Get best of the week

Wie sichern Sie Ihre Website?



Auf der Suche nach modernen Methoden und Werkzeugen, die es uns ermöglichen, zumindest mit einiger Sicherheit zu behaupten, dass die Website vor zukünftigen Hackerangriffen geschützt ist (dass jeder sie haben wird, hat schließlich niemand Zweifel? Und wenn es keine gab , dann ist dies nur eine Frage der Zeit), wurden Empfehlungen gefunden, die wir in diesem Artikel berücksichtigen werden.

Dies ist eine kleine, aber wichtige Liste spezifischer Maßnahmen, die jeder mit seiner eigenen Webressource ergreifen sollte, wenn der Ruf des Unternehmens, die Sicherheit von Webressourcen und Kundendaten für Sie keine leeren Worte sind.

Es gibt verschiedene grundlegende Möglichkeiten, um Ihre Website zu schützen:

  • Schutz vor DDoS-Angriffen bieten;
  • ein SSL-Zertifikat verbinden;
  • Verwenden Sie zuverlässiges Hosting .
  • Verwenden Sie sichere Plugins / Bibliotheken / Frameworks / CMS (im Folgenden als "Module von Drittanbietern" bezeichnet).
  • SQL- XSS-;
  • - ;
  • - ;
  • , ;
  • , -, .

Natürlich hat jeder Punkt sein eigenes "aber" und eine Reihe von Unterpunkten, auf die geachtet werden sollte. Sie können auch anhand der folgenden Überlegungen in Untergruppen unterteilt werden: Einige Aktionen erfordern eine einmalige Verbindung, Konfiguration und seltene Integritätsprüfungen (Einrichten eines Hosting- und SSL-Zertifikats), während andere ständige Überprüfungen und Aktualisierungen erfordern und besondere Aufmerksamkeit erfordern (alles andere).

Zuverlässiges Hosting und SSL


Unser Arsenal verfügt also zunächst über einen zuverlässigen Server oder ein Shared Hosting, dessen Verwaltung außerhalb des Geltungsbereichs dieses Artikels bleibt. Das Anschließen eines SSL-Zertifikats ist eine obligatorische Maßnahme, und selbst Kommentare sind hier überflüssig.

DDoS-Schutz


Wenn Ihr Hosting-Anbieter Dienste zum Schutz vor DDoS-Angriffen bereitstellt oder Sie die Dienste von Anti-DDoS-Diensten nutzen, kann diese Frage als abgeschlossen betrachtet werden. Warum jedoch nicht den Schutz stärken und selbst organisieren, was zweifellos eine zeitaufwändige Aufgabe ist und gleichzeitig impliziert Verwenden Sie die folgenden Techniken: Wenn Apache als Webserver verwendet wird, müssen Sie einen Caching-Proxy davor stellen - Nginx oder Lighttpd. Es ist jedoch besser, Nginx im Frontend zu verwenden, jedoch mit mehreren Add-Ons (begrenzen Sie die Größe der Puffer und Verbindungen in Nginx, konfigurieren Sie Zeitüberschreitungen und usw .; Verwenden Sie das Modul testcookie-nginx; verwenden Sie die URL-Filterung und geben Sie den nicht standardmäßigen Code 444 an, mit dem Sie die Verbindung schließen und nichts zurückgeben können); Verwenden Sie in einigen Fällen die geografische Sperre.Automatisieren Sie den Prozess der Analyse von Website-Protokollen, und achten Sie dabei besonders auf den Datenverkehr, die Serverantwortzeit, die Anzahl der Fehler und die Anzahl der Anforderungen pro Sekunde.

Sicherheit durch Dritte


In Bezug auf die Empfehlung zur Verwendung sicherer Module von Drittanbietern in ihren Anwendungen ist dieses Thema wahrscheinlich eines der wichtigsten, da die meisten böswilligen Angriffe über Module von Drittanbietern erfolgen. Der Kern dieses Absatzes besteht darin, Frameworks und Bibliotheken mit integrierten Sicherheitsfunktionen zu verwenden, mit denen Entwickler das Auftreten von Schwachstellen im Implementierungsprozess minimieren können. Ich möchte detailliertere Empfehlungen zu diesem Punkt hervorheben: Verwenden Sie Module von Drittanbietern aus vertrauenswürdigen Quellen, die von der Community unterstützt und aktiv entwickelt werden. Halten Sie die Liste aller Module von Drittanbietern auf dem neuesten Stand. Verwenden Sie nur die Funktionen, die in Ihrer Anwendung erforderlich sind.

SQL-Injektionen und XSS-Angriffe


Die Empfehlung zum Schutz vor SQL-Injections und XSS-Angriffen erfordert die detaillierteste Erläuterung, da der Zweck der Angreifer hier spezifische Daten aus der Datenbank (SQL-Injection) und Benutzerdaten (XSS-Attacke) sind. Es ist auch wichtig zu verstehen, dass Probleme im Zusammenhang mit SQL-Injektionen einen ausführlichen Abschnitt über die Bereitstellung des sicheren Zugriffs auf alle Data Warehouses, einschließlich relationaler Datenbanken und NoSQL-Datenbanken, sowie Fragen zur Abfragesicherheit enthalten (Sie müssen unzulässige Eingaben als Teil von SQL- vermeiden). Befehle und die beste Lösung besteht darin, parametrisierte Abfragen zu verwenden, die auf SQL / OQL-Konstruktionen und gespeicherte Prozeduren angewendet werden können), Konfiguration (Sie müssen sicherstellen, dass die vorhandenen DBMS-Sicherheitstools und die Plattform, auf der sie installiert sind, korrekt konfiguriert sind).Authentifizierung (muss über einen sicheren Kanal durchgeführt werden) und Verbindungen (da mehrere Möglichkeiten zur Interaktion mit der Datenbank bestehen (über einen Dienst oder eine API), muss die Sicherheit von Verbindungen mithilfe von Verschlüsselung und Authentifizierung gewährleistet werden).

Beim Cross-Site-Scripting (XSS-Angriff) können in diesem Fall die Folgen eines mäßigen Schweregrads durch reflektiertes XSS oder XSS basierend auf dem Dokumentobjektmodell (DOM) verursacht werden, und Cross-Site-Scripting mit Codeausführung im Browser des Benutzers kann schwerwiegende Folgen haben um Anmeldeinformationen zu stehlen, Sitzungen abzufangen oder schädliche Software zu installieren. Die Hauptschutzmaßnahme in diesem Fall ist das Screening (Hinzufügen bestimmter Zeichenkombinationen vor Zeichen oder Zeilen, um deren falsche Interpretation zu verhindern), das Codieren von Daten (Konvertieren bestimmter Zeichen in Zeichenkombinationen, die für den Interpreter nicht gefährlich sind) auf der Serverseite und die Verwendung einer Reihe von HTTP-Headern insbesondere Set-Cookie mit HttpOnly- und Secure-Parametern,sowie X-XSS-Schutz mit einem Wert von 1.

Eine übliche Sicherheitsmaßnahme zur Verhinderung von SQL-Injection und Cross-Site-Scripting besteht darin, alle Eingaben auf Syntax und Semantik zu überprüfen. Die syntaktische Norm sollte als die vollständige Entsprechung der Eingabedaten mit der erwarteten Darstellungsform verstanden werden, und die semantische Norm zeigt an, dass die Eingabedaten die Grenzen einer bestimmten Funktion nicht überschreiten.

Protokollierung und Überwachung


Die Empfehlung zur Protokollierung aller Ereignisse und zur Überwachung von Sicherheitsereignissen wurde bereits erwähnt, wenn Methoden zum Schutz vor DDoS-Angriffen in Betracht gezogen wurden. In diesem Fall bezieht sich die umfassendere Seite des Problems jedoch auf das Erkennen und Gegensteuern von Angriffen sowie auf die Untersuchung bereits aufgetretener Sicherheitsvorfälle. Daher müssen Sie zusätzlich zu den vom Webserver bereitgestellten Standardprotokollierungstools sicherstellen, dass die Ereigniszeit und die Benutzer-ID sowie die potenziell gefährlichen Aktivitäten für Ihre Website protokolliert werden. Im Falle der Erkennung böswilliger Aktivitäten sollte Ihre Anwendung die Benutzersitzung blockieren oder nach IP-Adresse blockieren. Im Allgemeinen sollten Sie Maßnahmen ergreifen und den Administrator darüber informieren. Hier geht es um Tools wie WAF oder IDS / IPS.

Backups


Bei der regelmäßigen Sicherung der Website und aller Daten müssen Sie hier über den Ort und die Art der Speicherung dieser Daten nachdenken. Ein effektiver Weg besteht darin, die Speicherung kritischer Daten und Sicherungen zu verschlüsseln und Sicherungsdateien nicht im Dateisystem, sondern an einem anderen Ort zu speichern, an dessen Sicherheit kein Zweifel besteht und der für eine schnelle Bereitstellung immer zur Hand ist.

12345 oder QWERTY?


Die Empfehlung für die Verwendung sicherer und komplexer Kennwörter bezieht sich nicht nur und nicht so sehr auf Kennwörter, sondern im Allgemeinen auf die Authentifizierung und die Verwaltung von Benutzersitzungen. Es gibt drei Authentifizierungsebenen, und die Verwendung nur von Kennwörtern bezieht sich nur auf die erste - die einfachste Ebene (die zweite ist die Multi-Faktor-Authentifizierung; die dritte ist die Authentifizierung basierend auf Verschlüsselung). Aber auch hier gibt es eine Reihe von Anforderungen an die Passwörter selbst, den Passwortwiederherstellungsmechanismus sowie an die sichere Speicherung von Passwörtern. Mit der Sitzungsverwaltung können Sie den Status der Benutzerauthentifizierung für die Arbeit mit einer Website ohne erneute Authentifizierung überwachen. Zum Erstellen und Abschließen sind auch Sitzungen erforderlich.

Admin Panel Schutz


Die letzte Empfehlung lautet, das Admin-Panel der Website zu schützen, da dies eine der Schwachstellen im Gesamtsystem ist, da umfangreiche Funktionen zum Hinzufügen / Bearbeiten von Posts und Seiten, zum Arbeiten mit Dateien und vielem mehr erforderlich sind. Eine wichtige Voraussetzung ist daher die Gewährleistung einer ordnungsgemäßen Zugriffskontrolle sowie eine maximale Verschleierung des Standorts des Verwaltungsgremiums vor Cyberkriminellen, indem einfach die Adresse auf eine nicht standardmäßige Adresse übertragen und der Schutz für diesen Einstiegspunkt durch Schutz vor Gewalt, Filterung nach IP-Adressen usw. maximiert wird. Bei der Erstellung eines Zugangskontrollsystems sollten die folgenden Grundsätze beachtet werden: Senden aller Anforderungen über ein Zugangskontrollsystem; Standardmäßig den Zugriff verweigern (d. H. Die Anforderung ablehnen, wenn sie nicht ausdrücklich autorisiert wurde); Mindestberechtigungen für alle Benutzer,Programme oder Prozesse; Weigerung, das im Code fest codierte Vorbild der Zugangskontrolle zu verwenden; Registrierung aller Ereignisse im Zusammenhang mit der Zugangskontrolle.

Fazit


Dieser Übersichtsartikel befasst sich mit einigen Techniken zur Verbesserung der Website-Sicherheit. Jede einzelne Empfehlung verdient eine separate Überprüfung, aber selbst bei einer so kurzen Überprüfung bleibt eines klar: Der Ansatz zur Gewährleistung der Sicherheit sollte umfassend und systematisch sein und nicht toleriert werden. Sie müssen sich der Zugriffskontrolle sorgfältig nähern, die Module von Drittanbietern auf dem neuesten Stand halten, Eingabedaten filtern und vieles mehr. Hast du etwas hinzuzufügen? Stellen Sie sicher, dass Sie die Kommentare teilen.


Als Werbung


VDSina bietet zuverlässige Server mit täglicher oder einmaliger Zahlung. Jeder Server ist mit einem Internetkanal von 500 Megabit verbunden und frei von DDoS-Angriffen!

More articles:


All Articles