Из этой статьи вы узнаете, как обеспечить защиту своего веб-сайта от атак. Использование SSL-сертификата и HTTPS - самый простой способ защитить адрес, но есть еще несколько вещей, которые вы можете сделать, чтобы предотвратить взлом вашего веб-сайта хакерами и вредоносными программами.
Шаги
Шаг 1. Регулярно обновляйте свой сайт
Невозможность обновить программное обеспечение, систему безопасности и сценарии вашего веб-сайта, когда это необходимо, - верный способ позволить злоумышленникам и вредоносным программам воспользоваться вашим сайтом.
- Это также касается исправлений от службы хостинга вашего веб-сайта (если применимо). Когда доступно обновление для вашего веб-сайта, установите его как можно скорее.
- Вам также следует обновлять сертификаты вашего сайта. Хотя это напрямую не повлияет на безопасность вашего сайта, это обеспечит его постоянное отображение в поисковых системах.
Шаг 2. Используйте программное обеспечение безопасности или плагины
Существует несколько различных брандмауэров веб-сайтов, на которые вы можете подписаться для постоянной защиты, а службы хостинга веб-сайтов, такие как WordPress, также часто предлагают плагины безопасности. Так же, как защита вашего компьютера с помощью антивирусной программы, разумно защитить свой веб-сайт с помощью программного обеспечения безопасности.
- Sucuri Firewall - хороший платный вариант, и вы сможете найти бесплатные плагины для брандмауэра или безопасности для WordPress, Weebly, Wix и других служб хостинга.
- Брандмауэры веб-приложений (WAF) обычно являются облачными, что означает, что вам не нужно загружать какое-либо программное обеспечение на свой компьютер, чтобы их использовать.
Шаг 3. Запретить пользователям загружать файлы
Разрешение людям загружать файлы на ваш веб-сайт автоматически создает уязвимость в системе безопасности. Если возможно, удалите все формы или области, в которые пользователи веб-сайта могут загружать файлы.
- Еще одним возможным решением этой проблемы является ограничение форм, позволяющих загружать файлы только одного типа (например,-j.webp" />
- Это может быть сложно, если ваш веб-сайт использует форму веб-страницы для таких вещей, как отправка сопроводительного письма. Вы можете обойти эту проблему, настроив адрес электронной почты для отправки и добавив его на страницу «Контакты», чтобы пользователи могли отправлять свои файлы по электронной почте, а не загружать их на ваш веб-сайт.
Шаг 4. Установите сертификат SSL
Сертификат SSL по существу подтверждает, что ваш веб-сайт безопасен и может передавать зашифрованную информацию между вашим сервером и браузером пользователя. Обычно вам придется платить ежегодную плату за поддержание вашего SSL-сертификата.
- Варианты платного распространения SSL включают GoGetSSL и SSLs.com.
- Бесплатная служба под названием «Let's Encrypt» также выдаст сертификат SSL.
- При выборе сертификата SSL у вас есть три варианта: проверка домена, проверка бизнеса и расширенная проверка. Чтобы получить зеленую полосу «Безопасность» рядом с URL-адресом вашего сайта, Google требует и бизнес-валидации, и расширенной валидации.
Шаг 5. Используйте шифрование
После установки сертификата SSL ваш веб-сайт должен соответствовать требованиям шифрования HTTPS; Обычно вы можете активировать шифрование HTTPS, установив свой сертификат SSL в раздел «Сертификаты» своего веб-сайта.
- Если вы используете платформу веб-сайта, такую как WordPress или Weebly, ваш веб-сайт, вероятно, уже использует
- Сертификат HTTPS необходимо обновлять каждый год.
Шаг 6. Создайте безопасные пароли
Недостаточно использовать уникальные пароли для аспектов вашего сайта на уровне администратора; вам нужно будет придумать сложные, случайные пароли, которые больше нигде не реплицируются, и хранить их ключ где-нибудь за пределами каталога веб-сайта.
Например, вы можете использовать в качестве пароля набор из 16 цифр и букв. Затем вы можете сохранить пароль в автономном файле на другом компьютере или жестком диске
Шаг 7. Скройте папки администратора
Назвать папку важных файлов вашего сайта «admin» или «root» удобно; К сожалению, это касается и вас, и хакеров. Изменение имени расположения этих файлов на что-нибудь скучное (например, «Новая папка (2)» или «История») может затруднить обнаружение ваших файлов потенциальными злоумышленниками.
Шаг 8. Делайте сообщения об ошибках простыми
Если ваше сообщение об ошибке содержит слишком много информации, хакеры и вредоносные программы могут использовать эту информацию, чтобы найти и получить доступ к таким вещам, как корневой каталог вашего веб-сайта. Вместо того, чтобы добавлять подробные сведения к сообщениям об ошибках на вашем веб-сайте, подумайте о том, чтобы предложить краткие извинения и сделать обратную ссылку на основной веб-сайт.
Это касается чего угодно, от ошибок 404 до кодов серверов 500 типов
Шаг 9. Всегда хешируйте пароли
Если вы храните пароли пользователей на своем веб-сайте, обязательно храните их в хешированном формате. Распространенной ошибкой среди новых владельцев веб-сайтов является хранение паролей в текстовом формате, что позволяет легко украсть пароли, если хакеру удастся найти файл.
В прошлом даже такие плодовитые сайты, как Twitter, были виноваты в этой ошибке
подсказки
- Наем консультанта по веб-безопасности для проверки ваших скриптов - это самый быстрый (хотя и самый дорогой) способ устранить потенциальные недостатки вашего сайта.
- Всегда проверяйте свой веб-сайт с помощью инструмента безопасности (например, Observatory от Mozilla) перед публикацией последней версии.