Меню Затваряне

Защита на уеб сайт: как да се предпазите от атаки през 2020

Обновена на 06.07.2020 от Questo

Искате да осигурите добра защита на уеб сайт?

В тази статия ще разгледаме няколко ефективни техники за предпазване от популярни онлайн заплахи.

WordPress захранва около една трета от всички сайтове в интернет. Затова ще се съсредоточим върху защита на сайтове, създадени с тази система за управление на съдържание. Повечето от съветите обаче са валидни и за други платформи.

Базова защита на уеб сайт: започнете с това

защита на уебсайт

Ще започнем с няколко правила, които всеки може да спазва без усилия и кой знае какви разходи.

1. Изберете подходящ хостинг

Изборът на хостинг план е много важен. Сигурен съм, че искате да минете възможно най-тънко откъм цена, но тя не е единственият фактор. Ето за какво трябва да гледате, когато избирате.

SSL сертификат: той защитава потребителите на сайта и техните данни (разберете защо в точка 7 от статията). SSL сертификат можете да си набавите и отделно, при това безплатно, но защо да се занимавате, когато може просто да го получите като добавка към вашия хостинг план?

Включен трафик: колкото повече трафик има включен в плана ви, толкова по-малка е вероятността сайтът ви да се претовари или да стане жертва на DDOS атака.

DDOS защита: Ако сте търговец, медия, НПО или друга институция, не подценявайте опасността от DDOS атаки. Добрият хостинг план включва защита от DDOS атаки.

2. Използвайте силна парола

Омръзна ми да го повтарям, но просто е неизбежно.

Спрете да използвате лесни за отгатване пароли. Наскоро анализирах 25000 хакнати акаунти на българи.

Знаете ли какво открих?

Над 5% от тях използват 123456 за парола.

Използвайте трудни за отгатване пароли, които съдържат комбинация от малки и големи букви, числа и символи. Или още по-добре: използвайте фрази, които са трудни за отгатване, но са лесни за запомняне.

Не използвайте една и съща парола за достъп до вашия сайт и други онлайн услуги (например профил във Facebook).

Още полезни съвети при избора на парола.

3. Активирайте двуфакторна автентикация

Дори и някой да знае паролата за администраторския панел на сайта, двуфакторната автентикация ще осуети опита му да се логне.

Какво се случва, когато автентикацията е налице? Някой е научил паролата, прибира се вкъщи, открива логин панела на уеб сайта ви и се опитва да се логне от ваше име.

Но двуфакторната автентикация засича, че опитът за влизане е от непознато устройство. Затова системата изпраща на мобилния ви телефон втори код, който трябва да се въведе, преди да позволи влизането. Тъй като натрапникът не разполага с мобилния ви телефон, той не може да влезе в администраторския панел на сайта.

За да защитите WordPress сайта си с двуфакторна автентикация, ще трябва да инсталирате плъгин. Можете да използвате Google Authenticator, който се инсталира лесно и е безплатен. Освен плъгина, ще трябва да си инсталирате и мобилното приложение Google Authenticator, което ще генерира кодове за достъп.

4. Инсталирайте спам филтър

Най-известният такъв е Akismet, но можете да си изберете и друг. Дори и да не ви се занимава с това, рано или късно ще ви се наложи.

Щом спамърите ви надушат, сайтът ви ще започне да се пълни с хиляди коментари, които го забавят и превръщат разглеждането му в ад. Много коментари съдържат линкове към сайтове с нисък ранк или забранено съдържание, което може да ви издейства наказание от Google.

Някои коментари съдържат зловреден код (или линкове към такъв), което може да навреди на вас и посетителите на сайта.

Добрият спам филтър ви защитава от всичко това.

5. Обновявайте WordPress

Много хора подценяват тази мярка за защита на уеб сайт. WordPress се амортизира, в кода му се появяват уязвимости.

Обновяването на WordPress ви предпазва от тези уязвимости.

Разработчиците са го измислили така, че можете да обновите до най-новата версия на WordPress с един клик.

И не забравяйте: Винаги правете бекъп преди да обновите WordPress. Рядкост е, но се случва: при обновяване на версията е възможно да изгубите базата данни на сайта си. Затова е добре да имате предварително запазено копие.

6. Обновявайте плъгините

Същото важи за плъгините, които сте инсталирали на уеб сайта. В някой от тях може да има уязвимост, която се отстранява чрез обновяване до най-новата версия на плъгина.

Ето един пример как уязвимост в плъгина CodeSnippets позволява на чужди лица да превземат сайта ви. Проблемът се решава като обновите разширението до най-новата му версия.

Как да постигнете още по-добра защита

Минаваме към някои по-сложни за изпълнение мерки за сигурност.

7. Инсталирайте SSL сертификат

Той ще криптира връзката между потребителите на сайта и сървъра, на който се намира. Когато връзката е некриптирана, изпращаните между потребителя и сайта данни (например пароли, кодове за достъп) могат да бъдат „прихванати“ от злонамерени лица.

Липсата на SSL сертификат на сайта на Висшия съдебен съвет например може да доведе до теч на чувствителни данни. Статията е писана преди почти 5 години и от тогава няма никаква промяна: сайтът още няма SSL.

Можете да си вземете безплатен SSL сертификат от Let’s Encrypt и да го инсталирате на сайта си чрез подходящ плъгин като Really Simple SSL.

8. Създайте уникален URL адрес за логин страницата

Когато искате да администрирате вашия сайт, вие вероятно отивате на vashiatsait.com/wp-login.php. Това е адресът за логване в сайта, който е зададен по подразбиране от WordPress.

Не е добра идея да използвате този адрес, тъй като той е всеизвестен. Можете да го смените сравнително лесно с плъгин. Примери за такъв: Custom Login URL, WPS Hide Login, Rename wp-login.php.

9. Ограничете IP адресите, които имат достъп до админ панела

Можете да ограничите IP адресите, които имат достъп до администраторския панел на сайта. Така непознати IP адреси няма да могат да бърникат из настройките.

Неудобството е, че и вие ще сте ограничени: например няма да може да влизате в админ панела от чужди компютри.

За да филтрирате IP адресите, които имат достъп, влезте в .httaccess файла на вашата WordPress инсталация. (Ако не знаете какво е това, намерете човек, който може да го направи вместо вас!)

Добавете към файла следния код:

order deny, allow

allow from NAPISHETE VASHIA IP ADRES

deny from all

Заключение

Тази статия разглежда само част от проблемите, които могат да възникнат със сайта ви. Заплахите са много пвече: SQL инжекции, XSS уязвимости, DDOS атаки…

Считайте посочените тук съвети като първа стъпка към изграждането на по-сигурна и работеща интернет страница.

ИМАШ ПОЩА!

Веднъж месечно ще изпращаме на имейла ти съвети и истории, които ще ти помогнат да предпазиш данните си.

Подобни статии

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *