Посещението на злонамерен уебсайт може да бъде едно от най-лошите неща, които могат да се случат на хората, които сърфират в интернет^(Internet) , особено на тези, които се интересуват от онлайн пазаруване. Уеб администраторите трябва да знаят заплахите за и на уебсайтове, както и техните опустошителни възможности – загубата на потребителска база е първата. Ако управлявате уебсайт или блог, трябва да знаете за възможните заплахи за уебсайта. Тази статия говори за заплахите и техните резултати, някои методи, използвани от хакерите, за да злословят вашия уебсайт, и след това обсъжда начини как да поддържате уебсайтовете сигурни.

^(Website) Заплахи за ^(Threats)уебсайтове и техните ^(Their) ефекти^(Effects) или възможности

Как да защитим уебсайтовете

За хакерите е печеливш бизнес да крадат данни на хората и да ги използват за лични облаги. Печалбите могат да бъдат парични или абстрактни. Докато хакването, фишингът и социалното инженерство са често срещани методи, хакерите също използват уебсайтове на други хора, за да компрометират компютрите на потребителите и да получат достъп до техните данни. Следното изображение ви дава представа за заплахите за уебсайтове.

Следователно работата на уеб администратора е да се увери, че неговият или нейният уебсайт е без зловреден код и уязвимости. Това не е лесна работа, като се има предвид, че може да има хиляди страници и хакерът избирателно вмъква кода на някои страници. Тъй като това е въпрос на вашата репутация, вие трябва да го направите. За щастие има някои налични инструменти, които могат да сканират уебсайтовете ви ежедневно, за да ви представят доклад за заразен код и точки на уязвимост (като екрани за вход, формуляри и т.н.).

Освен това са налични браузъри и плъгини за браузъри, които задействат аларма, когато сте на път да посетите злонамерен, заразен уебсайт. Въпреки че може да сте посещавали този сайт преди и въпреки че може да ви е трудно да повярвате, че сайт, на който имате доверие, е заразен, той наистина може да е злонамерен, без уеб администраторът да знае за това – защото час по-рано някой хакер добави някакъв код към сайт.

Говорейки за най-лошите сценарии – или възможностите на заплахите за уебсайтове – има две основни страни на щетите:

Уеб администраторите може да загубят своята потребителска база, тъй като браузърът на посетителите задейства аларма, когато се опитат да посетят сайта им; Търсачките на Google и т.н. могат да списват уебсайта в черен списък, ако открият някакъв вид злонамерен код, докато обхождат уебсайта.^(Google)
От страна на потребителя компютърът на потребителя и следователно неговите/нейните данни са компрометирани и може да доведе до кражба на самоличност.

Често срещани видове заплахи за уебсайтове

Най-разпространеният и забележим е clickjacking . При този метод прозрачен слой от зловреден код се намира върху бутон или видео. Когато щракнете върху бутона, той изтегля кода на вашия компютър. Може да сте виждали подобни методи за реклама на уебсайтове от клас C^(C-grade) , предимно свързани с пиратство и съдържание за възрастни и т.н.

Уязвимостите при пренасочване на уебсайтове^{(Website redirection)} позволяват на хакерите да използват пренасочванията за своите печалби. Те могат или да прихващат обменяни данни, или да използват пренасочването, за да пренасочат потребителите към фишинг сайт.

Сред другите видове уебсайтове, заплахите са насочени атаки, използващи готови комплекти за експлоатиране,^{(readymade exploit kits)} достъпни лесно в Интернет^(Internet) . Тези комплекти позволяват на хакерите да се насочат към определени (видове) уебсайтове и да добавят злонамерени връзки към тях. Друг метод е да изпращате имейли до уебсайта със злонамерени връзки, които заобикалят нищо неподозиращия уеб администратор, за да го превърнат в злонамерен уебсайт.

Последните атаки срещу популярни уебсайтове показват, че дори и най-големите уебсайтове са уязвими. Хората, които веднъж загубят своите идентификационни данни, е малко вероятно да се върнат отново на сайта.

Представете^(Imagine) си, че вашият бизнес или уебсайт за електронна търговия попадат в черния списък и вие оставате на тъмно със седмици, докато търсачките отново ги поставят в белия списък. Въпреки че процесът за премахване на уебсайт от черни списъци е труден, може ли вашият бизнес да оцелее, ако не е на публично място в продължение на седмици?

Прочетете^(Read) : Как да премахнете скрипта за крипто копаене на Coinhive от вашия уебсайт.

Как да защитим уебсайтовете

Актуален софтуер^{(Up-to-date software)} : Поддържайте сървърния софтуер на вашия уебсайт напълно актуализиран и коригиран
SSL сертификати:^{(SSL Certificates:)} Компаниите, предлагащи сертификати за безопасност, проверяват вашия уебсайт, преди да издадат сертификат за доверие. Зелената част на адресната лента до „https“ осигурява известна увереност на потребителите на уебсайта.
Шифроване:^{(Encryption:)} Използвайте защитена връзка за всичко, което потребителите правят на вашия уебсайт, особено ако участват в транзакции.
Надстройка до EV SSL: ^{(Upgrade to EV SSL: )} Направете това във всяка част на уебсайта, където клиентът може да въвежда данни
Ежедневно сканиране на злонамерен софтуер:^{(Daily Malware Scan:)} Можете да използвате продукти, които сканират страниците на вашия уебсайт за злонамерен софтуер, без да намаляват времето им за зареждане. По този начин можете да премахнете злонамерения код – в случай че е там – преди потребителите да бъдат засегнати.
Седмична оценка на уязвимостите: ^{(Weekly Assessment of Vulnerabilities:)} Проверете^(Check) за възможни точки на уязвимости и имплементирайте допълнителна сигурност.

По-горе са само няколко съвета за защита на вашия уебсайт. Обяснява накратко заплахите за уебсайтовете и техните възможности.

Сега прочетете^{(Now read)} : Как да защитите WordPress сайт^{(How to secure a WordPress site)} .

По-късно днес ще прочетем за изтеглянията чрез Drive-by^{(Drive-by downloads)} и след няколко дни за това как да запазим защитен уебсайт на WordPress .

How to keep websites secure: Threats and Dealing with Vulnerabilities

Visiting a malicious website can bе one of the worst things that can happen to people browsing the Internet, especiallу the onеs interested in shopping оnline. Webmasters need to know threats for and of websites, and their devastating capabilities – losing consumer base being thе first. If you run a website or blog, you need to know about the possible website threats. This article talks of the threats and their outcomes, some methоds used by hackers to malign your website, and then discuss ways on how to keep websites secure.

Website Threats and Their Effects or Capabilities

How to keep websites secure

It is a profitable business for hackers to steal people’s data and use it for personal gains. The gains can be monetary or abstract. While hacking, phishing, and social engineering are common methods, hackers also use other people’s websites to compromise users’ computers and access their data. The following image gives you an idea of website threats.

It is, therefore, a webmaster’s job to make sure his or her website is free of any malicious code and vulnerability. That is not an easy job considering that there might be thousands of pages and the hacker selectively inserts the code on some pages. Since it is a matter of your reputation, you have to do it. Fortunately, there are some tools available that can scan your websites daily to present you with a report of infectious code and vulnerability points (like login screens, forms, etc.).

In addition, browsers and browser plugins are available that trigger an alarm when you are about to visit a malicious, infected website. Though you might have visited that site before, and though it might be hard for you to believe that a site you trust is infected, it may really be malicious without the webmaster knowing it – because an hour earlier, some hacker added some code to the site.

Speaking of worst-case scenarios – or capabilities of website threats – there are two major sides of damage:

Webmasters may lose their consumer base as visitors’ browser triggers an alarm when they attempt to visit their site; Google etc. search engines may blacklist the website if they find any type of malicious code while crawling the website.
On the user side, the user’s computer and hence his/her data is compromised and can result in identity theft.

Common Types of Website Threats

The most common and noticed is clickjacking. In this method, a transparent layer of malicious code sits on a button or video. When you click on the button, it downloads the code to your computer. You might have seen similar methods for advertising on C-grade websites, mostly related to piracy and adult content, etc.

Website redirection vulnerabilities enable hackers to use the redirections for their gains. They can either intercept data being exchanged or use the redirection to redirect users to a phishing site.

Among other types of websites, threats are targeted attacks using readymade exploit kits available easily on the Internet. These kits enable the hackers to target certain (types of) websites and add malicious links to them. Another method is to send emails to the website with malicious links that bypass the unsuspecting webmaster to make it a malicious website.

The recent attacks on popular websites indicate that even the biggest websites are vulnerable. People who once lose their credentials are not likely to return to the site again.

Imagine your business or e-commerce website getting blacklisted and you are left in dark for weeks until the search engines whitelist them again. While the process to get a website removed from blacklists is tough, can your business survive if it is not on the public view for weeks?

Read: How to remove Coinhive crypto-mining script from your website.