أمن الويب هو الغضب هذه الأيام بسبب حوادث اختراق متعددة التي تصنع الأخبار.
ولكن الأمر المحبط هو أنه على الرغم من العديد من المقالات حول هذا الموضوع ، فإن الشركات والمواقع الصغيرة على حد سواء ترتكب أخطاء يمكن تجنبها بسهولة عندما يتعلق الأمر بالتعامل مع الأشياء بالطريقة الصحيحة.
بضع خطوات في الاتجاه الصحيح هي كل ما يلزم للحفاظ على موقعك آمنًا.
لنلقي نظرة.
Contents
لا تستخدم الرموز العشوائية من الغرباء
رموز عشوائية من مستودعات منشورة للجمهور على مواقع مثل GitHub و Sourceforge و Bitbucket قد تحمل شفرات ضارة.
إليك كيفية إنقاذ نفسك بقليل من التفكير الذكي. يمكنك نشر الكود في وضع الصيانة ومعرفة كيفية عمله قبل نشره.
وبهذه الطريقة يمكنك منع مئات الساعات من نطح الرأس.
قد لا يؤدي اتخاذ أي إجراءات احترازية إلى الاستيلاء على الشفرة الخبيثة على موقعك والتسبب في التخلي عن الامتيازات الإدارية لموقعك وفقدان عملك الشاق.
أبدا نسخ رموز اللصق من الغرباء العشوائيين على الإنترنت. قم ببعض البحث عن الشخص ثم تابع تدقيق الكود الذي تحصل عليه.
قد تشعر بأنك ستتمكن من توفير بعض الوقت في لصق بعض التعليمات البرمجية ولكن الفهم الخاطئ مرة واحدة يكفي لحمل الكثير من المشاكل.
على سبيل المثال: إضافات WordPress ضعيفة ، رموزًا ضارة يمكن أن تتحكم في موقعك أو تضر بالموقع بطرق أقل أهمية مثل إدراج روابط متابعة لمواقع الطرف الثالث وسحب عصير الروابط.
غالبًا ما تظهر هذه الروابط فقط عندما يزور Googlebot الموقع ، وبالنسبة لجميع الزوار العاديين ، يظل الرابط غير مرئي.
تشارلز فلوت و Wordfence تعاونت لتستشهد بالعديد من الأمثلة الأخيرة لنقاط الضعف في مكون WordPress الإضافي.
الطريقة التي تعمل بها هذه الخدعة هي أن بعض كبار المسئولين الاقتصاديين الخبيثين يرسلون رسائل بريد إلكتروني للتوعية إلى مالكي مكونات WordPress الإضافيين الذين لم يتم تحديث مكوناتهم الإضافية منذ فترة.
يعرضون شراء المكوّن الإضافي ثم إجراء تحديث لهذا المكوّن الإضافي.
لا يزعج معظم الأشخاص مطلقًا للتحقق مما تم تحديثه في المكون الإضافي. هناك الكثير منهم يقومون بتشغيل التحديث بمجرد ظهوره.
ولكن في هذه الحالة ، سيقوم البرنامج المساعد بإنشاء وصول مستتر إلى موقع تحسين محركات البحث أو مواقع العملاء. أصبحت جميع المواقع التي تستخدم المكون الإضافي الآن عن غير قصد جزءًا من شبكة PBN.
تحتوي بعض هذه المكونات الإضافية على أكثر من 50000 تثبيت نشط. في الواقع ، يتم استخدام أحد المكونات الإضافية المدرجة على موقعي ، ولم أكن أعرف عن الباب الخلفي حتى الآن.
كما أعطتهم هذه المكونات الإضافية حق الوصول الإداري إلى المواقع المتأثرة.
يمكنهم أن يستحوذوا على موقع منافس جيدًا بهذه الطريقة دون فهرسة ، مما يجعله يختفي في SERPs.
تشفير المعلومات الحساسة
عندما تتعامل مع بيانات حساسة ، لا ينبغي أبدًا اعتبارها أمرًا مسلمًا به.
إنه دائمًا الخيار الأكثر حكمة لتشفير البيانات الحساسة. تقع المعلومات الشخصية المحيطة بالعملاء وكلمات مرور المستخدمين ضمن هذه الفئة.
يجب استخدام خوارزمية قوية لتحقيق هذه الغاية.
على سبيل المثال ، تعد AES 256 واحدة من أفضلها. ترى حكومة الولايات المتحدة نفسها أنه يمكن استخدام AES لتشفير المعلومات السرية وحمايتها ، وقد وافقت وكالة الأمن القومي علنًا على الشفرات وراء غطاء المحرك..
تشتمل AES على الشفرات التالية: AES-128 و AES-192 و AES-256. يقوم كل تشفير بتشفير البيانات وفك تشفيرها في كتل 128 بت ويوفر أمانًا محسنًا.
إذا كنت تقوم بتشغيل موقع قائم على الأعضاء ، والتجارة الإلكترونية ، وقبول الدفع ، فيجب عليك تأمين موقعك باستخدام شهادة TLS.
يجب دائمًا حماية بيانات المستخدم.
يتيح قبول بيانات المستخدم عبر الاتصالات غير الآمنة دائمًا للمتسلل فرصة سحب البيانات الثمينة.
معالجة الدفع
المشكلة في تخزين معلومات بطاقة الائتمان هي أنك تصبح هدفا.
صوتي القيادة في الأماكن العامة أعلنت أن اختراق خوادم الشركة أدى إلى سرقة ملايين بطاقات الائتمان والخصم.
كما شهدت المطاعم الأخرى ، والقيادة مثل Chipotle و Arby’s اختراقًا مشابهًا.
في بعض الأحيان ، ستحتاج إلى قبول معلومات بطاقة الائتمان وحفظها لتكرار الفواتير. هذا يتطلب منك شكوى PCI.
إن الامتثال لمتطلبات PCI هو عمل شاق.
لا تحتاج فقط إلى شخص خبير في PCI ، ولكنك تحتاج أيضًا إلى تحديث الموقع وقاعدة البيانات للحفاظ على الامتثال بشكل متكرر.
الامتثال ليس مطلبًا لمرة واحدة ، وتقوم PCI بتغييرها بانتظام لمعالجة التهديدات الناشئة.
بدلاً من ذلك ، يمكنك تخطي الجزء الصعب واختيار معالج الدفع مثل شريط الذي يقوم برفع الأثقال من أجلك.
إنها كبيرة ، ولديهم دعم يعمل على مدار الساعة ، وهم شكوى من PCI.
وإذا كنت تدير متجرًا عبر الإنترنت ، فيمكنك التفكير في استخدامه Shopify.
إذا كنت تخزن معلومات بطاقة الائتمان ، فاحرص بشكل خاص على أن الملفات التي تخزن معلومات بطاقة الائتمان والأجهزة التي يتم تخزينها عليها يجب أن تظل مشفرة.
قم بإصلاحه على الفور
إليك مثال لأوضح وجهة نظري.
تم استغلال ثغرة يوم الصفر التي عملت من خلال اختراق دعامات أباتشي 7 مارس 2017.
بحلول 8 مارس ، أصدر أباتشي تصحيحات للتغلب على المشكلة. ولكن يستغرق الأمر وقتًا طويلاً بين نشر التصحيح والشركات لاتخاذ الإجراءات اللازمة.
كانت Equifax واحدة من الشركات التي تم اختراقها.
قال Equifax في بيان أنه في 7 سبتمبر 2017 ، سرق المتسللون معلومات شخصية عن 143 مليون عميل.
استغل المتسللون ثغرة التطبيق نفسها التي ناقشناها أعلاه للدخول إلى النظام.
كانت الثغرة الأمنية في Apache Struts ، وهي إطار عمل لبناء تطبيقات الويب المستندة إلى Java.
استغل المتسللون هذه الحقيقة عندما ترسل Struts البيانات إلى الخادم ، فيمكنهم اختراق هذه البيانات. باستخدام تحميل الملفات ، أثار المتسللون أخطاء سمحت لهم بإرسال رموز أو أوامر ضارة.
وفقًا للشركة ، “أسماء العملاء وأرقام الضمان الاجتماعي وتواريخ الميلاد والعناوين ، وفي بعض الحالات ، أرقام رخصة القيادة” وكذلك “أرقام بطاقات الائتمان لحوالي 209000 مستهلك”. بالإضافة إلى ذلك ، تمت سرقة 182000 وثيقة من وثائق الاعتراض الائتماني تحتوي على معلومات شخصية.
أفكار ختامية
كما ترى ، فإن إدراك التغييرات في التكنولوجيا وأن تكون على اطلاع دائم على تصحيحات برامجك وقليلًا من الرؤية المتأخرة غالبًا ما يكون أكثر من كافٍ للتغلب على معظم المشاكل.
