Предотвращение несанкционированного доступа к сайту непростая задача, но часто даже элементарным правилам безопасности не уделяется должного внимания. Почему обновления CMS – это еще не всё, рискуют ли владельцы ресурсов с низкой посещаемостью, и к чему приводит «человеческий фактор», расскажем в статье.
Зачем взламывать сайты?
Если исключить такие редкие явления, как происки конкурентов и деятельность «из любви к искусству», остается одна причина – деньги. Взломанные сайты используются для размещения рекламы, получения доступа к базам данных для рассылки спама и для привлечения трафика на сторонние ресурсы.
Но не стоит думать, что сайт с малым количеством уникальных посетителей не интересен мошенникам. Он может стать «мостиком» к другим сайтам, расположенным на том же сервере или аккаунте хостинга. В отдельных случаях, например, для заражения мобильных устройств, возможно и целенаправленное привлечение трафика на страницу взломанного сайта с вредоносным кодом. Существуют и более сложные схемы, в которых сайт с низкой посещаемостью становится одним из звеньев разветвленной сети.
В результате страдают и пользователи, получающие посторонний контент, и владельцы взломанных сайтов. Поисковые системы и хостинги тщательно следят за безопасностью ресурсов, блокируя сайты с обнаруженными вредоносными скриптами. В «лучшем» случае, человек, использующий браузеры Яндекса или Google, видит предупреждение на странице поисковой выдачи «Сайт может угрожать безопасности (нанести вред) вашему компьютеру». В худшем – сайт попадает под санкции поисковиков за клоакинг (подмена контента для поисковых роботов) и кликджекинг (незаконный сбор данных о посетителях).
Если сайт блокируется хостингом за нарушение правил использования выделенной площадки (например, за спам), пользователи при попытке перехода на страницу видят уведомление о блокировке («заглушку»). И проблема не только в том, что доверие посетителей будет потеряно. Если поисковый робот, проводящий переиндексацию, посетит сайт именно в этот момент, в индекс попадет «заглушка». А страницы с релевантным контентом могут пропасть из поиска на неопределенное время.
Зачем же хакерам взламывать сайты, которые неминуемо будут заблокированы? Дело в том, что злоумышленники одновременно работают с огромным количеством сайтов и ориентированы на получение краткосрочного результата. И времени между апдейтами поисковых систем зачастую хватает на то, чтобы извлечь запланированную выгоду. Тем более что одновременная блокировка десятков тысяч сайтов, задействованных для достижения цели, маловероятна.
Следовательно, чувствовать себя в полной безопасности не может ни один владелец сайта. Но если знать уязвимости и принять превентивные меры, можно минимизировать риск. Далее рассмотрим, как злоумышленники получают доступ к сайтам и что делать, если обнаружен взлом.
Хакеры атакуют
Нужно понимать, что вручную взламываются только самые защищенные сайты, принадлежащие банкам и спецслужбам. В остальных случаях процесс автоматизирован, и попадание обычного сайта в список взломанных зависит и от степени его защиты, и от простой случайности.
Способы взлома
- Использование уязвимостей. К сожалению, CMS и даже специально разработанные для них плагины безопасности несовершенны. Это не значит, что нужно пренебрегать обновлениями. Но следует понимать, что плагины и модули, так же, как и антивирусы, защищают от уже известных вирусов и способов атак. Хакеры же работают на опережение.
- Брут-форс (подбор паролей). Этот способ используется для получения доступа к учетным записям администраторов и FTP (протокол передачи данных «клиент – сервер хостинга»). Подбор ведется автоматически: алгоритм основывается на наиболее распространенных паролях и шаблонах человеческого мышления.
- Использование сайта на том же аккаунте хостинга. Если на одном аккаунте размещено несколько сайтов, не изолированных друг от друга на стороне хостинг-провайдера, взлом одного ресурса приводит к уязвимости остальных. Это происходит из-за использования одних и тех же скриптов для управления всеми сайтами аккаунта. Поэтому неработающий, но и не заблокированный сайт (например, демо-версия) может стать угрозой для безопасности основного ресурса.
- Доступ по wi-fi. Когда для работы с сайтом используется подключение без VPN, незашифрованные данные могут быть перехвачены. Причем, это может произойти в любой момент.
- «Человеческий фактор». Невнимательность или пренебрежение способами защиты компьютера, допущенные сотрудниками или подрядчиками, тоже могут привести к утечке информации. Это и отсутствие надежного антивируса, и сохранение паролей в аккаунте или даже в браузере. А при сотрудничестве с незнакомыми фрилансерами и сомнительными компаниями, нельзя исключать и злой умысел.
Как видно, одной лишь установки плагинов для CMS недостаточно. Для получения доступа к сайту используются разные методы, и ограничиваться только одним способ защиты рискованно. При этом нельзя исключать, что вредоносный код уже установлен, но пока не используется.
Как распознать взлом?
Часто о проблемах с сайтом владелец узнает от посетителей, жалующихся на спам и рекламу, или уже от антивируса, провайдера или поисковых систем, обнаруживших вредоносных код. Также может наблюдаться потеря позиций в поисковой выдаче или всплеск переходов на сайт с подозрительных источников при минимальной продолжительности сессии. Еще один повод насторожиться – рост количества переходов с сайта на ресурсы, ссылки на которые не размещались. Возможен и автоматический переход (редирект) на сторонние ресурсы при клике на внутренние ссылки на сайте.
Что делать?
Во-первых, нужно собрать все доступные данные: запросить логи (журналы) сервера и хостинга за максимально доступный период, попросить посетителей прислать скриншоты с рекламой и рассылками, проверить работу сайта на разных устройствах и браузерах, делая скриншоты. У антивируса и техподдержки поисковых систем нужно получить подробную информацию об обнаруженной проблеме. Эти сведения помогут специалистам установить, как и когда был совершен взлом.
Самостоятельно можно просканировать сайт специальными сервисами, обнаруживающими скрытые ссылки и вредоносные скрипты и удалить все лишнее. Затем сменить все пароли. Но если резервной копии сайта нет, проводить эти мероприятия, не обладая нужными знаниями, не рекомендуется.
Чем раньше за решение проблемы возьмутся специалисты по информационной безопасности, тем лучше. К тому же, простое удаление скриптов не гарантирует защиту от повторения взлома. А сайты на том же аккаунте хостинга могут быть заражены бэкдором («черный вход») – скриптом, которым злоумышленники смогут воспользоваться позже. Поэтому важно не только «вылечить» взломанный сайт, но и обезопасить его на будущее. Если же проблемы вызваны другими причинами, поиск и устранение уязвимостей все равно лишними не будут.
Превентивные меры
Профилактика - лучший способ и для защиты сайтов. Поэтому вопросу безопасности ресурса следует уделить внимание еще до того, как им заинтересовались хакеры. Итак, что нужно предусмотреть?
Выбор хостинга
Чем крупнее и известнее провайдер, тем лучше. Как правило, такие хостинги обеспечивают достаточную защиту, хотя, разумеется, никто не застрахован от ошибок. Тем не менее, размещение сайта у проверенного провайдера безопаснее (пусть и дороже).
Если предполагается использование одного аккаунта для нескольких сайтов, следует узнать, сможет ли хостер изолировать их друг от друга. Но такую услугу предоставляют немногие, поэтому в случае отказа безопаснее завести аккаунты для каждого сайта.
По возможности следует использовать SFTP – протокол зашифрованной передачи данных.
Обновления CMS и операционной системы
Не стоит пренебрегать возможностями, которые предлагают разработчики. Обновления призваны устранить обнаруженные уязвимости, поэтому помогают защититься от уже известных способов взлома CMS. Но, разумеется, этого недостаточно: нужно обезопасить сайт и от других рисков.
Антивирусы «внутри и снаружи»
Антивирусы для сайта и для компьютера – разные, но использовать надо и те, и другие. Они тоже обнаруживают только известные разработчикам вирусы, поэтому не нужно забывать о регулярном обновлении. Компьютеры, на которых ведется работа с сайтом, рекомендуется сканировать как минимум раз в месяц, чтобы предотвратить получение доступа к сайту с помощью вредоносного программного обеспечения.
Ограничение доступа
Для подрядчиков и фрилансеров, выполняющих разовые работы на сайте, следует создавать отдельные учетные записи с минимальным доступом, которые будут удалены сразу после завершения работы. Если хакеры получат пароли от таких записей, воспользоваться ими они не смогут (если не успеют). Но все же стоит договориться с исполнителями о соблюдении элементарных правил безопасной работы (использование антивируса и VPN, запрет на сохранение паролей).
Также рекомендуется разрешить доступ «только для чтения» ко всем неизменяющимся файлам. В этом случае злоумышленники не смогут добавить свой код. Можно открывать и закрывать доступ ко всем файлам по мере необходимости, но не все CMS корректно работают в таком режиме.
Пароли, пароли, пароли
Но все эти меры не имеют смысла при пренебрежительном отношении к паролям. Они должны содержать не менее 10 знаков и состоять из букв и цифр, логически не связанных между собой. Да, запоминать такие конструкции сложно, но устранять последствия взлома еще труднее.
В заключение
Взлом сайта приводит к потере доверия клиентов и позиций в поиске, поэтому пренебрегать мерами безопасности – значить подвергать риску сам бизнес. Но эффективным, пусть и не на 100%, будет только комплекс мер по защите. И, конечно, регулярная смена паролей.
