Easyhost Easyhost Easyhost Easyhost Easyhost

Posts Tagged‘Securitate’

De ce este îngrijorătoare lipsa unui certificat SSL

Până la sfârșitul anului trecut, Google a marcat toate siteurile care nu dețin certificate SSL ca fiind “not secure”. Lipsa acestui certificat deja antrenează mai multe efecte pentru branduri și companii, inclusiv o mică scădere în SEO.

Ce este un certificat SSL

Certificatul SSL (Secure Sockets Layer), atestă encriptarea conexiunii între server și client. SSL este în esență un protocol de securitate cu certificare asociată. Această conexiune criptată asigură datele transmise cât și integralitatea lor. Existența unui certificat SSL pe un site asigură deci utilizatorul că datele transmise de el sunt în siguranță.

În cazul nostru, clientul este un browser web. Însă un client poate fi și un client de mail, Outlook de exemplu. Prin utilizarea SSL, date sensibile sunt transmise în siguranță:

  • Date de identificare personală
  • Username și parole
  • Date legate de plăți cu cardul

Dacă site-ul tău folosește inputuri de text de la ușeri, și nu deții certificat SSL, utilizatorul primește un warning de not secure. În Chrome asta arată ca în poza de mai jos.

Ce efecte antrenează pentru o firmă

Orice companie își dorește clienții mulțumiți și asigurați că datele lor sunt în siguranță. Pe teritoriul UE, odată cu intrarea GDPR, problema siguranței și anonimității datelor, cât și a controlului utilizatorului asupra datelor lui a devenit central pentru orice business, iar amenzile de neconformitate sunt usturătoare.

Un certificat SSL aduce mai multe beneficii unei companii:

  • Protecția brandului

Dacă există o breșă de Securitate, o companie sau un brand poate pierde enorm. Scandalul Facebook-Cambridge Analytica a scăzut acțiunile Facebook la bursă considerabil.

Companiile care nu sunt listate la bursă au oricum de suferit prin pierdere de imagine în piață dacă o breșă de securitate are loc.

  • Protecția datelor utilizatorului

Pagubele făcute de breșe de securitate se ridică la câteva triliarde de dolari anual. Nicio companie care se chinuie din greu să își păstreze clienți nu dorește să îi piardă, și nici ca vreun terț să folosească datele colectate de ei.

Datele pierdute, pe lângă că pot antrena amenzi pentru companie, pot ajunge și la competiție, care poate rula big data inclusiv pe datele companiei tale.

  • Site-ul tău primește un green flag

Da, arată bine un site pe care intri și vezi green light, îți da senzația de siguranță și vei petrece mai mult timp pe el, ăsta fiind și scopul oricărui site, utilizatorii să rămână pe el. Plus că acel green flag e cool.

  • Google Page Rankings

Momentan beneficiul în ranking este mic, însă orice boost în ranking și search results poate oricând însemna un client în plus. Fiind vorba de un trend de securizare a datelor la cât mai multe companii, e posibil ca, în timp, Google să decidă ca acest boost să fie din ce în ce mai mare.

Concluzie

Un certificat SSL nu este deloc greu de generat și de instalat. Există o multitudine de certificări SSL făcute de diverși provideri de certificate din care poți alege.

Un certificat SSL aduce extrem de multe beneficii cu consum de resurse de timp mici și de zero altfel de resurse, eventual o sumă modică în funcție de unde decideți să achiziționați certificatul, însăexistă și variante free.

Este, deci, un pas ușor de făcut și care antrenează efecte pozitive de lungă durată pentru compania sau brandul tău.

Îți poți emite singur certificat SSL din contul my.easyhost.com sau poți apela la echipa noastră tehnică pt ajutor https://ro.easyhost.com/suport/interventii-la-cerere

ICANN schimbă luna viitoare cheia root DNSSEC în vederea îmbunătățirii securității în spațiul DNS

ICANN, autoritatea mondială de gestionare și alocare a adreselor de tip Internet Protocol (IP) și a Internet Assigned Numbers Authority (IANA) se pregătește să realizeze luna viitoare o schimbare a cheilor criptografice KSK care protejează serviciul Domain Name System (DNS). Aceasta este prima schimbare de o asemenea amploare realizată de organizație din 2010 încoace, anul în care instituția a fost și înființată.

Săptămâna trecută consiliul ICANN a votat schimbarea și data la care aceasta va avea loc, 11 Octombrie 2018, după discuții și consultări între instituție și partenerii săi care se defășoară de mai bine de un an.

Continue Reading

Domenii web

Domenii web expirate – ținta preferată a hackerilor

Începând cu anul acesta, regimul de înregistrare a domeniilor .ro a fost schimbat astfel încât acestea se reînnoiesc anual. Primele domenii .ro au început să expire din această vară, de la 30 august 2018, odată cu finalizarea perioadei de grație alocate de către ROTLD. Proprietarii și administratorii web au început să primească încă de atunci notificări de reînnoire de la registrarii lor. În prezent, aproximativ 1,500 de domenii .ro sunt expirate sau preluate de reselleri în speranța revânzării acestora în cadrul licitațiilor de domenii.

Un volum destul de mare de domenii .ro este așadar în curs de eliberare de către cei care nu își mai doresc reînnoirea lor. Poate preferă să nu reia un proiect din trecut pe vechea adresă web. Poate au rebranduit numele business-ului și nu mai au nevoie de adresa orginală. Sau poate au făcut trecerea între timp pe alt TLD (top level domain). Continue Reading

Vulnerabilitati WordPress

Noi plugin-uri descoperite că afectează securitatea site-urilor WordPress

Noi vulnerabilități au fost identificate recent in ecosistemul WordPress, generate de erori dintr-o serie de pluginuri ecommerce marca Multidots. 10 pluginuri realizate de acest producător au fost descoperite la finalul iunie 2018 ca având vulnerabilități de securitate, afectând un număr de aproximativ 20,000 de site-uri Woocomerce care le foloseau.

Problema a fost descoperită și semnalată de către cei de la ThreatPress, ale căror analize au concluzionat că pluginurile Multidots erau afectate de cross-site scripting (XSS), cross-site request forgery (CSFR) și vulnerabilități de tip SQL injection. Aceste vulnerabilități puteau fi exploatate pentru obținerea controlului asupra site-urilor afectate, pentru executarea de remote shells, plantarea de keyloggere, uploadarea de mineri cripto pe site sau, în caz extrem, obținerea informațiilor financiare ale clienților, stocate în site-urile de ecommerce. Detalii tehnice și proof-of-concept-ul pentru aceste vulnerabilități au fost publicate pe site-ul ThreatPress.

Continue Reading

90% dintre domeniile web sunt atacate în încercări de fraudă

Un studiu realizat de companiile de securitate informațională Agari și și Farshight Security a descoperit că 90% din domeniile online care aparțin brandurilor sunt suspectibile la fraudă. Mai alarmant chiar, 99% dintre domeniile mărcilor nu folosesc protocoale de autentificare sigure, ceea ce înseamnă că pot fi folosite pentru încercări de fraudă și de phishing.

Cum știe un sistem de email care primește un mesaj de la adresa[@]companiaA.com că destinatarul acelui email este chiar compania A? Pentru a putea garanta validitatea unui email trimis de pe domeniul său, Compania A trebuie să aibă implementat un sistem de validare a autenticitatii și de prevenție spoofing. Aceste sisteme sunt dezvoltate pentru a combate tehnicile de email phishing și email spoofing care se folosesc de semnături contrafăcute ale companiilor. Continue Reading

Atac agresiv și de amploare în dimineața aceasta asupra site-urilor WordPress

În această dimineață site-urile WordPress din toată lumea au înregistrat unul dintre cele mai agresive și de amploare atacuri de tip ”brute-force” din ultimă perioadă, raportează dezvoltatorul plugin-ului de securitate WordFence. Începând de la 5AM, ora României, milioane de site-uri WordPress au fost supuse încercărilor de accesare frauduloasă, într-un atac considerat deja ca fiind cel mai de mare din 2012 până în prezent.

Undeva la 10.000 de IP-uri au fost folosite în acest atac, targetând aproximativ 190.000 de site-uri pe oră. În timpul vârfului atacului, s-au înregistrat aproximativ 14,1 milioane de atacuri pe oră. Continue Reading