Каждый сайт нуждается в защите, но не всегда она правильно организована. От каких убеждений лучше отказаться владельцам сайтов и бизнеса, чтобы не подвергать риску сам сайт и базы данных, расскажем в статье.
«Мы никому не нужны»
Одно из самых опасных заблуждений — отрицание угрозы. Может казаться, что скромный сайт небольшой локальной компании не интересен хакерам, а значит, не стоит тратить время и деньги на его защиту. Но это не так.
Большинство атак на сайты проводится в автоматическом режиме. Проще говоря, хакеры запускают поиск определенных уязвимостей по всем сайтам, на которых они могут быть: например, по сделанным на WordPress. Им не важны посещаемость, тематика и размеры сайта, им нужно внедрить вредоносные коды везде, где получится. После этого вирусы окажутся на всех незащищенных сайтах или на части из них, запустятся сразу или через некоторое время. Предсказать, когда и что произойдет, невозможно.
Поэтому позаботиться хотя бы об элементарных средствах защиты нужно всем. Как минимум, регулярно обновлять CMS и проверять сайт специальным антивирусом раз в месяц или чаще. При обнаружении проблем — обращаться к специалистам по безопасности.
«Поставили и забыли»
Напомним список обязательных мер по защите сайта:
- обновления CMS;
- антивирусы на ПК и сайтах, работающие в проактивном режиме;
- настройки доступа к админ-панели (SFTP, ограничение по IP или двухфакторная авторизация);
- сложные пароли;
- логирование действий на сайте;
- резервное копирование данных на внешние носители или в «облако»;
- по возможности установка режима «только для чтения» для важных файлов и папок.
Это технические средства защиты, и можно подумать, что их достаточно: один раз настроили, привыкли к регулярному сканированию сайтов и ПК антивирусами, свыклись с запоминанием паролей и успокоились.
Но на деле таких мер не всегда достаточно. Важно помнить про человеческий фактор. Так, в последнее время особо распространен фишинг — выманивание паролей и других данных пользователей обманным путем. Поэтому для обеспечения безопасности важно:
- научить всех сотрудников не открывать подозрительные письма и, тем более, не переходить по ссылкам в них;
- убедиться, что сотрудники не хранят пароли в каких-либо сервисах и в открытом доступе (например, на бумажке под монитором) и не передают их по незащищенным каналам связи;
- всегда проверять права доступа для сотрудников и фрилансеров, временно работающих с сайтом, и закрывать доступ тем, кому он больше не нужен.
Кроме того, желательно убедиться, что все сотрудники знают правила безопасного поведения в сети. Взломать могут личные страницы и почтовые ящики, и кто знает, нет ли там информации, полезной для злоумышленников.
«Деньги решают!»
Это убеждение в какой-то степени связано с предыдущим, поскольку тоже приводит к беспечности. Здесь есть две крайности:
- «мы платим деньги за дорогие технические решения и можем ни о чем не волноваться»;
- «безопасники разводят на деньги, обойдемся антивирусом».
В первом случае легко забыть о человеческом факторе и не позаботиться о соблюдении правил безопасной работы с сайтом. Во втором — стоит сначала просчитать возможные потери от взлома сайта, а значит, последствия простоя, коммерческие и репутационные риски. Вероятно, расходы на защиту сайта после этого покажутся не такими серьезными. Тем более что многие обязательные меры вообще не требуют больших расходов.
«Вирус удален — все в порядке»
К сожалению, нет. В общих чертах, заражение сайта происходит так: найдена уязвимость — внедрен вредоносный код (троян, бэкдор, шелл и т. д.) — запущена работа вируса. Как видно, удаление последнего звена в этой цепочке не решит все проблемы.
Кроме того, вирусы могут работать по расписанию. К примеру, когда поисковики то помечают сайт как зараженный, то снимают эту отметку, стоит заподозрить наличие такого вируса и проверить сайт.
«Вылечить» сайт антивирусом — только половина дела. После этого нужно удалить внедренные коды, закрыть уязвимости и еще раз проверить, все ли средства защиты пущены в ход.
«О безопасности должен думать только специалист»
С одной стороны, да, защиту сайтов стоит доверять специалистам по безопасности. Но с другой стороны, важно помнить о том, что зависит от владельца сайта и сотрудников его компании. Помимо уже перечисленных правил, стоит обратить внимание на такие важные вещи:
- выбор выделенного хостинга, обеспечивающего защиту сайтов на своей стороне и быстрое решение проблем;
- регулярное обновление антивирусов на компьютерах;
- безопасность подключения к локальным сетям и к интернету на рабочих местах;
- план действий на случай взлома и утечки данных для технических специалистов, менеджеров, пиарщиков.
Важно выполнять все рекомендации специалистов, какими бы неудобными ни казались правила о смене и хранении паролей, разграничении доступов и корректной работы с электронной почтой. И помнить, что неуязвимых сайтов нет, поэтому нужно быть готовыми к неприятным ситуациям и не паниковать.
В заключение
О безопасности сайта должны заботиться все, кто с ним связан: от администратора до руководителя, утверждающего расходы. Только так можно снизить риск заражения и серьезных последствий взлома.
