È facile commettere errori durante l'eccitazione di aprire un nuovo sito Web. Come creare un sito Web: per principianti Come creare un sito Web: per principianti Oggi ti guiderò attraverso il processo di creazione di un sito Web completo da zero. Non ti preoccupare se questo sembra difficile. Ti guiderò in ogni fase del percorso. Leggi di più . Accendere un piccolo negozio, portfolio o blog è molto divertente, ma occuparsi di violazioni della sicurezza e hack è molto meno così. Quando si imposta un nuovo sito Web, è importante assicurarsi che sia sicuro.
Fortunatamente, la maggior parte delle cose che dovresti fare sono molto semplici. Alcuni impiegheranno un po 'di tempo, ma è un investimento degno. Non lasciare il tuo sito non protetto! Ecco 10 cose che puoi fare per tenerlo al sicuro.
1. Scegli un Registrar di dominio sicuro
Quando registri il tuo dominio, vuoi assicurarti che nessuno ne abbia il controllo. Se un malintenzionato è in grado di accedere al tuo registrar di domini, potrebbe trasferirlo a se stesso o causare ulteriore distruzione.
Esistono alcune opzioni per i registrar di domini che utilizzano l'autenticazione a due fattori (2FA) Definizione dell'autenticazione a due fattori e Perché è consigliabile utilizzarla Autenticazione a due fattori e Perché è consigliabile utilizzarla Autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con una carta di credito non richiede solo la carta, ... Per saperne di più. Ciò aggiunge un ulteriore livello di sicurezza e rende molto più difficile l'accesso a qualcun altro. Anche se qualcuno riesce a ottenere la tua password, probabilmente non avrà accesso al tuo telefono.
Ecco alcuni registrar che offrono 2FA:
- Dynadot
- Vai papà
- Lexsynergy
- Name.com
- NameCheap
2. Nascondi le tue informazioni da WHOIS
Ogni sito web ha una voce WHOIS e, se non si adottano misure per assicurarsi che le proprie informazioni siano protette, il nome e l'indirizzo e-mail saranno facili da individuare per le aziende di spam. Sia il tuo nome che il tuo indirizzo e-mail sono necessari per il furto d'identità, quindi tenerli in privato potrebbe aiutarti a proteggerti anche da quel punto di vista.
La maggior parte degli host web offre registrazioni anonime WHOIS a pagamento, ma ce ne sono alcune che la forniscono gratuitamente. Sia Dreamhost che 1and1 ti consentono di aprire un sito con informazioni WHOIS anonime senza alcun costo.
Sia che tu decida di pagarlo o meno, fai quello che puoi per mantenere il tuo nome e la tua email (o anche solo il tuo indirizzo e-mail) al di fuori del tuo record WHOIS. Ti farà risparmiare tempo nel gestire un sacco di spam e renderà un po 'più difficile per qualcuno ricevere le tue informazioni.
3. Cambia le tue password
Speriamo che questo sia ovvio, ma cambiate subito le password. Come generare password complesse che si adattino alla vostra personalità Come generare password complesse che si adattino alla vostra personalità Senza una password complessa, potreste trovarvi rapidamente sul lato ricevente di un crimine informatico. Un modo per creare una password memorabile potrebbe essere quello di abbinarlo alla tua personalità. Leggi di più . Se il tuo dominio, host, CMS o qualsiasi altra cosa ha una password di amministratore standard, cambialo. Dovresti anche cambiare il tuo nome utente da "admin" a qualcos'altro, se è il default.
Non è una cattiva idea anche cambiare le password regolarmente. Utilizzare un gestore di password 7 Capi superbi di Gestione password intelligente È necessario iniziare a utilizzare 7 Potenti superpoteri di Gestione password È necessario iniziare a utilizzare I gestori di password contengono molte funzionalità eccezionali, ma ne era a conoscenza? Ecco sette aspetti di un gestore di password che dovresti sfruttare. Leggi di più per tenerne traccia e assicurati che siano sicuri.
4. Aggiorna il software del tuo sito web
Una volta che hai assicurato la tua registrazione, è il momento di proteggere il sito stesso. E il primo passo in questo, molto simile al primo passo per mettere al sicuro qualsiasi altra cosa, è mantenere tutto aggiornato.
Quando le aziende scoprono buchi nella loro sicurezza, rilasciano patch e aggiornamenti. Se non stai aggiornando il tuo software, rimarrai vulnerabile. La maggior parte degli host lo rende molto semplice e spesso ti ricorderà di aggiornare quando è disponibile una nuova versione. Anche così, è una buona idea controllare regolarmente le informazioni sulla tua versione.
5. Usa i plugin di sicurezza
Se stai usando un sistema di gestione dei contenuti (CMS) 10 Sistemi di gestione dei contenuti più popolari online 10 Sistemi di gestione dei contenuti più popolari online I giorni delle pagine HTML con codice a mano e il controllo dei CSS sono ormai lontani. Installa un sistema di gestione dei contenuti (CMS) e in pochi minuti puoi avere un sito web da condividere con il mondo. Per saperne di più, sono disponibili plug-in di sicurezza. I più grandi come WordPress 18 Wordpress Security Plugin e suggerimenti per proteggere il tuo blog 18 Wordpress Security Plugin e suggerimenti per proteggere il tuo blog Per saperne di più, Drupal, Joomla e Magento hanno tutti un sacco di loro. Tutto quello che devi fare è scegliere quelli più adatti alla tua situazione, quindi scaricare, installare e attivare.
Ogni estensione CMS e sicurezza ti fornirà diversi consigli su cosa esattamente dovresti usare. È anche una buona idea consultare le recensioni di terze parti sui plugin di sicurezza. Ma se il plugin è realizzato da un fornitore affidabile, ti aiuterà a mantenere il tuo sito sicuro. Usa impostazioni di sicurezza più elevate per eliminare ancora più vulnerabilità e mantieni aggiornate le tue estensioni.
6. Abilita HTTPS
Non è solo la tua sicurezza che dovresti pensare. Sia i tuoi visitatori che Google apprezzeranno la crittografia di tutto il traffico sul tuo sito. Soprattutto se i tuoi visitatori condivideranno informazioni sensibili.
Alcuni servizi di hosting attivano automaticamente HTTPS per te e altri ti consentono di farlo con un clic o due. Se stai auto-hosting o stai semplicemente affittando lo spazio del server, potresti doverlo fare nel modo più duro. Ciò comporta l'acquisto di un certificato SSL, l'attivazione e la configurazione del sito per l'utilizzo di HTTPS.
Non è particolarmente complicato, ma il processo potrebbe essere diverso sul tuo servizio di hosting, quindi controlla con loro per trovare il modo migliore per farlo.
7. Controllare le autorizzazioni
Vari utenti del tuo sito Web avranno diversi livelli di autorizzazione. In qualità di amministratore, avrai il permesso di cambiare tutto ciò che vuoi - le altre persone dovrebbero essere più limitate. I CMS ti consentono spesso di modificare le autorizzazioni per i visitatori, i visitatori che hanno effettuato l'accesso, gli editor, i contributori e molti altri gruppi di utenti.
Pensa a quanto dovrebbe avere accesso ogni gruppo. I tuoi editori devono creare nuovi utenti? I tuoi lettori dovrebbero essere in grado di modificare le pagine? Dare a tutti il minor numero possibile di permessi per loro di fare il loro lavoro.
Se vuoi diventare veramente tecnico, puoi usare un client FTP Come trasformare Windows File Explorer in un client FTP Come trasformare Windows File Explorer in un client FTP Quando hai bisogno di spostare file tra computer, FTP è un ottimo modo per fare esso. E se usi Windows File Explorer, non hai più bisogno di un client FTP di terze parti. Ecco come ... Leggi ulteriori informazioni su tutti i file sul tuo sito e controlla le loro autorizzazioni in notazione simbolica o numerica. È quindi possibile utilizzare il terminale di comando per modificare le autorizzazioni. (Se non hai idea di cosa sto parlando, fai attenzione!)
8. Nascondi le pagine di amministrazione
Le pagine che usi per accedere e gestire il tuo sito web non dovrebbero essere visibili ai motori di ricerca. Questo potrebbe non sembrare una misura di sicurezza, ma rende più difficile per le persone con cattive intenzioni di trovare quelle pagine. E poiché di solito è molto facile da fare, vale la pena dedicare qualche minuto.
Alcuni CMS e plugin di sicurezza ti consentono di nascondere queste pagine ai motori di ricerca. Se il tuo non fornisce questa funzionalità, puoi farlo manualmente modificando il tuo file robots.txt, che dovrebbe essere accessibile dalle tue impostazioni CMS o dalla sezione amministratore cPanel. Aggiungi il seguente al file:
User-agent: * Disallow: [the relative URL of the page]
In WordPress, dovresti usare "/ wp-admin /" come URL. Altri CMS avranno URL diversi. Puoi anche disabilitare qualsiasi altra pagina che gli utenti non devono vedere. Non solo è buono per la sicurezza, ma può anche aiutare il tuo SEO!
9. Protezione da script cross-site
XSS è una tattica di hacking Che cosa è Cross-Site Scripting (XSS), e perché è una minaccia per la sicurezza Che cos'è Cross-Site Scripting (XSS) e Perché è una minaccia per la sicurezza Le vulnerabilità di scripting cross-site sono il più grande problema di sicurezza del sito web oggi. Gli studi hanno scoperto che sono sorprendentemente comuni - il 55% dei siti web conteneva vulnerabilità XSS nel 2011, secondo l'ultimo rapporto di White Hat Security, pubblicato a giugno ... Leggi di più che comporta l'esecuzione di codice sul tuo sito web attraverso metodi round-about. Potrebbe accadere in un modulo di contatto, ad esempio. Includendo uno script nel modulo di contatto, un hacker potrebbe ottenere il tuo sito Web per eseguire quel codice, dando loro accesso o scatenando il caos.
Proteggere da questo tipo di attacco è in realtà piuttosto complicato. Se vuoi conoscere i metodi che puoi utilizzare, dai un'occhiata a questo fantastico cheat anti-XSS di OWASP. Se sei meno incline alla tecnologia, ci sono molti plugin anti-XSS disponibili. Alcuni plugin di sicurezza standard possono coprire questa vulnerabilità, ma non dare per scontato che sia così. Assicurati di essere protetto.
10. Previeni la perdita di informazioni
Mentre XSS, SQL injection What Is An SQL Injection? [MakeUseOf Explains] Che cos'è un'iniezione SQL? [MakeUseOf Explains] Il mondo della sicurezza di Internet è afflitto da porte aperte, backdoor, buchi di sicurezza, trojan, worm, vulnerabilità dei firewall e una manciata di altri problemi che ci tengono tutti in punta di piedi ogni giorno. Per gli utenti privati ... Per saperne di più, il cracking delle password e altri metodi di hacking potrebbero sembrare i più pericolosi, spesso le cose più semplici che causano problemi. La perdita di informazioni è una di quelle cose.
Quando accidentalmente distribuisci informazioni che non avevi intenzione di (o di cui non sei a conoscenza), si tratta di perdita di informazioni. È facile per gli sviluppatori lasciare accidentalmente commenti HTML nel codice del tuo sito web, ad esempio che contengono informazioni riservate.
Se stai lavorando con un'implementazione CMS standard, questo non sarà un grosso problema. Tuttavia, se qualcuno ha progettato un tema personalizzato per te o ha svolto un lavoro di sviluppo approfondito sul sito Web, è necessario verificare la presenza di perdite di informazioni. Uno dei modi migliori è semplicemente utilizzare l'opzione Visualizza sorgente nel browser e cercare rapidamente i commenti HTML che non sono stati eliminati.
Siti Web di dimensioni maggiori costituiti da centinaia o migliaia di pagine potrebbero richiedere uno specialista di sicurezza dedicato (o almeno uno stagista) per seguire questa procedura. In ogni caso, è una cosa facile da controllare, quindi non saltarlo.
Proteggi il tuo sito ora!
Quando crei un nuovo sito web, ci sono molte cose che devi fare. Ed è facile dimenticare queste semplici misure di sicurezza. Ma potrebbero risparmiare un sacco di problemi (e potenzialmente una grande quantità di denaro) nel lungo periodo. Quindi non saltare su di loro! Assicurati che il tuo sito sia sicuro prima di iniziare a lavorare sui tuoi contenuti.
Quali altri suggerimenti hai per proteggere nuovi siti web? Condividi i tuoi pensieri nei commenti qui sotto!