На протяжении более 20 лет работы веб-разработчиком частью моей работы было обеспечение того, чтобы веб-сайты, которые я создаю, были простыми в использовании, красивыми на вид и, конечно же,безопасными..
Безопасность - одно из тех слов, которые часто встречаются в разговорах о разработке веб-сайтов. Это важно для всех, обещано из лучших побуждений, но до сих пор часто упускается из виду.
Небезопасный веб-сайт может привести к манипулированию и перехвату конфиденциальной информации клиентов.
Это информация, которую ваши клиенты добросовестно предоставляют вашему бизнесу, при условии, что вы сделали все необходимое для ее защиты – и вам нужно убедиться, что вы это делаете.
У меня есть резервные копии, и я могу восстановить их, если понадобится. Зачем мне «тратить время», беспокоясь о безопасности моего сайта?
Защита веб-сайта – это не только предотвращение взлома вашего сайта.
Хотя защитить ваши инвестиции важно, обеспечение безопасности вашего сайта больше связано с защитой ваших клиентов/посетителей.
Их информационная безопасность превыше всего.
Наличие уязвимого сайта может означать, что хакер может внедрить код, создающий впечатление, что ваш сайт запрашивает информацию у пользователя, но на самом деле передает эту информацию фишинговым мошенникам, сторонним спискам контактов и всевозможные гнусные действия.
Безопасный и удобный для посетителей веб-сайт также отражает их отношение к вашей компании.
Если ваш сайт не пользуется популярностью в отношении лучших практик, безопасности, защиты и т. д., это может быть прямой корреляцией с вашим корпоративным мировоззрением или вниманием к деталям.
В наши дни слишком большая конкуренция, и Интернет является первой точкой контакта в вашей отрасли, когда потребитель ищет, кому понравится его бизнес.
Как защитить свой сайт за 5 шагов
Ниже приведены наиболее важные шаги, которые можно предпринять для обеспечения безопасности веб-сайта. Некоторые связаны с архитектурой, некоторые - с инфраструктурой, но они одинаково важны.
Если на вашем сайте что-то отсутствует по обе стороны от этого, это может означать зияющую дыру в безопасности / целостности вашего сайта.
1. Убедитесь, что ваш сайт использует SSL-соединение
SSL-соединение - это один из самых простых способов обеспечить безопасность информации вашего клиента и предоставить ему действительный сертификат, подтверждающий это.
SSL (уровень защищенных сокетов) - это метод шифрования, используемый при подключении сервера вашего веб-хостинга к браузеру вашего клиента.
С его помощью любые отправленные формы или любые собранные / предоставленные личные данные защищены от кражи во время транспортировки. Когда пользователь нажимает кнопку отправки в ваших формах, данные, собранные в полях, шифруются, отправляются, а затем расшифровываются на обоих концах.
Теперь сертификат SSL - это подтверждение, предоставленное авторитетной, признанной третьей стороной, о том, что право собственности на ваш сайт подтверждено и что клиент может быть уверен в безопасности соединения.
Это позволяет пользователям понять, что ваша безопасность действительно настолько безопасна, как вы утверждаете. В противном случае потребители не знали бы этого наверняка.
2. Обеспечение строгой политики надежных паролей для администраторов
Если на вашем веб-сайте используется система управления контентом (CMS), то на вашем сайте обычно имеется внутренняя панель управления, где сотрудники или администраторы сайта могут войти в систему и внести изменения на сайт или выполнить различные другие функции.
Для пользователей естественно создавать пароли, которые им будет легко запомнить, но в конечном итоге это может представлять угрозу безопасности веб-сайта.
Возможно, вы слышали поговорку: «Цепь настолько сильна, насколько прочно ее самое слабое звено». Ну, то же самое и с безопасностью.
Один взломанный пароль администратора может привести к взлому вашего сайта способами, которые не имеют ничего общего с отказом в обслуживании и полностью связаны с кражей личной информации вашего клиента.
Если вы убедитесь, что процесс регистрации вашего сайта содержит строгую политику паролей, вы гарантируете, что ни один пользователь не сможет повлиять на целостность и безопасность вашего сайта.
3. Постоянно обновляйте свое программное обеспечение
Каждый день в существующем коде обнаруживаются новые уязвимости. Это может быть что угодно: от способов внедрения кода в системы PHP до уязвимостей JavaScript, обнаруженных в версии jQuery конкретного плагина WordPress.
Поскольку эти уязвимости становятся достоянием общественности, поставщики программного обеспечения обновляют свои кодовые базы, чтобы гарантировать, что они исправлены и установлены новые средства защиты, и вы, как администратор сайта, должны идти в ногу со временем.
Со временем хакеры охотятся на сайты, которые от умеренно до сильно устарели из-за легкости, с которой они могут получить контроль.
Мы уже много раз говорили о резервном копировании вашего веб-сайта как форме защиты от катастрофических событий.
Отличный процесс резервного копирования на уровне хоста обеспечивает возможность немедленного обновления программного обеспечения с минимальным тестированием.
Если во время обновления что-то пойдет катастрофически не так, вы всегда можете откатить его до последней точки резервного копирования и попросить своего веб-разработчика выяснить, почему обновление сломало сайт.
Для компаний, предоставляющих программное обеспечение как услугу, таких как HubSpot, все это позаботится за вас автоматически, и вам придется беспокоиться только о ваших маркетинговых/контент-стратегиях и их исполнении.
4. Купите услугу веб-хостинга, безопасность которой имеет первостепенное значение и которая заставляет клиентов последовать этому примеру
Хороший хостинг заставит свои веб-сайты применять определенные меры безопасности для всеобщей защиты.
Например, такие хостинговые компании, как WPEngine, заставляют своих пользователей обновлять свои пакеты хостинга до последней версии PHP в течение короткого периода времени после выпуска.
Они также делают это очень простым для своих клиентов и даже позволяют им протестировать свои сайты в новой версии перед обновлением существующих сред.
Это сделано для того, чтобы дать клиентам возможность обновить любой код, несовместимый с новой версией базового языка PHP, на котором работают многие системы управления контентом веб-сайтов, включая WordPress.
Подход «Попробуйте, прежде чем покупать», если хотите, обеспечивает высокий уровень соответствия и внедрения этих обновлений, избегая при этом полного сбоя веб-сайтов и недовольства клиентов.
Кроме того, если вы используете WordPress, многие хосты предоставляют автоматические обновления плагинов, что гарантирует, что ваши плагины всегда актуальны и не содержат уязвимостей, где это возможно.
Я всегда рекомендую, чтобы плагины использовались экономно, когда это возможно, и чтобы наши клиенты использовали только те плагины, которые имеют большую базу пользователей и активно поддерживаются.
Эти плагины обычно ориентированы на обратную совместимость среди многих других факторов, обеспечивающих безопасность, которую ваш сайт не будет нарушать каждый раз, когда вы обновляете их плагин.
Как мы уже упоминали выше, закрытые системы управления контентом, такие как HubSpot, берут на себя все заботы о вашей безопасности.
Можете поспорить, что у них есть лучшие специалисты по веб-безопасности, которые изо дня в день уделяют свое внимание и опыт работе.
5. Обязательно соблюдайте рекомендации по разрешению файлов и папок
Разрешения доступа к файлам и папкам вашего сервера определяют способ использования файлов и то, кем они могут быть использованы. Они устанавливаются индивидуально для каждого файла и папки, хотя существуют способы массового обновления в зависимости от типа.
Программное обеспечение обычно представляет собой набор файлов и функций, которые импортируются в другие файлы и функции.
Как вы можете себе представить, многие из них разбиты на множество различных файлов для организации, чтобы упростить обновление и немедленно сделать обновления доступными для всех остальных, кто их импортирует или использует.
Использование неправильных прав доступа к файлу может позволить хакеру получить доступ к файлу промежуточного программного обеспечения, упомянутому выше, и внедрить свои собственные функции, перехватить связь с сайтом и даже скопировать свой собственный код в другие файлы, что делает взлом супер трудно искоренить.
Это не для слабонервных. Вам определенно захочется обратиться к профессионалу, чтобы убедиться, что все настроено правильно, но простой вопрос может иметь решающее значение для того, чтобы кто-то посмотрел на него, а не для того, чтобы он остался незамеченным.
Существует множество способов обновить разрешения для папок, и разные CMS требуют разных разрешений. Обычно их можно изменить либо путем обновления их по одному в файловом менеджере, либо с помощью команд терминала SSH, которые могут обращаться к большему количеству файлов одновременно.
Защитите своих клиентов и свою репутацию
Безопасный веб-сайт дает уверенность в том, что пользователю необходимо вести дела с вашей компанией в Интернете. Сегодня ничто из того, что мы упомянули, не является ракетостроением или совершенно новой разработкой
Это стало нормой и тем, чего ожидают от вас как от поставщика контента.
Ваши клиенты наверняка будут судить о вас по вашей способности предоставить им безопасную среду, в которой общение и/или транзакции могут осуществляться без опасений, что их личная информация будет украдена.
Любое нарушение этого доверия может означать прямой удар по вашей прибыли, если ваши клиенты решат, что им лучше вести дела с одним из ваших конкурентов, у которого есть очень простой в использовании, безопасный и современный веб-сайт.
Обеспечение подушки доверия - это небольшой шаг к завоеванию доверия, которое вы хотите получить или сохранить от своих клиентов.