Как обеспечить защиту сайта

Угрозы интернета для детей

Нежелательный контент

Это могут быть жестокие сцены насилия, причинение вреда живым существам, порнографические материалы и другое. Нужно понимать, что рано или поздно ребёнок столкнётся с подобным контентом, как бы вы ни старались это предотвратить

Важно сделать то, что в ваших силах, чтобы это не оставило сильного травмирующего отпечатка на психике сына или дочери. 

Что делать для обеспечения безопасности ребёнка в Сети: 

Если ребёнок маленький, рекомендуем установить родительский контроль. Существуют различные программы, которые ограничивают доступ к подозрительным сайтам, помогают контролировать действия и безопасность детей в Сети и лимитируют время пребывания в интернете. Родительский контроль также будет плюсом, если малыш учится в онлайн-школе. Можно ограничить доступ к социальным сетям, Youtube и другим платформам в часы занятий. Так ребёнок точно не станет отлынивать от просмотра уроков.

С этой задачей справляется мобильное приложение «Где мои дети». Программа позволяет контролировать использование смартфона ребёнком.Вы узнаете:    — не сидит ли ребёнок в YouTube во время отдыха;     — не играет ли на телефоне вместо занятий и    — какой возрастной рейтинг у игр, в которые он играет.

Установите приложение «Где мои дети» и смотрите статистику использования приложений ребёнком в своём телефоне.

Киберпреступность 

Под этим термином понимают широкий спектр нарушений закона — от вымогательства личных данных до вовлечения несовершеннолетних в торговлю наркотиками. Недавно на фейсбуке набрал популярность пост матери, рассказавшей о том, что её дочь-подросток чуть не устроилась на подработку курьером за 80 тысяч рублей в месяц. Скорее всего, девочка даже не понимала, что доставлять нужно будет запрещённые вещества, а не посылки.

Что делать, чтобы избежать этой опасности в интернете для детей: 

  • Установите антивирус. Он будет блокировать подозрительные программы, которые ребёнок может нечаянно скачать на компьютер. Ими нередко пользуются хакеры, чтобы получить доступ к персональным данным. Кроме того, антивирус предупредит ребёнка о переходе по подозрительной ссылке, которая может позволить мошеннику дистанционно управлять устройством пользователя.
  • Учите ребёнка здравому смыслу. Он должен понимать, что некоторые вещи — например, имена и должности родителей, адрес, пароль от социальной сети и так далее — нельзя никому раскрывать. Объясните, что интернет позволяет любому человеку выдавать себя за кого угодно. Перед тем как встретиться с другом, которого нашёл в Сети, лучше поговорить со взрослыми. Здравый смысл — одно из главных правил безопасности детей в интернете.

<<Блок перелинковки>>

Кибербуллинг

Если ребёнок становится агрессивным, злым, раздражённым или дёрганным после общения в Сети, это может быть признаком травли или конфликтов. Возможно, малыш подвергается психологическому давлению, издевательствам или угрозам в интернете.

Что делать для обеспечения детской безопасности ребёнка в интернете:

  • Обсудите с ребёнком ситуацию и дайте понять, что вы всегда его поддержите. Выясните, что могло послужить причиной происходящего, кто именно участвует в неприятном общении и как эти люди ведут себя в реальной жизни.
  • Лучший способ борьбы с агрессорами в Сети — игнорирование. Помогите ребёнку внести их в «чёрный список». Если в травле участвуют ученики школы, необходимо сообщить об этом учителю и школьному психологу. Если ситуация становится пугающей, соберите все доказательства (скриншоты, фото) и обратитесь в правоохранительные органы. 
  • Если справиться самостоятельно у вас не получается, а учителя и администрация школы не хочет вмешиваться и остаётся в стороне, изучите портал Травли.NET, там вы сможете получить квалифицированную помощь о безопасности подростков в интернете и защите от кибербуллинга.

Регулярное обновление тем и плагинов

Важно оперативно обновлять все шаблоны и плагины. ВордПресс позволяет сейчас это делать автоматически, что довольно удобно для владельцев сайтов, которые не очень часто заходит в админку

Включив функцию автоматического обновления, вебмастер может быть уверен в том, что у него установлена самая последняя версия программного обеспечения. Наличие устаревшего плагина – одна из основных причин взлома.

Существует ряд причин, по которым эту функцию некоторые вебмастеры предпочитают не включать. Например, новая версия того или иного плагина может оказаться несовместима с другими вашими модулями. Поэтому тут для себя каждый решает сам.

Anti-CSRF токены для формы входа

Принято считать, что Anti-CSRF токены необходимы только тогда, когда пользователь вошел в систему. Поэтому формы входа обычно не используют никакой защиты CSRF. Несмотря на то, что невозможно выдать себя за пользователя до того, как он войдет в систему, отсутствие защиты CSRF для форм входа может привести к тому, что пользователя обманом заставят войти в систему в качестве злоумышленника и раскрыть конфиденциальную информацию. Например, атака может быть проведена следующим образом:

  1. Злоумышленник создает учетную запись на вашем сайте.
  2. Злоумышленник обманом заставляет жертву войти на ваш сайт, используя свои учетные данные (это возможно, если для формы входа нет защиты CSRF).
  3. Жертва использует ваш веб-сайт и может не осознавать, что вошла в систему под другим пользователем.
  4. Злоумышленник может следить за жертвой с помощью функции истории или каким-либо другим способом и таким образом получить выгоду от использования жертвой вашего сайта.

По этим причинам рекомендуется также включать anti-CSRF токены на все страницы входа.

7) Несвоевременное обновление программного обеспечения

Несвоевременная установка необходимых обновлений (для таких программ, как Windows, Java, Flash и Office) – это ошибка, которая играет на руку киберпреступникам, предоставляя им возможность получить доступ к вашему компьютеру.

Даже надежное антивирусное решение может оказаться бессильным, если в популярном ПО имеются уязвимости. Например, как пишет V3, недавно Microsoft выпустила исправление MS15-081 для некоторых уязвимостей в Office.

Если вы вовремя не устанавливаете обновления, вы не получаете новые патчи и тем самым оставляете в своей системе лазейку, которую злоумышленники могут использовать для атаки и кражи ваших данных.

Постоянное шифрование

Чтобы результатом действий на сайте не стала утечка личных данных или спам-атака на почту, пользуйтесь ресурсами, сетевой адрес которых начинается с HTTPS. Это значит, что соединение между вами и сервером шифруется – информацию не получится перехватить.

Современные браузеры напоминают о риске нешифрованного соединения. Если при проверке сертификата данные не совпадают, на экране появляется предупреждение. Правда, его можно проигнорировать, нажав «Я принимаю риск, всё равно перейти».

Чтобы повысить уровень защиты, зашифруйте столько интернет-трафика, сколько сможете, с помощью расширения HTTPS Everywhere. Оно автоматически заставляет сайты использовать HTTPS протокол вместо HTTP. Его можно бесплатно установить в браузеры Google Chrome, Mozilla Firefox и Opera, в том числе и на мобильных устройствах.

Информации в облачных хранилищах тоже не мешает добавить защиты. Установите программу для шифрования данных в облаке, например, Boxcryptor или nCrypted Cloud.

В чём опасность?

Фрод (мошенничество). Когда юзер оплачивает покупки или услуги банковской картой на вредоносном сайте, создатели ресурса могут получить доступ к реквизитам пользователя.

• Взлом аккаунтов. Тот случай, когда злоумышленники получают логины и пароли от почты, онлайн-банкинга или социальной сети.

• Утечка данных. Сбор личной информации человека для передачи третьим лицам. В такой скандал попадал Facebook. Социальная сеть допустила массовую передачу данных 50 миллионов пользователей, которым потом показывалась политическая таргетированная реклама.

• Проникновение. Обеспечение удалённого доступа для мошенников на персональный компьютер через вредоносное ПО.

• Фишинг. Сайты-подделки под популярные сервисы: социальные сети, платёжные ресурсы, онлайн-банки. Рассылки, которые маскируются под рассылку от авторитетных сайтов (Google, Mail.ru, Facebook, VK). Они рассчитаны на невнимательность человека и пытаются заполучить доступ к конфиденциальным данным — логинам и паролям.

Что помогает защитить себя в интернете?

Чтобы защитить себя в интернете не нужно выстраивать оборону против каждого вида проникновения – достаточно соблюдать комплексные меры безопасности и использовать здравый смысл. Это сократит вероятность утечки персональной информации и не даст вредоносному программному обеспечению начать работу.

Инструменты проверки веб-сайтов

Когда вы уже думаете, что сделали всё возможное, настало время протестировать систему безопасности вашего сайта. Наиболее эффективный способ сделать это – использовать инструменты проверки сайтов, также известные как тесты на проникновение или pen-тесты.

Для этого существует множество коммерческих и бесплатных продуктов. Они работают по схожей со скриптами хакеров схеме, используя все известные эксплойты и пытаясь взломать ваш сайт одним из описанных выше способов, например, при помощи SQL-инъекции.

Вот некоторые бесплатные инструменты:

  • Netsparker (доступна бесплатная пробная версия). Подходит для тестирования на SQL-инъекции и XSS
  • OpenVAS. Позиционирует себя как наиболее совершенный сканер системы безопасности с открытым кодом. Подходит для тестирования на известные уязвимости, на данный момент проверяет более 25000.

Но он сложен для установки и требует наличия сервера OpenVAS, который работает только под *nix.

OpenVAS – это разновидность системы Nessus до того, как последняя стала коммерческим продуктом.

Результаты автоматизированных тестов могут быть пугающими, так как они показывают все разновидности потенциальных угроз. Важным моментом является работа в первую очередь над критическими замечаниями.

К каждой выявленной проблеме прилагается хорошее объяснение потенциальной угрозы безопасности. Вы, скорее всего, решите, что некоторые средне- и малоопасные уязвимости не представляют угрозы для вашего сайта.

Если вы хотите пойти дальше, тогда есть и ещё некоторые действия, которые вы можете предпринять, попытавшись вручную взломать ваш сайт, изменяя значения POST/GET запросов.

Здесь вам может помочь debugging proxy (прокси-сервер отладки), так как он позволяет вам перехватывать значения HTTP запросов на участке между вашим браузером и сервером. Популярное бесплатное приложение, которое называется Fiddler, подойдёт для начала.

Так что же вам стоит попробовать изменить в запросе? Если у вас есть страницы, которые должны быть доступны только авторизованным пользователям, тогда я бы попробовал изменить параметры URL, такие как ID пользователя или значения cookie, чтобы попытаться выдать себя за другого пользователя.

Другая возможная область тестирования – формы. Изменяйте значения POST, чтобы попробовать отправить межсайтовый запрос или загрузить серверный скрипт:

Мы надеемся, что наши советы помогут вам содержать сайт и информацию на нём в безопасности.

К счастью, многие CMS имеют достаточно встроенных инструментов защиты, но всё равно неплохо знать о наиболее популярных угрозах безопасности, чтобы быть уверенным, что вы от них застрахованы.

Также существуют некоторые полезные модули CMS для проверки вашей системы на наиболее частые уязвимости.

Среди них Security Review для Drupal и WP Security Scan для WordPress.

Использование непостоянных токенов

Если ваша веб-страница или веб-приложение очень загружены, а хранилище на сервере ограничено, вы, вероятно, захотите избежать сохранения токенов на стороне сервера. В этих случаях вы можете генерировать и обрабатывать токены криптографически. При таком подходе нет необходимости хранить токен в сеансе сервера:

  1. Используйте симметричное шифрование с ключом, который известен только серверу и никогда не передается.
  2. Объедините текущую метку времени, имя пользователя и имя формы (при необходимости), а затем зашифруйте эту комбинацию с помощью ключа сервера.
  3. Когда вы получаете токен из веб-браузера, расшифруйте его с помощью того же ключа.
  4. Сравните метку времени из расшифрованного содержимого с текущей меткой времени (чтобы исключить старые токены), сравните расшифрованное имя пользователя с текущим именем пользователя и сравните имя расшифрованной формы с именем текущей формы.

Обратите внимание, что хотя этот метод поможет вам избежать хранения большого количества информации, но он может иметь накладные расходы на производительность, поскольку криптографические функции потребляют больше ресурсов, чем простая генерация случайных чисел. Другой вариант для непостоянных токенов — файлы cookie с двойной отправкой

В этом методе сервер устанавливает случайное значение в файле cookie для пользователя еще до его аутентификации. Затем сервер ожидает, что это значение будет отправляться с каждым запросом (например, с использованием значения скрытой формы)

Другой вариант для непостоянных токенов — файлы cookie с двойной отправкой. В этом методе сервер устанавливает случайное значение в файле cookie для пользователя еще до его аутентификации. Затем сервер ожидает, что это значение будет отправляться с каждым запросом (например, с использованием значения скрытой формы).

Что такое атака грубой силы?

Атака грубой силы-это игра в угадайку методом проб и ошибок, в которую играют хакеры, чтобы проникнуть внутрь бэкенда вашего сайта WordPress. О чем они догадываются, спросите вы? Пароль вашей страницы входа в систему.

Часто осуществляемая ботами или скриптами, чтобы облегчить задачу (в конце концов, ручная попытка взломать веб-сайты через интернет заняла бы целую вечность), этот тип атаки обычно направлен на страницы входа в веб-сайт.

Угадать комбинацию паролей вашего сайта не так сложно, как вы думаете. На самом деле Cloudflare напоминает нам, что при наличии достаточного времени любая система, основанная на паролях, может быть взломана с помощью грубой атаки.

Из-за этого очень важно, чтобы владельцы сайтов активно подходили к безопасности сайта и скрывали свою страницу входа в WordPress, чтобы никто никогда не смог туда войти. В конце концов, хакеры не могут взломать то, что не могут найти

Ограничьте свое присутствие в Сети, чтобы защитить свою конфиденциальность

Защита персональных данных с помощью антихакерского ПО

Сегодня существует большой выбор программ для защиты ваших данных онлайн. Одни мешают сайтам отслеживать ваши действия в Сети, другие не позволяют хакерам устанавливать вредоносное ПО на ваш компьютер. Одни доступны в виде расширений к браузеру, другие нужно устанавливать отдельно. Пожалуй, называть их антихакерским ПО слишком смело. Серьезно настроенного хакера они не остановят, но сильно усложнят ему задачу по взлому вашего компьютера и краже ваших данных.

Например, плагины в браузере не позволяют сайтам вас отслеживать. Facebook, например, делает это даже в фоновом режиме, сохраняя историю вашего браузера и используя ее в дальнейшем для подбора контекстной рекламы. Цель довольно безобидна, однако уже не раз были случаи компрометации данных, собранных Facebook, поэтому стоит позаботиться об их безопасности.

Вам нужна надежная защита от вирусов и вредоносного ПО. Стоит клавиатурному шпиону попасть в ваш компьютер – и прощай, онлайн-конфиденциальность. Кроме того, не помешает время от времени чистить компьютер или смартфон, удаляя все хакерские программы.

Можно также установить приложение, которое сотрет все данные с вашего смартфона в случае его потери или кражи. А если ваши устройства синхронизированы, вы можете удаленно стереть данные с любого из них, не допустив хакеров к вашему списку контактов или банковским данным.

Хоть это и не совсем антихакерское ПО, но хороший менеджер паролей – на вес золота

Использование отдельных надежных паролей для каждой учетной записи – основная мера предосторожности, позволяющая снизить риск взлома. Но это непросто, если у вас много учетных записей

Менеджер паролей поможет их обезопасить, но и его можно взломать, поэтому придумайте для него надежный пароль.

Вы можете установить все эти средства защиты по отдельности или воспользоваться решением Kaspersky Total Security – в нем есть все для защиты данных.

Пять правил ВКонтакте:

1. Пароль должен быть сложным. Сложный пароль — это комбинация, созданная по определенным правилам. Более подробно эти правила изложены в книге «Вся правда о паролях», ознакомиться с которой можно здесь. Пароль от почты, на которую зарегистрирован аккаунт, также должен быть сложным и не должен совпадать с паролем от вашего аккаунта. Старайтесь менять пароль от личной страницы ВКонтакте не реже раза в три месяца.

2. Не устанавливайте сомнительные приложения и программы. Избегайте приложений, предлагающих вам функции, которых нет на сайте. Например, просмотр гостей

Особое внимание к программам, которые требуют введения вашего логина и пароля

Как правило, кражу паролей могут маскировать под какой-нибудь «приват» или «чат». Не вводите ничего, а лучше сообщите об этом приложении в службу технической поддержки. Запомните простое правило: работая в приложениях, вы уже авторизованы.

Мошенники весьма умны и крайне изобретательны. Они действуют по определенной схеме, которая напрямую связана с желанием самих пользователей. Например, иметь большой рейтинг или получать доступ к чужим аккаунтам. Не занимайтесь самообманом, помните поговорку про бесплатный сыр!

Вам могут быть предложены специальные программы для поднятия рейтинга и бесплатного дарения подарков. Как правило, это программы, содержащие вирус. Могут представиться администрацией и сообщить о проводимых технических работах (например, об утере и о восстановлении базы данных) или попросить подтверждения, что вы не бот, и потребовать выслать логин и пароль. Не дайте себя обмануть!

3. Не переходите по ссылкам. Не уверены – не переходите. Уверены – проверьте дважды. Для проверки ссылок существуют специальные расширения для браузера, которые быстро проверят ссылку на наличие вирусов или вредоносного кода. При переходе по подозрительной (фишинговой) ссылке быстро закройте сайт и смените пароль.

Фишинг – это распространенный вид мошенничества, который осуществляется путем подставных страниц. Подставная страница – это страница того или иного интернет-ресурса, где вы проходите авторизацию, вам требуется ввести логин и пароль. На внешний вид она практически не отличается от оригинальной.

Например, подставная страница социальной сети ВКонтакте может быть полной копией официальной страницы, но с одним отличием, незаметным большинству пользователей – адресом.

Если вы попались на этот трюк и перешли на один из таких сайтов — следует сразу же сменить пароль от привязанного к аккаунту почтового ящика и от личной страницы ВКонтакте (обязательно в таком порядке).

4. Антивирусное обеспечение. Используйте на компьютере современное антивирусное ПО с актуальными базами. Не забывайте о регулярной полной проверке системы и своевременно обновляйте операционную систему. Для входа в аккаунт используйте проверенный компьютер. Данное правило позволит снизить риск встречи еще с одним видом интернет-угрозы — KeyLogger. Это специальное устройство, которое регистрирует нажатие клавиш на клавиатуре компьютера, что позволяет перехватить чужую информацию и получить несанкционированный доступ к логинам и паролям пользователя.

5. Настройка двухэтапной авторизации. Теперь для входа на свою страницу вы можете активировать функцию двухэтапной авторизации и подтверждать вход в аккаунт с помощью вашего мобильного телефона.

Для активации данной функции пройдите в меню «Мои Настройки», вкладка «Общее», → «Безопасность Вашей страницы», где напротив пункта «Подтверждение входа» следует нажать «подключить».

Это активирует дополнительный уровень проверки, при котором знания вашего логина и пароля будет уже недостаточно. Теперь для успешной авторизации необходимо ввести специальный код подтверждения.

Получить специальный код подтверждения можно как с помощью бесплатного SMS на номер привязанного к странице телефона, так и с помощью специального приложения для смартфона.

При авторизации вы можете запомнить данный браузер, далее для входа с него будет достаточно ввести логин и пароль, код больше не потребуется.Если кто-то попытается зайти на вашу страницу, вы получите всплывающее оповещение.

Если кто-то попытается зайти на вашу страницу, вы получите всплывающее оповещение.

При соблюдении всех этих правил (причем одновременном!) вы можете быть уверены, что никто, кроме вас, не получит доступ к аккаунту, и, соответственно, гарантируете себе надежную защиту личной страницы ВКонтакте от взлома.

Быстрая настройка

1. Секретный путь для скрипта

Указываете как можно глубже директорию, прячьте в папку с js, ajax и т.д. Чем глубже файл будет лежать, тем безопаснее.

2. Имя сайта и снимок системы

В имя сайта пишем домен.

Там где снимок системы, меняйте путь и прячьте как можно глубже! В этом файле будут храниться данные после сканирования системы.

a) Добавляем или удаляем расширения, которые не нужно проверять.

b) Обязательно заполните это поле для папок с кешем, автоматическими ссылочными биржами и папки где контент может меняться сам. Впрочем после первых отчетов можно отредактировать файл и добавить нужные папки, думаю вы поймете какие.

На этом все, можете нажимать кнопку «Установить»

Должно появиться сообщение:

Если выдало ошибку, установите правильные CHMOD права на папки.

И не забываем сделать это:

ПОСЛЕ УСТАНОВКИ УДАЛЯЕМ ИНСТАЛЕР! Файл который мы заливали на хостинг в самом начале!

Защита сайта на ВордПресс с помощью брандмауэра

Брандмауэр (файрвол) – это софт, который блокирует вторженцев. Одним из лучших брандмауэров для WP считается плагин от Wordfence. У него более 3 миллионов активных установок и рейтинг на wordpress.org «5 из 5».

Wordfence проверяет, соответствует ли поведение посетителя веб-сайта поведению злоумышленника. Если бот нарушает определённые правила, например запрашивает слишком много веб-страниц за короткий промежуток времени, Wordfence автоматически блокирует его.

Плагин функционирует таким образом, чтобы не трогать на сайте «хороших» роботов, таких как, например, Гугл-бот.

Продвинутые функции Wordfence позволяют вебмастеру видеть, какие именно боты атакуют сайт и откуда они это делают. Плагин даёт возможность заблокировать вредителя по его IP-адресу, диапазону IP-адресов или даже по поддельному пользовательскому агенту браузера, который использует бот.

Пара слов о пользовательских агентах (User Agent)

Пользовательский агент идентифицирует информацию, отправляемую браузером, которая сообщает веб-сайту, какой это браузер (Chrome, Firefox, Яндекс) и в какой операционной системе он работает (Windows 10, Mac OS X).

Например, это строка пользовательского агента для браузера Safari 11 на компьютере Mac OS X:

Боты используют множество различных пользовательских агентов, чтобы обмануть веб-сайты и проникнуть внутрь. Например, некоторые роботы сейчас выдают себя за браузер в Windows XP.

И так как фактическое количество реальных пользователей Win XP близко к нулю, я могу создать правило в Wordfence для блокировки всех пользовательских агентов с Windows XP в качестве операционной системы, и с помощью этого правила заблокировать тысячи гадких ботов, независимо от страны или IP-адреса.

Вредители иногда реагируют на блокировку сменой user-agent. Поэтому вебмастер может создать несколько правил и заблокировать широкий спектр хакерских роботов.

Всё это делается абсолютно бесплатно. В платной версии Wordfence есть функция, которая позволит вам блокировать целые страны. Такая штука довольно популярна в среде электронной коммерции, когда вы обслуживаете интересы одного конкретного региона. Правда, под удар могут попасть пользователи VPN, так что будьте осторожны.

Устанавливайте SSL-сертификаты

Определить сайт с SSL-сертификатом легко — если вы видите небольшой замок рядом с адресом сайта в браузере, значит сайт защищен, а вся информация передается по защищенному протоколу HTTPS.
Компании, выпускающие SSL-сертификаты, называются удостоверяющими центрами, которые, в свою очередь, делятся на коммерческие и некоммерческие. Например, некоммерческий удостоверяющий центр Let’s Encrypt выпускает полностью бесплатные и автоматизированные сертификаты, которые защищают сайты не хуже платных аналогов. Главное отличие платного сертификата от бесплатного — финансовая гарантия. В случае взлома платного сертификата удостоверяющий центр может выплатить компенсацию. Порой, это весьма солидные суммы, от $500К и выше.

Заключение

В большинстве случаев принятия этих мер будет достаточно для того, чтобы защитить сайт на WordPress от хакеров. Бесплатные версии упомянутых плагинов обеспечивают довольно крепкую броню вашим проектам.

Вообще в репозитории ВП существует множество всяких разных плагинов для повышения уровня безопасности. И некоторые из них сами содержат уязвимости. Поэтому лучше пользоваться тем, что проверено миллионами активных установок.

Ссылки на плагины, о которых говорится в статье:

  • Wordfence Security
  • Sucuri Security
  • Limit Login Attempts Reloaded
  • UpdraftPlus

ПОНРАВИЛСЯ ПОСТ? ПОДЕЛИСЬ ССЫЛКОЙ С ДРУЗЬЯМИ!

СТАТЬИ ИЗ РУБРИКИ:

Тематика: WordPress, Безопасность, Инструменты

(некоторые ответы перед публикацией проверяются модератором)

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий