♾ 👨🏼‍🤝‍👨🏻 👩🏽‍🎓 अपनी वेबसाइट को सुरक्षित कैसे करें? ☔️ 🤙🏾 🥐

आधुनिक तरीकों और उपकरणों की तलाश में जो हमें कम से कम कुछ हद तक निश्चित दावे के साथ अनुमति देते हैं कि वेबसाइट भविष्य के हैकर हमलों से सुरक्षित है (यह हर किसी के पास होगा, सभी के बाद कोई संदेह नहीं है? और अगर कोई नहीं थे? , तो यह केवल समय की बात है), सिफारिशें मिलीं कि हम इस लेख में विचार करेंगे।

यह विशिष्ट कार्यों की एक छोटी लेकिन महत्वपूर्ण सूची है जिसे सभी को अपने स्वयं के वेब संसाधन के साथ लेना चाहिए, अगर कंपनी की प्रतिष्ठा, वेब संसाधनों की सुरक्षा और ग्राहक डेटा आपके लिए खाली शब्द नहीं हैं।

आपकी साइट की सुरक्षा के लिए कई बुनियादी तरीके हैं:

DDoS हमलों से सुरक्षा प्रदान करना;
SSL प्रमाणपत्र कनेक्ट करें;
विश्वसनीय होस्टिंग का उपयोग करें ;
सुरक्षित प्लग-इन / पुस्तकालयों / चौखटे / सीएमएस का उपयोग करें (बाद में "तीसरे पक्ष के मॉड्यूल" के रूप में जाना जाता है);
SQL- XSS-;
- ;
- ;
, ;
, -, .

स्वाभाविक रूप से, प्रत्येक आइटम का अपना "लेकिन" और कई उप-आइटम होते हैं, जिन पर ध्यान दिया जाना चाहिए। उन्हें निम्न विचारों के आधार पर उपसमूहों में विभाजित किया जा सकता है: कुछ कार्यों के लिए एक बार के कनेक्शन, कॉन्फ़िगरेशन और दुर्लभ स्वास्थ्य जांच (एक होस्टिंग और एसएसएल प्रमाणपत्र स्थापित करना) की आवश्यकता होती है, जबकि अन्य में निरंतर जांच, अपडेट, और करीबी ध्यान (सब कुछ) की आवश्यकता होती है।

विश्वसनीय होस्टिंग और एसएसएल

इसलिए, हमारे शस्त्रागार के पास एक विश्वसनीय सर्वर या साझा होस्टिंग है, जिसका प्रशासन इस लेख के दायरे से बाहर रहेगा। SSL प्रमाणपत्र को जोड़ने के लिए, यह एक अनिवार्य उपाय है और यहां तक कि टिप्पणियां भी बेमानी हैं।

DDoS सुरक्षा

यदि आपका होस्टिंग प्रदाता DDoS हमलों से सुरक्षा के लिए सेवाएं प्रदान करता है या आप एंटी-DDoS सेवाओं का उपयोग करते हैं, तो यह प्रश्न बंद माना जा सकता है, लेकिन सुरक्षा को मजबूत क्यों न करें और इसे स्वयं व्यवस्थित करें, जो निस्संदेह एक समय लेने वाला कार्य है और एक साथ इसका अर्थ है निम्नलिखित तकनीकों का उपयोग करते हुए: यदि अपाचे का उपयोग एक वेब सर्वर के रूप में किया जाता है, तो आपको उसके सामने कैशिंग प्रॉक्सी डालने की आवश्यकता होती है - Nginx या Lighttpd, लेकिन फ्रंट में Nginx का उपयोग करना बेहतर होता है, लेकिन कई ऐड-ऑन के साथ (Nginx में बफ़र्स और कनेक्शन का आकार सीमित करें, टाइमआउट और कॉन्फ़िगर करें) आदि; टेस्टकॉकी-नेगनेक्स मॉड्यूल का उपयोग करें; URL फ़िल्टरिंग का उपयोग करें और गैर-मानक कोड 444 दें, जो आपको कनेक्शन बंद करने और कुछ भी वापस न देने की अनुमति देता है); कुछ मामलों में, भौगोलिक लॉकिंग का उपयोग करें;वेबसाइट लॉग का विश्लेषण करने की प्रक्रिया को स्वचालित करें, ट्रैफ़िक की मात्रा, सर्वर प्रतिक्रिया समय, त्रुटियों की संख्या और प्रति सेकंड अनुरोधों की संख्या पर विशेष ध्यान दें।

थर्ड पार्टी सिक्योरिटी

जैसा कि उनके अनुप्रयोगों में सुरक्षित तृतीय-पक्ष मॉड्यूल के उपयोग के बारे में सिफारिश की गई है, यह विषय संभवतः सबसे महत्वपूर्ण में से एक है, क्योंकि अधिकांश दुर्भावनापूर्ण हमले तृतीय-पक्ष मॉड्यूल के माध्यम से होते हैं। इस पैराग्राफ का सार अंतर्निहित सुरक्षा विशेषताओं के साथ चौखटे और पुस्तकालयों का उपयोग करना है जो डेवलपर्स को कार्यान्वयन प्रक्रिया में कमजोरियों की उपस्थिति को कम करने में मदद करेगा। मैं इस मद के बारे में अधिक विस्तृत सिफारिशों को उजागर करना चाहूंगा: विश्वसनीय स्रोतों से तीसरे पक्ष के मॉड्यूल का उपयोग करें जो समुदाय द्वारा समर्थित हैं और सक्रिय रूप से विकसित हैं; सभी तृतीय-पक्ष मॉड्यूल की सूची अद्यतित रखें; केवल उसी कार्यक्षमता का उपयोग करें जो आपके एप्लिकेशन के भीतर आवश्यक है।

SQL इंजेक्शन और XSS हमले

SQL इंजेक्शन और XSS हमलों के खिलाफ सुरक्षा के बारे में सिफारिश के लिए सबसे विस्तृत स्पष्टीकरण की आवश्यकता होती है, क्योंकि यहां हमलावरों का उद्देश्य डेटाबेस (SQL इंजेक्शन) और उपयोगकर्ता डेटा (XSS हमले) से विशिष्ट डेटा है। यह समझना भी सार्थक है कि SQL इंजेक्शन से संबंधित मुद्दे सभी डेटा वेयरहाउस, जिसमें रिलेशनल डेटाबेस और NoSQL डेटाबेस शामिल हैं, को सुरक्षित पहुँच प्रदान करने पर एक व्यापक खंड को कवर करते हैं, और क्वेरी सुरक्षा समस्याओं को शामिल करते हैं (आपको SQL के भाग के रूप में नाजायज इनपुट से बचना चाहिए) आदेश और सबसे अच्छा समाधान पैरामीटरयुक्त प्रश्नों का उपयोग करना है जो SQL / OQL निर्माण और संग्रहीत प्रक्रियाओं पर लागू किया जा सकता है), कॉन्फ़िगरेशन (आपको यह सुनिश्चित करने की आवश्यकता है कि मौजूदा DBMS सुरक्षा उपकरण और जिस प्लेटफ़ॉर्म पर इसे स्थापित किया गया है वह सही तरीके से कॉन्फ़िगर किया गया है),प्रमाणीकरण (एक सुरक्षित चैनल पर प्रदर्शन किया जाना चाहिए) और कनेक्शन (डेटाबेस (एक सेवा या एपीआई के माध्यम से) के साथ बातचीत करने के कई तरीकों के अस्तित्व के कारण, एन्क्रिप्शन और प्रमाणीकरण का उपयोग करके कनेक्शन की सुरक्षा सुनिश्चित करना आवश्यक है)।

क्रॉस-साइट स्क्रिप्टिंग (XSS- हमला) के लिए, इस मामले में मध्यम गंभीरता का परिणाम परिलक्षित XSS या XSS दस्तावेज़ ऑब्जेक्ट मॉडल (DOM) के आधार पर हो सकता है, और उपयोगकर्ता के ब्राउज़र में कोड निष्पादन के साथ क्रॉस-साइट स्क्रिप्टिंग गंभीर परिणाम हो सकता है क्रेडेंशियल्स चोरी करने, सत्रों को बाधित करने या दुर्भावनापूर्ण सॉफ़्टवेयर इंस्टॉल करने के लिए। इस मामले में मुख्य सुरक्षा उपाय स्क्रीनिंग है (उनकी गलत व्याख्या को रोकने के लिए वर्णों या रेखाओं से पहले वर्णों के कुछ संयोजनों को जोड़ना), डेटा एन्कोडिंग (कुछ वर्णों को उन वर्णों के संयोजन के लिए जो दुभाषिया के लिए खतरनाक नहीं हैं) सर्वर साइड पर और HTTP हेडर के सेट का उपयोग कर विशेष रूप से, सेट-कुकी HttpOnly और सुरक्षित मापदंडों के साथ,1 के मान के साथ-साथ X-XSS- सुरक्षा।

SQL इंजेक्शन और क्रॉस-साइट स्क्रिप्टिंग को रोकने के लिए उपयोग किया जाने वाला एक सामान्य सुरक्षा उपाय सिंटैक्स और शब्दार्थ के लिए सभी इनपुट की जांच करना है। सिंटैक्टिक मानदंड को अपेक्षित प्रस्तुति फॉर्म में इनपुट डेटा के पूर्ण पत्राचार के रूप में समझा जाना चाहिए, और सिमेंटिक मानदंड इंगित करता है कि इनपुट डेटा एक विशिष्ट कार्यात्मक की सीमा से आगे नहीं जाता है।

लॉगिंग और निगरानी

डीडीओएस हमलों के खिलाफ सुरक्षा के तरीकों पर विचार करते समय सभी घटनाओं के लॉगिंग और सुरक्षा घटनाओं की निगरानी के बारे में सिफारिश पहले ही उल्लेख की जा चुकी है, लेकिन इस मामले में इस मुद्दे का व्यापक पक्ष हमलों का पता लगाने और उनका मुकाबला करने से संबंधित है, साथ ही साथ सुरक्षा घटनाओं की जांच भी। इस प्रकार, वेब सर्वर द्वारा प्रदान किए गए मानक लॉगिंग टूल के अलावा, आपको यह सुनिश्चित करने की आवश्यकता है कि ईवेंट समय और उपयोगकर्ता आईडी लॉग की गई है, साथ ही साथ आपकी वेबसाइट के लिए संभावित खतरनाक गतिविधि भी। दुर्भावनापूर्ण गतिविधि का पता लगाने के मामले में, आपके आवेदन को उपयोगकर्ता सत्र को रोकना चाहिए या आईपी पते से ब्लॉक करना चाहिए, सामान्य तौर पर, उपाय करें और इसके बारे में व्यवस्थापक को सूचित करें। यहां हम WAF या IDS / IPS जैसे टूल के बारे में बता रहे हैं।

बैकअप

वेबसाइट और सभी डेटा के नियमित बैकअप के लिए, यहां आपको इस डेटा के स्थान और प्रकार के भंडारण के बारे में सोचने की आवश्यकता है। एक प्रभावी तरीका महत्वपूर्ण डेटा और बैकअप के भंडारण को एन्क्रिप्ट करना है, साथ ही बैकअप फाइल को फ़ाइल सिस्टम पर संग्रहीत नहीं करना है, लेकिन एक अलग जगह में, जिसमें से कोई संदेह नहीं है, और जो त्वरित तैनाती के लिए हमेशा हाथ में रहेगा।

12345 या qwerty?

मजबूत और जटिल पासवर्ड का उपयोग करने की सिफारिश केवल पासवर्ड के बारे में नहीं है, बल्कि सामान्य रूप से प्रमाणीकरण और उपयोगकर्ता सत्र प्रबंधन के बारे में भी है। प्रमाणीकरण के तीन स्तर हैं, और केवल पासवर्ड का उपयोग केवल पहले को संदर्भित करता है - सबसे सरल स्तर (दूसरा है-कारक प्रमाणीकरण, तीसरा एन्क्रिप्शन के आधार पर प्रमाणीकरण है)। हालांकि, यहां तक कि पासवर्ड की आवश्यकता के लिए भी कई हैं, पासवर्ड रिकवरी तंत्र, साथ ही साथ पासवर्ड के सुरक्षित भंडारण के लिए। सत्र प्रबंधन आपको पुनः प्रमाणीकरण के बिना वेबसाइट के साथ काम करने के लिए उपयोगकर्ता प्रमाणीकरण की स्थिति की निगरानी करने की अनुमति देता है। सत्र भी बनाने और पूरा करने के लिए आवश्यक हैं।

व्यवस्थापक पैनल संरक्षण

अंतिम सिफारिश वेबसाइट के व्यवस्थापक पैनल की सुरक्षा करना है, क्योंकि यह पोस्ट और पृष्ठों को जोड़ने / संपादित करने, फ़ाइलों के साथ काम करने और बहुत कुछ के साथ व्यापक कार्यक्षमता के कारण समग्र प्रणाली की कमजोरियों में से एक है। इसलिए, एक महत्वपूर्ण शर्त यह है कि उचित पहुंच नियंत्रण सुनिश्चित करने के साथ-साथ घुसपैठियों से प्रशासनिक पैनल के स्थान की अधिकतम छिपाई, पते को गैर-मानक एक में स्थानांतरित करने और इस प्रवेश बिंदु के लिए सुरक्षा को अधिकतम करने के लिए इसे सुनिश्चित किया जाए ताकि यह बल के साथ सुरक्षा, आईपी पते द्वारा फ़िल्टरिंग, आदि। एक्सेस कंट्रोल सिस्टम बनाते समय, निम्नलिखित सिद्धांतों का पालन किया जाना चाहिए: एक्सेस कंट्रोल सिस्टम के माध्यम से सभी अनुरोध भेजना; डिफ़ॉल्ट रूप से पहुंच से इनकार (यानी अनुरोध को अस्वीकार करें, अगर यह विशेष रूप से अधिकृत नहीं था); सभी उपयोगकर्ताओं के लिए न्यूनतम विशेषाधिकार,कार्यक्रम या प्रक्रिया; कोड में हार्ड-कोडेड एक्सेस कंट्रोल के रोल मॉडल का उपयोग करने से इनकार; अभिगम नियंत्रण से संबंधित सभी घटनाओं का पंजीकरण।

निष्कर्ष

यह समीक्षा लेख वेबसाइट सुरक्षा में सुधार करने के लिए कुछ तकनीकों को देखता है। प्रत्येक व्यक्तिगत सिफारिश एक अलग समीक्षा के योग्य है, लेकिन इस तरह की एक संक्षिप्त समीक्षा के साथ भी, एक बात स्पष्ट है - सुरक्षा सुनिश्चित करने के लिए दृष्टिकोण व्यापक और प्रणालीगत होना चाहिए और इसे बर्दाश्त नहीं किया जाना चाहिए। आपको एक्सेस कंट्रोल पर सावधानीपूर्वक संपर्क करने की आवश्यकता है, अप-टू-डेट तीसरे पक्ष के मॉड्यूल को अद्यतित रखें, इनपुट डेटा और बहुत कुछ फ़िल्टर करें। कुछ जोड़ना है? टिप्पणियों में साझा करना सुनिश्चित करें।

एक विज्ञापन के रूप में

VDSina दैनिक या एक-बार भुगतान के साथ विश्वसनीय सर्वर प्रदान करता है, प्रत्येक सर्वर 500 मेगाबिट्स के इंटरनेट चैनल से जुड़ा होता है और DDoS हमलों से मुक्त होता है!

अपनी वेबसाइट को सुरक्षित कैसे करें?