10 Awgrymiadau i Wella Diogelwch y Wefan

Gwefan 'Diogel' - gan Patrick Taylor

*** Nodyn: wedi’i addasu o erthygl ar Netistrar.com ***

Yma rydym yn addasu erthygl a gyhoeddir ar ein rhiant-gwmni - gwefan Netistrar.com ar gyfer ein cwsmeriaid yng Nghymru. Credwn fod y negeseuon yn werth eu hailadrodd.

Maen nhw’n dweud mai’r diogelwch gorau yw ‘trwy ddylunio’, ond beth mae hynny’n ei olygu? Mae’n ymddangos bod y rhyngrwyd yn labyrinth llethol o dechnoleg, hunaniaeth wedi’i dwyn, cyfoeth, cyfle, biliynau o bobl, a phobl ddrwg.

Sut allwn ni fwynhau manteision cael gwefan wych, heb ddioddef rhai camgymeriad dwp.

Beth yw’r erthygl hon

Nid yw’r erthygl hon yn adolygiad cynhwysfawr o ategion diogelwch, darparwyr, meddalwedd gwrth-firws gorau, neu gymhariaeth platfform. Mae ein tîm sy’n rheoli gwefan ENWAU wedi darparu atebion Lletya Corfforaethol beirniadol am dros 15 mlynedd. Rydym wedi delio â gwefannau mawr, gwefannau bach, ac rydym bellach yn rheoli degau o filoedd o enwau parth a gwasanaethau cysylltiedig.

Rydym wedi dod ar draws y lot, spamots, ymosodiadau Rwsia, DDoS, gwall dynol, diweddariadau plugin gwael - a gallai unrhyw un ohonynt ddinistrio gwefan cleient. Gwnaethom roi cynnig ar atebion diogelwch umpteen, a dulliau gwahanol o ymdrin â diogelwch. Mae’r erthygl hon yn canolbwyntio ar yr atebion hawdd yn seiliedig ar y pethau yr ydym wedi’u dysgu, a’r achosion gwallau cyffredin.

Beth ydym ni’n ei olygu wrth Ddiogelwch y Wefan?

Mae diffiniadau geiriadur o ‘ddiogelwch’ yn cynnwys ‘rhyddid rhag perygl’ a ‘risg’ yn ôl y disgwyl, ond hefyd ‘rhyddid o ofal, pryder, neu amheuaeth’. Diogelwch y Wefan yw’r pethau y mae angen i chi eu gwneud yn y bôn pan fyddwch chi’n cynnal, yn rheoli neu’n gweithredu gwefan, a fydd yn lleihau pryder a bygythiad ymosodiad.

Cyn i ni ymchwilio i’n 10 Awgrym, hoffwn rannu rhai o’r pethau yr ydym wedi’u dysgu yma yn Netistrar yn ein hymdrechion i gynnal diogelwch da ar y wefan. Dyma’r egwyddorion mawr y tu ôl i’n Cynghorion a’n cyngor, ein prif amcanion, y pethau yr ydym yn eu cofio, y pethau yr ydym yn ceisio’u cyflawni.

Lleihau’r sŵn gwyn

Daw hyn yn ôl i ddiogelwch ‘trwy ddylunio’. Rydym wrth ein bodd â systemau cysgu-hawdd. Mae gwefan sydd angen llawer o glytiau, ar weinydd sydd angen llawer o sylw, ac a weinyddir gan dyrfa o olygyddion heb fawr o sgiliau TG, yn swnllyd. Po fwyaf y gallwn leihau’r sŵn gwyn, gorau oll.

Mae’n bwysig gwahanu digwyddiad ‘ymosodiad’ go iawn rhag gwall gweinyddol (sŵn gwyn). Mae gwallau gweinyddol yn haws i’w lliniaru nag ymosodiadau allanol.

Ymhellach, os bydd criw o hacwyr penderfynol yn ymosod arnom, dyna lwc ddrwg, ond bydd ein gallu i wella’n gyfforddus o ymosodiad yn cynyddu ein hymdeimlad o ddiogelwch a diogelwch - hy. ein pryder am sut y gallem adfer ar ôl ymosodiad o’r fath, yw mwy o sŵn gwyn.

Allanoli beth allwch chi

Beth yw eich sgiliau allweddol? Ysgrifennu? Rhaglennu? Golygu? Diogelwch? Gweinyddu? Os gallwch yn rhesymol fforddio allanoli rhai o’r sgiliau niferus sydd eu hangen i gynnal gwefan ddiogel, gwnewch hynny. Byddwch yn cynyddu’r amser y gallwch ei dreulio yn ymarfer eich sgiliau allweddol, a bydd eich gwefan yn fwy diogel.

Efallai mai eich cleient yw’r bygythiad mwyaf

Mae hyn yn gwneud i mi groan ei ysgrifennu. Rydym wrth ein bodd â chleientiaid. Byddwn yn gwneud eu siopa ar eu cyfer, yn dathlu canlyniadau ysgol eu plentyn, yn cerdded eu ci. Ac wrth gwrs, rydw i nawr yn siarad am gleientiaid yn y gorffennol, nid cleientiaid yn bresennol. Yn onest.

Nid yw cleientiaid yn rhoi gormod o botymau am ddiogelwch, nes i bethau fynd o chwith. Ni fyddant yn talu am ddiogelwch, na phrofi, nac yn goddef gohirio lansio gwefan i’w wneud yn fwy diogel.

Maen nhw’n credu mai diogelwch yw’ch problem chi, mae’n rhan o’r gwasanaeth, neu’n waeth, gall roi pwysau arnoch i gyfaddawdu diogelwch eu gwefan er mwyn rhoi mwy o bŵer neu fywyd haws iddynt.

Marc o’ch proffesiynoldeb yw pa mor dda y gallwch wrthsefyll pwysau o’r fath heb gyfaddawdu ar ddiogelwch, neu golli cleient.

 

Ein 10 Awgrym Gorau

Dyma ein 10 Awgrym i wella Diogelwch eich Gwefan, i leihau’r sŵn gwyn, a gwneud eich bywyd yn fwy rhydd o ofal a phryder.

1. Adnewyddwch eich enw parth

Hwn yw’r achos Number 1 y mae’r rhan fwyaf o’n cwsmeriaid wedi dod ar ei draws ar y wefan, fel arfer oherwydd problemau’n ymwneud â Tip 2 a Tip 3, fel a ganlyn.

Yn awr, efallai na fyddwch chi’n meddwl bod hyn yn fygythiad i ddiogelwch, ond pan fydd yn digwydd mae’n siŵr wrth i uffern deimlo fel un. Rydym yn dadlau bod unrhyw beth sy’n cynyddu’r sŵn gwyn neu’n effeithio ar barhad busnes, yn fygythiad diogelwch. Mae’r wefan yn mynd ar sgrîn wen, mae’ch cwsmeriaid yn mynd i rywle arall, ac mae’r panig yn dechrau dechrau.

Mae’r enw parth yn hanfodol ar gyfer adnabod brand a llwybro traffig - hebddo nid oes gennych wefan. Wrth i gwmnïau ddod yn fwy dibynnol ar yr incwm a gynhyrchir gan e-fasnach, maent yn cydnabod pwysigrwydd hanfodol enwau parthau yn y gadwyn gyflenwi ac yn buddsoddi mwy mewn rheoli enw parth o ansawdd uchel a gweinyddu diogel.

Os nad yw enw parth yn cael ei adnewyddu, mae’n stopio llwybr, rydych chi’n colli’r holl draffig.

Adnewyddwch eich enw parth.

Yn Netistrar mae gennych 3 opsiwn i helpu gydag adnewyddu enw parth: 1. gosodwch larwm mawr yn eich calendr i’ch annog unwaith y flwyddyn ac adnewyddu’r enw parth ymlaen llaw (nid ydych yn colli unrhyw ddyddiau nas defnyddiwyd); 2. talu am flynyddoedd lluosog ymlaen llaw, neu 3. cliciwch ‘adnewyddu awtomatig’ ar eich dangosfwrdd enw parth.

2. Diweddaru eich manylion cyswllt parth

Beth - roeddwn i’n meddwl bod hyn i gyd yn ymwneud â Diogelwch Gwefan? Mae’n. O dan Rheolau ICANN, mae’n ofynnol i bob Aelod Cofrestredig gadw gwybodaeth gyswllt gywir, a hynny am reswm da. Os yw rhywbeth gwael yn digwydd i’ch gwefan, bydd angen i ni gysylltu â chi. Os yw rhywbeth drwg yn deillio o’ch gwefan - sbam, gweithgaredd troseddol, efallai y bydd angen i’r cops gysylltu â chi. Dyma’r perchennog enw parth sy’n gyfrifol am ddefnyddio enw parth, gan gynnwys cynnal gwefan.

Mewn gwirionedd, y prif reswm y bydd angen i ni gysylltu ag ef, yw eich atgoffa am Tip 1 uchod, hy. mae angen adnewyddu eich enw parth. Os nad ydych yn cadw’ch gwybodaeth e-bost cyswllt yn gyfoes, efallai y byddwch yn colli’r nodyn atgoffa hwnnw, mae’r parth yn stopio llwybro, ac mae’r wefan yn gostwng. Rydych chi’n meddwl y gallech fod wedi cael eich hacio. Mwy o sŵn gwyn.

3. Peidiwch byth â gadael i un dyn reoli eich tlysau

Rydym yn cael llawer o geisiadau cymorth gan gleientiaid sydd wedi colli rheolaeth ar eu gwefan fusnes oherwydd bod y dyn a oedd yn arfer rheoli’r enw parth wedi gadael y sefydliad ac nid yw am siarad ag unrhyw un bellach. Wrth gwrs, gallwn helpu, ond mae’n cymryd amser. Ni allwn roi mynediad i neb i gyfrif enw parth rhywun - efallai ein bod yn rhoi busnes cyfan i ffwrdd! Mae gennym broses i’ch helpu chi os byddwch yn y sefyllfa hon yn y pen draw, ond yn well byth yw peidio â mynd i mewn i hyn yn y lle cyntaf.

Meddyliwch am eich enw parth fel un o’ch tlysau coron. Efallai y bydd gennych eich gwefan eisoes yn eich cynllun parhad busnes, gyda rheolwyr lluosog, a gweinyddwyr lluosog, ond gwnewch yn siŵr bod eich enw parth hefyd wedi’i gynnwys yn y cynllun hwnnw. Mae enw parth yn arf mwy pwerus na gwefan. Os bydd rhywun yn dwyn eich gwefan, pob lwc. Ond yn yr achos gwaethaf gallwch lansio gwefan dros dro (neu dudalen ymddiheuriad) o fewn mater o oriau if mae gennych chi reolaeth ar yr enw parth. Os bydd rhywun yn cymryd rheolaeth o’ch enw parth, gallai gymryd wythnosau.

Mae colli rheolaeth ar eich enw parth hefyd yn golygu y byddwch yn colli rheolaeth ar wasanaethau hanfodol eraill, fel e-bost.

4. Adnewyddu eich tystysgrif

Y gofyniad i gael tystysgrif gwefan, hy. mae’r gallu i wasanaethu traffig ar https bellach yn orfodol. Os nad oes gennych dystysgrif, bydd Google yn tynnu sylw at eich gwefan fel un a allai fod yn beryglus a bydd yn dangos neges frawychus i’ch ymwelwyr. Os yw’ch tystysgrif wedi dyddio, bydd Google yn dangos negeseuon tebyg.

Mae DNS AM DDIM Netistrar yn cynnwys tystysgrif AM DDIM, a ddarperir ar hyn o bryd gan Cloudflare * .

Os ydych chi’n rheoli eich tystysgrif eich hun, cymerwch ofal i’w adnewyddu bob blwyddyn (neu gyfnod arall) cyn iddo ddod i ben.

5. Diweddaru eich gwybodaeth am daliadau

Unwaith eto, mae’n debyg mai prif achos y tystysgrifau a fethwyd, y ddarpariaeth lletya a’r llwybr enw parth yw bod cerdyn credyd / debyd wedi dod i ben ac na ellir casglu taliadau. Mae hyn, ynghyd â Tip 2. (hy gwybodaeth gyswllt y tu allan i ddyddiad) yn gadael y gwerthwr yn methu cysylltu â chi, i ddweud wrthych fod gwasanaeth wedi ei ohirio oherwydd methiant i dalu, a bod eich gwefan yn gostwng.

Y cyntaf y byddwch yn ei glywed am y cyfnod hwn yw pan fydd cwsmer yn dweud nad yw’n gallu cyrraedd eich gwefan.

Roedd eich cwsmer yn gobeithio prynu rhywbeth, ond nawr dydyn nhw ddim yn siŵr, dydych chi ddim yn ymddangos yn broffesiynol iawn. Rydych chi’n mynd i banig, yn rhoi’r bai ar y gwerthwr, yn meddwl eich bod wedi’ch hacio … rydych chi’n cael y llun.

Cymerwch ffynhonnell arall o sŵn a phryder gwyn allan o’r llun, cadwch y wybodaeth ddiweddaraf am daliadau.

6. Lleihau’r dirwedd fygythiad

Hwn yw’r rhan fwyaf technegol o’n cyngor diogelwch, y mwyaf strategol, nid y ‘Tip’ fel y cyfryw, yn fwy o ddull hirdymor o reoli diogelwch gwefan. Fodd bynnag, fy ‘tip’ yw eich bod yn mabwysiadu’r meddylfryd hwn heddiw.

Os ydych chi’n rhedeg gwefan gymhleth, a gynhelir efallai ar System Rheoli Cynnwys fel Joomla, Drupal, Wordpress, rydych chi’n agor tirwedd enfawr o fygythiadau diogelwch:

Fel y trafodwyd, nid yw’r erthygl hon yn gwneud unrhyw ymgais i rannu gwahanol rinweddau systemau a chaledwedd sy’n cystadlu - nid yw’n gwneud argymhellion ychwaith ar gyfer cyfundrefnau gwrth-firws na chlytiau effeithiol i wneud eich systemau yn llai agored i fygythiad.

Eich swydd chi yw cydnabod, fel rheolwr gwefan, bod gennych naill ai y sgiliau i gynnal a rheoli diogelwch eich gwefan eich hun neu nad ydych chi ac i ddewis darparwr i’ch cynorthwyo gyda’r swydd honno.

Y naill ffordd neu’r llall, os byddwch yn gwneud pob ymdrech i leihau’r dirwedd sy’n fygythiad, bydd eich system yn haws i chi neu’ch darparwr ei rheoli, ac felly bydd yn fwy diogel.

Ein profiad gyda Wordpress

Gadewch i ni ddangos hyn gydag enghraifft. Unwaith y gofynnodd cleient i ni gynnal gwasanaeth gwefan diogel ‘ar bob cyfrif’. Fe wnaethant dalu premiwm i ni reoli gwefan gorfforaethol gyda gwell diogelwch, capasiti gweinydd enfawr, larymau a monitro a chlytiau a diweddariadau cyfnodol. Fe wnaethom hefyd greu system llwyfannu a llif gwaith yn atal unrhyw ddatblygwyr thema rhag cael mynediad uniongyrchol i wasanaethau cynhyrchu drwy lif gwaith ‘devops’ i wthio themâu newydd o lwyfannu gwasanaethau i wasanaethau cynhyrchu gyda phrofion awtomataidd.

Yn ddiangen, roedd y cleient yn teimlo ei fod wedi’i gloi allan o’r system, enillodd frwydr i reoli ei ategion ei hun ac yn y pen draw cymerodd y system i lawr gyda rhai diweddariadau ategyn gwael.

Mae tirlun bygythiad Wordpress yn enfawr. Os oes angen blog syml arnoch, yn gallu goddef rhai toriadau, ac yn hapus i ddatrys a chlymu pethau’n aml, rydych chi’n cael llawer am eich arian (mae’r meddalwedd yn rhad ac am ddim ar gyfer hunan-hosanwyr).

Fodd bynnag, os ydych yn adeiladu gwefan gorfforaethol, meddyliwch am werth system mor gymhleth a chydbwyswch hynny yn erbyn eich gofynion go iawn.

    

Mwy o Reoli Cynnwys Diogel

Mae Wordpress yn System Rheoli Cynnwys boblogaidd iawn, ond yn sgîl bygythiadau diogelwch ac yn enwedig y rhai a adroddwyd o systemau Wordpress a ategion, mae pobl yn edrych ar atebion amgen ar gyfer Rheoli Cynnwys.

Mae’n ddefnyddiol gofyn rhai cwestiynau i chi’ch hun am ofynion eich gwefan a chydbwyso’r rhai yn erbyn eich ymarfer cyfredol.

Os ydych chi wedi dod o hyd i unrhyw rai o rannau olaf y cwestiynau hyn yn wir, yna efallai y bydd gennych ddiddordeb mewn darganfod mwy am atebion gwefannau amgen, mwy diogel (fel gwefannau sefydlog), gyda thirweddau bygythiad llai, a llai o gymhlethdod - dim byw cronfa ddata, dim gweinydd, dim meddalwedd sy’n wynebu’r cyhoedd i’w hacio.

7. Cyfrineiriau a dilysu 2-Ffactor

Mae Netistrar yn argymell defnyddio cyfrineiriau cryf a Dilysu 2 Ffactor, ac rydym yn cefnogi’r ddau.

Does dim rhaid dweud, os bydd rhywun drwg yn cael gafael ar eich cyfrinair, gallant fod yn berchen ar eich gwefan, eich enw parth a’ch busnes. Os ydych chi wedi gweithredu Dilysu 2-Ffactor, yna bydd angen iddynt hefyd ddwyn eich dyfais symudol i fynd i mewn i’ch cyfrif. Dylai eich dyfais symudol hefyd gael ei diogelu gan rywfaint o ddiogelwch - cod pas neu gydnabyddiaeth wyneb.

Cadwch eich cyfrinair mewn lle diogel. Rydym yn argymell Lastpass fel claddgell dda.

8. Rhowch rai trygioni rhyngoch chi a’r dynion drwg

Yn fras, mae haciwr penderfynol naill ai:

  1. ceisio cyfaddawdu eich diogelwch ôl-gefn, eich gweinydd, neu’ch maes gweinyddu ar eich gwefan i fod yn berchen ar eich gweinyddwr neu’ch gwefan i wneud pethau drwg, neu;

  2. ceisio gorlethu’ch gweinydd â thraffig, i wadu gwasanaethau eich cwsmer, difetha’ch busnes ac o bosibl eich dal i bridwerth, neu;

  3. cipio’ch enw parth trwy eich gweinyddiaeth wael eich hun i herwgipio eich brand a hefyd eich dal i pridwerth.

Fel arfer, maent yn gwneud hyn drwy berswadio’ch gwefan â thraffig neu ymosod ar eich tudalen mewngofnodi dro ar ôl tro i ‘ddyfalu’ eich cyfrinair neu redeg ‘sgriptiau’ yn erbyn y safle gan geisio manteisio ar wendidau hysbys. Mae’r adnoddau y maent yn eu cyflogi i wneud hyn yn gofyn am gryfder sylweddol i wrthsefyll, gall mwy nag unrhyw fusnes arferol gyfiawnhau neu fforddio. Mae angen rhai guys mawr arnoch i sefyll rhyngoch chi a’r guys drwg.

Mae un darparwr o’r fath yn Cloudflare sydd â gwasanaethau arbenigol yn amddiffyniad DOS Difrifol Gwasgaredig Gwasanaeth, a hefyd yn cymhwyso meddalwedd mur gwarchod i ddiogelu Wordpress a llwyfannau eraill cyn i’r traffig daro’ch gweinydd. Maent yn cynnig cynlluniau am ddim ac â thâl gyda gwahanol lefelau o gymorth.

Mae gan Google dechnoleg ‘Captcha’ am ddim y gall datblygwyr ei defnyddio i ddiogelu ffurfiau gwe rhag ymosodiad dro ar ôl tro.

Gall Netistrar ddarparu cymorth arbenigol gyda phwynt 3. (dilynwch yr awgrymiadau hyd yn hyn!).  

9. Clowch eich enw parth

Mae ‘clo’ yn statws ar y system sy’n atal yr enw parth rhag cael ei drosglwyddo neu ei ddileu. O dan reolau ICANN, mewn rhai amgylchiadau rhaid i enwau parthau gael eu cloi am gyfnod o 60 diwrnod, er enghraifft yn dilyn trosglwyddiad, neu newidiadau i wybodaeth perchnogaeth.

Mae’r statws clo hwn hefyd yn cael ei drosglwyddo i’r gadwyn, i’r Gofrestrfa Barth Lefel Uchaf (ee rheolwr .COM, .UK ac ati) sy’n atal newidiadau posibl o’r tu allan i’r system.

Rydym yn argymell eich bod yn cadw’r statws dan glo bob amser, ac rydym yn gosod hwn yn ddiofyn.   

ENWAU Dashboard Domain Security Settings

10. Gweithio ar wytnwch cymaint ag atal

Beth bynnag yw eich dewis dechnoleg, dylech feddwl am fygythiadau i ddiogelwch gwefan fel rhywbeth anochel. Hyd yn oed os ydych wedi dilyn yr holl awgrymiadau uchod yn ofalus, mae’r rhyngrwyd yn lle llawn o fanteisgarwch, helwyr haelioni a deifwyr.

Dydych chi ddim yn gwybod sut y bydd het glyfar yfory yn dod i’r amlwg - ond bydd. Neu enghraifft arall, efallai eich bod wedi adeiladu caer rithwir o gwmpas eich gwefan yn llwyddiannus, ac yna mae rhywun yn eich swyddfa yn postio ffilm fer sy’n cynnwys llun o’ch bysellfwrdd wrth i chi deipio’ch cyfrinair!

Y ffordd rydych chi’n llwyddo i wella ar ôl digwyddiad o’r fath yw’r prawf asid ar ddiogelwch eich gwefan. Os ydych chi’n adeiladu ‘gwytnwch’ yn eich meddwl a chynllunio parhad busnes, mae’r broses yn amhrisiadwy ar gyfer diogelwch gwefan.

Dyma rai o is-awgrymiadau i’ch rhoi ar ben ffordd:

 Yn olaf, peidiwch â bod yn or-bryderus am ddiogelwch. Derbyniwch yr hyn nad ydych yn ei wybod a chael help. Peidiwch â chymryd gormod, mae rhai pecynnau cynnal gwych ar gael sy’n gost-effeithiol ac yn ddiogel. Mae’n fater o gydbwysedd, os mai llyfryn yn unig yw eich gwefan, yna ni ddylai gymryd llawer i’w wneud yn ddiogel, diogelu’r enw parth, a chadw rhai copïau wrth gefn. Os ydych chi’n ennill ffortiwn o fasnachu ar-lein, yna buddsoddwch rywfaint o hynny yn ôl i ddiogelwch.

 

= * Yn amodol ar dderbyn eich parth gan Cloudflare. Nid yw HTTPS AM DDIM ar gael bob amser o dan ein cynlluniau DNS AM DDIM.

Cyhoeddwyd: , 3053 geiriau.

Rhannu

Nesaf
Dod o hyd i Great .Wales ac Enw Parth .CYMRU