Protokół SSL zapewnia odwiedzającym witrynę bezpieczną komunikację za pośrednictwem zaszyfrowanej sesji. Dla firm, które chcą prowadzić bezpieczny handel elektroniczny, takich jak otrzymywanie numerów kart kredytowych lub innych poufnych informacji przez internet, SSL jest niezbędny.
Aby SSL działał, ważny jest ważny podpisany certyfikat SSL. Certyfikaty są standardowym sposobem wiązania klucza publicznego z nazwą. Szyfrowanie klucza publicznego to taktyka, która używa pary kluczy asymetrycznych do szyfrowania i deszyfrowania. Każda para kluczy składa się z klucza publicznego i klucza prywatnego. Klucz publiczny jest upubliczniany poprzez szeroką dystrybucję. Klucz prywatny nigdy nie jest dystrybuowany; zawsze jest w tajemnicy. Dane zaszyfrowane za pomocą klucza publicznego można odszyfrować tylko za pomocą klucza prywatnego. I odwrotnie, dane zaszyfrowane za pomocą klucza prywatnego można odszyfrować tylko za pomocą klucza publicznego. Ta asymetria sprawia, że kryptografia klucza publicznego jest tak użyteczna.
8 sposobów na uniknięcie ataków hakerskich na Twoją witrynę [Bezpieczeństwo strony internetowej]
Można wygenerować samopodpisany certyfikat i używać go przez jakiś czas, aż certyfikat :zostanie podpisany: przez zaufany zewnętrzny organ
Urząd certyfikacji VeriSign
lub
Plomby GeoTrust
I będzie gotowy.
Aby włączyć SSL dla witryny z samopodpisanym certyfikatem:
1. Kliknij zakładkę Strona;
2. Wybierz ustawienia witryny. Twoja strona internetowa Ustawienia ogólne pojawiają się na ekranie;
3. Kliknij kartę Bezpieczna witryna. Bezpieczne podsumowanie witryny pojawia się na ekranie;
4. Kliknij przycisk Generuj żądanie. Formularz żądania certyfikatu pojawia się na ekranie;
5. Wypełnij formularz:
1. Wybierz kraj zamieszkania z rozwijanego menu Kraj. W razie potrzeby przewiń listę;
2. Wybierz swoje państwo z rozwijanego menu Stan (USA lub Kanada);
3. lub wpisz swoje państwo w polu tekstowym państwa (inne kraje);
4. Wpisz swoje miasto lub miejscowość zamieszkania w polu tekstowym Miejscowość;
5. Wpisz nazwę swojej firmy w polu tekstowym Nazwa organizacji;
6. Możesz opcjonalnie wpisać nazwę oddziału firmy lub nazwę podmiotu stowarzyszonego w polu tekstowym Nazwa jednostki organizacyjnej;
7. Wpisz nazwę swojej witryny w polu tekstowym Nazwa witryny;
6. Kliknij przycisk Submit. Zaktualizowane, bezpieczne podsumowanie strony internetowej pojawi się na ekranie: teraz istnieje zarówno żądanie certyfikatu, jak i klucz prywatny, ale bezpieczna witryna internetowa jest niedostępna, ponieważ certyfikat SSL jest nieobecny;
Uwaga: nie zapomnij wykonać kopii zapasowej klucza prywatnego: kliknij łącze szczegółów prywatnego klucza SSL (zawartość klucza prywatnego pojawi się w oknie podręcznym) i skopiuj zawartość klucza prywatnego do pliku.
7. Kliknij przycisk Generuj certyfikat SSL. Za kilka sekund ekran zostanie ponownie załadowany ze zaktualizowanym bezpiecznym podsumowaniem witryny: teraz certyfikat jest już dostępny i jest dostępna bezpieczna witryna;
8. Kliknij przycisk Włącz SSL.
Aby wysłać żądanie certyfikatu do zewnętrznego urzędu certyfikacji (jeśli żądanie certyfikatu zostało już wygenerowane i klucz prywatny został zapisany, zgodnie z opisem w punktach 1 -7 powyżej):
1. Kliknij zakładkę Strona. Ogólne ustawienia witryny pojawiają się na ekranie;
2. Wybierz kartę Bezpieczna witryna. Bezpieczne podsumowanie witryny pojawia się na ekranie;
3. Kliknij link szczegółów żądania certyfikatu SSL. Treść żądania certyfikatu pojawi się w oknie podręcznym;
4. Skopiuj treść żądania certyfikatu do pliku i wyślij do urzędu certyfikacji.
Aby zaimportować certyfikat SSL podpisany przez urząd certyfikacji:
1. Kliknij zakładkę Strona;
2. Wybierz ustawienia witryny. Ustawienia ogólne Twojej witryny pojawiają się na ekranie;
3. Kliknij kartę Bezpieczna witryna. Bezpieczne podsumowanie witryny pojawia się na ekranie;
4. Kliknij przycisk Zainstaluj certyfikat SSL. Formularz importu certyfikatu SSL pojawia się na ekranie;
5. Wykonaj jedną z następujących czynności:
1. Wpisz ścieżkę do pliku zawierającego certyfikat SSL w polu tekstowym Nazwa pliku certyfikatu lub kliknij przycisk Przeglądaj, aby zlokalizować plik;
2. Lub wklej zawartość certyfikatu w polu tekstowym zawartości certyfikatu;
6. Kliknij przycisk Submit. Bezpieczne podsumowanie witryny pojawia się na ekranie;
7. Kliknij przycisk Włącz SSL.
Aby zaimportować zarówno zapasowy certyfikat SSL, jak i klucz prywatny:
1. Kliknij zakładkę Strona;
2. Wybierz ustawienia witryny. Ustawienia ogólne Twojej witryny pojawiają się na ekranie;
3. Kliknij kartę Bezpieczna witryna. Bezpieczne podsumowanie witryny pojawia się na ekranie;
4. Kliknij przycisk Zainstaluj pliki SSL. Formularz dla klucza SSL i importu certyfikatu pojawia się na ekranie;
5. Podaj klucz i certyfikat:
1. Wpisz ścieżkę do pliku zawierającego klucz prywatny pole tekstowe Nazwa pliku klucza prywatnego (kliknij przycisk Przeglądaj, aby zlokalizować plik) lub wklej zawartość klucza prywatnego w polu tekstowym Treść klucza prywatnego;
2. Wpisz ścieżkę do pliku zawierającego certyfikat SSL w polu tekstowym Nazwa pliku certyfikatu (kliknij przycisk Przeglądaj, aby zlokalizować plik) lub wklej zawartość certyfikatu w polu tekstowym Zawartość certyfikatu;
6. Kliknij przycisk Submit. Bezpieczne podsumowanie witryny pojawia się na ekranie;
7. Kliknij przycisk Włącz SSL.
Uwagi:
Przeglądarki Netscape i Mozilla automatycznie wykrywają, czy witryna korzysta z szyfrowania przesyłanych danych, czy nie (tak jak w przypadku Internet Explorera, zachęcaj odwiedzających witrynę, którzy korzystają z IE do korzystania z przeglądarki Internet Explorer 5.0 lub nowszej). Jeśli więc użyjesz samopodpisanego certyfikatu, odwiedzający Twoją stronę będą powiadamiani, że twoja witryna używa szyfrowania, ale organ, który podpisał certyfikat, nie jest rozpoznawany. Jeśli więc zamierzasz przeprowadzić e-commerce na swojej stronie, lepiej jest uzyskać certyfikat SSL podpisany przez VeriSign lubThawte.
Bezpieczna strona internetowa może być włączona tylko dla strony internetowej opartej na IP (tj. Strony internetowej, która nie współdzieli adresu IP z innymi witrynami). Więc jeśli masz kilka stron internetowych na swoim serwerze i tylko jeden adres IP - każda z tych witryn (ale tylko jedna z nich) może obsługiwać SSL. Przejdź do certyfikatu wieloznacznego identyfikatora serwera Power GeoTrust.
Jeśli masz jakieś pytanie, zapytanie lub opinię, proszę wyślij do nas na TheSSLStore.com Jak zabezpieczyć swoją witrynę Większość ludzi w Internecie to dobrzy, uczciwi ludzie. Jednak niektórzy ludzie przeglądają internet, czerpiąc radość z gry na stronach internetowych i znajdowania luk w zabezpieczeniach. Kilka prostych wskazówek może pomóc zabezpieczyć twoją stronę w podstawowy sposób. Oczywiście kwestia bezpieczeństwa danych jest skomplikowana i wykracza poza zakres tej kolumny. Jednak zajmiemy się podstawami, które należy zrobić, co złagodzi wiele potencjalnych problemów, które pozwolą ludziom zobaczyć rzeczy, których nie powinni.
Ochrona hasłem katalogów
Jeśli posiadasz katalog na serwerze, który powinien pozostać prywatny, nie polegaj na tym, aby ludzie nie odgadywali nazwy katalogu. Lepiej jest zabezpieczyć folder hasłem na poziomie serwera. Ponad 50% stron internetowych jest obsługiwanych przez serwer Apache, więc spójrzmy, jak zabezpieczyć hasłem katalog na Apache.
Apache przyjmuje komendy konfiguracyjne za pośrednictwem pliku o nazwie .htaccess, który znajduje się w katalogu. Polecenia w .htaccess mają wpływ na ten folder i każdy podfolder, chyba że dany podfolder ma swój własny plik .htaccess. Aby zabezpieczyć folder hasłem, Apache używa również pliku o nazwie .htpasswd. Ten plik zawiera nazwy i hasła użytkowników, którym przyznano dostęp. Hasło jest zaszyfrowane, więc do tworzenia haseł musisz użyć programu htpasswd. Aby uzyskać do niego dostęp, przejdź do wiersza poleceń serwera i wpisz htpasswd. Jeśli pojawi się błąd :nie znaleziono polecenia:, musisz skontaktować się z administratorem systemu. Należy również pamiętać, że wiele hostów sieciowych zapewnia internetowe sposoby zabezpieczenia katalogu, więc mogą one być skonfigurowane, abyś to robił w ten sposób, a nie na własną rękę. Poza tym, kontynuujmy.
Wpisz :htpasswd -c .htpasswd myusername:, gdzie :myusername: jest nazwą użytkownika, którą chcesz. Zostaniesz poproszony o podanie hasła. Potwierdź, a plik zostanie utworzony. Możesz to sprawdzić przez FTP. Ponadto, jeśli plik znajduje się w folderze sieciowym, należy go przenieść, aby nie był dostępny publicznie. Teraz otwórz lub utwórz swój plik .htaccess. Wewnątrz obejmują następujące elementy:
AuthUserFile /home/www/passwd/.htpasswd
AuthGroupFile / dev / null
AuthName :Bezpieczny folder:
AuthType Basic
wymagać prawidłowego użytkownika
W pierwszym wierszu dostosuj ścieżkę katalogu do dowolnego pliku .htpasswd. Po skonfigurowaniu pojawi się okno dialogowe podczas odwiedzania tego folderu w witrynie. Będziesz musiał się zalogować, aby go zobaczyć.
Wyłącz katalogi
Domyślnie każdy katalog w Twojej witrynie, który nie ma rozpoznanego pliku strony głównej (index.htm, index.php, default.htm, itp.) Zamiast tego wyświetla listę wszystkich plików w tym folderze. Możesz nie chcieć, żeby ludzie zobaczyli wszystko, co masz. Najprostszym sposobem zabezpieczenia się przed tym jest utworzenie pustego pliku, nadanie mu nazwy index.htm, a następnie przesłanie go do tego folderu. Druga opcja polega na ponownym użyciu pliku .htaccess w celu wyłączenia wyświetlania katalogu. Aby to zrobić, dołącz wiersz :Opcje -Indeksy: do pliku. Teraz użytkownicy otrzymają błąd 403, a nie listę plików.
Usuń pliki instalacyjne
Jeśli instalujesz oprogramowanie i skrypty na swojej stronie internetowej, wiele razy przychodzą one ze skryptami instalacyjnymi i / lub aktualizacyjnymi. Pozostawienie ich na serwerze otwiera ogromny problem bezpieczeństwa, ponieważ jeśli ktoś inny jest zaznajomiony z tym oprogramowaniem, może znaleźć i uruchomić skrypty instalacyjne / uaktualniające, a tym samym zresetować całą bazę danych, pliki konfiguracyjne itp. Dobrze napisany pakiet oprogramowania ostrzeże aby usunąć te elementy przed zezwoleniem na korzystanie z oprogramowania. Upewnij się jednak, że zostało to zrobione. Po prostu usuń pliki z serwera.
Bądź na bieżąco dzięki aktualizacjom zabezpieczeń
Osoby korzystające z pakietów oprogramowania na swojej stronie internetowej muszą być w stałym kontakcie z aktualizacjami i ostrzeżeniami związanymi z tym oprogramowaniem. Nieprzestrzeganie tego może Cię szeroko otworzyć na hakerów. W rzeczywistości wielokrotnie wykrywana jest luka w zabezpieczeniach i zgłaszane, a oprogramowanie twórcy oprogramowania może zwolnić łatę. Każdy, kto jest tak skłonny, może znaleźć twoją witrynę, na której działa oprogramowanie i wykorzystać lukę w zabezpieczeniach, jeśli nie dokonasz aktualizacji. Sam byłem spalony przez to kilka razy, po tym, jak całe fora zostały zniszczone i musiałem przywrócić z kopii zapasowej. Zdarza się.
Zredukuj poziom raportowania błędów
Mówiąc głównie o PHP, ponieważ to jest to, w czym pracuję, błędy i ostrzeżenia generowane przez PHP są domyślnie drukowane z pełną informacją do przeglądarki. Problem polega na tym, że błędy te zwykle zawierają pełne ścieżki katalogów do skryptów, o których mowa. Daje zbyt dużo informacji. Aby to złagodzić, zmniejsz poziom raportowania błędów PHP. Możesz to zrobić na dwa sposoby. Jednym z nich jest dostosowanie pliku php.ini. To jest główna konfiguracja dla PHP na twoim serwerze. Poszukaj dyrektyw error_reporting i display_errors. Jeśli jednak nie masz dostępu do tego pliku (wiele z hostingu dzielonego tego nie robi), możesz także zmniejszyć poziom zgłaszania błędów za pomocą funkcji error_reporting () w PHP. Dodaj to do globalnego pliku twoich skryptów w ten sposób, że będzie działać we wszystkich dziedzinach.
Zabezpiecz swoje formularze
Formularze otwierają szeroki otwór na serwerze dla hakerów, jeśli nie zostaną poprawnie zakodowane. Ponieważ formularze te są zwykle przesyłane do skryptu na serwerze, czasami z dostępem do bazy danych, formularz, który nie zapewnia pewnej ochrony, może zaoferować hakerowi bezpośredni dostęp do różnych rzeczy. Pamiętaj, że tylko dlatego, że masz pole adresu i jest napisane, że :Adres: przed nim nie oznacza, że możesz zaufać ludziom, aby wpisali swój adres w tym polu. Wyobraź sobie, że twoja forma nie jest odpowiednio zakodowana, a skrypt, do którego się podaje, też nie jest. Co powstrzyma hakerów przed wpisaniem zapytania SQL lub kodu skryptu w to pole adresu? Mając to na uwadze, oto kilka rzeczy do zrobienia i poszukiwania:
Użyj MaxLength. Pola wejściowe w formularzu mogą korzystać z atrybutu maxlength w kodzie HTML, aby ograniczyć długość danych wejściowych w formularzach. Użyj tego, aby uniemożliwić ludziom wchodzenie w WAY za dużo danych. To zatrzyma większość ludzi. Haker może go ominąć, więc musisz również zabezpieczyć się przed infekcją przekroczoną na poziomie skryptu.
Ukryj wiadomości e-mailJeśli korzystasz ze skryptu do wysyłania formularzy, nie dołączaj adresu e-mail do samego formularza. To pokonuje punkt i pająki spamowe wciąż mogą znaleźć twój adres e-mail.
Użyj sprawdzania poprawności formularza. Nie będę się tutaj lekceważył programowania, ale każdy skrypt, który zostanie przesłany do formularza, powinien potwierdzić otrzymane dane wejściowe. Upewnij się, że otrzymane pola odpowiadają oczekiwanym polom. Sprawdź, czy przychodzące dane mają sensowną i oczekiwaną długość oraz właściwy format (w przypadku e-maili, telefonów, zamków itp.).
Unikaj iniekcji SQL. Pełna lekcja na temat iniekcji SQL może być zarezerwowana dla innego artykułu, jednak podstawą jest to, że dane wejściowe formularza mogą być wstawiane bezpośrednio do zapytania SQL bez sprawdzania poprawności, a tym samym dając hakerowi możliwość wykonywania zapytań SQL za pośrednictwem formularza internetowego. Aby tego uniknąć, zawsze sprawdzaj typ danych przychodzących danych (liczby, ciągi itp.), Uruchamiaj odpowiednie sprawdzanie formularzy na powyższe i pisz zapytania w taki sposób, aby haker nie mógł wstawić niczego do formularza, który spowodowałby, że zapytanie coś innego, niż zamierzałeś.
Wniosek
Bezpieczeństwo stron internetowych jest dość zaangażowanym podmiotem i jest o wiele bardziej techniczne niż to. Jednak dałem ci podstawowy element na temat łatwiejszych rzeczy, które możesz zrobić na swojej stronie, aby złagodzić większość zagrożeń na swojej stronie internetowej.