Ta wikiHow uczy Cię, jak zapewnić ochronę Twojej witryny przed atakami. Korzystanie z certyfikatu SSL i HTTPS to najłatwiejszy sposób zabezpieczenia adresu, ale jest jeszcze kilka innych rzeczy, które możesz zrobić, aby uniemożliwić hakerom i złośliwemu oprogramowaniu włamanie się do Twojej witryny.
Kroki
Krok 1. Dbaj o aktualność swojej witryny
Brak aktualizacji oprogramowania, zabezpieczeń i skryptów witryny, gdy jest to konieczne, jest pewnym sposobem na umożliwienie intruzom i złośliwemu oprogramowaniu skorzystanie z witryny.
- Dotyczy to również poprawek z usługi hostingowej Twojej witryny (jeśli dotyczy). Zawsze, gdy dostępna jest aktualizacja Twojej witryny, zainstaluj ją tak szybko, jak to możliwe.
- Powinieneś również aktualizować certyfikaty swojej witryny. Chociaż nie wpłynie to bezpośrednio na bezpieczeństwo Twojej witryny, zapewni, że Twoja witryna będzie nadal pojawiać się w wyszukiwarkach.
Krok 2. Użyj oprogramowania zabezpieczającego lub wtyczek
Istnieje kilka różnych zapór sieciowych, które można subskrybować w celu stałej ochrony, a usługi hostingu witryn, takie jak WordPress, często oferują również wtyczki zabezpieczające. Podobnie jak ochrona komputera za pomocą programu antywirusowego, mądrze jest chronić witrynę za pomocą oprogramowania zabezpieczającego.
- Sucuri Firewall to dobra płatna opcja i powinieneś być w stanie znaleźć darmową zaporę sieciową lub wtyczki zabezpieczające dla WordPress, Weebly, Wix i innych usług hostingowych.
- Zapory sieciowe aplikacji internetowych (WAF) są zwykle oparte na chmurze, co oznacza, że nie musisz pobierać żadnego oprogramowania na swój komputer, aby z nich korzystać.
Krok 3. Zablokuj użytkownikom możliwość przesyłania plików
Zezwalanie ludziom na przesyłanie plików do Twojej witryny automatycznie tworzy lukę w zabezpieczeniach. Jeśli to możliwe, usuń wszelkie formularze lub obszary, do których użytkownicy witryny mogą przesyłać pliki.
- Ograniczenie formularzy, które umożliwiają przesyłanie do obsługi tylko jednego typu pliku (np.-j.webp" />
- Może to być trudne, jeśli Twoja witryna opiera się na formularzu na stronie internetowej, np. do przesyłania listów motywacyjnych. Możesz obejść ten problem, konfigurując adres e-mail dla zgłoszeń i dodając adres do strony „Kontakt”, aby użytkownicy mogli wysyłać swoje pliki pocztą e-mail zamiast przesyłać je do Twojej witryny.
Krok 4. Zainstaluj certyfikat SSL
Certyfikat SSL zasadniczo potwierdza, że Twoja witryna jest bezpieczna i może przesyłać zaszyfrowane informacje tam iz powrotem między serwerem a przeglądarką danej osoby. Zwykle będziesz musiał uiszczać roczną opłatę za utrzymanie certyfikatu SSL.
- Płatne opcje dystrybucji SSL obejmują GoGetSSL i SSLs.com.
- Bezpłatna usługa o nazwie „Let's Encrypt” również wyda certyfikat SSL.
- Wybierając certyfikat SSL masz trzy opcje: walidację domeny, walidację biznesową i walidację rozszerzoną. Zarówno weryfikacja biznesowa, jak i weryfikacja rozszerzona są wymagane przez Google, aby wyświetlać zielony pasek „Bezpieczne” obok adresu URL Twojej witryny.
Krok 5. Użyj szyfrowania
Po zainstalowaniu certyfikatu SSL Twoja witryna powinna kwalifikować się do szyfrowania HTTPS; zwykle możesz aktywować szyfrowanie HTTPS, instalując swój certyfikat SSL w sekcji „Certyfikaty” Twojej witryny.
- Jeśli korzystasz z platformy internetowej, takiej jak WordPress lub Weebly, prawdopodobnie Twoja witryna korzysta już z protokołu
- Certyfikat HTTPS musi być odnawiany co roku.
Krok 6. Utwórz bezpieczne hasła
Używanie unikalnych haseł do aspektów witryny na poziomie administratora nie wystarczy; będziesz musiał wymyślić skomplikowane, losowe hasła, które nie są replikowane nigdzie indziej i przechowywać ich klucz gdzieś poza katalogiem witryny.
Na przykład możesz użyć 16-cyfrowej kombinacji liter i cyfr jako hasła. Hasło można następnie zapisać w pliku offline na innym komputerze lub dysku twardym
Krok 7. Ukryj swoje foldery administratora
Nazywanie folderu wrażliwych plików witryny „admin” lub „root” jest wygodne; niestety dotyczy to zarówno Ciebie, jak i hakerów. Zmiana nazwy lokalizacji tych plików na coś nudnego (np. „Nowy folder (2)” lub „historia”) może utrudnić potencjalnym atakującym zlokalizowanie Twoich plików.
Krok 8. Utrzymuj proste komunikaty o błędach
Jeśli komunikat o błędzie zawiera zbyt wiele informacji, hakerzy i złośliwe oprogramowanie mogą wykorzystać te informacje, aby znaleźć i uzyskać dostęp do takich rzeczy, jak katalog główny witryny. Zamiast dodawać wyraźne szczegóły do komunikatów o błędach witryny, rozważ zwięzłe przeprosiny i link do głównej witryny.
Dotyczy to wszystkiego, od błędów 404 do kodów serwerów typu 500
Krok 9. Zawsze haszuj hasła
Jeśli przechowujesz hasła użytkowników w swojej witrynie, pamiętaj, aby przechowywać je w formacie zaszyfrowanym. Częstym błędem wśród nowych właścicieli witryn jest przechowywanie haseł w formacie zwykłego tekstu, co ułatwia kradzież haseł, jeśli hakerowi uda się znaleźć plik.
Nawet tak płodne strony, jak Twitter, były w przeszłości winne tego błędu
Porady
- Zatrudnienie konsultanta ds. bezpieczeństwa sieci, który przyjrzy się Twoim skryptom, to najszybszy (choć najdroższy) sposób na rozwiązanie potencjalnych błędów w Twojej witrynie.
- Zawsze przetestuj swoją witrynę za pomocą narzędzia bezpieczeństwa (np. Observatory by Mozilla) przed opublikowaniem najnowszej wersji.