4个避免常见网络安全漏洞的提示
网络安全是当今的热门话题,因为多次黑客攻击事件成为新闻报道的焦点。
但令人沮丧的是,尽管有很多关于此主题的文章,但无论是企业还是小型网站,在处理事情的正确方式上都犯了一些轻易可避免的错误。
只需朝着正确的方向迈出几步就足够了keep your site secure。
我们来看一下。
不要使用来自陌生人的随机代码
像GitHub、Sourceforge和Bitbucket等网站上公开发布的代码可能含有恶意代码。
以下是如何通过一点聪明思考来保护自己的方法。您可以将代码部署到维护模式,并在将其上线之前查看其工作原理。
这样可以避免数小时的碰壁。
不采取预防措施可能导致恶意代码接管您的网站,并导致您失去网站的管理权限,从而失去您的努力成果。
绝对不要从网络上的陌生人处复制粘贴代码。在查看您收到的代码之前,对该人进行一些研究,然后进行代码审计。
您可能会觉得通过复制粘贴一些代码可以节省一些时间,但只要出错一次就足以带来一大堆麻烦。
例如:存在漏洞的WordPress插件恶意代码可能会控制您的网站或以较不严重的方式损害网站,例如插入到第三方网站的关注链接并消耗链接权重。
这些链接通常只在Googlebot访问网站时出现,对于所有普通访问者来说,该链接都是不可见的。
Charles Floate和 Wordfence合作引用了许多最近发现的WordPress插件漏洞的例子。
这种骗局的运作方式是向那些插件已经有一段时间没有更新的WordPress插件所有者发送外联邮件。
他们提供购买该插件,然后对该插件进行更新。
大多数人从不检查插件的更新内容。由于插件太多,他们一出现就进行更新。
但在这种情况下,该插件将为SEO网站或客户网站创建一个带有后门的访问。现在使用该插件的所有网站无意间成为PBN网络的一部分。
其中一些插件的活跃安装量超过50000。实际上,我网站上使用的其中一个插件也在列表中,直到现在我才知道其中存在后门。
这些插件还使他们获得了受影响网站的管理权限。
他们很可能使用此方法接管竞争对手的网站并将其设置为禁止索引,从而有效地使其在搜索结果中消失。
加密敏感信息
当您处理敏感数据时,永远不应将其视为理所当然。
对于敏感数据,始终采用加密是更明智的选择。客户和用户密码之类的个人信息属于此类别。
应使用强大的算法来实现此目的。
例如,AES 256是其中最好的算法之一。美国政府本身认为AES可以用于加密和保护机密信息,并且该算法已经经过美国国家安全局的公开批准。
AES包括以下密码:AES-128、AES-192和AES-256。每个密码都以128位块对数据进行加密和解密,并提供了增强的安全性。
如果您运行的是基于会员的网站、电子商务网站或接受付款,则必须使用TLS certificate来保护您的网站。
用户数据始终应受到保护。
在不安全的连接上接受用户数据总是给黑客一个窃取宝贵数据的机会。
处理支付
存储信用卡信息的问题在于您成为了攻击目标。
Sonic Drive-In publicly宣布公司服务器遭到入侵,导致数百万张信用卡和借记卡被盗。
其他餐厅,比如Chipotle和Arby’s,也遇到了类似的黑客攻击。
有时候你需要接受信用卡信息并保存以进行循环计费。这要求你必须符合PCI合规要求。
成为符合PCI合规的是非常辛苦的。
你不仅需要一个懂得PCI的人,还需要经常更新网站和数据库以保持符合要求。
合规并不是一次性要求,PCI定期更改要求以应对新出现的威胁。
相反,你可以跳过这个困难的部分,选择像Stripe这样的支付处理器,他们会为你处理繁重的工作。
他们很大,有全天候的支持,并且符合PCI要求。
如果你经营一个在线商店,那么你可以考虑使用Shopify。
如果你确实存储信用卡信息,请特别注意存储信用卡信息的文件和存储它们的硬件都应保持加密。
立即修补
这里有一个例子来说明我的观点。
一个通过攻击Apache struts来进行操纵的零日漏洞被March 7, 2017揭示。
到3月8日,Apache发布了补丁来解决这个问题。但是在发布补丁和公司采取行动之间需要很长时间。
Equifax就是被黑客攻击的公司之一。
Equifax在一份声明中表示,在2017年9月7日,黑客窃取了1.43亿名客户的个人信息。
黑客利用我们上面讨论的同样的应用漏洞进入了系统。
该漏洞存在于Apache Struts中,它是构建基于Java的Web应用程序的框架。
黑客利用这个事实,当Struts将数据发送到服务器时,他们可以破坏这些数据。黑客通过文件上传触发漏洞,从而可以发送恶意代码或命令。
根据该公司的说法,“顾客姓名、社会安全号码、出生日期、地址以及部分顾客的驾驶执照号码”,还有“约20.9万消费者的信用卡号码。”此外,还窃取了18.2万份包含个人信息的信用纠纷文件。
总结思考
正如你所看到的,了解技术变化,及时更新软件补丁以及一点点远见常常足以化解大多数麻烦。
