Как убрать угрозу безопасности сайта


Как убрать "сайт может угрожать безопасности вашего компьютера или мобильного устройства."

Сообщение «Сайт может угрожать безопасности вашего компьютера или мобильного устройства» является предупреждением о потенциально опасном сайте. Если на вашем сайте появилось сообщение об угрозе безопасности пользователей, скорее всего ваш сайт был взломан и на нем размещен вредоносный код. На сайте Яндекса есть небольшой раздел, посвященный данной проблеме.

Обычно предупреждение «Сайт может угрожать безопасности компьютера» приводит к снижению поискового трафика с Яндекса, поскольку сообщение пугает посетителей, и они скорее всего не пойдут по ссылке из поисковой выдачи. Поэтому данное «клеймо» нужно как можно быстрее убрать.

Для того чтобы предупреждение исчезло, необходимо, во-первых, удалить вредоносный код с сайта, во-вторых, отправить сайт на перепроверку через панель вебмастера Яндекса. Воспользуйтесь скриптом AI-BOLIT, чтобы просканировать свой сайт на наличие вредоносного кода. Найденный вредоносный код (это может быть поисковый или мобильный редирект в .htaccess файле, поисковый редирект в .php файлах, вирусный javascript или iframe) нужно удалить. Также удалить хакерские шеллы, которые будут перечислены в отчете, поскольку через них происходит размещение вредоносного кода в файлах.

Если у вас есть резервная копия сайта, в которой отсутствуют вирусы, можете восстановить из бэкапа. Но этот способ не очень надежный, поскольку в бэкапе уже могут быть хакерские скрипты и вредоносный код. После того, как сайт вылечен, необходимо добавить его в панель вебмастера и в разделе «Безопасность» отправить сайт на перепроверку.

Через несколько дней сайт будет проверен сотрудниками Яндекса, и в случае отсутствия вредоносного кода, с сайта снимут санкции, а предупреждение о том, что «Сайт может угрожать безопасности вашего компьютера или мобильного устройства» автоматически исчезнет.

Обращаем внимание на то, что вредоносный код или вирусы на сайте не появляются случайно и сами по себе. Причина появления вредоносного кода — это уязвимости на сайте или небезопасные настройки сервера. Если вредоносный код или вирус появился на сайте один раз, то скорее всего появится через некоторое время снова. Поэтому необходимо не только удалить вирус, но и закрыть уязвимости, установив защиту.

Если вы самостоятельно затрудняетесь удалить вирус с сайта или защитить сайт от взлома, обратитесь к специалистам.

Обсуждаем и комментируем

Как удалить предупреждение «Впереди обманчивый сайт»?

Вас беспокоит, что означает предупреждение «Впереди обманчивый сайт»? Вам интересно, каковы его последствия? Вы потеряете клиентов и посетителей? Или ваш сайт был ошибочно отмечен как вводящий в заблуждение?

Это предупреждение означает, что поисковые системы, такие как Google, обнаружили взлом на вашем сайте и занесли его в черный список, чтобы защитить своих пользователей от кражи данных и мошенничества. Так что да, вам следует беспокоиться, потому что это приведет к потере посетителей и доходов.

Кроме того, хакеры могут навредить вашему сайту, вашему бизнесу и вашей репутации! Но вам не о чем беспокоиться, потому что вы можете восстановить свой сайт. Вам просто нужно действовать быстро.

В этом руководстве по удалению «Впереди обманчивый сайт» мы покажем вам точные шаги, которые необходимо выполнить, чтобы быстро исправить взломанный веб-сайт и удалить предупреждение системы безопасности. Вы можете вернуть свой сайт в нормальное состояние в кратчайшие сроки.

TL; DR - Если ваш сайт WordPress взломан и вы хотите немедленно исправить это, установите MalCare.Он просканирует ваш сайт и удалит все следы вредоносных программ в течение нескольких минут. Ваш сайт будет полностью чистым, и вы сможете отправить свой сайт в Google, чтобы удалить предупреждение «Впереди обманчивый сайт».

Что такое предупреждение «Впереди обманчивый сайт»?

Чтобы объяснить предупреждение «Впереди обманчивый сайт» и показать, как его исправить, мы воспользуемся поисковой системой Google, поскольку она является самой популярной. Этот процесс останется относительно таким же для других браузеров, таких как Mozilla Firefox.

Знаете ли вы, что Google уделяет первоочередное внимание удовлетворенности и безопасности своих пользователей? Фактически, в браузер Google Chrome включено множество средств онлайн-безопасности. Эти меры защищают пользователей от обманным путем посещения обманчивых сайтов, загрузки вредоносного программного обеспечения, кражи их данных или взлома их устройств.

Следуя приоритетам безопасности, Google постоянно сканирует веб-сайты на наличие вредоносных программ, которые могут подвергнуть риску их пользователей. Если он обнаруживает вредоносное ПО на вашем веб-сайте, он выполняет следующие действия:

    1. Он помещает ваш веб-сайт в черный список и помечает его как небезопасный.
    2. Он добавляет предупреждение на ваш сайт, например «Впереди обманчивый сайт» или «Этот сайт содержит вредоносное ПО».
    3. В зависимости от риска, создаваемого вашим сайтом, он дает пользователям возможность обойти предупреждение системы безопасности и перейти на ваш сайт, нажав на «подробности». Или они могут покинуть сайт и «вернуться в безопасное место».

Что вызывает предупреждение «Впереди обманчивый сайт»?

Как мы только что обсуждали, Google обнаружил на вашем веб-сайте вредоносное ПО и поэтому пометил ваш сайт как обманчивый или потенциально опасный.Как вредоносное ПО попало на ваш сайт? Это может произойти по-разному. Здесь мы обсудим четыре основные причины:

    • Уязвимые темы и плагины

      Темы и плагины часто со временем обнаруживают уязвимости. При обнаружении уязвимостей разработчики выпускают исправления безопасности, чтобы исправить это. Эти исправления представлены в виде обновленной версии. После обновления до новой версии уязвимость будет исправлена. Однако иногда хакеры обнаруживают уязвимость раньше разработчиков, а иногда владельцы веб-сайтов не обновляются до последней версии в течение некоторого времени.Это позволяет хакерам найти уязвимость на вашем сайте и взломать ее.

    • Установка незаконных или пиратских тем и плагинов

      Программное обеспечение с нулевым доступом дает вам доступ к премиум-функциям бесплатно, и есть соблазн использовать такие версии. Однако такое программное обеспечение поставляется с предустановленным вредоносным ПО. Это позволяет хакерам распространять вредоносное ПО на любой сайт, на котором оно установлено. Мы не советуем никогда устанавливать программное обеспечение и подобные нежелательные программы.

    • Загрузка файла с зараженного устройства

      Если ваш компьютер был заражен вредоносным ПО, это также может повлиять на ваш сайт.Когда ваш компьютер или устройство заражены, вполне вероятно, что ваши файлы тоже заражены. Загружая файлы с устройства, зараженного вредоносным ПО, вы рискуете распространить инфекцию на свой веб-сайт.

    • Посещение вредоносного или фишингового сайта

      Бывают случаи, когда вас могут обмануть, чтобы открыть вредоносный веб-сайт. Эти сайты закодированы таким образом, что, просто посетив сайт, он может заразить ваш компьютер и ваш собственный сайт, если ваша панель управления WordPress открыта на другой вкладке.

Когда хакер взламывает ваш веб-сайт, он может использовать его для вредоносных или фишинговых действий, во время которых они крадут личную информацию ваших посетителей, заставляют их загрузить вредоносное ПО или обманывать их финансово. Это открывает двери для серьезных последствий для вас и вашего бизнеса.

Примечание. Если вы считаете, что ни одно из этих действий не применимо к вашему сайту, и он был ошибочно занесен в черный список, вы можете отправить отчет в Google .

Влияние предупреждения «Впереди обманчивый сайт» на ваш сайт

Если ваш сайт помечен предупреждением безопасности «Впереди обманчивый сайт», вы можете столкнуться с серьезными последствиями, подобными следующему.

    1. Снижение посещаемости - Когда ваши посетители увидят предупреждение «Впереди обманчивый сайт», они, вероятно, решат «вернуться в безопасное место». Это приведет к резкому падению вашего трафика.
    2. Падение в рейтинге SEO - Google наказывает ваш сайт за наличие вредоносного ПО, которое приведет к падению вашего рейтинга SEO.Ваш сайт может попасть в тройку лучших в один прекрасный день, а на следующий день вы увидите, что он опустился на вторую или третью страницу. Ваш сайт может даже не отображаться на страницах результатов поиска Google.
    3. Блокировка веб-хоста - Как только ваш веб-хост обнаружит вредоносное ПО на вашем сайте, он немедленно приостановит вашу учетную запись. Это означает, что вы не сможете разместить свой веб-сайт на их платформе, пока не очистите вредоносное ПО. Они делают это для защиты своих интересов, своих серверов и других пользователей своей платформы.
    4. Потеря дохода - Если у вас есть интернет-магазин или вы зависите от рекламы для получения дохода, вы также можете потерять свой доход.
    5. Ущерб репутации - Хакеры могут выполнять всевозможные действия, например, обманывать ваших посетителей и клиентов. Это может серьезно повредить вашей репутации, поскольку взлом осуществляется от имени вашего веб-сайта. Если посетители будут предупреждены о том, что ваш сайт является ложным, будьте уверены, они не вернутся.

Вот почему так важно как можно скорее исправить это предупреждение, чтобы посетители могли безопасно просматривать страницы.В следующем разделе мы покажем вам, как это сделать, с помощью пошагового руководства.

Как исправить предупреждение «Впереди обманчивый сайт»

Исправить предупреждение от Google несложно, если вы предпримете правильные шаги. Сначала вам нужно определить вредоносное ПО, а затем очистить взломанный сайт WordPress. После этого вам необходимо отправить свой сайт в Google, чтобы удалить черный список. Давайте взглянем.

Шаг 1. Просканируйте свой сайт WordPress на наличие вредоносных программ

Важно сначала идентифицировать вредоносное ПО и найти зараженные файлы.Это поможет тщательно очистить ваш сайт. Вы можете сделать это с помощью сканера вредоносных программ.

На рынке представлено множество сканеров вредоносных программ, но сегодня мы покажем вам, как использовать MalCare Security Scanner. Мы выбрали MalCare, потому что:

    1. Он способен обнаруживать все типы вредоносных программ на вашем сайте в менее чем за несколько минут .
    2. Даже если хакер замаскирует или скрывает свой вредоносный код, MalCare найдет его , потому что он использует процесс, анализирующий поведение кода.Это помогает им определить, какие коды являются вредоносными, даже если они выглядят законными.
    3. Многие сканеры запускают только сканирование поверхности, которое не проверяет все файлы и папки на вашем сайте. MalCare глубоко погружается в ваш сайт, и анализирует каждый дюйм вашего сайта, включая вашу базу данных . Это не оставляет камня на камне.

Чтобы использовать MalCare, просто установите плагин на свой сайт. Войдите в MalCare из меню слева на панели администратора WordPress.Здесь введите название своего веб-сайта и выберите Malware Scan.

Вы будете перенаправлены на независимую панель управления MalCare, где она начнет процесс автоматического сканирования вашего сайта на наличие вредоносных программ. После того, как он определит все присутствующие вредоносные программы, он покажет вам количество найденных взломанных файлов:

Шаг 2. Удалите вредоносное ПО с вашего сайта

После сканирования вашего сайта, вы можете удалить вредоносное ПО со своего сайта двумя способами - вручную или с помощью такого плагина, как MalCare.

Вы можете встретить инструкции по очистке сайта WordPress вручную, но мы, , не рекомендуем этот метод. Вот почему:

    • Каждый раз, когда вы вносите изменения в свой сайт WordPress , вы рискуете взломать свой сайт . Даже малейшая ошибка может привести к сбоям в работе вашего сайта.
    • Этот метод не действует . Хакеры умело маскируют свои вредоносные программы и скрывают бэкдоры, которые позволяют им получить секретный доступ к вашему сайту. чрезвычайно сложно идентифицировать каждый взломанный файл и бэкдор и избавиться от них.
    • Чтобы очистить сайт вручную, необходимо удалить взломанные файлы. Это может нарушить работу других функций, зависящих от этих файлов.
    • Это отнимает много времени и требует специальной рабочей силы .

Как мы обсуждали ранее, чем дольше ваш сайт взламывают, тем больше последствия. Мы рекомендуем использовать эффективный плагин безопасности WordPress - MalCare.Он использует процесс, который избавляет от зараженных файлов, не нарушая работу вашего сайта. Он также найдет и удалит все бэкдоры, созданные хакером. Все это делается всего за несколько минут, экономя ваше время и ресурсы.

Чтобы очистить свой сайт с помощью MalCare, просто нажмите кнопку автоматической очистки :

После этого вы увидите, что ваш сайт чист.

Сделайте снимок экрана с этой страницей, который показывает, что ваш сайт чистый, он вам понадобится на следующем шаге.

Шаг 3. Отправьте свой сайт на веб-хостинг (в случае приостановки)

Обратитесь к своему провайдеру веб-хостинга и попросите их снять приостановку. Вы можете сделать это по телефону, электронной почте или в чате - в зависимости от вариантов поддержки клиентов, предоставляемых вашим хостом.

Отправьте им подробную информацию о своем сайте вместе со снимком экрана MalCare, который показывает, что ваш сайт чист.

Они рассмотрят ваш запрос и, сочтя ваш сайт чистым, снимут блокировку.

Шаг 4. Отправьте свой сайт в Google

Чтобы удалить предупреждение из черного списка Google, вы должны отправить свой сайт на проверку. Перед тем как сделать это, убедитесь, что вы следуете их инструкциям по удалению:

    • Зарегистрируйтесь или войдите в Google Search Console. Подтвердите право собственности на свой сайт.
    • Очистите свой сайт от взлома.
    • Исправьте уязвимость системы безопасности, которая привела к взлому.
    • Верните свой чистый сайт в оперативный режим, связавшись с хостингом.

Убедившись, что вы выполнили эти действия, вы можете запросить проверку, чтобы удалить в Chrome предупреждение о вводном сайте.

    1. Войдите в Search Console и откройте Отчет о проблемах безопасности.
    2. Выбрать Запросить обзор .
    3. Вам необходимо ввести необходимую информацию о том, какие шаги вы предприняли для устранения проблемы с вредоносным ПО.
    4. Оставьте заявку.

Время обработки запроса на проверку может занять день или даже несколько недель.Вы получите ответ в своем сообщениях в Search Console или в аккаунте инструментов для веб-мастеров.

Как только Google определит, что ваш веб-сайт чист, предупреждение будет удалено в течение 72 часов.

Примечание. Если ваш запрос не одобрен, это означает, что вам необходимо повторно проверить свой сайт на наличие вредоносного ПО или спама. Вы можете связаться со специальной группой поддержки MalCare 24 часа в сутки, 7 дней в неделю, чтобы ответить на ваши вопросы.

После того, как ваш запрос будет одобрен и ваш сайт будет работать должным образом, мы рекомендуем принять дополнительные меры для защиты вашего сайта.

Предотвратить «Впереди обманчивый сайт» Предупреждение системы безопасности

Пройти это испытание один раз - достаточно плохо. Было бы кошмаром снова столкнуться с этим. Чтобы гарантировать, что ваш сайт больше не будет взломан, мы рекомендуем следующие меры безопасности:

    • Установить подключаемый модуль безопасности

Всегда держите подключаемый модуль безопасности на своем сайте активным. С установленной программой MalCare он будет сканировать ваш сайт каждый день, чтобы определять любые подозрительные расширения, поведение или вредоносное ПО на вашем сайте.Кроме того, плагин устанавливает брандмауэр, который защищает ваш сайт от известного опасного трафика. Когда хакеры видят, что у вас есть базовые меры безопасности, они обычно сдаются и переходят к своей следующей цели.

    • Регулярно обновляйте WordPress

Устаревшее программное обеспечение - одна из наиболее частых причин взлома веб-сайта. Когда разработчики обнаруживают недостатки безопасности, они выпускают исправления безопасности в виде обновлений.Об уязвимости стало известно общественности. Как только вы обновите свой веб-сайт, он будет в безопасности. Но если вы решите отложить обновление, хакеры узнают об уязвимости и будут активно искать ее, чтобы воспользоваться ею.

Мы советуем вам регулярно обновлять базовую установку WordPress, плагины и темы. Если вы обнаружите, что обновления слишком часты или вызывают проблемы для вашего сайта, следуйте нашему руководству по безопасному обновлению вашего сайта WordPress.

    • Используйте только доверенные темы и плагины

Как мы упоминали ранее, обнуленные плагины и темы содержат вредоносные программы.Установка такого программного обеспечения открывает двери для хакеров. Лучше использовать только проверенные плагины и темы, которые вы можете найти в репозитории WordPress или на проверенных торговых площадках, таких как CodeCanyon или ThemeForest.

    • Удалить неактивные темы и плагины

Плагины и темы часто используются для взлома сайтов WordPress. Лучше всего ограничить использование этих элементов только теми, которые вы действительно используете. Удалите со своего сайта все неактивные темы и плагины, чтобы снизить риск атак.

    • Внедрение защиты веб-сайта

WordPress рекомендует принять определенные меры для повышения безопасности вашего веб-сайта WordPress. Эти меры включают регулярное изменение всех паролей и секретных ключей, настройку предупреждений о подозрительных входах в систему, ограничение попыток входа в систему и ряд других мер. Выполнение этих мер вручную требует времени и технических знаний. Если вы установили MalCare, вы можете усилить защиту своего сайта с его панели инструментов всего за несколько кликов.

На этом мы подошли к концу исправления всплывающего окна «Впереди обманчивый сайт» на вашем веб-сайте. Мы уверены, что если вы следовали нашему руководству, ваш веб-сайт не будет содержать вредоносных программ и защищен от будущих атак.

Последние мысли

Предупреждение «Впереди обманчивый сайт» на вашем сайте WordPress может поначалу шокировать. Но если предпринять правильные шаги, можно быстро исправить ситуацию.Таким образом,

    • Если вы видите это предупреждение на своем сайте, это означает, что Google обнаружил вредоносное ПО на вашем сайте. Чтобы защитить своих пользователей, они заносят ваш сайт в черный список и показывают это предупреждение о вредоносном ПО.
    • Чтобы удалить этот тип предупреждения, вам необходимо очистить свой сайт от вредоносных программ. Мы рекомендуем использовать плагин безопасности MalCare для сканирования и очистки вашего сайта.
    • Затем обратитесь к своему веб-хосту, чтобы снять блокировку вашей учетной записи. Затем вы можете отправить свой сайт в Google на рассмотрение.
    • После того, как Google одобрит ваш запрос, ваш сайт будет восстановлен в нормальном режиме.
    • Мы настоятельно рекомендуем укрепить свой веб-сайт и принять собственные меры безопасности, чтобы защитить свой сайт от будущих атак.

Безопасность должна иметь приоритет при работе веб-сайта. Убедитесь, что вы всегда используете на своем сайте надежный плагин безопасности, например MalCare. Вам никогда не придется беспокоиться о хакерах, использующих ваш сайт, поскольку MalCare будет постоянно сканировать ваш сайт и обеспечивать его безопасность.


Очистите ваш взломанный сайт с помощью нашего
MalCare Security Plugin прямо сейчас!

.

Как обеспечить безопасность веб-сайтов. Угрозы и работа с уязвимостями.

Посещение вредоносного веб-сайта может быть одной из худших вещей, которые могут случиться с людьми, просматривающими Интернет, особенно с теми, кто хочет делать покупки в Интернете. Веб-мастера должны знать об угрозах веб-сайтов и их разрушительных возможностях - в первую очередь, потеря потребительской базы. Если у вас есть веб-сайт или блог, вам необходимо знать о возможных угрозах для веб-сайтов. В этой статье рассказывается об угрозах и их последствиях, некоторых методах, используемых хакерами для злонамеренного воздействия на ваш веб-сайт, а затем обсуждаются способы обеспечения безопасности веб-сайтов.

Угрозы для веб-сайтов и их последствия или возможности

Это прибыльный бизнес для хакеров: воровать данные людей и использовать их в личных целях. Прибыль может быть денежной или абстрактной. Хотя хакерство, фишинг и социальная инженерия являются распространенными методами, хакеры также используют чужие веб-сайты для взлома компьютеров пользователей и доступа к их данным. Следующее изображение дает вам представление об угрозах для веб-сайтов.

Таким образом, работа веб-мастера заключается в том, чтобы убедиться, что на его или ее веб-сайте нет вредоносного кода и уязвимостей.Это непростая задача, учитывая, что страниц могут быть тысячи, и хакер выборочно вставляет код на некоторые страницы. Поскольку это вопрос вашей репутации, вы должны это сделать. К счастью, существуют инструменты, которые позволяют сканировать ваши веб-сайты ежедневно, чтобы предоставить вам отчет об инфекционном коде и точках уязвимостей (например, экраны входа в систему, формы и т. Д.).

Кроме того, доступны браузеры и плагины для браузеров, которые вызывают тревогу, когда вы собираетесь посетить вредоносный, зараженный веб-сайт.Хотя вы могли посещать этот сайт раньше, и хотя вам может быть трудно поверить, что сайт, которому вы доверяете, заражен, он действительно может быть вредоносным без ведома веб-мастера, потому что часом ранее какой-то хакер добавил код в сайт.

Говоря о наихудших сценариях или возможностях угроз веб-сайтов, есть две основные стороны ущерба:

  1. Веб-мастера могут потерять свою клиентскую базу, поскольку браузер посетителей подает сигнал тревоги, когда они пытаются посетить их сайт; Google и т. Д.поисковые системы могут занести сайт в черный список, если обнаружат какой-либо вредоносный код при сканировании сайта.
  2. На стороне пользователя компьютер пользователя и, следовательно, его / ее данные скомпрометированы и могут привести к краже личных данных.

Распространенные типы угроз для веб-сайтов

Самый распространенный и заметный - это clickjacking . В этом методе прозрачный слой вредоносного кода находится на кнопке или видео. Когда вы нажимаете на кнопку, код загружается на ваш компьютер.Возможно, вы видели похожие методы рекламы на веб-сайтах C-класса, в основном связанные с пиратством, контентом для взрослых и т. Д.

Перенаправление веб-сайтов Уязвимости позволяют хакерам использовать перенаправления для своей выгоды. Они могут либо перехватывать данные, которыми обмениваются, либо использовать перенаправление для перенаправления пользователей на фишинговый сайт.

Среди других видов угроз для веб-сайтов - целевые атаки с использованием готовых наборов эксплойтов , легко доступных в Интернете.Эти комплекты позволяют хакерам атаковать определенные (типы) веб-сайты и добавлять на них вредоносные ссылки. Другой способ - отправить на веб-сайт электронные письма с вредоносными ссылками, которые обходят ничего не подозревающего веб-мастера и делают его вредоносным.

Недавние атаки на популярные веб-сайты показывают, что даже самые крупные веб-сайты уязвимы. Люди, которые однажды потеряли свои учетные данные, вряд ли вернутся на сайт снова.

Представьте, что ваш бизнес или веб-сайт электронной коммерции попадает в черный список, и вы остаетесь в неведении на несколько недель, пока поисковые системы снова не внесут их в белый список.Хотя процесс удаления веб-сайта из черных списков сложен, сможет ли ваш бизнес выжить, если он не будет публичным в течение нескольких недель?

Прочтите : Как удалить скрипт майнинга Coinhive с вашего сайта.

Как обеспечить безопасность веб-сайтов

Актуальное программное обеспечение : Полностью обновляйте и исправляйте программное обеспечение сервера веб-сайта

SSL-сертификаты: Компании, предлагающие сертификаты безопасности, проверяют ваш сайт перед выдачей сертификата доверия.Зеленая часть в адресной строке рядом с «https» дает некоторую уверенность пользователям веб-сайта.

Шифрование: Используйте безопасное соединение для всего, что пользователи делают на вашем веб-сайте, особенно если они участвуют в транзакциях.

Обновление до EV SSL: Сделайте это в любой части веб-сайта, где клиент может ввести данные

Ежедневное сканирование вредоносных программ: Вы можете использовать продукты, которые сканируют страницы вашего веб-сайта на наличие вредоносных программ, не сокращая время их загрузки.Таким образом, вы можете удалить вредоносный код - если он есть - до того, как это затронет пользователей.

Еженедельная оценка уязвимостей: Проверьте возможные точки уязвимостей и внедрите там дополнительную безопасность.

Выше приведены лишь несколько советов по защите вашего сайта. В нем кратко объясняются угрозы для веб-сайтов и их возможности. Я даю ссылку на электронную книгу Symantec Flash, которая поможет вам лучше понять проблему.

Теперь прочтите : Как защитить сайт WordPress.

Артикул:

Symantec - Защита вашего бизнеса в Интернете.

Позже сегодня мы прочитаем о скачиваний Drive-by и через несколько дней о том, как обеспечить безопасность веб-сайта WordPress.

.

Простое руководство по безопасности веб-сайтов - лучшие практики 2020

Ваш веб-сайт в опасности.

Я говорю это не для того, чтобы напугать вас, но такова реальность мира, в котором мы живем. Ежедневно взламывают более 50 000 веб-сайтов.

У вас не может быть менталитета «со мной этого не случится». Я постоянно сталкиваюсь с компаниями, которые так думают. Они думают, что у хакеров есть повод для поджаривания, и у них нет причин атаковать их сайт. Это просто не так. Фактически, 43% киберпреступлений совершаются против малого бизнеса.

Примерно 54% ​​компаний во всем мире заявили, что они испытали хотя бы одну атаку в течение последнего года. Только 38% компаний заявили, что готовы противостоять кибератакам.

У меня нет волшебного хрустального шара или способа заглянуть в будущее, но мое чутье подсказывает мне, что киберпреступники не собираются однажды просто проснуться и решить прекратить взламывать веб-сайты. Итак, вам необходимо предпринять шаги для повышения безопасности вашего сайта.

Именно это вдохновило меня на написание этого руководства.Я покажу вам, что нужно сделать для защиты вашего веб-сайта сегодня, в 2020 году.

Распространенные угрозы безопасности веб-сайтов

Атаки на веб-сайты могут быть неоднозначными. Итак, прежде чем мы продолжим, я хочу дать вам краткий обзор некоторых из наиболее распространенных угроз безопасности вашего веб-сайта. Это то, чего вам следует избегать и к которым следует быть готовым, принимая меры безопасности.

Спам

Обычно мы воспринимаем спам как нечто раздражающее. Все мы получаем спам-сообщения, которые доставляются в наш почтовый ящик, или иногда видим всплывающие окна со спамом, когда просматриваем интернет-страницы.

Однако иногда спам более опасен. Спам в виде комментариев чрезвычайно распространен на веб-сайтах. Боты могут забивать раздел комментариев на вашем сайте ссылками на другой сайт в качестве попытки создания обратных ссылок.

Хотя такие комментарии раздражают и не выглядят хорошо на вашем сайте, они не всегда вредны. Но некоторые из этих ссылок могут содержать вредоносное ПО, которое может нанести вред посетителям вашего сайта, если они нажмут на них.

Кроме того, сканеры Google часто могут обнаруживать вредоносные URL-адреса и наказывать ваш веб-сайт за размещение спама.Это сокрушит ваш рейтинг SEO.

Вирусы и вредоносное ПО

Для тех из вас, кто не знает, вредоносное ПО означает «вредоносное программное обеспечение». Таким образом, вредоносные программы и вирусы - это одно и то же. Вредоносное ПО, возможно, является самой большой угрозой для вашего сайта. Ежедневно создается до 230 000 образцов вредоносных программ.

По данным Statista, это наиболее распространенные типы вредоносных программ, используемых в кибератаках по всему миру:

Как видите, вредоносные программы бывают самых разных форм и размеров.Вот почему это такая большая угроза для вашего сайта.

Эти типы вирусов часто используются для доступа к личным данным или использования ресурсов сервера. Преступники также используют вредоносное ПО, чтобы зарабатывать деньги на рекламе или партнерских ссылках, взламывая разрешения вашего сайта.

Вредоносное ПО подвергает риску и вас, и посетителей вашего сайта. Кто-то, посещающий ваш сайт, может щелкнуть ссылку, которая загружает вредоносный файл на свой компьютер. Ваша задача - обеспечить безопасность своего сайта и предотвратить подобные ситуации.

Регистрация домена WHOIS

Покупка доменного имени похожа на покупку дома. Компания, которая продает дом, должна знать, кому они продают, и иметь возможность с ними связаться. Это становится общедоступным документом.

То же самое и при покупке веб-сайта. В зависимости от страны, в которой вы находитесь, вам потребуется предоставить некоторую информацию о себе, которая записана в данных WHOIS. Помимо вашей личной информации, это также содержит информацию о ваших серверах имен URL.

Хакеры могут использовать эту информацию, чтобы сузить местоположение сервера, который вы используете.Они могут использовать это как шлюз для доступа к вашему веб-серверу.

DDoS-атаки

DDoS-атаки запрещают доступ пользователям, пытающимся посетить определенный веб-сайт. По сути, хакер использует поддельные IP-адреса для перегрузки серверов трафиком. По сути, это переводит сайт в автономный режим.

Теперь хосту необходимо попытаться восстановить и запустить сервер как можно быстрее, что делает сервер уязвимым для вредоносных программ.

заносит в черный список поисковая система

Технически это не представляет угрозы безопасности.Однако, если ваш сайт не защищен должным образом, это может повлиять на ваш рейтинг в SEO.

Согласно недавнему исследованию, 74% взломанных веб-сайтов были атакованы по причинам SEO.

Я вкратце упомянул об этом ранее, когда мы обсуждали спам-комментарии. Если поисковые системы обнаружат вредоносный контент на вашем сайте, пострадает ваш SEO-рейтинг.

Если много пользователей сообщают о вашем сайте как о спаме или небезопасном, вы можете быть добавлены в черный список поисковой системы. Попав в этот список, очень трудно выйти из него.

Как обеспечить безопасность вашего веб-сайта

Теперь, когда вы знакомы с некоторыми из наиболее распространенных угроз безопасности, пришло время предотвратить их появление.

Вы не можете просто предполагать, что ваш веб-сайт безопасен. Если вы ничего не сделали для повышения безопасности, вероятно, он уязвим для атак. Вот шаги, которые необходимо предпринять для повышения безопасности вашего веб-сайта в 2020 году.

Используйте протокол HTTPS

Если ваш веб-сайт в настоящее время не использует протокол HTTPS, ему необходимо перейти в верхнюю часть вашего списка приоритетов.По сути, это говорит посетителям вашего сайта, что они взаимодействуют с правильным сервером, и ничто другое не может изменить или перехватить контент, который они просматривают.

Без HTTPS хакер может изменить информацию на странице, чтобы собрать личную информацию от посетителей вашего сайта. Например, они могут украсть данные для входа и пароли у пользователей.

Протокол HTTPS также улучшит ваш поисковый рейтинг. Google награждает веб-сайты, использующие эту меру безопасности.

Это также утешает людей, которые посещают ваш сайт.Когда они посещают ваш сайт, они увидят это рядом с URL:

Это безопасно и заслуживает доверия. Теперь сравните его с сайтом, который не использует протокол HTTPS. URL-адрес в веб-браузере будет выглядеть так:

Чувствуете ли вы себя в безопасности, когда просматриваете веб-сайт и видите это? Я не.

Более того, вы можете еще больше улучшить эту меру безопасности, объединив свой HTTPS с сертификатом SSL (уровень защищенных сокетов). Это требуется для веб-сайтов электронной торговли, поскольку пользователи отправляют конфиденциальную информацию, такую ​​как номера кредитных карт, имена и адреса.

Хотя сертификаты SSL не обязательно предотвращают атаку или распространение вредоносного ПО, они шифруют обмен данными между сервером и веб-браузером пользователя. Даже если вы ничего не продаете на своем веб-сайте, я настоятельно рекомендую использовать протокол HTTPS и добавить сертификат SSL для повышения безопасности.

Обновите программное обеспечение

Любое программное обеспечение, которое вы используете на своем веб-сайте, необходимо обновлять. Вам необходимо обновить программное обеспечение WordPress, плагины, CMS и все остальное, что требует обновления.

Почему?

Помимо исправления ошибок или сбоев, обновления программного обеспечения обычно включают улучшения безопасности. Никакое программное обеспечение не является идеальным. Хакеры всегда будут искать способы воспользоваться своими уязвимостями.

Многие кибератаки автоматизированы. Преступники используют ботов для сканирования уязвимых веб-сайтов. Таким образом, если вы не следите за последними версиями программного обеспечения, хакерам будет легко идентифицировать ваш сайт, прежде чем вы сможете что-либо с ним сделать.

Выберите безопасный план веб-хостинга

Теоретически, если у вашего провайдера веб-хостинга есть безопасность на своих серверах, вы получите те же уровни защиты. Однако это не всегда так.

План общего хостинга может быть привлекательным из-за цены, но это не самый безопасный вариант, который вы можете сделать. Как следует из названия, если вы выберете этот тип тарифного плана, вы будете использовать серверы совместно с другими веб-сайтами.

Если один из этих сайтов подвергнется атаке, хакер также может получить доступ к серверу, который вы используете.Я не пытаюсь увести вас от плана общего хостинга, но если вы хотите повысить безопасность своего веб-сайта, вам будет лучше выбрать другой вариант.

Ознакомьтесь с моим списком лучших услуг веб-хостинга, которые могут помочь вам в правильном направлении.

Смените пароль

Смените пароль! Я не могу этого достаточно подчеркнуть.

Слишком часто я говорю с людьми, у которых одинаковый пароль ко всему, что у них есть, и это то, что они использовали с тех пор, как учились в колледже десять лет назад.

Вот в чем проблема. Допустим, вы гурман. Итак, у вас есть учетная запись на популярном веб-сайте обзоров ресторанов, где для написания отзывов требуется ваш адрес электронной почты и пароль. Если эта платформа будет взломана, хакеры получат доступ к вашему имени пользователя и паролю. Если они узнают, что у вас есть определенный веб-сайт, они могут попробовать тот же пароль и войти в ваши административные настройки.

Поразительно, но 25% паролей можно взломать всего за три секунды.

Информация из этого графика была получена с помощью программного обеспечения с открытым исходным кодом под названием John the Ripper.Кто угодно может использовать этот инструмент для взлома паролей.

Если такое программное обеспечение может распознать 53% паролей всего за два часа, я могу обещать вам, что лучшие хакеры взламывают пароли еще быстрее.

Поэтому вам необходимо постоянно обновлять пароль. Вы можете использовать менеджер паролей, например 1Password, чтобы помочь вам создать длинные пароли со специальными символами, которые практически невозможно разгадать.

Кроме того, вам следует выбрать веб-хостинг, который использует двухфакторную аутентификацию.Это добавит дополнительный уровень безопасности для защиты паролем. Если ваш веб-хостинг не предлагает этого, вы можете включить его самостоятельно с помощью приложений или третьих лиц.

Защитите свой персональный компьютер

Не позволяйте собственным устройствам угрожать вашему сайту.

Существует вредоносное ПО, которое внедряет вредоносные файлы на веб-сайты, воруя логины FTP. Хакеру будет проще сделать это, если он нацелится на ваш персональный компьютер как на вход на ваш веб-сайт.Поэтому убедитесь, что на вашем компьютере установлено антивирусное программное обеспечение. Удивлен, что антивирусное программное обеспечение по-прежнему актуально - это особенно важно, если вы используете ПК или загружаете файлы в Интернете. Вы можете случайно установить вредоносное ПО на свой компьютер, даже не подозревая об этом.

Меньше всего вам нужно проявлять беспечность при просмотре страниц в Интернете, чтобы эта ошибка в конечном итоге навредила вашему собственному веб-сайту. Регулярно сканируйте свою машину.

Используйте инструменты для наблюдения за своей безопасностью

Вы не можете вручную предотвратить атаки на свой веб-сайт.Вместо этого поищите онлайн-инструменты и ресурсы, которые будут контролировать безопасность вашего сайта. Я настоятельно рекомендую ознакомиться с моим руководством по лучшим плагинам безопасности WordPress.

Плагины в этом списке добавляют брандмауэр на ваш сайт, одновременно борясь с вредоносными программами, спамом и другими угрозами в режиме реального времени. Вы можете проводить аудит безопасности, который выявит ваши уязвимости, чтобы вы могли принять превентивные меры, чтобы остановить атаку до того, как она произойдет.

Ограничить доступ пользователей

Не вините себя, но 95% атак кибербезопасности являются результатом человеческой ошибки.

Лучший способ предотвратить это - ограничить количество людей, которые могут сделать ошибку. Не каждый сотрудник вашего бизнеса должен иметь доступ к вашему сайту.

Если вы нанимаете внешнего консультанта, дизайнера или приглашенного блоггера, не давайте этим людям автоматически изменять настройки на вашем сайте. Реализуйте принцип минимальных привилегий, также известный как принцип минимальных полномочий или минимальных привилегий.

Допустим, вы назначаете проект кому-то, для которого требуется определенный уровень доступа к вашему веб-сайту.Применяя этот принцип, вы предоставляете им доступ только на время, необходимое для выполнения задачи. После завершения человек возвращается к своим обычным способностям доступа.

Убедитесь, что у каждого пользователя есть свои учетные данные для входа. Если несколько человек используют одно имя пользователя и пароль, это не дает им никакой ответственности. Ваша команда с гораздо большей вероятностью будет осторожнее обращаться с конфиденциальной информацией, если за ними можно проследить ошибку или изменение.

Резервное копирование вашего веб-сайта

Когда дело доходит до защиты вашего веб-сайта, вы всегда должны быть готовы к худшему.Очевидно, вы никогда не захотите оказаться в ситуации, когда ваш сайт будет взломан. Но если что-то пойдет не так, ваша жизнь будет намного проще, если ваш контент будет полностью зарезервирован.

Поэтому попробуйте использовать плагин резервного копирования, например BackupBuddy, чтобы убедиться, что вы ничего не потеряете на своем веб-сайте в результате атаки.

BackupBuddy - один из пяти лучших плагинов для резервного копирования WordPress, которые я рассмотрел в этом году. Поэтому просмотрите полный список, чтобы увидеть, какой вариант лучше всего подходит для вашей ситуации.

Некоторые из этих подключаемых модулей резервного копирования также имеют встроенные меры безопасности, которые могут помочь вам предотвратить атаку.

Измените настройки CMS по умолчанию.

Как я уже говорил, в наши дни многие атаки автоматизированы. Хакеры программируют ботов для поиска сайтов с настройками по умолчанию. Таким образом, они могут нацеливаться на более широкий круг веб-сайтов и получать доступ с помощью того же типа вредоносного ПО или вируса. Не усложняй им задачу.

После установки CMS убедитесь, что вы изменили некоторые настройки по умолчанию:

  • Настройки комментариев
  • Пользовательские элементы управления
  • Доступность информации
  • Права доступа к файлам

Это все примеры некоторых настроек, которые вы может измениться быстро и сразу.

Ограничить загрузку файлов

Позволить посетителям сайта загружать файлы на ваш сайт может быть рискованно. Это потому, что любой файл потенциально может содержать сценарий, который использует уязвимости на вашем веб-сайте, когда он выполняется на сервере.

В некоторых случаях характер вашего веб-сайта может потребовать загрузки файлов. Например, вы можете попросить пользователей добавлять фотографии ваших продуктов, когда они пишут отзыв. В этом случае вы все равно должны рассматривать все загрузки как потенциальную угрозу.

Вы также можете настроить его так, чтобы все загружаемые файлы сохранялись в папке или базе данных в другом месте. Вы можете создать сценарий, который будет извлекать эти файлы из частного и удаленного места, чтобы доставить их в браузер.

Это потребует некоторого кодирования и немного сложно настроить, поэтому я не буду вдаваться в подробности сейчас. Простое решение - вообще избегать загрузки файлов или, по крайней мере, ограничить типы файлов, которые могут быть загружены на ваш сайт.

Заключение

Безопасность веб-сайтов должна быть одним из ваших главных приоритетов.

Если вы не предприняли никаких действий для защиты своего веб-сайта, вы подвергаетесь риску, пока читаете это.

Практически невозможно, чтобы любой веб-сайт был на 100% безопасным и защищенным - хакеры всегда находят новые способы атаковать веб-сайты и красть информацию. Но вы можете усложнить им задачу, приняв меры безопасности, которые я описал выше.

В конце концов, если киберпреступникам сложно взломать веб-сайт, они просто перейдут на другие сайты, на которых не реализована тактика безопасности веб-сайтов, о которой мы говорили.Вы не хотите, чтобы ваш сайт был в этом списке.

.

Безопасность веб-сайтов - Изучите веб-разработку

Безопасность веб-сайтов требует бдительности во всех аспектах дизайна и использования веб-сайтов. Эта вводная статья не сделает вас гуру безопасности веб-сайтов, но поможет понять, откуда берутся угрозы и что вы можете сделать, чтобы защитить свое веб-приложение от наиболее распространенных атак.

Предварительные требования: Базовая компьютерная грамотность.
Цель: Чтобы понять наиболее распространенные угрозы безопасности веб-приложений и что вы можете сделать, чтобы снизить риск взлома вашего сайта.

Что такое безопасность веб-сайта?

Интернет - опасное место! С большой регулярностью мы слышим о том, что веб-сайты становятся недоступными из-за атак типа «отказ в обслуживании» или отображают измененную (и часто наносящую ущерб) информацию на своих домашних страницах. В других громких случаях миллионы паролей, адресов электронной почты и данных кредитных карт стали достоянием общественности, что подвергло пользователей веб-сайта как личному затруднению, так и финансовому риску.

Целью безопасности веб-сайтов является предотвращение подобных (или любых) атак.Более формальное определение безопасности веб-сайтов - это действие / практика защиты веб-сайтов от несанкционированного доступа, использования, модификации, уничтожения или нарушения .

Эффективная безопасность веб-сайта требует усилий по проектированию всего веб-сайта: в вашем веб-приложении, конфигурации веб-сервера, ваших политик создания и обновления паролей и клиентского кода. Хотя все это звучит очень зловеще, хорошая новость заключается в том, что если вы используете веб-фреймворк на стороне сервера, он почти наверняка включит «по умолчанию» надежные и хорошо продуманные механизмы защиты от ряда наиболее распространенных атак. .Другие атаки можно уменьшить с помощью конфигурации вашего веб-сервера, например, включив HTTPS. Наконец, есть общедоступные инструменты сканирования уязвимостей, которые могут помочь вам узнать, сделали ли вы какие-либо очевидные ошибки.

В оставшейся части этой статьи вы найдете более подробную информацию о нескольких распространенных угрозах и некоторых простых шагах, которые вы можете предпринять для защиты своего сайта.

Примечание : Это вводная тема, призванная помочь вам начать думать о безопасности веб-сайтов, но она не является исчерпывающей.

Угрозы безопасности веб-сайтов

В этом разделе перечислены лишь некоторые из наиболее распространенных угроз для веб-сайтов и способы их устранения. По мере чтения обратите внимание на то, что угрозы наиболее успешны, когда веб-приложение либо доверяет, либо недостаточно параноидально относится к данным, поступающим из браузера.

Межсайтовый скриптинг (XSS)

XSS - это термин, используемый для описания класса атак, которые позволяют злоумышленнику внедрять клиентские сценарии с по веб-сайта в браузеры других пользователей.Поскольку внедренный код поступает в браузер с сайта, код является доверенным и может выполнять такие действия, как отправка файла cookie авторизации пользователя на сайт злоумышленнику. Когда у злоумышленника есть файл cookie, он может войти на сайт, как если бы он был пользователем, и делать все, что может пользователь, например получать доступ к данным своей кредитной карты, просматривать контактные данные или изменять пароли.

Примечание : Уязвимости XSS исторически были более распространены, чем любые другие типы угроз безопасности.

XSS-уязвимости делятся на отраженных и постоянных , в зависимости от того, как сайт возвращает внедренные скрипты в браузер.

  • A отражает Уязвимость XSS возникает, когда пользовательский контент, который передается на сервер, возвращается немедленно и без изменений для отображения в браузере. Любые сценарии в исходном пользовательском контенте будут запускаться при загрузке новой страницы.
    Например, рассмотрим функцию поиска по сайту, где условия поиска кодируются как параметры URL, и эти термины отображаются вместе с результатами.Злоумышленник может создать поисковую ссылку, которая содержит вредоносный скрипт в качестве параметра (например, http://mysite.com?q=beer < / script> ) и отправьте его другому пользователю по электронной почте. Если целевой пользователь щелкает эту «интересную ссылку», скрипт будет выполнен при отображении результатов поиска. Как обсуждалось ранее, это дает злоумышленнику всю информацию, необходимую ему для входа на сайт в качестве целевого пользователя, потенциально делая покупки в качестве пользователя или передавая свою контактную информацию.
  • Постоянная XSS-уязвимость возникает, когда вредоносный сценарий сохраняется на веб-сайте, а затем повторно отображается в неизмененном виде, чтобы другие пользователи могли выполнить его непреднамеренно.
    Например, доска обсуждений, которая принимает комментарии, содержащие неизмененный HTML, может хранить вредоносный скрипт от злоумышленника. Когда отображаются комментарии, скрипт выполняется и может отправить злоумышленнику информацию, необходимую для доступа к учетной записи пользователя. Этот вид атак чрезвычайно популярен и мощен, потому что злоумышленник может даже не иметь прямого взаимодействия с жертвами.

Хотя данные из запросов POST или GET являются наиболее распространенным источником уязвимостей XSS, любые данные из браузера потенциально уязвимы, например данные файлов cookie, отображаемые браузером, или загружаемые и отображаемые файлы пользователей.

Лучшая защита от уязвимостей XSS - это удалить или отключить любую разметку, которая потенциально может содержать инструкции для запуска кода. Для HTML это включает такие элементы, как

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий