⚡ Как выполнить аудит безопасности сайта (с помощью чек-листа) — Information Security Squad

⚡ Как выполнить аудит безопасности сайта (с помощью чек-листа)

Зачем проверять свой сайт на безопасность?

Большинство взломов и кибератак происходит из-за плохих практик безопасности.

Вы сделали сайт, провели работы по СЕО и добавили его в Каталог сайтов.

Но что насчет безопасности ресурса?

Первый шаг, который вы можете предпринять, чтобы улучшить вашу онлайн-безопасность, это точно знать, что установлено на вашем сайте.

Наличие контрольного списка может помочь вам оставаться на вершине безопасности веб-сайта.

Чек-лист аудита безопасности сайта

Вот упрощенный шаблон контрольного списка безопасности веб-сайта, который вы можете использовать для аудита вашего ресурса.

Мы рекомендуем провести тщательный аудит, если вы делаете это впервые.

Изменить настройки CMS по умолчанию:

  • Пользовательские настройки
  • Настройки комментариев
  • Общая видимость информации (например, отчеты об ошибках PHP могут раскрыть детали конфигурации)

Установите наиболее подходящие права на файлы

  • Чтение, запись или выполнение
  • Владелец, группа или публичный

Проверьте последние обновления программного обеспечения

  • Убедитесь, что ваша CMS работает на последней доступной версии.

Используйте расширения безопасности для вашей CMS

  • Например, для WordPress вы можете установить плагины безопасности веб-сайта, такие как Sucuri Free WordPress Security Plugin.
  • Проверьте настройки плагина безопасности

Если у вас установлены расширения / плагины, проверьте:

  • последнее обновление,
  • возраст расширения,
  • количество установок,
  • и что ваши плагины взяты из законных и надежных источников (например, репозиторий плагинов WordPress).

Сделайте резервную копию ваших данных

  • Имейте внешнюю резервную копию.
  • Настройте автоматическое резервное копирование.
    Имейте надежный план восстановления. Сохраните копию бэкапа во втором месте на случай, если с резервной копией что-то случится, и убедитесь, что вы можете восстановить свой сайт из резервной копии с минимальным временем простоя.
  • Проверьте целостность резервных копий, чтобы убедиться, что они не повреждены или иным образом непригодны для использования.

Следуйте рекомендациям по настройке файлов сервера

  • Ознакомьтесь с файлами конфигурации веб-сервера — веб-серверы Apache используют файл .htaccess; Серверы Nginx используют nginx.con; Серверы Microsoft IIS используют web.config
  • Запретите просмотр каталогов
  • Запретите хотлинкинг изображений
  • Защита конфиденциальных файлов

Установите сертификат SSL

Установите автоматическое сканирование вредоносных программ на вашем сайте

  • Важно быть в курсе состояния безопасности вашего сайта.

Используйте уникальные пароли

  • Убедитесь, что все пароли (FTP, CMS, База данных и т. д.) надежны.

Убедитесь, что сайт не находится в черном списке

  • Некоторые сайты, такие как Google или McAfee SiteAdvisor, добавляют предупреждения на зараженные веб-страницы.

Текущий Аудит

После того, как вы один раз завершили тщательный аудит безопасности веб-сайта, вам все равно необходимо регулярно проверять некоторые элементы.

Мы рекомендуем проводить постоянный аудит как часть поддержания хорошего состояния безопасности веб-сайта.

Вот контрольный список того, что необходимо постоянно проверять:

Обновления

  • Проверьте устаревшее или небезопасное программное обеспечение
  • Пароли

Удаление

  • Неактивные или неиспользуемые плагины
  • Неактивные или небезопасные темы и расширения

Обзор

  • Доступ пользователя и учетной записи — минимум привилегий
  • Файловые права
  • Настройки плагина безопасности
  • Настройки резервного копирования
  • SSL сертификат
  • Изменения в файлах — мониторинг целостности

Если вы не знакомы с какими-либо пунктами, показанными в этом контрольном списке, вы можете начать с этого краткого 8-минутного прочтения:

? Советы по безопасности, чтобы защитить ваш сайт от хакеров

Упрощенный контрольный список аудита безопасности веб-сайта

Вы можете сохранить упрощенный контрольный список аудита безопасности сайта:

Плагин Sucuri для безопасности WordPress

Если ваш сайт использует WordPress, вы можете установить бесплатный плагин Sucuri Security для WordPress, который предлагает:

  • Аудит безопасности
  • Мониторинг целостности файлов
  • Удаленное сканирование вредоносных программ
  • Мониторинг черного списка
  • Эффективное усиление безопасности
  • Действия после взлома
  • Уведомления о безопасности
  • Брандмауэр веб-сайта (премиум)

Заключение

Хорошей новостью является то, что, поскольку вы продолжаете проверять свой веб-сайт на предмет безопасности, он становится более эффективным, и аудит будет занимать все меньше времени.

Самое главное, точно знать, что вы установили, и поддерживать свой веб-сайт в актуальном состоянии, снижает вероятность того, что злоумышленник получит доступ к вашим ресурсам.

Мониторинг веб-сайта является важной частью безопасности и не должен быть упущен.

Платформа мониторинга Sucuri сочетает в себе удаленный сканер и серверный сканер, чтобы вы могли иметь четкое представление о состоянии безопасности вашего веб-сайта.

Платформа безопасности веб-сайтов предлагает мониторинг, защиту и реагирование на веб-сайты в случае взлома и атак.

Злоумышленники всегда пытаются найти новую тактику и способы доступа.

Точно так же, как вы работаете над тем, чтобы поддерживать ваш сайт в чистоте и обновляться, важно также обновлять знания о безопасности вашего сайта.

Наконец, продолжайте читать сообщения в блогах, статьи, отчеты о последних новостях, касающихся вашей CMS или среды веб-сайта.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40