Mtaalam wa Semalt: Njia za Moto za Kulinda Tovuti Kutoka kwa Watapeli
Watu wengi wanafikiria kwamba wavuti yao haina kitu muhimu cha kudungwa. Wavuti inaweza kuathiriwa na kiboreshaji kutumia seva kusambaza barua taka au kuitumia kama seva ya muda mfupi ya kushiriki faili zisizo halali. Hackare hulenga seva za wavuti kwa bitcoins za mgodi, hufanya kama vifurushi au mahitaji ya waombolezo. Hackare hutumia hati za kiufundi kujivinjia mtandao kwa kujaribu kutumia udhaifu katika programu.
Hapo chini ni vidokezo kadhaa vilivyotayarishwa na Igor Gamanenko, Meneja Mafanikio ya Wateja wa Semalt, kukulinda wewe na wavuti yako.
Programu ya kisasa
Programu ya seva inayofanya kazi na programu yoyote ya usaidizi inapaswa kusasishwa mara kwa mara. Ugumu wowote katika programu hupa watekaji nyongeza rahisi kudanganya na kudhihirisha nia zao mbaya. Ikiwa kampuni ya mwenyeji inasimamia wavuti yako, basi hauna chochote cha kuwa na wasiwasi kwani kampuni ya mwenyeji inapaswa kutunza usalama wa wavuti. Utumizi wote wa mtu wa tatu unapaswa kusasishwa mara kwa mara ili kutumia viraka mpya vya usalama.
SQL sindano
Hackare hutumia shambulio la sindano kudhibiti hifadhidata ya wavuti. Kutumia SQL ya kawaida ya Transact hufanya iwe rahisi kuingiza nambari zisizo mbaya katika swala ambalo linaweza kutumiwa kuendesha meza au kufuta data. Ili kuepusha hili, tumia maswali ya parameta kila wakati kama ile iliyoonyeshwa hapa chini.
$ stmt = $ pdo-> jitayarishe ('BONYEZA * KUTOKA meza ILE safu =: thamani');
$ stmt-> kutekeleza (safu ('thamani' => $ paramu));
Msimbo wa tovuti ya msalaba
Aina hizi za shambulio huingiza nambari za JavaScript mbaya kwenye ukurasa wa wavuti, ambao huenda kwenye vivinjari vya wavuti bila kujijua, na unaweza kubadilisha yaliyomo kwenye wavuti, au kuiba habari nyeti ili warudie kwa mporaji. Msimamizi wa wavuti lazima ahakikisha kuwa watumiaji hawawezi kufanikiwa kuingiza yaliyomo kwenye JavaScript kwenye ukurasa wako. Kutumia zana kama vile sera ya usalama wa yaliyomo inaelekeza kivinjari cha wavuti kuweka juu ya jinsi na JavaScript inayoendesha kwenye ukurasa.
Ujumbe wa kosa
Msimamizi wa wavuti anapaswa kuwa mwangalifu juu ya habari iliyoonyeshwa kwenye ujumbe wako wa makosa. Toa tu makosa madogo kwa watumiaji wako, kuhakikisha kuwa haitoi data ya siri kwenye seva zako kama vile manenosiri au funguo za API.
Nywila
Ni muhimu sana kutumia nywila ngumu kufikia seva zako au sehemu ya msimamizi wa wavuti. Watumiaji wanapaswa pia kuhimizwa kutumia nywila kali kupata akaunti zao. Mchanganyiko wa vifaa vya juu, alama ndogo, nambari na herufi maalum huunda nywila salama. Nywila zinapaswa kuhifadhiwa kwa kutumia algorithm ya hashing. Usalama wa wavuti unaweza kuboreshwa kwa kutumia chumvi mpya na ya kipekee kwa nywila.
Upakiaji wa faili
Ili kuzuia jaribio la utapeli, inashauriwa uzuie ufikiaji wa moja kwa moja kwa faili zilizopakiwa. Faili yoyote iliyopakiwa kwenye wavuti yako inapaswa kuhifadhiwa kwenye folda tofauti nje ya Webroot. Nakala tofauti inapaswa kuunda kupakua faili kutoka kwa folda ya kibinafsi na kuipatia kwa kivinjari.
HTTPS
Ni itifaki, ambayo hutoa usalama kwenye wavuti. Inahakikishia watumiaji kuwa wanapata seva wanayotarajia na kwamba hakuna kashfa anayeweza kukataza yaliyomo. Wavuti inayounga mkono kadi za kuahidi au aina zingine za malipo inapaswa kutumia kuki halisi zilizotumwa na ombi lolote la mtumiaji. Hii husaidia kudhibitisha maombi hivyo hufungia mashambulio.
Tumia zana za usalama wa wavuti
Mara tu baada ya kufanya hatua zote hapo juu, kujaribu usalama wa tovuti yako ni muhimu. Inafanywa bora kwa kutumia zana za upenyaji wa kupenya, ambazo ni pamoja na Netsparker, OpenVAS, Usimamizi wa Usalama na mfumo wa Xenotix XSS. Matokeo ya kutumia zana huwasilisha anuwai kubwa ya wasiwasi na suluhisho zinazowezekana za hali ya juu.