Как обезопасить свою учетную запись хостинга?

Общий доступ к хостингу всех типов веб-хостинга является наиболее распространенным и наиболее уязвимым с точки зрения безопасности.

Узнайте, как защитить себя.

Посмотрим правде в глаза: когда речь заходит о теме веб-безопасности, большинство из нас предпочитают жить в отрицании. «Я слишком мал, чтобы быть взломанным», «Я знаю, что мне не так не повезет», «Мы рассмотрим это, когда у меня будет больше времени» — нет предела тому, что мы можем придумать, чтобы избежать уклончивости , утомительного труда укрепления безопасности вашего сайта.

Да, даже мысли о создании резервных копий достаточно, чтобы забить на проблему.

Итак, что может мотивировать нас более серьезно относиться к безопасности?

Может быть, наклеить информацию о самых разрушительных взломах в мире на наших стенах?

Но тогда мои мысли будут от том, что я слишком мал, чтобы меня взломали.

Одна идея, я думаю, может сработать — счетчик, который показывает общее количество часов, которые вы потратили на свой бизнес или свой веб-сайт.

Если прошло пять лет (предположим, что вы вкладываете в бизнес в среднем 15 часов в день), это будет 15 x 30 x 12 x 5 = 27 000 часов усилий, которые мгновенно пойдут на спад, если ваш сайт был взломан и все данные уничтожены!

Хотя этот пост не о привычках и мотивации, я подумал, что быстрая дискуссия была в порядке вещей.

Если это вас не пугает и не мотивирует, я не знаю, что будет далее с вами. 🙂

В любом случае, для тех, кто был достаточно напуган или обеспокоен своей безопасностью в целом, давайте перейдем к тому, что вы можете сделать, чтобы сделать вашу учетную запись общего хостинга более безопасной.

Обратите внимание: это учетная запись общего хостинга, о которой мы здесь говорим, а не виртуальный или физический сервер (или даже их совокупность).

Независимые серверы — это совершенно другая игра с мячом, тогда как в этом посте я нацеливаюсь на большинство не технарей, чей доход зависит от цифровых свойств.

Создание (обеспечение) регулярного резервного копирования

Трудно поверить, что резервные копии могут быть связаны с безопасностью, но это так.

Часто хаки настолько жетские, что уничтожают ваши данные; иногда злонамеренный код скрывается глубоко в основе и продолжает появляться (я даже не могу объяснить, сколько раз это происходило со мной на клиентском сайте WordPress!), несмотря на лучшую профессиональную очистку.

В таких случаях нет ничего лучше, чем нажать кнопку восстановления: перейдите к резервной копии, которая раньше работала у вас, очистите планшет, снова все настройте и импортируйте данные обратно.

Что вы теряете?

Данные, собранные с момента резервного копирования.

Что вы получаете?

Весь бизнес!

Тем не менее, есть несколько вещей, которые нужно помнить о резервных копиях.

Восстановление

Резервные копии ничего не значат, если нет условий для быстрого и предсказуемого восстановления.

Вероятно, у вашего провайдера виртуального хостинга есть опция восстановления, но вы уверены, что она работает?

А если нет кнопки восстановления, знаете ли вы, как все восстановить?

Со временем вы собираете огромные объемы данных, что может стать проблемой при восстановлении.

И затем есть другие вещи, которые необходимо учитывать: версия базы данных, версия программного обеспечения, версия PHP (если вы используете сайт PHP конечно), совместимость этих версий и так далее.

Скорее всего, у вас нет навыков или сил, чтобы разобраться во всем этом.

Если вы этого не сделаете, я настоятельно рекомендую вам воспользоваться услугой управления, которая позаботится обо всем за вас, даже если это покажется вам дорогостоящим.

С другой стороны, если вы уверены в том, что сможете справиться, я должен попросить вас регулярно проводить репетиции (скажем, каждые шесть месяцев) — поверьте мне, независимо от того, насколько вы опытный человек, всегда есть на чем споткнуться.

Если вы ищете надежный виртуальный хостинг для создания сайтов на WordPress, Joomla, Magento, которые предлагают ежедневное резервное копирование, попробуйте провести анализ доступных вариантов.

Частота

Как часто вы должны делать резервную копию?

Здесь нужно учитывать две вещи: размер собранных данных и критичность вашего бизнеса.

Допустим, у вас есть 40 ГБ данных, необходимых для ведения бизнеса.

Если вы планируете ежедневное резервное копирование, вы будете использовать 40 x 30 = 1200 ГБ или 1,2 ТБ данных в течение первого месяца.

К концу первого квартала размер данныъ вырос бы до 3,6 ТБ — независимо от того, где вы решили хранить этот объем данных, дыра в вашем кармане гарантирована.

Решение?

Отменить данные старше определенной продолжительности.

Теперь, какова эта продолжительность, полностью зависит от вашего бизнеса, хотя в большинстве случаев резервных копий, выполняемых дважды в неделю в течение последнего месяца или двух, более чем достаточно.

Даже в этом случае счета за резервные копии будут нетривиальными, и вам нужно будет убедиться, что это полезные данные, подлежащие резервному копированию, и это также в форме многократного использования.

В противном случае, вы знаете риски. , , 🙂

Включите двухфакторную аутентификацию

Для тех, кто не знает об этой идее, двухфакторная аутентификация означает использование двухэтапного процесса для проверки пользователей перед их входом в систему (более подробно здесь).

Зачем?

Только потому, что если кто-то угадает или иным образом похитит ваш пароль и пытается войти в систему со своего компьютера, ему будет предложено подтвердить свою личность.

Система может попросить злоумышленника ответить на секретный вопрос, ввести OTP, отправленный по SMS или электронной почте, попросить его выбрать любимое изображение или использовать какой-либо другой метод для обеспечения идентификации.

Честно говоря, учитывая то, как плохо некоторые люди выбирают пароли (нет, s1mpled00d не является надежным паролем) и насколько легко хакерам на основе браузера получать ваши пароли, лучше всего установить двухфакторную аутентификацию.

Для сайтов WordPress есть несколько плагинов, которые вы можете выбрать, что делает эту задачу очень простой и быстрой.

Избегайте ненадежных источников

Это еще один момент, который должен быть таким же очевидным, как цвет неба (это очевидно, не так ли?), Но, как это происходит в человеческом мире, эмоции начинают преобладать довольно быстро.

Вы хотите быстро развернуть функцию, и вы столкнетесь с источником, который предлагает именно то, что вам нужно — может быть, даже бесплатно. Демонстрации потрясающие, UX сногсшибательный — что еще нужно?! Угадайте или иным образом украдите ваш пароль и попытайтесь войти в систему со своего компьютера, им будет предложено подтвердить свою личность.

Система может попросить их ответить на секретный вопрос, ввести OTP, отправленный по SMS или электронной почте, попросить их выбрать любимое изображение или использовать какой-либо другой метод для обеспечения идентичности. Честно говоря, учитывая то, как плохо некоторые люди выбирают пароли (нет, s1mpled00d не является надежным паролем) и насколько легко хакерам на основе браузера получать ваши пароли, лучше всего установить двухфакторную аутентификацию на месте.

Для сайтов WordPress есть несколько плагинов, которые вы можете выбрать, что делает задачу очень простой и быстрой.

Избегайте ненадежных источников

Это еще один момент, который должен быть таким же очевидным, как цвет неба (это очевидно, не так ли?), но, как это обычно происходит в человеческом мире, эмоции начинают преобладать довольно быстро.

Вы хотите быстро развернуть функцию, и вы столкнетесь с источником, который предлагает именно то, что вам нужно — может быть, даже бесплатно.

Демонстрации потрясающие, UX сногсшибательный — что еще нужно?!

Не так быстро!

Сторонние источники могут быть источником нескольких неприятных проблем (и чаще всего они ими и являются) — они могут содержать вредоносный код, который крадет ваши сохраненные пароли или данные кредитной карты (в мобильном приложении код вредоносно приложение может натворить страшных дел!), или они могут быть плохо защищены, таким образом становясь слабым звеном в безопасности вашего веб-сайта после внедрения.

И, пожалуйста, не слушайте своего разработчика, если он скажет, что он прошел по коду и одобрил его — мир безопасности чрезвычайно искажен, с невероятно хитрыми атаками, раскрываемыми каждый день (вот пример того, как скромными serialize()) и unserialize() функциями в PHP можно манипулировать, чтобы позволить удаленное выполнение кода).

Всегда, всегда берите плагины, темы, библиотеки и т. д. из надежных источников.

Для пользователей WordPress это означает, что нужно придерживаться официально доступных плагинов (потому что они жестоко, строго проверены на качество и безопасность кода), и то же самое касается других платформ.

Еще раз, прежде чем вы почувствуете неконтролируемое желание схватить этот плагин и убежать, подумайте об общем количестве часов, которые вы подвергаете риску.

Надежные пароли

Проблема с «надежными» паролями, которые мы придумали, заключается в том, что они совсем не безопасны.

При небольшом знании вашей личной жизни и помощи атаки по словарю шансы взломать оболочку очень высоки.

Решение?

Я рекомендую использовать бесплатный и надежный сервис, такой как генератор паролей LastPass, который позволяет вам выбирать, насколько сложным и длинным должен быть пароль.

Пожалуйста, не торопитесь с инструментом — заставьте его напрягаться по максимуму.

Забудьте о пароле, который вы можете помнить — нет, эти дни давно прошли.

Пароли, которые можно запомнить, легко взломать.

Вместо этого несколько раз прокрутите генератор паролей и остановитесь на том, что заставит ваш мозг повернуться.

Вот некоторые предложения, которые я получил (с длиной пароля, установленной на 20 символов):

  • rfg$t^cvwBg@Z0lj0Oxu
  • 1sNYhBXrYJ2IW^J$f@Sq
  • Plg6#YicW%bh&UzVpp#Z
  • f95^*sMm592OwQcg&QZi

Наконец, если у вас есть веб-сайт, на котором другим разрешено создавать учетную запись, убедитесь, что вы применяете проверку пароля и отказываетесь принимать все пароли, которые не являются ужасными.

Да, новый пользователь это хорошо, но, как говорится, дорога в ад вымощена благими намерениями. 😈😈

Регулярно обновляйте программное обеспечение

Если ваша учетная запись общего хостинга предоставляет вам панель администрирования, которая позволяет обновлять установленное программное обеспечение, я настоятельно рекомендую сделать это.

Зачем?

Не потому, что это кажется элитным,а потому, что выпущено новое программное обеспечение, которое в значительной степени исправляет лазейки безопасности, обнаруженные в предыдущих выпусках (Ага! Теперь вы знаете, почему ваша Windows так отчаянно хочет, чтобы вы продолжали обновлять ее).

Пожалуйста, не принимайте это всерьез (или на самом деле, любое предложение в этой статье: D).

Невозможно сказать, сколько установок, приложений, серверов и устройств являются бомбами замедленного действия, потому что они используют старое программное обеспечение.

Если вы закатываете глаза на это, я с вами — нет ничего более болезненного, чем необходимость постоянно проверять, тестировать, обновлять и отбрасывать то, что не работает.

Но это «налог», который мы платим за цифровую инфраструктуру — наши цифровые свойства гораздо более чувствительны и гораздо более мощны, чем другие привычные нам элементы, и поэтому требуют особого внимания.

Еще раз, если вы можете себе это позволить, займитесь этим вопросом.

Выберите более безопасный хостинг-провайдер

Не все хостинг-провайдеры созданы одинаковыми, и в этом мире агрессивной рекламы и аффилированного маркетинга бывает сложно отличить хороших от плохих.

Итак, как вы решите, какой хостинг-провайдер «лучше»?

Я бы хотел иметь магический критерий, но я не имею такового.

Хостинг-инфраструктура — это сложные звери, и никакие рейтинги, обзоры, дизайн веб-сайтов или дружелюбие клиентов не могут обеспечить хороший показатель.

Но я скажу так: если у вас возникли проблемы, не стесняйтесь попробовать что-то новое.

Во всяком случае, я бы посоветовал вам держаться подальше от очень старых, очень крупных компаний, продающих домены и хостинг (вы знаете, на кого я намекаю, не так ли ?! ;-)) и вместо этого дать шанс некоторым молодым , голодным компаниям.

Переключение на более безопасного, более эффективного поставщика услуг может сэкономить часы головной боли и бессонных ночей.

У меня есть несколько друзей, которые управляют контент-ориентированными сайтами WordPress, чьи проблемы с веб-сайтом исчезли, как только они сделали смелый (и болезненный) шаг, чтобы переключиться на другой хостинг, и за последние годы не было ни одной проблемы.

Они говорят, что мелочи, такие как медленный сайт и простои, не стоят их времени, и я думаю, что они правы. 🙂

Используйте защиту от DDoS

Суть Интернета в том, что это «всемирная сеть».

Любой из любого места может получить доступ к вашему сайту или попытаться взломать.

Даже боты.

Теперь, если из нескольких тысяч посещений вашего сайта каждый час, 99% ботов пытаются найти выход, у вас есть проблема — не только эти бесполезные запросы пожирают системные ресурсы, они также потребляют пропускная способность от вашей квоты.

Я знаю, что сайты с общим хостингом претендуют на «неограниченную» пропускную способность, но, поверьте, ничто не безгранично.

Даже если мы на секунду предположим, что они предлагают неограниченную передачу данных каждый месяц, давайте не будем забывать, что физические сети, которые соединяют все, имеют ограниченную пропускную способность.

Другими словами, количество пользователей, которых может обслуживать ваш веб-сайт, в то же время ограничено, поэтому, даже если у вас может быть неограниченное месячное использование, ваш сайт будет очень медленным или недоступным для пользователей.

И кто хочет посетить такой сайт, верно?

Чаще всего такая атака организуется злоумышленником, который управляет несколькими компьютерами и заставляет их посещать целевой веб-сайт (насколько вы знаете, ваш компьютер не намеренно участвует в такой атаке).

Сценарий, который я только что описал, — это то, что технически известно как атака распределенного отказа в обслуживании (DDoS) (подробнее здесь), и он остается одной из самых неприятных форм атак, поскольку он практически неотличим от большого числа пользователей, обращающихся к вашему Веб-сайту.

15 действий для предотвращения DDOS-атак

Тем не менее, некоторые компании, такие как Cloudflare, SUCURI создали вокруг себя превосходные системы защиты, которые могут интеллектуально анализировать и блокировать атаки DDoS на основе прошлых моделей трафика.

Опять же, для многих это будет слишком дорого, но тогда вам придется решить для себя, стоит ли рисковать потерей всего своего бизнеса.

Облачный брандмауэр

Для тех, кто не знает, брандмауэр — это просто часть программного обеспечения, работающая на вашем компьютере и в сети, которая блокирует или разрешает трафик на основании определенных правил.

Теперь должно быть очевидно, что такое «облачный» брандмауэр, но вот картинка, которая определенно стоит тысячи слов. 🙂

Если злоумышленник даже попытается проверить наличие уязвимостей, результатом будет мгновенное внесение в черный список, в результате чего будет очень и очень трудно взломать или разрушить сеть.

Вот наша рекомендация о лучших брандмауэрах.

Опять же, если вы думаете, что это дорого, помните о счетчике!

Есть много других вещей, которые вы можете сделать, чтобы сделать моменты «более безопасными», но я думаю, что если вы серьезно отнеситесь к этой статье, вы избавитесь от 99,9% потенциально неловких атак и хаков.

Это особенно актуально для пользователей WordPress, так как это не очень безопасная платформа.

Даже если у вас обычный веб-сайт в формате HTML, помните, что DDoS-атаки могут испортить мнение о сайте вашим пользователям, вашего хостинг-провайдера и вас одновременно.

Другими словами, выживает только параноик (есть и прекрасная книга с таким названием, если она вас интересует)! 🙂

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40