10 лучших практик безопасности веб-хостинга, которым нужно следовать в 2020 году
Опубликовано: 2022-04-28Угрозы следуют за тенденциями, и благодаря цифровому взрыву, охватившему весь мир, размещение веб-сайтов сегодня становится все более опасным.
Это еще хуже, учитывая, что большинство людей, владеющих веб-сайтами, пытаются их монетизировать, а это означает, что существует потенциал для значительного влияния.
Несмотря на то, что Google в прошлом году предупредил об усилении внимания к мобильной готовности веб-сайтов, в 2018 году атаки мобильных вредоносных программ удвоились. Хотя это конкретно может быть связано лишь слабо, можно увидеть общую тенденцию угроз кибербезопасности, следующих за толпой.
Безопасность веб-хостинга может быть проблемой, особенно для небольших веб-сайтов с ограниченными ресурсами. В конце концов, если даже финансовые учреждения с многомиллиардными бюджетами кибербезопасности могут быть взломаны, на что же нам надеяться, верно?
Не совсем правильно.
Сдаваться и игнорировать киберугрозы только потому, что вы думаете, что у вас нет ресурсов для их преодоления, — ошибка. Кибератаки тратят значительно больше времени и ресурсов на проникновение в важные цели, потому что есть потенциал для крупного выигрыша.
Тем не менее, для небольших сайтов, чтобы смягчить большинство проблем, достаточно держать все под контролем и следовать стандартным рекомендациям по обеспечению безопасности веб-хостинга. Ну, если только вы не сделали кого-то очень расстроенным из-за вас по какой-то причине.
Сегодня я собираюсь поделиться с вами некоторыми передовыми методами обеспечения безопасности веб-хостинга, а также предложить действенные советы, которые вы можете попробовать, чтобы усилить свою защиту.
Не можете получить доступ к вашему сайту? Вас взломали? Забыли пароль или всю учетную запись? Ваши основные файлы скомпрометированы? Бесплатный сценарий аварийного восстановления разрешит ваш кошмар одним щелчком мыши.
10 лучших практик безопасности веб-хостинга, которым нужно следовать
1. Придерживайтесь авторитетного провайдера веб-хостинга
Ваш хостинг-провайдер играет гораздо большую роль в безопасности вашего сайта, чем вы думаете. С точки зрения физического пространства, в котором находится ваш веб-сайт, и трафика, входящего и исходящего с вашего веб-сайта, ваш провайдер веб-хостинга играет очень важную роль в том, что касается вашей безопасности.
Например, часто именно веб-хост заботится о стандартных элементах, таких как антивирус и защита от вредоносных программ. Некоторые провайдеры веб-хостинга также предлагают системы защиты от спама, автоматизированного резервного копирования и восстановления, а если вам повезет, то даже используют сеть распространения контента (CDN).
Совет . Сделайте безопасность своим главным фактором при выборе веб-хостинга. Если вы размещаете сайт в течение некоторого времени и он вырос до такой степени, что вы можете оправдать переход на учетную запись хостинга VPS, я рекомендую вам сделать это как можно скорее. Хостинг VPS предлагает гораздо лучшие функции безопасности, чем стандартные учетные записи виртуального хостинга.
2. Используйте CDN
Как я уже упоминал выше, некоторые веб-хосты работают с CDN, но если они этого не делают, вы также можете сделать это для себя. CDN помогают быстрее обслуживать ваши веб-страницы для посетителей, размещая кэши вашего сайта на серверах по всему миру. Когда запрашивается доступ к вашему сайту, CDN сначала будет обслуживать кэшированные данные из места, ближайшего к тому, где они были запрошены.
Однако, помимо преимущества в скорости, CDN также используют массивные серверные сети, чтобы предложить то, что называется балансировкой нагрузки. Это означает, что используя CDN, вы частично отрабатываете ресурсы своего сервера и можете управлять большим количеством посетителей.
Это связано с лучшей частью использования CDN, предотвращением распределенных атак типа «отказ в обслуживании» (DDoS). DDoS-атаки пытаются перегрузить и закрыть веб-сайты, заваливая их запросами до тех пор, пока сервер не отключится. Однако CDN предназначены для усиления безопасности, компенсируя это через свою серверную сеть.
Совет : попробуйте использовать Cloudflare в качестве CDN. Доступны бесплатные учетные записи с базовыми функциями, и вы можете расширять их по мере изменения ваших потребностей.
3. Всегда используйте SSL-сертификаты
Сертификаты Secure Sockets Layer (SSL) помогают гарантировать вашим посетителям, что любая информация, которой они делятся на вашем сайте, зашифрована и будет в безопасности. Сегодня SSL становится настолько важным, что основные интернет-браузеры будут предупреждать пользователей, если сайт не использует SSL.
Существует несколько типов SSL-сертификатов, и цены на каждый из них различаются. Будьте уверены, что если вы используете личный сайт или даже сайт для малого бизнеса, вы можете легко использовать бесплатный сертификат SSL. Их легко получить и установить; на самом деле, вы можете сделать это несколькими щелчками мыши в Plesk или cPanel.
Совет : вы можете получить бесплатный SSL-сертификат от Let's Encrypt либо напрямую у них, но лучше, если ваш веб-хостинг предлагает эту услугу. Сегодняшние веб-хостинги позволят легко установить бесплатный SSL от Let's Encrypt.
4. Всегда сохраняйте резервные копии
Автоматическое резервное копирование и восстановление с хостингом WPX
Хотя есть веб-хосты, которые предлагают функции резервного копирования и восстановления, некоторые до сих пор этого не делают. Независимо от этого, вы всегда должны делать свои собственные резервные копии и на всякий случай хранить набор файлов в автономном режиме. Это может показаться вам немного утомительным, но вы понятия не имеете, как ваш хост настроил свою систему резервного копирования или что может произойти в случае аварии. Сохранение автономной резервной копии (как ваших файлов, так и базы данных!) может спасти вам жизнь.
Совет : автоматизировать процесс резервного копирования в автономном режиме проще, чем вы думаете, особенно если вы используете WordPress. Используйте подключаемый модуль резервного копирования UpdraftPlus, и вы сможете удаленно выполнять резервное копирование с любой частотой в место назначения по вашему выбору. Вы также можете проверить эти службы резервного копирования для WordPress
5. Усильте пароли
Вы слышали об этом, видели, как это происходит в кино, и можете быть виновны в том, что делаете это сами, но использование легко запоминающихся паролей — это рецепт катастрофы. Сегодняшние хакеры достаточно искушены, чтобы иметь целые файлы, называемые словарями, заполненными часто используемыми паролями, которые они проверяют на предмет защиты сайта.
Для сравнения: ботнет может подобрать шестизначный пароль примерно за четыре часа. Помните, что все это автоматизировано, поэтому, пока вы и кибер-злоумышленники спите, боты пытаются взломать веб-сайты.
Советы . Используйте более длинный и сложный пароль, предпочтительно состоящий из комбинации прописных и строчных букв, цифр и специальных символов.
6. Зашифруйте собственное соединение
Поскольку вы являетесь владельцем своего веб-сайта, ваше подключение к вашей учетной записи веб-хостинга должно быть более безопасным, чем соединение с вашими посетителями. Я рекомендую вам передавать файлы с помощью протокола безопасной передачи файлов (SFTP) или через соединение виртуальной частной сети (VPN).
Любой метод поможет предотвратить попытки перехватить и украсть данные, которые вы отправляете на свой веб-сервер. Лично я рекомендую использовать VPN, хотя стоимость обычно выше, чем при использовании SFTP-клиента. Виртуальные частные сети работают, шифруя все, что отправляется с вашего компьютера, поэтому охватывает все сценарии!
Совет . Если VPN вам не по душе, существует множество бесплатных SFTP-клиентов, доступных для использования. Я рекомендую FileZilla, который является чрезвычайно мощным и с открытым исходным кодом.
7. Держите все в курсе
Один из способов, которым злоумышленники пытаются получить доступ к веб-сайтам, — это использование известных уязвимостей в программном обеспечении. Почти во всех программах есть какие-то ошибки или лазейки, и многие из них постоянно обновляются, чтобы блокировать эти бреши по мере их обнаружения разработчиками.
Убедитесь, что вы постоянно обновляете все программное обеспечение, которое используете для своего веб-сайта. Если вы используете WordPress, убедитесь, что обновляется не только ваша установка WordPress, но и каждый плагин или тема, которые вы установили.
Совет : некоторые веб-хостинги предлагают обновления сайтов WordPress одним щелчком мыши, что позволит вам быстро обновить не только один сайт, но и все ваши сайты, размещенные под вашей учетной записью.
8. Используйте файлы конфигурации сервера
Тип файлов конфигурации сервера, с которыми вам нужно иметь дело, зависит от того, на какой платформе веб-хостинга вы работаете. Например, Apache использует .htaccess, а Microsoft использует файлы web.config. Эти файлы конфигурации чрезвычайно мощны и могут использоваться для повышения безопасности вашего сайта.
Добавив правильные правила в файлы конфигурации вашего сервера, вы можете запретить просмотр каталогов, запретить другим делать горячие ссылки на изображения на вашем сайте и даже защитить определенные файлы.
Совет : Если вы не уверены, на каком веб-сервере вы находитесь, вы можете быстро проверить это здесь.
9. Обратите внимание на права доступа к файлам
Файлы имеют несколько свойств, которые определяют, что пользователи могут делать с ними и кем. По сути, есть три роли, которые могут взаимодействовать с файлами; владельцы, группы и общественность. Что они могут делать с файлами, так это читать, писать или выполнять их.
Чтобы по-настоящему обезопасить свой сайт, узнайте, какие файлы являются важными, и проверьте разрешения, установленные для каждого из них. Неправильно определенное разрешение файла может привести к тому, что любой, у кого есть доступ к нему, может добавить вредоносный код, который может нанести вред вашему сайту.
Совет : Разрешение файла 666 позволяет кому угодно записывать что угодно в ваш файл — будьте крайне осторожны при использовании этого параметра!
10. Используйте двухфакторную аутентификацию
Что касается пункта № 5, независимо от того, насколько длинным или сложным является пароль, он все еще может быть взломан. Если это действительно ваша фобия, я настоятельно рекомендую вам поискать систему двухфакторной аутентификации (2FA).
Использование 2FA означает, что помимо вашего пароля система, к которой вы пытаетесь получить доступ, должна проверять вашу личность другими способами. Самый быстрый и распространенный метод 2FA — аутентификация с помощью мобильного кода.
Как только ваш пароль будет подтвержден, система отправит код на ваше мобильное устройство и отобразит вам код аутентификации. Вы должны ввести этот код в систему, прежде чем получить доступ. Это значительно повышает безопасность вашей системы.
Совет : на рынке доступно множество систем 2FA. Если вы используете WordPress, есть даже несколько бесплатных, которые вы можете попробовать, например, Google Authenticator.
Вывод: говори тихо и держи большую палку
Хотя здесь я привел 10 примеров лучших практик безопасности веб-хостинга, их гораздо больше, и некоторые из них могут включать более одного элемента, который вы можете сделать или уделить внимание улучшению. Из-за этого владельцам веб-сайтов может быть сложно отслеживать все, особенно если это не является вашим основным бизнесом.
Я рекомендую вам составить контрольный список, в котором вы перечислите все, что необходимо контролировать, и разделите это по частоте. Например, какие элементы нужно проверять ежедневно, еженедельно или ежемесячно. Это поможет вам не отставать от скорости.
Помните, что вам не обязательно иметь идеальную безопасность веб-сайта — это невозможно. Что вам действительно нужно сделать, так это максимально усложнить задачу любому злоумышленнику, чтобы он потерял интерес к вашему сайту и перешел к более легкой добыче.
Как сказал Тедди Рузвельт, «говори тихо и носи большую дубинку». Ваша система безопасности — это, так сказать, ваша большая дубинка.