securitatea site-ului web
Servicii de protecție site-urile web împotriva accesului, utilizării, modificării, distrugerii sau întreruperii neautorizate.
Ce este securitatea website-ului ?
actul/practica de a proteja site-urile web împotriva accesului, utilizării, modificării, distrugerii sau întreruperii neautorizate.
De ce avem nevoie să protejăm website-ul nostru?
Internetul este un loc periculos! Cu mare regularitate, auzim despre site-urile web care devin indisponibile din cauza atacurilor de denegare a serviciului sau afișând informații modificate (și adesea dăunătoare) pe paginile lor de pornire. În alte cazuri de mare profil, milioane de parole, adrese de e-mail și detalii ale cărților de credit au fost scurse în domeniul public, expunând utilizatorii site-ului web atât la jena personală, cât și la riscuri financiare.
Scopul securității site-ului web este de a preveni orice tipuri de atacuri asupra websiteului. Definiția mai formală a securității site-ului web este actul/practica de a proteja site-urile web împotriva accesului, utilizării, modificării, distrugerii sau întreruperii neautorizate.
Amenințări la securitatea site-ului web
Această secțiune enumeră câteva dintre cele mai frecvente amenințări ale site-urilor web.
Cross-Site Scripting (XSS)
XSS este un termen folosit pentru a descrie o clasă de atacuri care permit unui atacator să injecteze scripturi la nivelul clientului prin intermediul site-ului web în browserele altor utilizatori. Deoarece codul injectat vine în browser de pe site, codul este de încredere și poate face lucruri precum trimiterea cookie-ului de autorizare a site-ului utilizatorului către atacator. Când atacatorul are cookie-ul, acesta se poate conecta la un site ca și cum ar fi utilizatorul și poate face orice poate utilizatorul, cum ar fi să acceseze detaliile cardului de credit, să vadă detaliile de contact sau să schimbe parolele.
Injecție SQL
Vulnerabilitățile de injectare SQL permit utilizatorilor rău intenționați să execute cod SQL arbitrar într-o bază de date, permițând accesarea, modificarea sau ștergerea datelor, indiferent de permisiunile utilizatorului. Un atac de injecție cu succes poate falsifica identitățile, poate crea noi identități cu drepturi de administrare, poate accesa toate datele de pe server sau poate distruge/modifica datele pentru a le face inutilizabile.
Falsificarea cererii pe mai multe site-uri (CSRF)
Atacurile CSRF permit unui utilizator rău intenționat să execute acțiuni folosind acreditările altui utilizator fără știrea sau consimțământul acestuia.
Acest tip de atac este cel mai bine explicat prin exemplu. X este un utilizator rău intenționat care știe că un anumit site permite utilizatorilor conectați să trimită bani către un anumit cont folosind o solicitare HTTP POST care include numele contului și o sumă de bani. X construiește un formular care include detaliile sale bancare și o sumă de bani ca câmpuri ascunse și îl trimite prin e-mail altor utilizatori ai site-ului (cu butonul Trimite deghizat ca link către un site de tipul „îmbogățiește-te rapid”).
Dacă un utilizator face clic pe butonul de trimitere, o solicitare HTTP POST va fi trimisă către server care conține detaliile tranzacției și orice cookie-uri de la client pe care browser-ul le-a asociat site-ului (adăugarea modulelor cookie asociate site-ului la solicitări este un comportament normal al browserului). Serverul va verifica cookie-urile și le va folosi pentru a determina dacă utilizatorul este sau nu autentificat și are permisiunea de a efectua tranzacția.
Rezultatul este că orice utilizator care face clic pe butonul Trimiteți în timp ce este conectat la site-ul de tranzacționare va efectua tranzacția. X devine bogat.
Clickjacking
În acest tip de atac, un utilizator rău intenționat deturnează clicurile destinate unui site vizibil de nivel superior și le direcționează către o pagină ascunsă de dedesubt. Această tehnică poate fi folosită, de exemplu, pentru a afișa un site bancar legitim, dar pentru a captura acreditările de conectare într-un <iframe> invizibil controlat de atacator. Clickjacking-ul ar putea fi, de asemenea, folosit pentru a determina utilizatorul să facă clic pe un buton de pe un site vizibil, dar, făcând acest lucru, face clic fără să vrea pe un buton complet diferit. Ca o apărare, site-ul dvs. se poate împiedica să fie încorporat într-un iframe al unui alt site prin setarea antetelor HTTP corespunzătoare.
Denial of Service / Refuzarea serviciului (DoS).
DoS se realizează de obicei prin inundarea unui site țintă cu solicitări false, astfel încât accesul la un site este întrerupt pentru utilizatorii legitimi. Solicitările pot fi numeroase sau pot consuma individual cantități mari de resurse (de exemplu, citiri lente sau încărcare de fișiere mari). Apărarea DoS funcționează de obicei prin identificarea și blocarea traficului „rău”, permițând, în același timp, mesajele legitime. Aceste apărări sunt de obicei localizate înainte sau în serverul web (nu fac parte din aplicația web în sine).
Unelte de securizare:
Certificate SSL
- Certificate SSL DV
- Certificate SSL OV
- Certificate SSL EV
Configuram serverul dvs. web pentru a utiliza HTTPS. HTTPS criptează datele trimise între client și server. Acest lucru asigură că acreditările de conectare, cookie-urile, datele solicitărilor POST și informațiile din antet nu sunt ușor accesibile atacatorilor.
Doi factori de autentificare -2FA
Utilizați o gestionare mai eficientă a parolelor. Încurajați parolele puternice. Luați în considerare autentificarea cu doi factori pentru site-ul dvs. 2FA, astfel încât, pe lângă o parolă, utilizatorul trebuie să introducă un alt cod de autentificare
Instrumente de scanare a vulnerabilităților
efectuează teste automate de securitate pe site-ul dvs.
Website firewall
Trafic în direct
Trafic în direct vă arată ce se întâmplă pe site-ul dvs. în timp real, inclusiv autentificarea utilizatorilor, încercările de hack și solicitările care au fost blocate de Wordfence Firewall. Puteți alege să înregistrați numai traficul legat de securitate sau întregul trafic. Traficul este înregistrat direct pe server, ceea ce înseamnă că include vizite care nu execută JavaScript. Google și alte pachete de analiză bazate pe JavaScript afișează, de obicei, numai vizitele de la browsere care sunt operate de un om, în timp ce Live Traffic poate afișa vizite de la crawler-uri precum Google și Bing.
Suport gratuit
Audit de securitate