Как обеспечить безопасность сайта

41 просмотров всего, 0 просмотров сегодня

Оглавление

  1. Бизнес или развлечение?
  2. Как могут взломать сайт?
  3. Защита ресурса на этапе создания
  4. 7 советов для безопасности вашего сайта
  5. Что делать, если взломали?
  6. Выводы

Все веб-ресурсы независимо от их раскрученности являются потенциальными жертвами взлома. Это может быть сделано мошенниками ради получения какой-либо выгоды или просто ради фана. Надеяться в данном случае на авось просто непозволительно. Имеет смысл детально проработать систему безопасности сайта.

В этой статье рассказываем о том, чем опасен взлом, как обезопасить свой ресурс от подобных посягательств и что делать, если все-таки хакнули.

Бизнес или развлечение?

В современном мире хакерские атаки уже не вызывают удивления. Не раз широко объявлялось, что злоумышленники пытались захватить базу данных какой-нибудь федеральной компании. А ведь наверняка о многих случаях еще и просто умалчивают. Несмотря на то, что сейчас мы привели такой масштабный пример, не стоит думать, что раз вы не являетесь крупной компанией, значит вы в безопасности.
Разберемся, какие цели могут преследовать злоумышленники.

  • захват веб-ресурса
  • кража конфиденциальной информации
  • заражение сайта вирусом и атака на пользователей
  • публикация контента или совершение действий от имени компании с целью нанести ущерб ее репутации
  • размещение элементов черной оптимизации с целью скомпрометировать ресурс перед поисковиками (подробнее о black SEO читайте в нашей статье “Черное SEO. Для любителей риска и высоких скоростей”)

Хакеры могут действовать в собственных интересах, зарабатывая каким-либо образом на владельцах сайтов и пользователях, а также по заказу конкурентов. Не забываем и о dDOS атаках, при которых площадка не взламывается, а перегружается. Это может быть сделано ради мести, чтобы попробовать свои силы или просто развлечься.

Как могут взломать сайт?

Хоть мы и уделяем большое внимание паролям, стараемся придумать сложную комбинацию из букв и цифр, они всегда находятся в фокусе внимания хакеров. Ведь зачем взламывать, если можно использовать пароль?

Пароль может быть украден или подобран. Кража пароля от административной панели может быть произведена с помощью запущенного в систему кейлоггера или трояна. Подбор — тоже технический процесс, однако способен он справиться только с несложными вариантами.

О том, что технология такого проникновения на сайт или получения доступа к чужим аккаунтам актуальна, говорит огромное количество в Сети программ для подбора паролей. Правда, они скорее подойдут для тех, кто хочет почитать переписку своей возлюбленной в ВК, а не для чего-то более серьезного.

Уязвимыми для мошенников считаются и все открытые компоненты веб-ресурса, т.е. сам сайт и всевозможные надстройки.

Заботясь о безопасности, стоит уделить большое внимание выбору хостинга. Самый бюджетный — общий хостинг, когда на одном сервере размещается несколько сайтов. В случае заражения вирусом одного заразятся все. Более грамотным решением с позиций безопасности будет выбор выделенного или виртуального выделенного хостинга.

Проблема безопасности веб-ресурсов сегодня стоит настолько остро, что ей уделяют внимание даже поисковики. Google уведомляет владельцев сайта, если появляются какие-либо подозрительные результаты. Чтобы пользоваться этими возможностями необходимо зарегистрироваться в Google Search Console.

Защита ресурса на этапе создания


Процесс обеспечения web-безопасности отличается комплексностью. Заложить основы безопасного использования можно еще на этапе разработки проекта.

  • Разграничьте уровни доступа пользователей (действия, которые могут совершать юзеры на сайте).
  • Установите защиту от ботов. Таким образом вы сможете помешать подбору паролей.
  • Ограничьте прямое взаимодействие пользователей с компонентами сайта.
  • Включите проверку пользовательского ввода. Это понадобится для тех, кто в дальнейшем будет работать с сайтом напрямую, т.е. для специалистов компании. Если неправильно ввести какой-либо элемент кода, это может вызвать серьезные проблемы.
  • Спрячьте структуру CMS.
  • Регламентируйте обработку ошибок. Вызвав ошибку, хакеры могут получить необходимые данные о функционировании системы.

7 советов для безопасности вашего сайта

Теперь рассмотрим основные работы, которые рекомендуется периодически проводить, чтобы поддерживать должный уровень безопасности ресурса.

Регулярное обновление

Со временем хакеры находят слабые места в ПО, а его обновление позволит свести их деятельность к нулю. Так что не ленитесь отслеживать новые версии программного обеспечения и обновляйте. Заботиться об обновлениях серверного ПО задача хостера, так что вы можете сконцентрироваться на актуализации CMS. Не забывайте о плагинах, в особенности те, которые связаны с загрузкой данных пользователями.

Обновление также необходимо браузерам. Особенно уязвимыми для хакеров являются старые версии Internet Explorer. Никогда не используйте функцию запоминания пароля в браузере.

Профилактика SQL-инъекций

SQL-инъекция представляет собой атаку, когда злоумышленник использует поле для URL или веб-форму. Если ему удастся вставить вредоносный код, то он может получить неограниченный доступ к вашим материалам, например, сможет удалять элементы, забраться в базу данных и так далее.

Решением проблемы является минимизация применения динамических запросов и использование параметризованных. Удалите весь ненужный функционал сервера баз данных. Чем больше функций у вас есть, тем больше возможностей у хакера добраться до вашего сайта.

Чтобы провести проверку на наличие SQL-инъекций, можно воспользоваться специальными сервисами.

Проанализируйте сообщения об ошибках

Часто поле для ошики с большим количеством информации может дать подсказку злоумышленникам, особенно когда речь идет о подборе данных. Не конкретизируйте, что именно неверно сделал посетитель ресурса. Обойдитесь общим текстом “Неправильное имя пользователя или пароль”.

Используйте сложные пароли

Речь идет не только об админке, но и о том, чтобы при авторизации на сайте задать пользователям характеристики пароля. Введите ограничение, что он должен содержать не менее восьми знаков. Далеко не все юзеры тщательно подходят к созданию пароля, так что просто определите его форму.

Все пароли должны храниться зашифрованными. Даже если кто-то получит к ним доступ, расшифровать их будет непросто и очень трудозатратно.

Отслеживайте файлы, загружаемые пользователями

Загрузка файлов — это отличное поле для деятельности хакеров. Если вся ваша проверка сводится к просмотру их расширения, стоит срочно задуматься о дополнительных мерах. Ведь расширение так легко подделать.

Всем загружаемым файлам для обеспечения безопасности вы можете присваивать права “файл не может быть выполнен”. Или, используя .htaccess, пропишите запрет на обращение к файлам с двойным расширением.

Не забудьте про SSL

SSL — формат, используемый для безопасного обмена данными между пользователями и сервером. Однако не стоит думать, что протокол всегда выступает гарантом безопасности. Если используется небезопасный канал взаимодействия, хакеры могут получить сертификат и значит доступ к данным пользователей.

Помните о фильтрах

Поговорим о XSS атаках. Действия хакеров сводятся к внедрению в систему вредоносного кода, который подменяет содержимое страниц, например, выводит нужное злоумышленнику рекламное сообщение. Вирус может подцепить администратор сайта, который перейдет по предложенной ссылке или же хакеры могут сами найти дыру в безопасности сайта.

Чтобы избежать негативных последствий, не забывайте о необходимости фильтрации тегов и всех вложенных конструкций.

Что делать, если взломали?

Проникновение в систему злоумышленников может произойти по вине ваших собственных сотрудников или подрядчиков. Иногда мошенники получают необходимые пароли и без взлома. Например, представятся сотрудниками компании-хостера и потребуют доступ к аккаунту на хостинге для проведения каких-либо работ. Чтобы не происходило таких казусов, не лишним будет проинструктировать сотрудников. А после выполнения операций на сайте сторонними организациями уделить внимание аудиту ресурса.

Если вы обнаружили взлом

  • проверьте свой и другие компьютеры, с которых осуществлялся вход в админку, на наличие вирусов
  • если у вас остался доступ к административной панели, немедленно поменяйте пароль. То же для хостинга и ftp
  • собрать информацию о взломе, вычислить слабое место в системе помогут журналы веб-сервера, которые необходимо запросить у хостера
  • на случай обвинений в распространении какой-либо запрещенной информации и т.д. зафиксируйте взлом, сделав копию текущего состояния русурса
  • восстановите сайт, используя резервную копию
  • просканируйте ресурс на наличие сторонних скриптов. Удалите вредоносный код.
  • обновите CMS, плагины и патчи.

Выводы

Предложенная нами комбинация действий поможет оградить сайт от посягательств хакеров среднего уровня. Однако если вы хотите иметь гарантированную защиту, стоит найти специалиста, который будет постоянно поддерживать ваш веб-ресурс.

После внедрения описанных выше методов, не лишним будет проверить уровень безопасности сайта. Для этого можно использовать платные и бесплатные сервисы, которые будут пытаться взломать вашу систему. Такой анализ поможет понять, что именно было упущено.

Занимаясь обеспечением безопасности веб-ресурса на высоком уровне, не забывайте и об элементарных вещах. Не передавайте никому пароль от административной панели, периодически меняйте его. Не переходите по сомнительным ссылкам и не забывайте обновлять антивирус.