Η επίσκεψη σε έναν κακόβουλο ιστότοπο μπορεί να είναι ένα από τα χειρότερα πράγματα που μπορεί να συμβεί σε άτομα που περιηγούνται στο Διαδίκτυο^(Internet) , ειδικά σε αυτούς που ενδιαφέρονται να κάνουν αγορές στο διαδίκτυο. Οι webmasters πρέπει να γνωρίζουν τις απειλές για και για τους ιστότοπους, καθώς και τις καταστροφικές δυνατότητές τους – η πρώτη είναι η απώλεια της καταναλωτικής βάσης. Εάν διαχειρίζεστε έναν ιστότοπο ή ένα ιστολόγιο, πρέπει να γνωρίζετε τις πιθανές απειλές του ιστότοπου. Αυτό το άρθρο μιλά για τις απειλές και τα αποτελέσματά τους, ορισμένες μεθόδους που χρησιμοποιούνται από τους χάκερ για να κακολογήσουν τον ιστότοπό σας και, στη συνέχεια, συζητά τρόπους για το πώς να διατηρήσετε τους ιστότοπους ασφαλείς.

^(Website) Απειλές ^(Threats)ιστότοπου και τα ^(Their) αποτελέσματα^(Effects) ή οι δυνατότητές τους

Είναι μια κερδοφόρα επιχείρηση για τους χάκερ να κλέβουν δεδομένα ανθρώπων και να τα χρησιμοποιούν για προσωπικά οφέλη. Τα κέρδη μπορεί να είναι χρηματικά ή αφηρημένα. Ενώ το hacking, το phishing και η κοινωνική μηχανική είναι κοινές μέθοδοι, οι χάκερ χρησιμοποιούν επίσης ιστότοπους άλλων ανθρώπων για να θέσουν σε κίνδυνο τους υπολογιστές των χρηστών και να αποκτήσουν πρόσβαση στα δεδομένα τους. Η παρακάτω εικόνα σας δίνει μια ιδέα για τις απειλές ιστοτόπων.

Ως εκ τούτου, είναι δουλειά ενός webmaster να βεβαιωθεί ότι ο ιστότοπός του δεν περιέχει κακόβουλο κώδικα και ευπάθεια. Δεν είναι εύκολη δουλειά, δεδομένου ότι μπορεί να υπάρχουν χιλιάδες σελίδες και ο χάκερ εισάγει επιλεκτικά τον κώδικα σε ορισμένες σελίδες. Αφού είναι θέμα φήμης σου, πρέπει να το κάνεις. Ευτυχώς, υπάρχουν ορισμένα διαθέσιμα εργαλεία που μπορούν να σαρώνουν τους ιστότοπούς σας καθημερινά για να σας παρουσιάζουν μια αναφορά μολυσματικού κώδικα και σημείων ευπάθειας (όπως οθόνες σύνδεσης, φόρμες κ.λπ.).

Επιπλέον, είναι διαθέσιμα προγράμματα περιήγησης και προσθήκες προγράμματος περιήγησης που ενεργοποιούν ένα συναγερμό όταν πρόκειται να επισκεφτείτε έναν κακόβουλο, μολυσμένο ιστότοπο. Αν και μπορεί να έχετε επισκεφτεί αυτόν τον ιστότοπο στο παρελθόν, και αν και μπορεί να σας είναι δύσκολο να πιστέψετε ότι ένας ιστότοπος που εμπιστεύεστε είναι μολυσμένος, μπορεί να είναι πραγματικά κακόβουλος χωρίς να το γνωρίζει ο webmaster – επειδή μια ώρα νωρίτερα, κάποιος χάκερ πρόσθεσε κάποιο κώδικα στο ιστοσελίδα.

Μιλώντας για τα χειρότερα σενάρια – ή τις δυνατότητες απειλών ιστοτόπων – υπάρχουν δύο κύριες πλευρές της ζημιάς:

1. Οι webmasters ενδέχεται να χάσουν την καταναλωτική τους βάση καθώς το πρόγραμμα περιήγησης των επισκεπτών ενεργοποιεί συναγερμό όταν προσπαθούν να επισκεφτούν τον ιστότοπό τους. Οι μηχανές αναζήτησης Google^(Google) κ.λπ. ενδέχεται να βάλουν σε μαύρη λίστα τον ιστότοπο εάν εντοπίσουν οποιοδήποτε είδος κακόβουλου κώδικα κατά την ανίχνευση του ιστότοπου.
2. Από την πλευρά του χρήστη, ο υπολογιστής του χρήστη και ως εκ τούτου τα δεδομένα του/της έχουν παραβιαστεί και μπορεί να οδηγήσει σε κλοπή ταυτότητας.

Συνήθεις τύποι απειλών ιστότοπου

Το πιο κοινό και παρατηρημένο είναι το clickjacking^{(clickjacking)} . Σε αυτήν τη μέθοδο, ένα διαφανές στρώμα κακόβουλου κώδικα βρίσκεται σε ένα κουμπί ή ένα βίντεο. Όταν κάνετε κλικ στο κουμπί, κατεβάζει τον κώδικα στον υπολογιστή σας. Μπορεί να έχετε δει παρόμοιες μεθόδους διαφήμισης σε ιστότοπους κατηγορίας C^(C-grade) , που σχετίζονται κυρίως με πειρατεία και περιεχόμενο για ενηλίκους κ.λπ.

Τα τρωτά σημεία ανακατεύθυνσης ιστότοπου^{(Website redirection)} επιτρέπουν στους χάκερ να χρησιμοποιούν τις ανακατευθύνσεις για τα κέρδη τους. Μπορούν είτε να υποκλέψουν δεδομένα που ανταλλάσσονται είτε να χρησιμοποιήσουν την ανακατεύθυνση για να ανακατευθύνουν τους χρήστες σε έναν ιστότοπο phishing.

Μεταξύ άλλων τύπων ιστοτόπων, οι απειλές είναι στοχευμένες επιθέσεις που χρησιμοποιούν έτοιμα κιτ εκμετάλλευσης^{(readymade exploit kits)} διαθέσιμα εύκολα στο Διαδίκτυο^(Internet) . Αυτά τα κιτ επιτρέπουν στους χάκερ να στοχεύουν συγκεκριμένους (τύπους) ιστοτόπους και να προσθέτουν κακόβουλους συνδέσμους σε αυτούς. Μια άλλη μέθοδος είναι να στέλνετε μηνύματα ηλεκτρονικού ταχυδρομείου στον ιστότοπο με κακόβουλους συνδέσμους που παρακάμπτουν τον ανυποψίαστο webmaster για να τον κάνουν κακόβουλο ιστότοπο.

Οι πρόσφατες επιθέσεις σε δημοφιλείς ιστότοπους δείχνουν ότι ακόμη και οι μεγαλύτεροι ιστότοποι είναι ευάλωτοι. Τα άτομα που χάνουν μια φορά τα διαπιστευτήριά τους δεν είναι πιθανό να επιστρέψουν ξανά στον ιστότοπο.

Φανταστείτε^(Imagine) την επιχείρησή σας ή τον ιστότοπο ηλεκτρονικού εμπορίου σας να μπαίνει στη μαύρη λίστα και να μείνετε στο σκοτάδι για εβδομάδες έως ότου οι μηχανές αναζήτησης να τους προσθέσουν ξανά στη λευκή λίστα. Ενώ η διαδικασία κατάργησης ενός ιστότοπου από τις μαύρες λίστες είναι δύσκολη, μπορεί η επιχείρησή σας να επιβιώσει εάν δεν είναι στη δημόσια προβολή για εβδομάδες;

Διαβάστε^(Read) : Πώς να αφαιρέσετε το σενάριο εξόρυξης κρυπτογράφησης Coinhive από τον ιστότοπό σας.

Πώς να διατηρήσετε ασφαλείς ιστότοπους

• Ενημερωμένο λογισμικό^{(Up-to-date software)} : Διατηρήστε το λογισμικό διακομιστή του ιστότοπού σας πλήρως ενημερωμένο και επιδιορθωμένο
• Πιστοποιητικά SSL:^{(SSL Certificates:)} Οι εταιρείες που προσφέρουν πιστοποιητικά ασφάλειας ελέγχουν τον ιστότοπό σας πριν εκδώσουν το πιστοποιητικό εμπιστοσύνης. Το πράσινο τμήμα στη γραμμή διευθύνσεων δίπλα στο "https" παρέχει κάποια διαβεβαίωση στους χρήστες του ιστότοπου.
• Κρυπτογράφηση:^{(Encryption:)} Χρησιμοποιήστε μια ασφαλή σύνδεση για οτιδήποτε κάνουν οι χρήστες στον ιστότοπό σας, ειδικά εάν εμπλέκονται σε συναλλαγές.
• Αναβάθμιση σε EV SSL: ^{(Upgrade to EV SSL: )} Κάντε αυτό σε οποιοδήποτε μέρος του ιστότοπου όπου ο πελάτης μπορεί να εισάγει δεδομένα
• Καθημερινή σάρωση κακόβουλου λογισμικού:^{(Daily Malware Scan:)} Μπορείτε να χρησιμοποιήσετε προϊόντα που σαρώνουν τις σελίδες του ιστότοπού σας για κακόβουλο λογισμικό χωρίς να μειώνουν τον χρόνο φόρτωσης. Με αυτόν τον τρόπο, μπορείτε να αφαιρέσετε τον κακόβουλο κώδικα –σε περίπτωση που υπάρχει– προτού επηρεαστούν οι χρήστες.
• Εβδομαδιαία αξιολόγηση τρωτών σημείων: ^{(Weekly Assessment of Vulnerabilities:)} Ελέγξτε^(Check) για πιθανά σημεία τρωτών σημείων και εφαρμόστε πρόσθετη ασφάλεια εκεί.

Τα παραπάνω είναι μερικές μόνο συμβουλές για την ασφάλεια του ιστότοπού σας. Εξηγεί εν συντομία τις απειλές για τους ιστότοπους και τις δυνατότητές τους.

Διαβάστε τώρα^{(Now read)} : Πώς να ασφαλίσετε έναν ιστότοπο WordPress^{(How to secure a WordPress site)} .

Αργότερα σήμερα, θα διαβάσουμε για τις λήψεις Drive-by^{(Drive-by downloads)}  και σε λίγες μέρες για το πώς να διατηρήσετε ασφαλή έναν ιστότοπο WordPress .

How to keep websites secure: Threats and Dealing with Vulnerabilities

Vіsiting а malicious website can be one of the worst things that can happen to рeople browѕing the Internet, espеcially the ones intereѕted in ѕhopping online. Webmаsters need to know threаts for and of websites, and thеir devastating capabilities – losing consumer base being the first. If yоu run a websitе or blog, you need to know about the possible website threats. This article talks of the threats and their outcomes, some methods uѕed by hackers to malign your website, and then discuss ways on hоw to keeр websites ѕecure.

Website Threats and Their Effects or Capabilities

It is a profitable business for hackers to steal people’s data and use it for personal gains. The gains can be monetary or abstract. While hacking, phishing, and social engineering are common methods, hackers also use other people’s websites to compromise users’ computers and access their data. The following image gives you an idea of website threats.

It is, therefore, a webmaster’s job to make sure his or her website is free of any malicious code and vulnerability. That is not an easy job considering that there might be thousands of pages and the hacker selectively inserts the code on some pages. Since it is a matter of your reputation, you have to do it. Fortunately, there are some tools available that can scan your websites daily to present you with a report of infectious code and vulnerability points (like login screens, forms, etc.).

In addition, browsers and browser plugins are available that trigger an alarm when you are about to visit a malicious, infected website. Though you might have visited that site before, and though it might be hard for you to believe that a site you trust is infected, it may really be malicious without the webmaster knowing it – because an hour earlier, some hacker added some code to the site.

Speaking of worst-case scenarios – or capabilities of website threats – there are two major sides of damage:

1. Webmasters may lose their consumer base as visitors’ browser triggers an alarm when they attempt to visit their site; Google etc. search engines may blacklist the website if they find any type of malicious code while crawling the website.
2. On the user side, the user’s computer and hence his/her data is compromised and can result in identity theft.

Common Types of Website Threats

The most common and noticed is clickjacking. In this method, a transparent layer of malicious code sits on a button or video. When you click on the button, it downloads the code to your computer. You might have seen similar methods for advertising on C-grade websites, mostly related to piracy and adult content, etc.

Website redirection vulnerabilities enable hackers to use the redirections for their gains. They can either intercept data being exchanged or use the redirection to redirect users to a phishing site.

Among other types of websites, threats are targeted attacks using readymade exploit kits available easily on the Internet. These kits enable the hackers to target certain (types of) websites and add malicious links to them. Another method is to send emails to the website with malicious links that bypass the unsuspecting webmaster to make it a malicious website.

The recent attacks on popular websites indicate that even the biggest websites are vulnerable. People who once lose their credentials are not likely to return to the site again.

Imagine your business or e-commerce website getting blacklisted and you are left in dark for weeks until the search engines whitelist them again. While the process to get a website removed from blacklists is tough, can your business survive if it is not on the public view for weeks?

Read: How to remove Coinhive crypto-mining script from your website.

How to keep websites secure

• Up-to-date software: Keep your website server software fully updated and patched
• SSL Certificates: The companies offering safety certificates check your website before issuing the certificate of trust. The green part on the address bar next to “https” provides some assurance to the users of the website.
• Encryption: Use a secure connection for anything users do on your website, especially if involved in transactions.
• Upgrade to EV SSL: Do this in any part of the website where the customer may enter data
• Daily Malware Scan: You can use products that scans your website pages for malware without reducing their load time. This way, you can remove the malicious code – in case it is there – before users are affected.
• Weekly Assessment of Vulnerabilities: Check for possible points of vulnerabilities and implement additional security there.

The above are just a few tips for securing your website. It explains threats to websites and their capabilities in brief.

Now read: How to secure a WordPress site.

Later today, we will read about Drive-by downloads and in a few days about how to keep a WordPress website secure.

Related posts

• Δοκιμή ασφαλείας προγράμματος περιήγησης για να ελέγξετε εάν το πρόγραμμα περιήγησής σας είναι ασφαλές

• Τρόπος χρήσης και προσθήκης λογαριασμών Work/School στην εφαρμογή Microsoft Authenticator

• Πώς να απενεργοποιήσετε τις κλάσεις αφαιρούμενης αποθήκευσης και την πρόσβαση στα Windows 10

• Διαγράψτε μόνιμα αρχεία χρησιμοποιώντας δωρεάν λογισμικό File Shredder για Windows

• Το Tiny Security Suite σάς βοηθά να κρυπτογραφείτε, να τεμαχίζετε και να προστατεύετε αρχεία στον υπολογιστή σας

• Πώς να επαναφέρετε την εφαρμογή Windows Security στα Windows 11/10

• Πώς να βρείτε τους Λογαριασμούς που συνδέονται με τη διεύθυνση email και τον αριθμό τηλεφώνου

• Επεξήγηση απόκρισης περιστατικού: Λογισμικό σταδίων και ανοιχτού κώδικα

• Πώς να αποφύγετε την παρακολούθηση μέσω του υπολογιστή σας;

• Συμβουλές για την ασφάλεια στον κυβερνοχώρο διακοπών - Πώς να παραμείνετε ασφαλείς όταν κάνετε διακοπές

• Μετατρέψτε δυνητικά επικίνδυνα PDF, έγγραφα και εικόνες σε ασφαλή αρχεία

• Πώς να χρησιμοποιήσετε το Sandboxie στα Windows 11/10

• Το καλύτερο δωρεάν λογισμικό Internet Security Suite για υπολογιστή Windows 11/10

• Πώς να χρησιμοποιήσετε την GoPro ως κάμερα ασφαλείας

• Έλεγχος ασφάλειας εμπειρίας περιήγησης: Πόσο ασφαλές είναι το πρόγραμμα περιήγησής σας;

• Ρυθμίσεις ασφαλείας των Windows στα Windows 10

• Πώς να προσθέσετε Εξαίρεση αρχείων ή διεργασιών στην Ασφάλεια των Windows

• Το TACHYON Internet Security είναι μια αξιοπρεπής εναλλακτική λύση σε άλλα δωρεάν εργαλεία

• Σφάλμα αποτυχίας ελέγχου ασφαλείας πυρήνα στα Windows 11/10

• Απενεργοποιήστε τις Ερωτήσεις ασφαλείας στα Windows 11/10 χρησιμοποιώντας μια δέσμη ενεργειών PowerShell