+7(343) 344-34-20
г. Екатеринбург, ул. Горького,
дом 65, офис 296
Позвонить
Online-заказ

ОБЖ для сайта: как защититься от взлома?

12 Января 2018

Ни один сайт не является полностью защищенным от хитроумных атак. Но большинство коммерческих и информационных площадок взламывается не по заказу, а в автоматическом режиме – роботами, обнаруживающими типичные уязвимости. Как избежать подобной опасности, расскажем в статье.

Специалисты постоянно повторяют: надежная защита должна быть комплексной. То есть нельзя полностью довериться известному хостинг-провайдеру или знакомому разработчику, забыв об антивирусе на собственном компьютере. Хакеры могут получить доступ к сайту, просто подобрав пароль к панели администратора с помощью «трояна» на ПК пользователя или перехватив подключение по незащищенной сети Wi-Fi. Поэтому следует внимательно относиться ко всем деталям, касающимся работы сайта.

Управление и поддержка CMS

Конечно, идеальный вариант – это использование коммерческой версии и содержание собственного штата системных администраторов и специалистов по безопасности. Но такое доступно далеко не каждому владельцу сайта, поэтому остановимся на обязательных мерах по защите, которые можно реализовать самостоятельно:

  1. Установить Web Application Firewall (WAP). Разработчики многих CMS предлагают готовые плагины, как платные, так и бесплатные. Они отражают известные атаки хакеров и блокируют попытки внедрения вредоносных скриптов.
  2. Регулярно обновлять CMS и плагины. Хакеры постоянно обнаруживают новые уязвимости, а разработчики в том же режиме устраняют «дыры», используемые злоумышленниками. Чем свежее версия «движка», тем меньше вероятность получения вируса. 
  3. Не использовать сомнительные плагины. Для популярных CMS, таких как WordPress, существует большое количество готовых решений, помогающих расширить функциональность сайта или просто сделать его привлекательнее. Помимо этого, нередки обращения владельцев сайтов к неопытным разработчикам с просьбами что-то переделать или изменить «побыстрее и подешевле». И в том, и в другом случае велик риск получить либо просто уязвимый, либо изначально вредоносный код.
  4. Регулярно проверять сайт антивирусом. Здесь важно отметить, что для ПК и для сайтов программы разные, и необходимо использовать именно те, что предназначены для веб-ресурсов. К счастью, среди них существуют бесплатные и при этом достаточно надежные. Для большего спокойствия рекомендуется периодически использовать разные антивирусы. И, конечно, нельзя забывать про компьютеры всех, кто имеет доступ к сайту и базам данных – для них нужна постоянная защита.
  5. Ограничить доступ к файлам скриптов и шаблонов. Эта мера нужна для того, чтобы хакеры не смогли изменить что-то в файлах, доступных посторонним только «для чтения». Однако далеко не всегда ей можно воспользоваться в полном объеме, поскольку ограничения могут негативно сказаться на работе сайта в целом. Для реализации такой защиты следует обратиться к специалистам, знающим особенности CMS и внимательно относящимся к безопасности сайта.

Кроме этого, следует грамотно организовать выполнение всех работ по поддержке и наполнению сайта, но об этом речь пойдет дальше.

Сотрудничество с хостинг-провайдером

В первую очередь стоит воздержаться от выбора самых дешевых предложений от никому не известных компаний. Как правило, они просто не в состоянии обеспечить нужный уровень безопасности. А для защиты сайта важно следующее:

  1. Наличие выделенного аккаунта. Даже если на одной площадке размещается несколько сайтов одного владельца, каждый из них должен быть изолирован. В таком случае при заражении одного ресурса остальные не пострадают. Некоторые хостинг-провайдеры сами обеспечивают изоляцию друг от друга сайтов, размещенных на одном аккаунте. Но если выбранный хостинг такой услуги не предоставляет, стоит заказать для каждого проекта отдельное место размещения.
  2. Надежность провайдера. Как правило, известные компании сами обеспечивают достаточно высокий уровень безопасности для сайтов клиентов. Но если речь идет о защите коммерческого сайта, стоит заранее узнать, насколько быстро выявляются и устраняются проблемы, если они возникают.
  3. Техническая поддержка. Если заражение все-таки произошло, специалистам по «лечению» сайтов могут понадобиться логи, хранящиеся у провайдера, и важно, чтобы они действительно были и предоставлялись по первой просьбе. И в любом случае необходимо регулярное выполнение резервного копирования.

Если имеющийся хостинг вызывает сомнения, лучше сменить его на более надежный, не дожидаясь неприятностей. А при выборе нового провайдера и тарифа стоит внимательно изучить предлагаемые услуги и качество их выполнения.

Управление персоналом

Даже если сайт надежно защищен разработчиком, а хостер-провайдеру доверяют крупные компании, расслабляться рано. Взлом может быть выполнен банальным подбором логина и пароля администратора или любого другого специалиста, имеющего доступ к сайту, – разработчика, SEO-специалиста, контент-менеджера или секретаря, выкладывающего новости. Для предотвращения такой ситуации специалисты рекомендуют:

  1. Регулярно обновлять антивирусы на компьютерах всех, кто работает с сайтом. При этом желательно использовать платные версии.
  2. Раз в месяц проводить полное сканирование компьютеров этих сотрудников.
  3. С разумной периодичностью менять пароли. И следить, чтобы каждый раз они были сложными, состоящими не менее, чем из 10 букв разного регистра, цифр и символов.
  4. По возможности установить двухфакторную аутентификацию для панели администратора. Самый простой вариант – указать IP-адреса, с которых разрешен доступ. При использовании динамических IP можно указать диапазон их значений.
  5. Установить права доступа только в необходимом объеме. Например, тем, кто выкладывает тексты и картинки, не нужен уровень доступа программистов. В результате, если хакер подберет или перехватит пароль рядового сотрудника, он не сможет добраться до важных файлов.

Отдельного внимания требует работа с подрядчиками. Здесь нужно предусмотреть следующее:

  1. Обязательное заключение договора. Рекомендуется прописать все подробности сотрудничества, включая определение конфиденциальной информации в конкретном случае, санкции за ее разглашение или утечку по вине подрядчика, требования к обеспечению безопасной работы с сайтом (использование защищенного подключения, сложного пароля и т.п.). Если исполнитель окажется недобросовестным или просто небрежным, договор пригодится для решения спорных вопросов.
  2. Проведение инструктажа до начала работы. Да, нанимая фрилансера, невозможно проконтролировать, как на самом деле он будет действовать. Но ознакомить каждого подрядчика с элементарными правилами нужно. К ним относятся: использование антивируса на ПК и только защищенного подключения (VPN или просто запрет на работу по Wi-Fi в общественных местах), неразглашение пароля, внимательное отношение к защищенности собственного компьютера.
  3. Удаление аккаунта пользователя сразу после окончания работы. Даже если исполнитель не выполнял все требования и «засветил» пароль, воспользоваться его данными хакеры уже не смогут.

И, конечно, для подрядчиков действует то же правило, что и для сотрудников: только те права доступа, которые действительно нужны.

Это не паранойя?

Нет. Более того, даже этих мер в совокупности может оказаться недостаточно. И внимательное отношение ко всем перечисленным пунктам только уменьшает риск взлома, но не исключает его полностью. Впрочем, пока хакеры стремятся получить свое, никто от вирусов не застрахован. А тех, кто полагает, что «мой-то сайт им не нужен», приглашаем ознакомиться со статьей, где мы рассказывали о поводах для взлома: http://promoteh.ru/articles/_aview_b345          

ОБЖ для сайта: как защититься от взлома?

 
ссылка на эту статью:

Вернуться к списку
«Промотехника» ©2024
Открыть полную версию сайта
Обратная связь

Нажимая "отправить" я соглашаюсь на обработку моих персональных данных
Положение об обработке персональных данных