HTTPS — это защищенный протокол передачи. От обычного HTTP он отличается шифрованием всех передаваемых данных, что позволяет обезопасить обмен между сайтом и пользователем.
Если раньше я рекомендовал переходить на https только сайтам собирающим информацию (магазинам, хост-провайдерам, интернет-банкам), то теперь это необходимо делать всем!
И вот почему:
- Наличие HTTPS один из факторов ранжирования сайта в поисковой выдаче. Google открыто заявляет, что сайты с HTTPS ранжируются выше, чем прочие равные на HTTP;
- Повышение доверия к сайту со стороны пользователей. Так как многие браузеры помечают сайты без сертификата как небезопасные;
- Защита информации, которые пользователи передают вашему сайту;
- Отсутствие сторонней рекламы на вашем сайте. Мобильные операторы начали встраивать стороннюю рекламу прямо на сайты. Единственный способ защитить свой сайт от встраивания чужих баннеров — это перейти на HTTPS.
Как это сделать?
Накрутка подписчиков ВК и активности — безопасно!
Переход на HTTPS осуществляется заказом SSL сертификата. Практически все хостеры (хостинговые компании) предлагают бесплатную версию сертификата (SSL Let’s Encrypt). Поэтому переход теперь не стоит ни копейки и занимает буквально несколько минут. После перехода не забудьте произвести SEO настройки (сделать редирект и прописать главное зеркало).
Источник: websalamat.ru
Как сделать свой сайт надежным: переход на https и виды ssl-сертификатов
С ростом кибер-преступлений владельцам веб-сайтов крайне важно знать, как предоставить своим клиентам безопасное соединение. Кроме того, Google обещает к июлю 2018 года помечать все сайты, которые работают по протоколу HTTP, как “Незащищенные”. Чтобы пополнить ряды “Надежных” веб-сайтов, необходимо установить SSL-сертификат на свой сайт или интернет-магазин. Но прежде нужно разобраться в том, что такое SSL-сертификат, какие бывают виды сертификатов безопасности, в чем их отличие и как перевести свой сайт на HTTPS.
В этой статье мы расскажем о том, что такое SSL-сертификат, какие бывают сертификаты безопасности, и какие у них отличия и особенности. Что такое SSL-сертификат? Мы уже рассказывали о SSL-сертификатах и том, что переход на https сегодня скорее необходимость. SSL-сертификаты позволяют предоставить безопасное соединение между сайтом и пользователем. Соединение по протоколу https защищает конфиденциальные данные, такие как данные о транзакциях, номера пластиковых карт или данные для авторизации, которыми пользователи обмениваются в ходе каждой сессии. Таким образом, SSL-сертификат позволяет использовать протокол https, который гарантирует, что информация останется конфиденциальной, а онлайн-транзакции — под защитой. Как работает SSL-сертификат?
Как сделать сайт защищенным
SSL-сертификат использует криптографию с открытым и закрытым ключом. Ключи представляют из себя длинные последовательностями случайных чисел. Открытый ключ известен вашему серверу и используется для шифрования любого сообщения. Закрытый же ключ используется для дешифровки сообщения. Сказано — показано. Если Маша отправит сообщение Тане, она зашифрует его открытым ключом Тани, а единственным способом прочитать сообщение является дешифровка сообщения с помощью закрытого ключа Тани. Таким образом, Таня — единственная, у кого есть закрытый ключ, поэтому она сможет расшифровать сообщение Маши. Вывод: Если третье лицо перехватывает сообщение до того, как Таня его расшифрует, все, что получит злоумышленник, — абракадабру, которую нельзя будет взломать даже с помощью специальных программ. Если перевести пример на веб-сайт, то передача сообщений от Маши к Тане — взаимодействие веб-сайта и веб-сервера. Зачем нужен SSL-сертификат? SSL-сертификат защищает вашу конфиденциальную информацию, такую как данные кредитной карты, имена пользователей и пароли. А также:
- Изменяется статус ресурса в строке браузера, что повышает доверие пользователей
- Увеличивается вероятность конверсии, так как пользователи уверены, что данные их карт не будут переданы третьим лицам
- Google увеличивает позиции сайта или интернет-магазина в поисковой выдаче
Сертификат безопасности позволит вашему сайту или интернет-магазину предоставить вашим посетителям защищенное соединение, а также уверенность в том, что данные их кредитных карт и другие персональные данные не будут скомпрометированы. Кроме того, в блоге Google Chrome появилась новость о том, что к июлю 2018 года, с выходом Google Chrome версии 68, все сайты, которые работают по протоколу HTTP будут отмечаться как ненадежные (“Не защищено” в российском варианте)
Существует множество различных типов SSL-сертификатов, основанных на количестве принадлежащих им доменов и поддоменов, таких как:
Стандартный SSL-сертификат (Single Domain) — сертификат, который создается для защиты одного уникального домена или поддомена. При условии, что на сайте есть поддомены, которые тоже необходимо защитить шифрованием — такой SSL-сертификат не подойдет. Во всех остальных случаях, для защиты одного уникального доменного имени прекрасно справляется обычный SSL-сертификат.
Пример корректной работы Стандартного SSL-сертификата:
Пример, при котором возникает ошибка и Стандартный SSL-сертификат не работает:
Вайлкард SSL-сертификат (Wildcard SSL)
WildCard SSL — сертификат безопасности, который сохранит вам деньги и время, так как он предоставляет защищенное соединение для основного домена и неограниченного количества поддоменов сайта. И нужно учитывать, что это все — один сертификат. Wildcard SSL работает по такому же принципу, что и обычный SSL-сертификат, позволяя вам предоставлять пользователям защищенное соединение между вашим сайтом и браузером вашего клиента. Отличие лишь в том, что один вайлдкард SSL покрывает все поддомены основного домена сайта. Для примера рассмотрим внедрение wildcard SSL на поддомены сайта *.example.ru:
Если на вашем сайте большое количество поддоменов, то вы можете сэкономить значительную сумму денег, установив wildcard SSL-сертификат.
Сертификат на несколько доменов (Multi-Domain SSL) — такой сертификат защищает несколько доменных имен. Один мультидоменный SSL-сертификат может предоставить защищенное соединение для 100 уникальных доменных имен, в том числе поддомены.
Google стимулирует сайты и интернет-магазины делать интернет безопаснее для рядовых пользователей. Чтобы пополнить ряды “Надежных” сайтов, перейти на HTTPS, повысить позиции вашего ресурса в поисковых системах, необходимо купить SSL-сертификат с установкой на вашем сайте.
Рассказать друзьям
Источник: www.redsign.ru
Как сделать сайт неубиваемым: 8 простых советов
Все мы знакомы с хакерскими атаками, которые могут не только навредить репутации ресурса и его рейтингу в поисковой выдаче, но и полностью обезоружить сервер и сделать его недоступным для пользователей. Это негативно сказывается на бизнесе: падают доходы, теряются клиенты, а их данные подвергаются угрозе. Особенно это опасно для тех компаний, чье дело функционирует исключительно через веб-ресурс.
Чтобы быть спокойным за свой онлайн-бизнес, следует прокачать защиту сайта всеми возможными способами. Что это за способы – разберемся в сегодняшнем пошаговом руководстве.
Совет 1: Используйте хороший логин и пароль
Если ваш сайт построен на основе какой-либо CMS, то в первую очередь следует закрыть все пути к административной панели. Ведь если злоумышленник попадет к вам в админку, то уже можно попрощаться с ресурсом.
Например, при установке WordPress система автоматически предлагает логин «admin». Используя этот логин, вы уже предоставляете половину необходимой информации для хакеров, и им остается только подобрать пароль.
Изменить логин всегда можно в панели управления: достаточно удалить старого пользователя, добавить нового и сделать его администратором.
Как только будет создан новый администратор, появится возможность удалить пользователя под логином «admin».
В случае с паролем важно также придерживаться «небанального хода». Пароли типа pass1243, 1u2y3o4p5, 00912a928ab и так далее – крайне ненадежны, однако их до сих пор используют.
Пример хорошего пароля: ouJsFG9q12. Вы можете сказать, что такой пароль крайне сложно запомнить, и это будет верно, но лучше такой, чем простой. Его можно сохранить в надежном месте и использовать при необходимости. Зато хакерам будет сложно его подобрать.
Комьюнити теперь в Телеграм
Подпишитесь и будьте в курсе последних IT-новостей
Совет 2: Обновляйте CMS
Рекомендую регулярно проводить обновление CMS, так как устаревшая версия платформы – это одна из «дыр», которую любят хакеры. На WordPress, например, узнать о поступившем обновлении можно прямо из административной панели:
Совет 3: Используйте плагины и темы из надежных мест
Используете вы WordPress, Joomla или Drupal – не так важно. Всегда стоит загружать темы и плагины только из проверенных источников. Обычно это официальные интернет-магазины CMS – убедитесь, что находитесь именно на них, и только потом скачивайте то, что хотели.
Например, для Joomla используйте этот сервис, а для WordPress – этот.
Также стоит заметить, что стоит следить не только за обновлением CMS, но и за обновлениями расширений, так как их старые версии могут быть также подвержены угрозе.
На WordPress упоминание о доступных обновлениях можно найти в списке установленных плагинов:
Совет 4: Используйте SSL-соединение
Протокол SSL (от англ. Secure Sockets Layer – уровень защищенных сокетов) гарантирует безопасное соединение между браузером пользователя и сервером. При использовании SSL-протокола информация передается в закодированном виде по HTTPS, и расшифровать ее можно только с помощью специального ключа, в отличие от привычного протокола HTTP.
Простыми словами – используйте защищенное соединение HTTPS, и тогда ваш сайт будет крайне сложно взломать. В установке SSL-сертификата нет ничего сложного, особенно для тех, кто использует хостинг Timeweb. На нем установка протокола занимает всего несколько секунд – достаточно перейти в раздел «SSL-сертификаты» и нажать на кнопку «Заказать сертификат», в результате чего отобразится список доступных сертификатов для покупки.
Совет 5: Используйте двухфакторную аутентификацию учетных записей
Для усиления безопасности часто используется многофакторная аутентификация. Работает это следующим образом: после ввода пароля на сайте вам высылается запрос на одноразовый пароль, который вы получаете на контактный номер телефона или электронную почту. Даже если основной пароль был взломан злоумышленником, то ему не удастся войти в аккаунт без доступа к вашему телефону или электронной почте.
Подключение двухфакторной аутентификации для входа в административную панель CMS можно организовать с помощью специальных плагинов. Например, на WordPress это Google Authenticator и Clef Two-Factor Authentication.
Для пользователей Timeweb также предусмотрена защита аккаунта – можно привязать свой номер телефона и получать уведомления о входе в виде смс. Сделать это можно через раздел «Уведомления» в панели управления.
Совет 6: Используйте плагины, обеспечивающие безопасность
Существуют специальные плагины для защиты сайта. Например, в магазине WordPress есть отдельный раздел «Security», где можно найти всевозможные плагины для защиты ресурса.
Подробнее о некоторых плагинах из этого раздела поговорим ниже.
Wordfence Security
Это плагин безопасности для WordPress, позволяющий сканировать сайт с целью поиска вредоносного кода, брешей и лазеек и показывающий аналитику сайта и трафика в реальном времени. Также существует возможность настройки автоматического сканирования и многое другое.
Ссылка на скачивание: Wordfence Security
Acunetix WP Security
Acunetix WP Security – это плагин, который проверяет сайт на различные уязвимости в безопасности и предлагает ряд методов по их устранению. Например, можно настроить пароли, разные права доступа к файлам, защиту баз данных, защиту информации о версии WordPress и прочее.
Ссылка на скачивание: Acunetix WP Security
All In One WordPress Security
Плагин All In One WordPress Security позволяет обезопасить пользовательские аккаунты и логины, базы данных и файловую систему, предотвратить брутфорс атаки (атаки, связанные с подбором пароля), сканировать сайт и прочее.
Ссылка на скачивание: All In One WordPress Security
Совет 7: Используйте средства от DDoS-атак
Один из эффективных способов защитить свой сайт – воспользоваться хостинговой защитой от DDoS-атак. На Timeweb данная услуга предоставляется партнером DDoS-Guard и обеспечивает L7-защиту для надежного отражения DDoS-атак, высокую скорость доставки контента, а также безопасную и непрерывную работу сайтов.
Для подключения такой услуги, необходимо:
- Обратиться в службу поддержки.
- В обращении написать, для каких сайтов вы хотите подключить услугу от DDoS-атак.
- Чтобы услуга была подключена, необходимо пополнить баланс на 300 рублей.
Совет 8: Делайте резервные копии сайта
Даже при идеальной защите сайта нельзя быть уверенным в том, что он не будет взломан. Что-то может пойти не так и сайт все же окажется поражен. Чтобы быть готовым и к этому, следует создавать резервные копии сайта, благодаря которым сайт можно восстановить.
На Timeweb есть встроенный инструмент для создания резервных копий. Воспользоваться им можно следующим образом:
- Переходим в панель управления.
- Открываем раздел «Резервные копии».
- В правой части выбираем «Создать резервную копию».
- Готовые бэкапы будут доступны в этом же разделе.
Также можно воспользоваться инструментом создания резервных копий внутри CMS. Например, на WordPress есть специальный плагин WordPress Database Backup. Настройки плагина позволяют установить опцию ежедневной отправки резервной копии базы данных на ваш почтовый ящик.
Заключение
Как сделать сайт неубиваемым – вопрос, который волнует всех веб-разработчиков. В сегодняшней статье мы разобрали основные методы, позволяющие улучшить защиту ресурса. В первую очередь стоит позаботиться об SSL-сертификате, установить надежный пароль для входа в учетную запись и по возможности воспользоваться средством от DDoS-атак.
Источник: timeweb.com