Hvor sikker er dit websted? Lær truslerne, og hvordan man forbliver sikker

Afsløring: Din support hjælper med at holde webstedet kørt! Vi tjener et henvisningsgebyr for nogle af de tjenester, vi anbefaler på denne side.


Da den moderne markedsplads er kommet til at stole på virtuelle medier, storefronts og relationsstyring, er behovet for større cybersikkerhed – på alt fra hosting-servere til personlige pc’er til mobile enheder – steget eksponentielt. Borte er dagene med afslappede GeoCities-storefronter, der kun er sikret med et (håbeligt) stærkt kodeord og et årvåget øje.

Hvor sikker er dit websted?

Ondskab på Internettet

I dag har World Wide Web næsten 15 milliarder websider (spredt over mere end 600 millioner websteder), og cybersikkerhed er blevet big business. Betegnelser, der betydede lidt for nogen uden for det daværende sjældne informationsteknologifelt for tyve eller endda ti år siden – hacking, phishing, Denial of Service (DoS) -angreb – er kommet ind i mainstream, da både virksomheder og enkeltpersoner befinder sig på den modtagende ende af Internettet ballade.

Alligevel er “ondskab” muligvis ikke et stærkt nok udtryk. Angreb på erhvervs- og regeringswebsteder er steget, efterhånden som aktivister, anarkister og (måske mest berømt) “hacktivist” -gruppe Anonym har gjort kompromis med webstederne og sikre filer af deres uheldige mål til noget af en kunst. Og for dem, der befinder sig i den modtagende ende af en hacker’s “performance piece”, kan omkostningerne være astronomiske.

Regeringswebsteder er ikke immun

Overvej byen Naperville, Illinois, hvis officielle bywebsted blev hacket i oktober 2012. Ud over at deaktivere e-mail til og fra byens ansatte, eliminerede angrebet effektivt Naperville-beboernes online adgang til forsyningsselskaber og sociale tjenester. Byen autoriserede næsten $ 700.000 til at gendanne stedet og forbedre sikkerheden, men de ekstra omkostninger – tid, borgeres tillid til sikkerheden ved deres data, forsinkelser i tjenester – er vanskeligere at kvantificere.

Naturligvis er regeringswebsteder ikke det eneste populære mål for angreb. I det, der er blevet noget af en advarsel fortælling for både gaming community og cybersecurity-talsmænd, blev Sonys PlayStation Network krøllet i 2011 af et cyberangreb, der kostede virksomheden $ 171 millioner dollars og efterlod de personlige data (inklusive navne, adresser og kredit) kortoplysninger) af 77 millioner eksponerede kontohavere. Elektronikjuggernaut stod overfor massiv retssag, blev tvunget til at omlægge og fortsætter med at kæmpe for at genvinde kundernes tillid.

Truslerne er virkelige – og store

Truslen er reel, og indsatserne er høje. Med 86% af websteder, der i øjeblikket er sårbare over for mindst en vektor af cyberattack, er en smart, veludviklet og tilpasningsbar cybersikkerhedsplan – en der inkluderer at finde en hostingudbyder med passende sikkerhedsindstillinger – ikke længere valgfri for virksomheder, der ønsker at beholde deres websteder og kundedata sikker.

hvordan-safe-er-din-hjemmeside-large

Hvor sikkert er dit websted?

Hundrede tusinder af websteder med de to mest almindelige indholdsstyringssystemer angribes hvert år. Vi har undersøgt, hvor almindelige disse angreb er, hvad der forårsager dem, og hvordan man forhindrer dem i at gå efter dit websted.

634.000.000 websteder rapporteret over hele kloden – dec 2012.

  • 10% af websteder, der er spredt af WordPress
  • 4,7% af siderne drevet af Joomla!
  • 48% af de 100 bedste klodser bruger WordPress.

Næsten 25.000 WordPress-plugins er tilgængelige med mere end 450 millioner downloads.

Fra 2010 til 2012 voksede web malware omkring 140%.

Næsten 200.000 phishing-angreb globalt i første halvår af 2012, i alt et tab på 687 millioner dollars – en stigning på 19% fra 2011.

  • April 2013
    • 90.000 IP-adresser med WordPress og Joomla! sites
      • Årsag: Svage brugernavne og adgangskoder
    • “Pay Day Loan” spam-links blev injiceret i det populære WordPress-social media widget-plugin (social-media-widget) med 900.000 downloads
      • Årsag: Plugin blev solgt, og de nye ejere besluttede at bruge deres bi-målgruppe og injicere spam på alle websteder, der bruger plugin. Dette er også sket på Joomla! sites
  • December 2012
    • WordPress og Joomla! websteder blev ofre for angreb fra søgemaskelforgiftning (SEP)
      • Årsag: En teori var GoDaddy-hosting, en anden var forældede versioner af platforme. Securi identificerede to forskellige varianter af angrebet
  • September 2012
    • Først amerikanske bankwebsteder, derefter en række andre PHP-webapplikationer, såsom Joomla! og mange WordPress-websteder
      • Årsag: En forældet version af timumn-plugin (en populær PHP-baseret billedresizer.) Hacket resulterede i flere falske indlæg til dets websted, inklusive en falsk samtale med en syrisk rebelsk hærleder
  • August 2012
    • Thomson Reuters
      • Årsag: En forældet version af WordPress (kører 3.1.1 i stedet for den daværende nuværende 3.4.1)
  • Marts 2012
    • Over 30.000 ExpressionEngine, Joomla !, og WordPress-websteder blev ramt af et masseinjektionsangreb med det formål at sprede falsk antivirus-software
      • Årsag: Svage FTP-legitimationsoplysninger

De mest almindelige typer angreb på WordPress og Joomla! steder

  • bagdøre
    • Angribes omgå normal godkendelse for at få fjernadgang til dit miljø via unormale metoder som FTP, SFTP & WP-Admin.
  • Drive-by Downloads
    • Malware er indlejret på dit websted via en eller anden form for injektion af script. Almindelige årsager er forældet software, kompromitterede legitimationsoplysninger og SQL-injektion.
  • Pharma Hacks
    • Mere af en spam-trussel end malware. Disse er endnu farligere, fordi de kun er synlige for søgemaskiner. Hvis det påvirkes, kan dit websted være tagget af Google som “kompromitteret.”
  • Ondsindede omdirigeringer
    • Omdirigerer brugeren til et andet websted og kan påvirke både dit primære domæne såvel som underdomænerne.

De mest almindelige problemer

  • Billig hosting
  • Dårligt kodede tredjepartsudvidelser
  • Dårlige eller svage adgangskoder og administratoroplysninger
  • Forældede kernefiler, platforme, plugins og udvidelser

Løsninger og bedste praksis for sikkerhed

  • Bliv uddannet
  • Brug en sikker vært
  • Brug en scanner som Securis sitecheck (som er gratis) til at kontrollere for infektioner. Tema- og plugin-kontrol er også tilgængelig
  • Tilmeld dig Googles webmasterværktøjer, og bekræft dit websted
  • Brug meget stærke adgangskoder
  • Få oversigt over PHP-udvidelser, hold dem ajour
  • Log netværkstrafik for at afsløre indgående PHP-anmodninger, der afslører ville-angribere, der søger efter sådanne programmer
  • Sikkerhedskopier dit websted

WordPress

  • Opdater dit websted (ignorer ikke WordPress-meddelelsen, der opfordrer dig til at opdatere til den nyeste version!)
  • Installer plugins, der begrænser antallet af loginforsøg fra den samme IP-adresse eller netværk (og hold dem opdateret)
  • Tænd for tofaktorautentisering for at tilføje et ekstra lag af sikkerhed

Joomla!

  • Brug den seneste sikkerhedsopdatering
  • Brug en SEF-komponent, der gør dit websted mere sikkert. En standard-URL til Joomla fortæller seeren meget om den besøgte side; at det er en Joomla! side og hvilke komponenter der bruges. En SEF-komponent maskerer denne information og gør det sværere for en hacker at finde sikkerhedssårbarheder
  • Skriv-beskytt din konfigurationsfil (gør uskrivbar). Filen kaldes “Configuration.php” og er placeret i rodmappen på dit domæne
  • Slet ubrugte skabeloner
  • Skift filtilladelser for at begrænse redigering eller overskrivning

Hold dig ajour og hold dig sikker!

Kilder

  • wordpress.com
  • wordpress.org
  • wp.smashingmagazine.com
  • blogs.rsa.com
  • thenextweb.com
  • blog.sucuri.net
  • informationweek.com
  • blogs.wsj.com
  • hyphenet.com
  • wpmu.org
  • joomlasecurity.org
Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map