4 Consells per evitar vulnerabilitats comunes de seguretat web

La seguretat a la web és la còlera avui en dia incidents de pirateria múltiples que fan la notícia.


Però el que és frustrant és que, malgrat tants articles sobre aquest tema, les corporacions i els petits llocs web cometen errors fàcilment evitables a l’hora de manejar les coses de la manera correcta..

Hi ha només uns passos en la direcció correcta per mantenir el vostre lloc segur.

Fem una ullada.

No utilitzeu codis aleatoris de persones desconegudes

Codis aleatoris a partir de repositoris publicats en llocs com GitHub, Sourceforge i Bitbucket poden portar codis maliciosos.

Aquí tens com estalviar-te amb una mica de pensament intel·ligent. Podeu desplegar el codi en mode de manteniment i veure com funciona abans de fer-lo en viu.

D’aquesta manera s’evitaran centenars d’hores de mal de cap.

Si no precepteu, pot produir-se el codi maliciós que es faci càrrec del vostre lloc i us farà perdre els privilegis administratius del vostre lloc i perdre el vostre treball dur..

Mai copieu codis de pega de persones estranyes a l’atzar a Internet. Feu una mica de recerca sobre la persona i, a continuació, aneu a auditar el codi que obteniu.

Podeu pensar que podreu estalviar una mica de temps copiant-hi algun codi, però equivocar-vos només una vegada és suficient per carregar problemes..

Com a exemple: WordPress vulnerable connecta codis maliciosos que poden agafar el control del vostre lloc o danyar el lloc de maneres menys crítiques com ara inserir enllaços de seguiment a llocs de tercers i sifonir suc d’enllaços..

Aquests enllaços sovint només apareixen quan Googlebot visita el lloc i, per a tots els visitants habituals, l’enllaç roman invisible.

Charles Floate i Wordfence S’ha unit per citar molts exemples recents de vulnerabilitats del complement WordPress.

La forma en què funciona aquesta estafa és que alguns programes maliciosos de SEO envien correus electrònics de divulgació als propietaris de complements de WordPress els plugins que no s’han actualitzat durant un temps.

Ofereixen comprar el complement i després executar una actualització per a aquest complement.

La majoria de la gent no es molesta mai a comprovar què s’ha actualitzat al connector. Hi ha tants que fan una actualització tan aviat com aparegui.

Però en aquest cas, el complement crearia un accés retrocedit al lloc web de SEO o als llocs de clients. Tots els llocs que utilitzen el complement ara involuntàriament passen a formar part d’una xarxa PBN.

Alguns d’aquests complements tenen més de 50000 instal·lacions actives. De fet, un dels plugins enumerats s’utilitza al meu lloc i fins ara no sabia sobre la porta posterior.

Aquests complements també els donaven accés administratiu als llocs afectats.

Amb aquest mètode, podrien fer-se càrrec d’un lloc de competidors i no indexar-lo, fent-lo desaparèixer efectivament als SERPs.

Xifra informació sensible

Quan es tracta de dades sensibles, mai no s’ha de donar per fet.

Sempre és l’opció més sàvia per xifrar dades sensibles. La informació personal que envolta els clients i les contrasenyes d’usuari entren en aquesta categoria.

Per a això s’ha d’utilitzar un algorisme fort.

Per exemple, AES 256 és un dels millors. El propi govern dels Estats Units opina que l’AES es pot utilitzar per xifrar i protegir la informació classificada i l’encàrrec de l’ANSA ha aprovat públicament el xifrat del capó..

AES inclou les xifrades següents: AES-128, AES-192 i AES-256. Cada xifrat xifra i desxifra les dades en blocs de 128 bits i ofereix una seguretat millorada.

Si teniu un lloc basat en membres, eCommerce, que accepteu el pagament, haureu d’assegurar el vostre lloc amb un Certificat TLS.

Les dades d’usuari sempre s’han de protegir.

L’acceptació de dades d’usuaris a través de connexions no segures sempre proporciona a un pirata informàtic la possibilitat d’esmentar dades precioses.

Pagament de gestió

El problema per emmagatzemar informació de la targeta de crèdit és que us convertiu en un destinatari.

Sonic Drive-In públicament va anunciar que un incompliment dels servidors de la companyia va suposar milions de targetes de crèdit i dèbit robades.

Altres restaurants, discoteques, com Chipotle i Arby, també han experimentat problemes similars.

De vegades, haureu d’acceptar informació de la targeta de crèdit i guardar-la per a la facturació recurrent. Cal que tinguis una queixa PCI.

Ser compatible amb PCI.

No només necessiteu algú intel·ligent PCI, sinó que també cal que actualitzeu el lloc i la base de dades per seguir complint amb freqüència.

El compliment no és un requisit únic i la PCI els canvia regularment per fer front a les amenaces emergents.

En lloc d’això, podeu saltar-vos la part dura i triar un processador de pagaments com Franja això fa que la forta elevació sigui per a vostè.

Són grans, tenen un suport que funciona tot el dia i són una queixa PCI.

I si teniu una botiga en línia, potser podeu considerar l’ús Shopify.

Si en cas que emmagatzemi informació de la targeta de crèdit, tingueu especial cura que els fitxers que emmagatzemen la informació de la targeta de crèdit i el maquinari on es troben emmagatzemats es mantinguin xifrats..

Peda-ho immediatament

Aquí teniu un exemple per explicar el meu punt.

Font

Es va donar llum a una explotació de zero dies que va funcionar comprometent les puntes d’Apache 7 de març del 2017.

El 8 de març, Apache va llançar pegats per superar el problema. Però passa molt de temps entre publicar un pegat i empreses per prendre mesures.

Equifax va ser una de les empreses que es van piratejar.

Equifax va dir en un comunicat que el 7 de setembre de 2017 els pirates informatius van robar informació personal a 143 milions de clients.

Els pirates informàtics van explotar la mateixa vulnerabilitat de l’aplicació que hem comentat anteriorment per obtenir-ne un sistema.

La vulnerabilitat es trobava a Apache Struts, un marc per crear aplicacions web basades en Java.

Els pirates informàtics van explotar aquest fet quan Struts envia dades al servidor que podrien comprometre aquestes dades. Mitjançant les càrregues de fitxers, els hackers van desencadenar errors que els permetien enviar codis o comandes maliciosos.

Segons l’empresa, “noms de clients, números de Seguretat Social, dates de naixement, adreces i, en alguns casos, números de llicència de conduir”, així com “números de targeta de crèdit per a aproximadament 209.000 consumidors”. A més d’això, també es van robar 182.000 documents de disputa de crèdits, que contenen informació personal.

Pensaments finals

Com veieu, ser conscient dels canvis en la tecnologia i estar al dia amb els vostres pegats de programari i una mica d’interpretació sovint sempre és més que suficient per evitar la majoria dels problemes..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map