사람과 회사가 웹사이트를 완전히 포기하고 아무도 콘텐츠를 해킹하거나 사이트에 맬웨어를 설치하지 않기를 바라던 때가 있었습니다.
공격의 수와 빈도는 끊임없는 위협이 존재한다는 것을 의미하고 웹 사이트가 성공적일수록 위험도 더 커지기 때문에 그러한 시대는 이미 오래 전에 지나갔습니다.
그렇다면 ( 웹 호스팅 공급자 를 통해) 웹사이트를 보호할 수 있는 방법은 무엇 이며 사이트가 해킹되어 악의적으로 변경될 가능성을 어떻게 줄일 수 있습니까?
그러나 이에 도달하기 전에 많은 해킹된 사이트, 심지어 보안 서버에서 호스팅되는 사이트를 담당하는 가장 기본적인 보안 수준을 이해해야 합니다.
- 바로 여기에서 최고의 웹 호스팅 서비스를 선택했습니다.
- 다음은 최고의 무료 웹 호스팅 (새 탭에서 열림) 회사 입니다.
- 그리고 이들은 현재 최고의 웹사이트 빌더 입니다 (새 탭에서 열림).
첫 번째 방어선
일부 회사는 자체 웹 사이트 호스팅을 고집하지만 대부분의 비즈니스 도메인은 목적을 위해 계약된 보안 서버에 있습니다.
호스팅을 선택하면 시스템에서 실행 중인 OS(Windows Server, Linux 또는 Unix)와 필요한 보안 프로토콜을 지정하는 OS를 정의할 수 있습니다.
사이트를 관리할 책임이 있는 사람은 사이트의 파일 구조를 변경할 수 있는 관리자 권한이 있으며 다른 사람은 없습니다.
이것이 처음부터 잘못될 수 있는 곳은 너무 많은 사람들이 관리자 계정 세부 정보를 알고 있고 암호가 정기적으로 변경되지 않는 경우입니다. 그리고 관리자를 수행하는 데 사용되는 컴퓨터 중 하나에 키로거를 설치하기만 하면 암호가 가장 원하지 않는 사람들에게 정확히 공개됩니다.
하지만 솔직히 말해서 포스트잇으로 비밀번호를 정기적으로 기억하는 사무실에서 일하는 사람이 얼마나 될까요? 의심의 여지없이 몇 개의 손이 거기에 올라갔습니다.
이러한 암호를 보호하는 것이 첫 번째 방어선이며, 암호가 없으면 무엇을 하든 쉽게 취소할 수 있습니다.
따라서 웹 사이트 보안에 대해 배워야 할 두 가지 초기 교훈이 있습니다.
- 웹사이트가 구축된 네트워크만큼만 좋습니다.
- 암호를 적어두고 눈에 잘 띄는 위치에 두는 것으로 보안이 개선되는 경우는 거의 없습니다.
보안 감사
사이트에서 보안 감사를 수행하는 것은 IT 직원이 다양한 소프트웨어 도구를 사용하여 수행할 수 있는 비교적 간단한 작업입니다. 또는 제3자와 계약하여 스캔을 수행하고 보완할 잠재적인 약점 목록을 제공할 수 있습니다.
웹 호스팅 서비스를 구매하는 경우 제공업체는 처음부터 상당히 안전한지 확인하기 위해 보안 도구를 번들로 제공할 수 있지만 일반적으로 지속적이지는 않습니다.
그 외에도 많은 공급자가 웹 사이트 보안 패키지를 제공하여 위협에 대한 신속한 대응과 서비스 거부 공격 완화를 약속합니다. 소규모 개인 블로그만 있는 경우가 아니라면 이는 건전한 투자입니다.
이러한 서비스의 가격은 특히 전자 상거래를 제공하는 경우 특정 기간 동안 사이트를 오프라인 상태로 유지하는 데 드는 비용을 고려할 때 그리 많지 않습니다.
어떤 접근 방식을 사용하든 정기적으로 보안 검색을 수행하여 새로운 위협이 나타날 때 이를 식별하고 즉시 해결하는 것이 중요합니다.
공통 관심사
웹 사이트에서 발생하는 가장 일반적인 형태의 공격은 다음과 같습니다.
- DDoS(Distributed Denial of Service) – 일반적으로 트로이 목마에 감염된 많은 원격 컴퓨터는 서버가 요청 양을 처리할 수 없는 지점까지 반복적으로 웹 페이지를 요구하는 일제히 행동합니다.
- 맬웨어 감염 – 방문하는 모든 사람에게 업로드할 의도로 악의적인 코드가 포함된 파일이 사이트에 배치됩니다.
- SQL 인젝션 – 양식 또는 입력에 삽입된 악성 코드는 서버의 SQL 데이터베이스에 의해 실행됩니다. 이 코드는 고객 데이터에 액세스하거나 시스템을 외부 액세스에 개방할 수 있습니다.
- 무차별 대입 – 종종 OS의 결함으로 인해 반복 공격으로 인해 재설정이 발생하여 2차 공격을 위해 잠시 포트가 열립니다. 최신 운영 체제의 복잡성으로 인해 새로운 취약점이 정기적으로 발견됩니다.
- 교차 사이트 스크립팅 - 브라우저가 다른 사이트로 리디렉션되거나 방문자가 알지 못하는 사이에 피해자 사이트의 콘텐츠를 교체할 수 있는 해킹 방법입니다.
- '제로 데이' 해킹 – 이는 공개되지 않은 약점을 사용하는 새롭고 차단하기 어려운 공격입니다. 취약점이 발견되고 패치가 적용되는 사이의 시간은 매우 중요하며 수정 사항이 발견될 때까지 일부 서버 기능을 일시적으로 비활성화해야 할 수 있습니다.
설계상의 약점
많은 사이트가 다음 기능을 활성화한 상태로 운영되지만 여러 가지 이유로 많은 보안 문제의 원인이 됩니다.
- 양식 – 서버에서 입력을 처리하는 모든 것은 악성 코드의 잠재적 진입점이며 사용자 데이터를 추출하는 데 악용될 수도 있습니다.
- 포럼 – 스크립트 배치 및 맬웨어를 제공하는 웹사이트로 사용자 리디렉션은 사용자 생성 포럼의 잠재적인 문제 중 일부에 불과합니다.
- 소셜 미디어 로그인 – Facebook 또는 Google 계정을 사용하여 사이트에 빠르고 쉽게 로그인할 수 있지만 이러한 계정이 해킹당할 수도 있습니다.
- 전자 상거래 – 범죄는 돈을 쫓고 해커는 전자 상거래 사이트를 해킹하기 위해 훨씬 더 많은 노력을 기울일 것입니다.
- 규제되지 않은 콘텐츠 – 다른 사이트에서 뉴스 기사와 기사를 가져오는 경우 그것이 무엇이든 간에 해당 사이트의 보안 조치에 의존하게 됩니다.
분명히, 웹사이트에서 이러한 모든 기능을 제거하면 방문자에게 훨씬 덜 매력적인 장소가 될 것입니다. 어떤 요소를 사용할 준비가 되었는지, 요소와 관련된 가능한 보안 문제를 어떻게 완화할 것인지에 대한 판단이 필요합니다.
적절한 보호
귀하의 웹사이트가 해킹당하지 않는다는 것을 보장하는 단 한 가지 방법이 있습니다. 궁극적으로 웹 사이트 보안은 사이트를 해킹하려고 시도하는 것이 훨씬 덜 가치 있게 만들고 사고로부터 더 빨리 복구할 수 있도록 하는 완화 운동입니다.
보안 노력의 정확한 수준은 모든 회사가 씨름해야 하는 선택이지만 온라인 판매에 관련된 사람들의 경우 귀하와 거래하는 사람들의 개인 및 금융 세부 정보를 100% 보호하기 위해 노력해야 합니다.
수많은 회사와 조직에서 모든 고객 데이터를 도난당한 후 신원 도용 사기에 사용하여 비용이 많이 드는 결과를 초래했습니다.
어떤 수준의 보호 및 모니터링을 선택하든 목적에 적합해야 합니다. 마지막으로, 필요한 것보다 더 나은 보안을 갖추면 비용이 적게 들지만 법적 및 상업적으로 큰 영향을 미칠 수 있습니다.