De ce sparge chiar și în condiții de siguranță un cms protejate de găzduire
Evident, în cazul în care site-ul are vulnerabilități, acesta poate fi spart cu ajutorul unui atacuri web-based. Dar chiar dacă site-ul este protejat prin mijloace tehnice, de lucru pentru a asigura CMS, aceasta poate compromite în continuare. Cum acest lucru se întâmplă și cum să protejeze site-ul dvs. dintr-o varietate de opțiuni nu sunt de rupere prin vulnerabilitati web - Despre Acest lucru a fost spus la partener al conferinței „1C-Bitrix“ Grigoriy Zemskov, șef al companiei „Revizium“.
In fiecare an, un număr tot mai mare de break-in-uri si afectate de proprietarii site-ului. O problemă de securitate a devenit site-uri relevante în special în ultimii doi ani: uneori a crescut numărul de atacuri și volumul de trafic malițios de intrare, și ca o consecință, numărul de resurse compromise. Vazand acest lucru, webmasteri și proprietarii de proiecte web recunosc treptat problema și interesat de site-uri de securitate a informațiilor, în special, protecția acestora. Pentru a proteja în mod corespunzător resursei, proprietarul resursei web ar trebui să înțeleagă ce sunt opțiunile de rupere, acționează ca atacatorul, orice atac vectori cele mai critice și cum să le închidă.
Din păcate, toate aceste „mituri“ - cu privire la utilizarea unui web-based atacuri pentru a hack site-uri, despre securitatea SMF și caracterul adecvat al măsurilor tehnice, ceea ce duce la noi hacking-ul de masă de site-uri web. Ce putem face pentru a preveni acest lucru? O abordare cuprinzătoare a problemei de securitate a site-ului. În continuare ne vom uita la ce trebuie să acorde o atenție constantă și mai aproape de mijloacele tehnice de protecție, precum și măsuri organizatorice. Acest lucru este important, în cazul în care numai pentru că există mai multe variante de hacking site-uri care sunt efectuate prin metode non-tehnice și fără utilizarea de vulnerabilități web.
Opțiuni de hacking site-uri
Toate variantele de hacking site-uri pot fi împărțite în trei grupe majore (evidențiate în galben, albastru și gri):
În ceea ce privește celelalte două, ele nu sunt la fel de populare, dar nu mai puțin important. Conform statisticilor noastre, la frângerea vina contractanților și a angajaților reprezintă aproximativ 5% din incidente. Dar această cifră este în creștere treptat, deoarece în acest moment o mulțime de site-uri de pe web dat studio de servicii, agentii digitale sau persoane fizice autorizate.
Deci, ia în considerare opțiunile în ordine. Să începem cu cel mai numeros grup, hacking un site prin intermediul unui atacuri web-based:
Scapă de atacuri bazate pe Web nu poate fi, dar poate fi contracarate. Mai jos este o listă de măsuri împotriva strecurare prin internet.
În cazul în care CMS este invulnerabil
De ce hack chiar și invulnerabil CMS pe un hosting securizat? Motivul constă în faptul că există și alte opțiuni pentru site-uri de compromis sau infecție, nu este necesar ca site-ul este piratat prin vulnerabilități în script-uri. Iată câteva dintre ele:
De fapt, el uneori, nici măcar nu știu despre existența Import Import phpMyAdmin, disponibilitatea public și posibilitatea de hacking site-ului prin ea.
Cititorul se poate întreba cum atacatorul învață și parole din baza de date, deoarece are nevoie de acces la fișierul de configurare CMS? De fapt, pentru a obține date pentru conectarea la baza de date este mult mai ușor decât pare. Uneori, o cerere la motorul de căutare Google vă permite să găsiți o mulțime de fișiere indexate conțin diferite informații „sensibile“. De exemplu, site-urile de backup cu setările sau mai multe fișiere de configurare indexate în mod eronat. Ca un exemplu, puteți lua o solicitare vechi din baza de date Google Hacking - baza de date care conține un hacker Google interogări de căutare pentru scripturi vulnerabile indexate și fișierele sensibile.
- Interceptarea sau furtul de acces, ați compromis site-ul a fost accesat.
- atac brute force pe servicii: SFTP, FTP, SSH sau panoul de administrare de găzduire.
- Hacking prin „vecini“.
- Compromis server hosting, și anume obținerea accesului neautorizat prin vulnerabilități sau erori de configurare.
Cum de a se proteja de ea?
Uneori, „vulnerabilitate“, prin care hack și infecta site-ul, este omul însuși. În special - angajații și contractorii care deservesc site-ul: de management al conținutului, SEO-specialiști, dezvoltatori web. Ce provocări de securitate trage cu urechea proprietarul site-ului, în acest caz?
Pentru a proteja împotriva unor astfel de incidente și probleme proprietarul site-ului, împreună cu mijloacele tehnice pun în aplicare și măsurile organizatorice de securitate.
- Acces controlat. Proprietarul trebuie să știe când și cum să le schimbe, cine sunt ei, cărora le trimit și în ce măsură. Acest lucru vă protejează de multe probleme.
- Efectuarea unui audit de securitate, după activitatea de către contractant. Fișiere, pagini de baze de date și site-ul, puteți verifica-vă folosind instrumentele disponibile pentru scanere sau integritate, și se poate referi la experți de siguranță relevante.
- Instruiți contractori. Asigurați-vă că pentru a crea un ghid pentru utilizarea în siguranță a site-ului pentru angajați și contractori și să instruiască pe ea. Mulți profesioniști pot efectua perfect sarcinile, dar nu cred despre securitatea site-ului.
- Lucrul conform contractului și cu companiile auditate. Cooperarea cu persoanele fizice autorizate duce adesea la probleme de securitate cu site-ul tau.
Siguranță - este un proces continuu care necesită o atenție deosebită. Numai în cazul unei abordări globale a securității, inclusiv utilizarea obligatorie a mijloacelor tehnice și măsuri organizatorice, site-ul dvs. va fi bine protejate.
