Як убезпечити веб-сайт: 9 кроків (з ілюстраціями)

У цій статті ми розповімо вам, як убезпечити сайту від атак. Обов`язково використовуйте SSL-сертифікат і протокол HTTPS- також є і інші способи захисту сайтів від хакерів і шкідливих програм.

кроки

1. Регулярно оновлюйте сайт. Якщо не оновлювати програмне забезпечення, безпеку і скрипти сайту, його можуть зламати зловмисники або атакувати шкідливі програми.

Це ж стосується патчів від вашого хостингу (якщо вони є). Якщо доступні нові патчі для вашого сайту, обов`язково встановіть їх.
Також оновлюйте сертифікати сайту. Хоча вони впливають на безпеку лише побічно, це гарантує, що сайт продовжить з`являтися в пошукових системах.

Зображення з назвою Secure Your Website Step 2

2. Використовуйте програми для забезпечення безпеки або плагіни. Існують різні брандмауери для веб-сайтів, на які можна підписатися і забезпечити постійну защіту- також деякі хостинги (наприклад, WordPress) надають плагіни для захисту сайтів. Тому рекомендуємо захистити сайт програмним забезпеченням, як ви захищаєте комп`ютер за допомогою, наприклад, антивіруса.

Sucuri Firewall - відмінний платний брандмауер- безкоштовні брандмауери або плагіни для захисту сайтів є у WordPress, Weebly, Wix та інших служб хостингу.

Брандмауери веб-додатків, як правило, є хмарними, тобто завантажувати їх і встановлювати на комп`ютері не потрібно.

Зображення з назвою Secure Your Website Step 3

3. Забороніть користувачам завантажувати файли на сайт. Якщо не зробити це, безпеку сайту постраждає. Якщо можливо, видаліть з сайту все, що дозволяє користувачам завантажувати файли на сайт.

Якщо заборонити завантажувати файли не можна, дозвольте завантаження тільки певних типів файлів, наприклад, JPG-файлів в разі фотографій.

Також можна створити поштову скриньку, а електронна адреса вказати на сайті, щоб користувачі зв`язувалися з вами по електронній пошті. У цьому випадку користувачі будуть відправляти файли на електронну пошту, а не завантажувати їх на сайт.

Зображення з назвою Secure Your Website Step 4

4. Встановіть сертифікат SSL. Він підтверджує, що веб-сайт захищений і може обмінюватися зашифрованою інформацією між сервером і браузером користувача. Як правило, за користування цим сертифікатом потрібно платити раз на рік.

На платній основі SSL-сертифікат поширюють, наприклад, GoGetSSL і SSLs.com.

Безкоштовно цей сертифікат видає Let`s Encrypt.

При виборі SSL-сертифіката доступні три опції: перевірка домену, перевірка бізнесу та розширена перевірка. Google вимагає перевірки бізнесу і розширеної перевірки, щоб зліва від URL-адреси вашого сайту відображався зелений значок безпеки.

Зображення з назвою Secure Your Website Step 5

5. Користуйтеся протоколом шифрування HTTPS. Коли ви встановите SSL-сертифікат, сайт отримає право на HTTPS-шіфрованіе- щоб активувати цей протокол, встановіть SSL-сертифікат в розділ «Certificates» (Сертифікати) свого веб-сайту.

Деякі хостинги, наприклад, WordPress або Weebly, автоматично активують протокол HTTPS.

Сертифікат HTTPS оновлюється щороку.

Зображення з назвою Secure Your Website Step 6

Встановлюйте безпечні паролі. Надійного пароля адміністратора сайту мало - створіть складні випадкові паролі, які ніде не використовуються, і зберігайте їх поза сайтом.

Наприклад, в якості пароля використовуйте 16-значний набір букв і цифр. Цей пароль збережіть у файлі на іншому комп`ютері або жорсткому диску.

Зображення з назвою Secure Your Website Step 7

7. Сховайте папки адміністратора. Якщо папка з конфіденційними файлами називається «Admin» або «Root», це зручно, але, на жаль, як для вас, так і для хакерів. Тому перейменуйте папки на щось буденне, наприклад, «Нова папка (2)» або «Історія».

Зображення з назвою Secure Your Website Step 8

8. Спростіть повідомлення про помилки. Якщо в такому повідомленні занадто багато інформації, хакери і шкідливі програми можуть скористатися нею, щоб знайти і отримати доступ до кореневого каталогу сайту. Тому в повідомлення про помилку додайте просто короткий вибачення і посилання на основний сайт.

Це відноситься до всіх помилок з кодом від 404 до 500.

Зображення з назвою Secure Your Website Step 9

9. Хешіруйте паролі. Якщо паролі користувачів зберігаються на веб-сайті, робіть це в хешировать вигляді. Недосвідчені власники сайтів зберігають паролі як текст, що спрощує їх крадіжку в разі злому сайту.

Навіть великі сайти, такі як Twitter, в минулому допускали такі помилки.

Поради

Скористайтеся послугами консультанта по веб-безпеки, щоб він або вона ознайомилися зі скриптами сайту - це найшвидший (але і найдорожчий) спосіб усунення потенційних вразливостей.
Протестуйте веб-сайт за допомогою інструменту для перевірки безпеки (наприклад, Observatory від Mozilla), перш ніж запустити його.

попередження

Найчастіше уразливості безпеки не виявляються, поки хтось не постраждає. Щоб уникнути негативних наслідків, регулярно (раз в тиждень) створювати резервні копії веб-сайту і зберігайте їх на комп`ютері, який не підключений до мережі, або на зовнішньому жорсткому диску.