты, которые подключаются к Интернету и осуществляют доступ к сайтам.

Основными уязвимостями Интернета вещей являются проблемы с конфиденциальностью, ненадежные мобильные интерфейсы и неадекватная мобильная безопасность. Все это связано с веб-сайтами, на которых не установлены необходимые меры защиты, или с веб-сайтов, не оптимизированных для мобильных устройств. Хакеры могут воспользоваться этими проблемами и использовать их для получения доступа к вашему сайту.

.

Как обеспечить безопасность в Интернете?

Каждый день вы выполняете все больше и больше операций в Интернете, поэтому важность безопасности в Интернете возрастает. В этой статье рассказывается, как защитить себя от угроз, кибератак и других опасностей в Интернете.

Что такое интернет-безопасность?

Интернет-безопасность включает определения, ситуации и рекомендации по использованию Интернета. Он охватывает безопасность браузера, платежей, данных, электронной почты, а также конфиденциальность, пароли и т. Д.

Угрозы включают следующие категории:

Вредоносное ПО - это программное обеспечение, изменяющее производительность устройства. Пользователь переходит по ссылке и получает вирус, троян Winlock или червя. Вирусы заражают другие файлы на компьютере; они используются для кражи пользовательских данных. Черви выполняют вредоносные задачи в сети. Пользователи скачивают троян Winlock, не задумываясь, что это небезопасно. Также есть программы, которые блокируют данные на устройстве или отслеживают действия пользователя.

DDoS-атаки включают попытки «снести» сервер системы.Товары или услуги становятся недоступными.

Фишинг - это атака, с помощью которой хакеры получают личную или финансовую информацию, включая пароли.

Береги пароли

Не устанавливайте простых паролей. Хакеры могут взломать простые пароли, например, «123456», «qwerty123» или ваше имя, день рождения и т. Д. Создайте уникальный пароль для каждого сайта. Используйте большие и маленькие буквы, цифры и специальные символы.

Двухфакторная аутентификация

Если вы выберете двухфакторную аутентификацию, система запросит у пользователя более одного пароля.Например, это пароль от личного кабинета и SMS-пароль.

Нет общедоступной информации

Подумайте, что вы публикуете на сайтах и ​​в социальных сетях. Хакеры могут использовать любую информацию, от адреса электронной почты до банковских данных.

HTTPS имеет приоритет

Посмотрите на протокол передачи гипертекста на сайтах, которые вы обычно посещаете. Использование защищенного протокола передачи гипертекста (HTTPS) безопасно, поскольку соединение между пользователем и страницей зашифровано.

Избегайте общедоступных сетей Wi-Fi

Бесплатный Wi-Fi в библиотеке и на вокзале - общественное благо.Однако будьте очень осторожны, ведь эти сети все активнее взламывают.

Использовать VPN

VPN (виртуальные частные сети) - это инструменты шифрования, которые перенаправляют пользовательский трафик на удаленные серверы, которыми управляет компания или поставщик услуг VPN. Он шифрует информацию и защищает ее от хакеров, правительственных агентств и посторонних глаз в Интернете.

Приобрести услуги VPN можно на нашем сайте. Защитите себя и свои данные в Интернете.

.

Смотрите также

Поделиться в соц. сетях

Опубликовать в Facebook
Опубликовать в Одноклассники
Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий