4 suggerimenti per evitare vulnerabilità comuni nella sicurezza Web

La sicurezza web è di gran moda a causa di più incidenti di hacking che fanno notizia.


Ma ciò che è frustrante è che nonostante tanti articoli sull’argomento, sia le aziende che i piccoli siti Web commettono errori facilmente evitabili quando si tratta di gestire le cose nel modo giusto.

Bastano pochi passi nella giusta direzione per proteggere il tuo sito.

Diamo un’occhiata.

Non utilizzare codici casuali da estranei

Codici casuali da repository pubblicati pubblicamente su siti come GitHub, Sourceforge e Bitbucket possono contenere codici dannosi.

Ecco come salvarti con un po ‘di pensiero intelligente. È possibile distribuire il codice in modalità manutenzione e vedere come funziona prima di renderlo attivo.

In questo modo previeni centinaia di ore di testa a testa.

Non prendere precauzioni potrebbe comportare l’assunzione di codice dannoso nel tuo sito e farti rinunciare ai privilegi amministrativi del tuo sito e perdere il tuo duro lavoro.

Mai copia i codici incolla da sconosciuti casuali su Internet. Fai qualche ricerca sulla persona e poi procedi a controllare il codice che ottieni.

Potresti sentire che sarai in grado di risparmiare un po ‘di tempo incollando un po’ di codice, ma sbagliarlo solo una volta è sufficiente per un carico di problemi.

Ad esempio: plugin WordPress vulnerabili che possono assumere codici dannosi che possono assumere il controllo del tuo sito o danneggiare il sito in modi meno critici come l’inserimento di collegamenti a siti di terze parti e il sifonamento del collegamento dei collegamenti.

Tali collegamenti spesso appaiono solo quando Googlebot visita il sito e, per tutti i visitatori regolari, il collegamento rimane invisibile.

Charles Floate e Wordfence collaborato per citare molti esempi recenti di vulnerabilità dei plugin di WordPress.

Il modo in cui funziona questa truffa è che alcuni SEO dannosi inviano email di sensibilizzazione ai proprietari di plug-in WordPress i cui plug-in non sono stati aggiornati da un po ‘.

Offrono di acquistare il plug-in e quindi eseguire un aggiornamento per quel plug-in.

Molte persone non si preoccupano mai di controllare cosa è stato aggiornato nel plugin. Ce ne sono così tanti che eseguono un aggiornamento non appena appare.

Ma in questo caso, il plug-in creerebbe un accesso backdoor al sito Web SEO o ai siti client. Tutti i siti che utilizzano il plug-in ora diventano inavvertitamente parte di una rete PBN.

Alcuni di questi plugin hanno oltre 50000 installazioni attive. In effetti, uno dei plug-in elencati è utilizzato sul mio sito e fino ad ora non sapevo della backdoor.

Questi plugin hanno anche fornito loro l’accesso amministrativo ai siti interessati.

Potrebbero benissimo conquistare un sito della concorrenza con questo metodo e non indicizzarlo, facendolo effettivamente scomparire nelle SERP.

Crittografa informazioni sensibili

Quando hai a che fare con dati sensibili, non dovrebbero mai essere dati per scontati.

È sempre l’opzione più saggia per crittografare i dati sensibili. Le informazioni personali relative ai clienti e le password degli utenti rientrano in questa categoria.

Un algoritmo forte dovrebbe essere usato a tal fine.

Ad esempio, AES 256 è uno dei migliori. Lo stesso governo degli Stati Uniti è dell’opinione che AES potrebbe essere utilizzato per crittografare e proteggere le informazioni classificate e che la cifra dietro il cofano sia stata approvata pubblicamente dalla NSA.

AES comprende le seguenti cifre: AES-128, AES-192 e AES-256. Ciascuna crittografia crittografa e decodifica i dati in blocchi a 128 bit e offre una sicurezza avanzata.

Se stai gestendo un sito basato sui membri, eCommerce, accettando il pagamento, devi proteggere il tuo sito con un Certificato TLS.

I dati dell’utente devono essere sempre protetti.

Accettare i dati dell’utente tramite connessioni non sicure offre sempre agli hacker la possibilità di sottrarre dati preziosi.

Gestione del pagamento

Il problema con la memorizzazione dei dati della carta di credito è che si diventa un bersaglio.

sonico Drive-In pubblicamente ha annunciato che una violazione dei server dell’azienda ha provocato milioni di carte di credito e debito rubate.

Anche altri ristoranti, drive-in come Chipotle e Arby hanno subito simili hack.

A volte dovrai accettare i dati della carta di credito e salvarli per la fatturazione ricorrente. Ciò richiede che tu sia un reclamo PCI.

Essere conformi PCI è un duro lavoro.

Non solo hai bisogno di qualcuno esperto di PCI, ma devi anche aggiornare il sito e il database per rimanere frequentemente conforme.

La conformità non è un requisito una tantum e il PCI li modifica periodicamente per far fronte alle minacce emergenti.

Invece, puoi saltare la parte difficile e scegliere un processore di pagamento simile Banda quello fa il sollevamento pesante per te.

Sono grandi, hanno un supporto che funziona tutto il giorno e sono un reclamo PCI.

E se stai gestendo un negozio online, potresti prendere in considerazione l’utilizzo Shopify.

Se nel caso in cui memorizzi i dati della carta di credito, assicurati in particolare che i file che memorizzano i dati della carta di credito e l’hardware in cui sono archiviati debbano rimanere crittografati.

Patch immediatamente

Ecco un esempio per sottolineare il mio punto.

fonte

Un exploit zero-day che ha funzionato compromettendo i montanti di Apache è stato portato alla luce 7 marzo 2017.

Entro l’8 marzo, Apache ha rilasciato patch per superare il problema. Ma ci vuole molto tempo tra la pubblicazione di una patch e le aziende per agire.

Equifax è stata una delle aziende che sono state hackerate.

Equifax ha dichiarato in una dichiarazione che il 7 settembre 2017 gli hacker hanno rubato informazioni personali su 143 milioni di clienti.

Gli hacker hanno sfruttato la stessa vulnerabilità dell’applicazione di cui abbiamo discusso in precedenza per entrare nel sistema.

La vulnerabilità era in Apache Struts, un framework per la creazione di applicazioni Web basate su Java.

Gli hacker hanno sfruttato questo fatto quando Struts invia i dati al server potrebbero comprometterli. Utilizzando i caricamenti di file, gli hacker hanno attivato bug che consentivano loro di inviare codici o comandi dannosi.

Secondo la società, “nomi dei clienti, numeri di previdenza sociale, date di nascita, indirizzi e, in alcuni casi, numeri di patente di guida” nonché “numeri di carta di credito per circa 209.000 consumatori”. Inoltre, sono stati rubati 182.000 documenti di controversie sul credito, che contengono informazioni personali.

Pensieri conclusivi

Come puoi vedere, essere consapevole dei cambiamenti nella tecnologia ed essere aggiornato con le patch del tuo software e un po ‘di senno di poi è spesso sempre più che sufficiente per superare la maggior parte dei problemi.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map