Содержание
- 1 1. Выберите безопасный регистратор домена
- 2 2. Скрыть вашу информацию из WHOIS
- 3 3. Измените свои пароли
- 4 4. Обновите программное обеспечение вашего сайта
- 5 5. Используйте плагины безопасности
- 6 6. Включить HTTPS
- 7 7. Проверьте разрешения
- 8 8. Скрыть ваши страницы администратора
- 9 9. Защита от межсайтового скриптинга
- 10 10. Предотвратить утечку информации
- 11 Защитите свой сайт сейчас!
Во время открытия нового сайта легко ошибиться
, Создание небольшого магазина, портфолио или блога — это весело, но гораздо реже справляться с нарушениями безопасности и взломами. Когда вы настраиваете новый веб-сайт, важно убедиться, что он безопасен.
К счастью, большинство вещей, которые вы должны сделать, очень легко. Некоторым потребуется немного времени, но это достойная инвестиция. Не оставляйте свой сайт незащищенным! Вот 10 вещей, которые вы можете сделать, чтобы сохранить его в безопасности.
1. Выберите безопасный регистратор домена
При регистрации вашего домена вы хотите убедиться, что никто не получит контроль над ним. Если злоумышленник сможет войти в систему вашего регистратора доменов, он может передать его себе или нанести дополнительный ущерб.
Есть несколько вариантов для регистраторов доменов, которые используют двухфакторную аутентификацию (2FA)
, Это добавляет дополнительный уровень безопасности и затрудняет доступ для кого-то еще. Даже если кому-то удастся получить ваш пароль, у него, вероятно, не будет доступа к вашему телефону.
Вот некоторые регистраторы, которые предлагают 2FA:
- Dynadot
- GoDaddy
- Lexsynergy
- Name.com
- Namecheap
2. Скрыть вашу информацию из WHOIS
Каждый веб-сайт имеет запись WHOIS, и если вы не предпримете никаких шагов, чтобы убедиться, что ваша информация там защищена, спам-компании будет легко найти ваше имя и адрес электронной почты. И ваше имя, и адрес электронной почты необходимы для кражи личных данных, поэтому их конфиденциальность также может помочь вам в этом.
Большинство веб-хостов предлагают анонимную регистрацию в WHOIS за небольшую плату, но есть несколько, которые предоставляют ее бесплатно. Dreamhost и 1and1 позволяют вам бесплатно открыть сайт с анонимной информацией WHOIS.
Независимо от того, решите ли вы платить за это или нет, сделайте все возможное, чтобы не указывать свое имя и адрес электронной почты (или даже просто адрес электронной почты) в своей записи WHOIS. Это сэкономит вам время на борьбу с большим количеством спама и сделает вашу информацию немного сложнее.
3. Измените свои пароли
Надеюсь, это само собой разумеется, но немедленно смените пароли
, Если ваш домен, хост, CMS или что-либо еще поставляется со стандартным паролем администратора, измените его. Вы должны даже изменить свое имя пользователя с «admin» на что-то другое, если это по умолчанию.
Также неплохо регулярно менять пароли. Используйте менеджер паролей
следить за ними, и убедиться, что они в безопасности.
4. Обновите программное обеспечение вашего сайта
После того как вы зарегистрировали свою регистрацию, пришло время защитить сам сайт. И первый шаг в этом — так же, как первый шаг в обеспечении чего-либо еще — это держать все в курсе.
Когда компании обнаруживают дыры в своей безопасности, они выпускают исправления и обновления. Если вы не обновляете свое программное обеспечение, вы останетесь уязвимыми. Большинство хостов делают это очень легко, и часто будут напоминать вам об обновлении, когда появится новая версия. Тем не менее, рекомендуется регулярно проверять информацию о вашей версии.
5. Используйте плагины безопасности
Если вы используете систему управления контентом (CMS)
Есть плагины безопасности для него. Большие, как WordPress
У Drupal, Joomla и Magento есть куча их. Все, что вам нужно сделать, это выбрать те из них, которые лучше всего подходят для вашей ситуации, затем загрузить, установить и активировать.
Каждый CMS и расширение безопасности будут давать вам разные советы о том, что именно вы должны использовать. Также полезно проконсультироваться со сторонними отзывами о плагинах безопасности. Но если плагин сделан авторитетным поставщиком, это поможет сохранить ваш сайт в безопасности. Используйте более строгие настройки безопасности, чтобы устранить еще больше уязвимостей, а также регулярно обновлять свои расширения.
6. Включить HTTPS
Вы должны думать не только о своей безопасности. Ваши посетители и Google оценят, что вы шифруете весь трафик на своем сайте. Особенно, если ваши посетители будут делиться какой-либо конфиденциальной информацией.
Некоторые хостинговые службы автоматически активируют HTTPS для вас, а другие позволяют сделать это одним или двумя щелчками мыши. Если вы используете хостинг или просто арендуете серверное пространство, вам, возможно, придется сделать это нелегко. Это включает в себя покупку сертификата SSL, его активацию и настройку вашего сайта для использования HTTPS.
Это не особенно сложно, но процесс может отличаться на вашем хостинге, поэтому посоветуйтесь с ними, чтобы найти лучший способ сделать это.
7. Проверьте разрешения
Различные пользователи вашего сайта будут иметь разные уровни разрешений. Как администратор, у вас будет разрешение изменить все, что вы хотите — другие люди должны быть более ограничены. CMS часто позволяют вам изменять разрешения для посетителей, вошедших в систему посетителей, редакторов, участников и многих других групп пользователей.
Подумайте, какой доступ должен иметь каждая группа. Нужно ли вашим редакторам создавать новых пользователей? Должны ли ваши читатели редактировать страницы? Дайте всем наименьшее количество разрешений для выполнения своей работы.
Если вы хотите получить действительно технический, вы можете использовать FTP-клиент
просмотреть все файлы на вашем сайте и проверить их права доступа в символьной или цифровой форме. Затем вы можете использовать командный терминал для изменения разрешений. (Если вы не понимаете, о чем я говорю, будьте осторожны с этим!)
8. Скрыть ваши страницы администратора
Страницы, которые вы используете для входа в свой веб-сайт и управления им, не должны быть видны поисковым системам. Это может показаться не слишком важной мерой безопасности, но людям с дурными намерениями труднее найти эти страницы. И поскольку это обычно очень легко сделать, стоит потратить несколько минут.
Некоторые CMS и плагины безопасности позволят вам скрыть эти страницы от поисковых систем. Если ваша функция не обеспечивает эту функцию, вы можете сделать это вручную, отредактировав файл robots.txt, который должен быть доступен в настройках CMS или в разделе администратора cPanel. Добавьте следующее в файл:
User-agent: *
Disallow: [the relative URL of the page]В WordPress вы бы использовали «/ wp-admin /» в качестве URL. Другие CMS будут иметь разные URL. Вы также можете запретить любые другие страницы, которые пользователям не нужны. Это не только хорошо для безопасности, но и может помочь вашему SEO!
9. Защита от межсайтового скриптинга
XSS — это хакерская тактика
это включает в себя запуск кода на вашем сайте с помощью обходных методов. Это может произойти, например, в контактной форме. Включив скрипт в контактную форму, хакер может заставить ваш сайт выполнить этот код, предоставив им доступ или нанеся ущерб.
Защита от этого типа атаки на самом деле довольно сложна. Если вы хотите узнать о методах, которые вы можете использовать, ознакомьтесь с этой замечательной таблицей анти-XSS-шпионов от OWASP. Если вы менее технически склонны, есть много доступных анти-XSS плагинов. Некоторые стандартные плагины безопасности могут покрывать эту уязвимость, но не думайте, что это так. Убедитесь, что вы защищены.
10. Предотвратить утечку информации
Пока XSS, SQL инъекция
взлом паролей и другие методы взлома могут показаться наиболее опасными, часто самые простые вещи вызывают проблемы. Утечка информации является одной из таких вещей.
Когда вы случайно отдаете информацию, которую вы не намеревались (или не знаете), это утечка информации. Разработчикам легко оставлять HTML-комментарии в коде вашего сайта, например, которые содержат конфиденциальную информацию.
Если вы работаете со стандартной реализацией CMS, это не будет большой проблемой. Но если у вас есть кто-то, кто разработал собственную тему для вас, или проделал большую работу по разработке на веб-сайте, вам следует проверить утечку информации. Один из лучших способов — просто использовать Просмотреть исходный код опцию в вашем браузере и быстро сканировать HTML-комментарии, которые не были удалены.
Более крупные веб-сайты, состоящие из сотен или тысяч страниц, могут потребовать специального специалиста по безопасности (или, по крайней мере, стажера), чтобы пройти этот процесс. В любом случае, это легко проверить, так что не пропустите это.
Защитите свой сайт сейчас!
Когда вы создаете новый сайт, вам нужно сделать много вещей. И об этих элементарных мерах безопасности легко забыть. Но они могут спасти вас от многих неприятностей (и, возможно, больших денег) в долгосрочной перспективе. Так что не пропустите их! Убедитесь, что ваш сайт в безопасности, прежде чем начать работу над контентом.
Какие еще у вас есть советы по защите новых сайтов? Поделитесь своими мыслями в комментариях ниже!
