Securizare continuă pentru fiecare website

Securizare continuă pentru fiecare website

Securizare continuă pentru fiecare website

  • acum 4 săptămâni
  • postat de: NSHOST

Responsabilitatea securizării unui website este a proprietarului său. Dacă se pierd date personale în urma unui atac de phishing, xss etc., orice reclamație se va îndrepta împotriva deținătorului platformei, iar amenzile GDPR nu sunt mici.  


Atunci când clienții utilizează un procesor de plată cu cardul de credit online, trebuie să știe că datele lor sunt sigure. Vizitatorii nu doresc ca informațiile lor personale să cadă pe mâini greșite. Fie că deții o afacere mică sau o întreprindere, utilizatorii se așteaptă la o experiență online sigură. 

Minimul de siguranță începe de la utilizarea unui domeniu/subdomeniu securizat cu un certificat SSL, unui server cu acces securizat prin VPN la un provider de hosting de încredere, politici de securizare a parolelor impunând administratorilor minim 13 caractere cu diferite condiții de validare și unei platforme care permite utilizatorilor îndeplinirea acțiunilor dorite, însă limitează acțiunile răuvoitoare. Putem să împărțim măsurile în două categorii: securizare pe partea de server și securizare la nivel de aplicație. Fiecare vulnerabilitate poate avea un grad diferit de risc - de la unul minor, unde atacatorul nu poate obține prea multe, la un risc critic - în care atacatorul poate prelua controlul platformei tale, bazelor de date găzduite pe serverul tău, etc.

  Atacurile pe partea de server încearcă să compromită și să fure datele din bazele de date și aplicațiile, mailurile sau orice alt conținut prezent pe un server, iar atacurile pe partea de aplicație, conturi de email etc. sunt destul de obișnuite și fiecare proprietar de website trebuie să se asigure că ia toate măsurile necesare pentru protejarea platformelor web disponibile online. 

Injecția SQL, OS, XXE sau LDAP 

este o vulnerabilitate de securitate web care permite unui atacator să interfereze cu interogările pe care o aplicație le face în baza de date. În general, permite atacatorului să vizualizeze date pe care în mod normal nu le-ar putea accesa și cu siguranță nu ar trebui să le poată accesa, cum ar fi datele personale aparținând altor utilizatori: conturi bancare, nume, prenume, emailuri, numere de telefon, mesaje trimise și orice altă informație cu caracter personal care este stocată prin utilizarea website-ului. 

Aceste interogări efectuate de atacator îi poate asigura controlul bazei de date din spatele unei aplicații web. Atacatorii pot folosi vulnerabilitățile SQL Injection pentru a ocoli măsurile de securitate ale aplicației și pot identifica autentificarea și autorizarea unei pagini web sau a unei aplicații web. De asemenea, pot utiliza SQL Injection pentru a adăuga, modifica și șterge înregistrări din baza de date. 

Cum se previne acest tip de atac? Singura modalitate sigură de a preveni atacurile SQL Injection este validarea intrărilor în baza de date și interogările parametrizate, inclusiv query-urile pregătite și executate ulterior. Codul aplicației nu trebuie să utilizeze niciodată inserare directă. Dezvoltatorul trebuie să sanitizeze toate introducerile de date, nu numai trimiterile de date prin formularele web, cum ar fi formularele de autentificare. Ei trebuie să elimine orice elemente potențiale de cod rău intenționat (cum ar fi ghilimelele unice) prin sanitizarea sistematică a fiecărui tip de conținut în parte. De asemenea, este o idee bună să se dezactiveze afișarea erorilor bazei de date pe website-ul publicat în producție. Erorile bazei de date pot fi utilizate cu SQL Injection pentru a obține informații despre baza de date.

Cele mai importante 3 reguli pentru a preveni unul dintre cele mai dezastruoase atacuri asupra unei platforme sunt: 

  • NU avea niciodată încredere în inputul unui utilizator

  • folosește cele mai noi tehnologii - PHP 7.4 și cea mai recentă versiune disponibilă pentru baza de date, cele mai recente plugin-uri sau software-uri în cazul în care folosești un produs tip CMS (WordPress, Joomla etc.)

  • scanează platforma web cu rigurozitate - sunt mulți furnizori care îți asigură testarea platformei web, însă soluția noastră preferată este Detectify, o platformă intuitivă care asigură teste de vulnerabilitate foarte variate și eficiente, cu o raportare ușor de înțeles și acțiuni detaliate ușor de implementat pentru eliminarea problemelor identificate.


SPAM-urile

 venite din formularul de contact sau din comentariile permise în zona de blog sau alte pagini sunt una dintre cele mai simple căi de atac web. Nu doar că lipsa unei protecții anti-SPAM va afecta negativ încrederea utilizatorilor în website-ul tău, dar chiar și Google îți va penaliza website-ul dpdv SEO.  Folosește un sistem de verificare dacă utilizatorul este ‘human’ sau nu pentru a te proteja de acest tip de atacuri.

Atacurile de tip DDoS sau ‘brute force’ 

funcționează prin lovirea unui site web cu solicitări false. În cazul multor request-uri repetate automat, serverele pot să-și reducă performanța sau chiar să pice și uneori chiar pot deschide vulnerabilități de securitate permițând hackerilor să injecteze cod rău intenționat. Deși ambele implică cereri repetate pe un server, atacurile de tip ‘brute force’ sunt mai concentrate, încercând să spargă acreditările de autentificare sau să expună datele criptate. 

Reputația se clădește greu, dar poate fi ușor afectată. Vă recomandăm un plan de găzduire protejat împotriva unor astfel de atacuri - puteți alege oricare plan de hosting NSHOST unde siguranța este prioritatea echipei de specialiști. 


 Atacurile XSS

sunt o altă tactică pe care hackerii o folosesc pentru a deteriora și compromite site-urile web prin acest cross-site scripting pentru a trimite un script rău intenționat unui utilizator care nu bănuiește nimic. Browserul utilizatorului final nu are nicio modalitate de a bănui că scriptul nu este de încredere și îl va executa. Deoarece crede că scriptul provine dintr-o sursă de încredere, codul rău intenționat poate accesa orice cookie-uri, informații stocate în sesiuni sau alte informații sensibile salvate de către browser și utilizate cu acel website. Aceste scripturi pot chiar rescrie conținutul paginii HTML. 

Vă recomandăm să vă asigurați că bifați toate recomandările din acest checklist de prevenție XSS.


Sunt multe alte tipuri de atacuri și respectiv vulnerabilități pe care fiecare proprietar de website trebuie să le identifice în timp util și să asigure repararea lor rapidă. Reamintim importanța unei scanări regulate pentru identificarea acestor vulnerabilități. 


 Backup. Backup. Backup

Un provider de hosting îți va asigura serviciul de backup automat, incremental, astfel încât să nu pierzi timp valoros pentru această activitate. Ce contează aici este atât frecvența și istoricul de backup, cât și locația sa.  Perioada și frecvența de backup care este la alegerea fiecărui proprietar de website: de la un backup zilnic cu minim de 5 zile istoric  pe același server - până la 365 de zile backup incrementat zilnic și securizat pe un server diferit de cel unde este publicat website-ul. Cu cât este mai mare perioada de backup și cu cât dezvoltatorul asigură un log complet și bine structurat, cu atât proprietarul unui website atacat va putea restaura o versiune de aplicație neafectată de un hacker și va putea găsi urmele atacului suferit. Noi recomandăm să utilizați un server diferit pentru backup, protejându-vă conținutul în cazul în care un atacator reușește să acceseze serverul principal.